2022-12-01

88

Les référentiels d'audit informatique

Les référentiels d'audit informatique

89

Dans les systèmes d'information, le terme référentiel est employé

pour désigner :

 Un ensemble structuré de recommandations ou de bonnes

pratiques utilisées pour le management du système d'information,
 Un cadre commun aux directions des systèmes d'information.

Objectif:
 Améliorer le degré de maitrise des SI;

Les référentiels d'audit informatique

90

Les référentiels d'audit informatique

Un Standard est un référentiel faisant l’objet d’une large diffusion et reconnu
par le marché.

Une norme est un référentiel édité par un organisme de normalisation

comme AFNOR, CEN, ISO.

Une méthodologie est une démarche structurante pour réaliser une tâche donnée

Une nomenclature permet de décomposer une problématique en élément plus fin

permettant de se comparer à d’autres entreprises alors qu’un
référentiel permet d’améliorer le degré de maitrise.

30
 2022-12-01

Les référentiels d'audit informatique

Information Systems Audit and Control Association (ISACA)
91

 Reconnaissant la nécessité de réaliser une source centralisée

d'information et d'orientation dans le domaine des contrôles des
systèmes informatiques, un groupe américain d’expert fond l’association
professionnelle internationale du nom ISACA. Elle fédère les
professionnels:
 de la gouvernance;
 du management des risques;
 de l’assurance;
 de la sécurité de l’information.
 Elle est une source de confiance pour tout ce qui a trait aux connaissances
relatives à l’information et aux technologies, aux communautés, normes et
certifications.

Objectif:
 Améliorer la gouvernance des systèmes d’information et notamment les
méthodes d’audit informatique

Les référentiels d'audit informatique

92

Référentiels de management du SI
Les référentiels de management du système d'information sont internationaux.
Ils sont généralement orientés vers une problématique particulière :

 Pour l'assistance aux utilisateurs et la production informatique: ITIL.

 Pour la gouvernance des systèmes d'information: COBIT (acteur
important de la conformité à Sarbanes Oxley) ;

 Pour la sécurité des systèmes d'information: ISO 27001;

 Pour le développement: CMMI;

Les référentiels d'audit informatique

Information Technology Infrastructure Library (ITIL)
93

Définition :

 Référentiel décrivant un ensemble de processus de gestion de

services technologiques utilisé par le métier.
 Démarche pragmatique de gestion des services liés aux technologies
de l’information, reposant sur un ensemble des «meilleures
pratiques» issues des expériences d’entreprises appartenant aussi
bien au secteur privé qu’au secteur public.
 S’appuie sur les processus suffisamment souples pour s'adapter à
toutes les organisations, petites ou grandes

31
 2022-12-01

Les référentiels d'audit informatique

Information Technology Infrastructure Library (ITIL)
94

ITIL: Objectifs
 Aligner les services liés aux technologies de l’information avec les
besoins présents et futurs des métiers de l’entreprise et de ses
clients
 Améliorer la qualité des services liés aux technologies de
l’information
 Réduire à long terme les coûts liés aux prestations de services
 Utiliser les ressources humaines et les produits de manière
efficace, rentable et économique de sorte que les services liés aux
technologies de l'information soient innovants, de haute qualité et
adaptés aux processus de l'entreprise

Les référentiels d'audit informatique

Information Technology Infrastructure Library (ITIL)
95

ITIL: Domaines couverts

 ITIL définit un service lié aux Technologies de l'Information comme

un ensemble de fonctions assurées par un système d'information
pour répondre aux besoins d'un utilisateur dans la réalisation de ses
activités propre à son métier; un service s'appuie en général sur
plusieurs éléments :
 Matériels;

 Logiciels;

 Documents;

 Constituant l'infrastructure informatique.

Les référentiels d'audit informatique

Information Technology Infrastructure Library (ITIL)
96

Les 4 concepts fondateurs de la philosophie de l’ITIL

1 Customer
focus and On entend par « client » l’utilisateur. Le client et son métier
Business doivent être au centre des préoccupations de la direction
justified» : informatique.
La gestion des services doit être prise en considération en
2 Cycle de vie: amont des projets informatiques, dès les premières phases
d’étude et de définition des besoins.
3 Processus: La qualité de service se fonde sur une structuration des
activités en processus interdépendants.
La mesure de l’excellence : la capacité à répondre aux
4 Qualité: attentes des clients en matière de produits et services en
relation avec la pratique de leur métier.

32
 2022-12-01

Les référentiels d'audit informatique

Information Technology Infrastructure Library (ITIL)
97

ITIL : Exemple de processus

Processus Commentaire
Gestion des niveaux Définit la démarche de gestion des contrats de service,
de services avec pour objectif de gérer les attentes en matière de
prestations au regard des ressources allouées.
Gestion des Détaille la manière d'inventorier actifs et
configurations configurations, en vue d'évaluer les risques, les besoins
de mise à jour et les coûts d'équipements.
Gestion des Recommande de passer en revue l'ensemble des
Le référentiel changements conséquences que peuvent engendrer des changements
ITIL sur les infrastructures informatiques.
Gestion des Renvoie à la manière d'identifier les causes des
incidents incidents, puis de les gérer en fonction de leur degré
d'impact sur l'activité de l'entreprise.
Gestion des Décrit une démarche comparable à la précédente en vue
problèmes de gérer les incidents récurrents.
Gestion des mises en Fait le lien entre les activités du département
production production et les métiers, en vue d'appliquer des règles
de déploiement en adéquation avec les exigences de ces
derniers.

Les référentiels d'audit informatique

Control Objectives for Information and related Technology (COBIT)
98

Définition :
 Une méthodologie d’évaluation des services informatiques au sein de
l’entreprise.
 Référentiel de gouvernance des systèmes d'information qui décompose tout
système informatique.
 Fournit aux gestionnaires, auditeurs et utilisateurs de TIC (Technologies de
l'information et de la communication), des indicateurs, des processus et des
bonnes pratiques pour les aider à maximiser les avantages issus du recours
à des techniques informatiques et à l'élaboration de la gouvernance et du
contrôle d'une entreprise.
 Se focalise sur ce que l’entreprise a besoin de faire et non sur la façon dont
elle doit le faire.

 Il suit une approche orientée processus:34 processus;

 Répartis en 4 domaines fonctionnels;
 Couvrant 318 objectifs.

Les référentiels d'audit informatique

Control Objectives for Information and related Technology (COBIT)
99

COBIT: Les domaines

Le CobiT consiste à décomposer tout système informatique en:
1 PLANIFIER ET Comment utiliser les technologies afin que l'entreprise atteigne
ORGANISER (PO) ses objectifs ?
(10 processus).
2 ACQUÉRIR ET Comment définir, acquérir et mettre en œuvre des technologies
IMPLÉMENTER en adéquation avec les objectifs de l’entreprise ?
(AI)
(7 processus).
3 DÉLIVRER ET Comment garantir l'efficacité des systèmes technologiques en
SUPPORTER (DS) action ?
(13 processus).
4 SURVEILLER ET Comment s'assurer que la solution mise en oeuvre corresponde
ÉVALUER (SE) bien aux besoins de l'entreprise dans une perspective
(4 processus). stratégique ?

33
 2022-12-01

Les référentiels d'audit informatique

Control Objectives for Information and related Technology (COBIT)
100

PLANIFIER ET ORGANISER (PO)

Ce domaine recouvre la stratégie et la tactique et vise à identifier la
meilleure manière pour les SI de contribuer à atteindre les objectifs
métiers de l'entreprise. La mise en oeuvre de la vision stratégique doit
être planifiée, communiquée et gérée selon différentes perspectives.
Ce domaine s'intéresse généralement aux problématiques de
management suivantes :
Les stratégies de l'entreprise et de l'informatique sont-elles
alignées ?
L'entreprise fait-elle un usage optimum de ses ressources ?
Est-ce que tout le monde dans l'entreprise comprend les objectifs
de l'informatique ?
Les risques informatiques sont-ils compris et gérés ?
La qualité des systèmes informatiques est-elle adaptée aux besoins
métiers ?

Les référentiels d'audit informatique

Control Objectives for Information and related Technology (COBIT)
101

COBIT: PLANIFIER ET ORGANISER (PO)

Il comporte 10 processus :
1 Définir un plan stratégique pour 6 Communiquer les buts et les
le SI; orientations de la direction
2 Définir l’architecture en 7 Gérer les ressources humaines
information; du SI
3 Déterminer l’évolution technique; 8 Gérer la qualité
4 Définir les processus et 9 Evaluer et gerer les risques du
l’organisation du SI; SI
5 Gérer les investissements en SI; 10 Gérer les projets

Les référentiels d'audit informatique

Control Objectives for Information and related Technology (COBIT)
102

ACQUÉRIR ET IMPLÉMENTER (AI)

Le succès de la stratégie informatique nécessite d'identifier, de
développer ou d'acquérir des solutions informatiques, de les mettre en
œuvre et de les intégrer aux processus métiers.
Ce domaine s'intéresse généralement aux problématiques de
management suivantes :
Est-on sûr que les nouveaux projets vont fournir des solutions qui
correspondent aux besoins métiers ?
Est-on sûr que les nouveaux projets aboutiront en temps voulu et dans
les limites budgétaires ?
Les nouveaux systèmes fonctionneront-ils correctement lorsqu'ils
seront mis en oeuvre ?
Les changements pourront-ils avoir lieu sans perturber les opérations
en cours ?

34
 2022-12-01

Les référentiels d'audit informatique

Control Objectives for Information and related Technology (COBIT)
103

COBIT :ACQUÉRIR ET IMPLÉMENTER (AI)

Il comporte 7 processus :
1 Définir les solutions automatisées;
2 Acquérir et entretenir les logiciels applicatifs;
3 Acquérir et entretenir la plate-forme technique;
4 Permettre l'exploitation et l'utilisation;
5 Gérer les achats;
6 Gérer les évolutions;
7 Installer et recetter les solutions et les changements;

Les référentiels d'audit informatique

Control Objectives for Information and related Technology (COBIT)
104

DÉLIVRER ET SUPPORTER (DS)

Ce domaine s'intéresse à la livraison effective des services demandés, ce
qui comprend l'exploitation informatique, la gestion de la sécurité et de la
continuité, le service d'assistance aux utilisateurs et la gestion des
données et des équipements.

Il s'agit généralement des problématiques de management suivantes :

Les services informatiques sont-ils fournis en tenant compte des
priorités métiers ?
Les coûts informatiques sont-ils optimisés ?
Les employés sont-ils capables d'utiliser les systèmes informatiques de
façon productive et sûre ?
La confidentialité, l'intégrité et la disponibilité sont-elles mises en
oeuvre pour la sécurité de l'information ?

Les référentiels d'audit informatique

Control Objectives for Information and related Technology (COBIT)
105

COBIT : DÉLIVRER ET SUPPORTER (DS)

Il comporte 13 processus :
1 Définition des niveaux de service; 7 Formation des utilisateurs;
2 Gestion des services aux tiers; 8 Assistance des utilisateurs;
3 Gestion des performances et des 9 Gestion de la configuration;
capacités;
4 Garantie de la poursuite des 10 Gestion des incidents;
traitements;
5 Garantie de la sécurité des systèmes; 11 Gestion des données et des
applications;
6 Identification et attribution des 12 Sécurité physique du
coûts; système;
13 Gestion de l'exploitation.

35
 2022-12-01

Les référentiels d'audit informatique

Control Objectives for Information and related Technology (COBIT)
106

SURVEILLER ET ÉVALUER (SE)

Tous les processus informatiques doivent être régulièrement évalués pour
vérifier leur qualité et leur conformité par rapport aux spécifications de
contrôle. Ce domaine s'intéresse à la gestion de la performance, à la
surveillance du contrôle interne, au respect des normes réglementaires et
à la gouvernance.
Il s'agit généralement des problématiques de management suivantes :
La performance de l'informatique est-elle mesurée de façon à ce que
les problèmes soient mis en évidence avant qu'il ne soit trop tard ?
Le management s'assure-t-il que les contrôles internes sont efficaces
et efficients ?
La performance de l'informatique peut-elle être reliée aux objectifs
métiers ?
Des contrôles de confidentialité, d'intégrité et de disponibilité
appropriés sont-ils mis en place pour la sécurité de l'information ?

Les référentiels d'audit informatique

Control Objectives for Information and related Technology (COBIT)
107

COBIT: SURVEILLER ET ÉVALUER (SE)

Il comporte 4 processus :
1 Surveillance des processus;
2 Appréciation du contrôle interne;
3 Certification par un organisme indépendant ;
4 Audit par un organisme indépendant.

Les référentiels d'audit informatique

Control Objectives for Information and related Technology (COBIT)
108

COBIT : Avantages

COBIT : avantages
1 Des processus plus simples et plus compréhensibles;
2 Une vision compréhensible par les métiers de ce que fait l’informatique;
3 De la valeur ajoutée des systèmes d’information;
4 Un meilleur alignement de l’informatique sur l’activité de l’entreprise (orientation
métier);
5 Une attribution claire des responsabilités (approche par processus);
6 Une aide à la décision, aux choix, aux investissements;
7 Une possibilité d’élaborer son propre standard COBIT afin d’être encore plus en
phase avec les objectifs de l’entreprise en terme de systèmes d’information;
8 Une auto évaluation;
9 Une comparaison avec d’autres entreprises ayant un même domaine métier;
10 Couverture d’utilisation internationale;
11 Capable de s’intégrer à d’autres référentiels tels qu’ISO 27000, ITIL.

36
 2022-12-01

Les référentiels d'audit informatique

CMMI : Capability Maturity Model Integration
109

Il répartit les processus évalués sur une échelle de niveaux de raffinement

allant de 1 à 5 :
Le niveau 1 Initial est le niveau plancher. Les résultats sont imprévisibles;
l’atteinte des résultats repose plus sur les hommes, sur leur
engagement et bonne volonté, que sur l’application disciplinée de
bonnes pratiques définies
Le niveau 2 est orienté Projet. Ce niveau assure que les pratiques basiques de
gestion de projet sont toujours mises en oeuvre, même dans les
contextes difficiles
Le niveau 3 A ce niveau, l’organisation dispose d’un ensemble de processus
standard, qui sont adaptés par chaque projet. Chaque projet capitalise
son expérience et permet de bonifier le capital collectif
Le niveau 4 est Géré Quantitativement. A ce niveau, les processus clés sont sous
contrôle statistique. Élimination des causes spéciales de variation
Le niveau 5 L’organisation est dans une boucle permanente d’amélioration continue.

Les référentiels d'audit informatique

ISO 17799 et 27001
110

Chap1 Politique de sécurité (nécessité pour l’entreprise de disposer d’une

politique de sécurité).
Est-ce qu’il existe un document qui traite de la sécurité des systèmes
d’information ?
Chap2 Organisation de la sécurité
Chap3 Classification et contrôle des actifs
Chap4 Sécurité liée au personnel
Chap5 Sécurité physique et de l’environnement
Chap6 Administration (exploitation et réseaux)
Chap7 Contrôles d’accès
Chap8 Développement et maintenance
Chap9 gestion des incidents
Chap10 Plan de continuité
Chap11 Conformité légale et audit de contrôle

TYPOLOGIE DE L'AUDIT DES SYSTEMES D’INFORMATION

111

 AUDIT DE LA FONCTION INFORMATIQUE

 AUDIT DES PROJETS INFORMATIQUES
 AUDIT DES APPLICATIONS OPERATIONNELLES
 AUDIT DE LA SECURITE INFORMATIQUE

37