2023/2024_YO

Plan du cours

Audit des Systèmes d’Information Audit des Systèmes d’Information

Concepts de base, Fondements, Objectifs,

Pratique d’ Audit des Systèmes d’Information

Outils, Démarche , Applications

Pr.OUBAIH Younes 2023/2024

1 2

Les besoins en informations dans les entreprises

«L’information est plus souvent rassemblée
pour justifier une décision a posteriori, pour Avec l’internalisation des marchés, l’entreprise doit
contrôler une interprétation ou créer une  S’adapter,
vision commune que pour clarifier a priori  Si possible anticiper,
Audit des une décision ».  Parfois influencer,
Systèmes Mayère (1993)  En tout cas réagir avec Agilité.
Pour y parvenir dans de bonnes conditions, les gestionnaires
d’Information
d’entreprises ont besoin de l’information appropriée, au
moment opportun, pour la prise de décision.
La place centrale qu’occupe l’information dans le processus de
prise de décision n’est plus à démontrer.

Information et Décision sont reliées mais ne sont pas

confondues

3 4

1
 2023/2024_YO

Les besoins en informations dans les entreprises

Les besoins en informations dans les entreprises

Grace aux progrès technologiques de l’information (logiciels, bases

de données), les entreprises peuvent aujourd’hui recueillir,
traiter, stocker et diffuser de gros volumes d’information, et
toutes ces opérations s’effectuent de plus en plus rapidement et à
un coût raisonnable.

Mais, si l’information n’est plus, comme dans le

passé, une ressource rare.
C’est son Organisation dans une base de
données décisionnelle qui permet son analyse et
son exploitation à des fins de prise de décisions.

5 6

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises

Information : Définitions Information : Définitions

 L'information est une donnée qui a un sens et un impact sur le
récepteur.
 La valeur d'une information est proportionnelle à son impact et à Une information est une collection de données organisées selon
son potentiel de surprise. l’intention de l’émetteur, elle est donc parfaitement subjective.
 C'est une ressource et une richesse.
C’est le récepteur qui décide si le message reçu représente pour lui,
La valeur de l’ information dépend de : une information.
 L'écoulement du temps (une information fraîche vaut beaucoup plus La valeur du message est en fonction de la connaissance qu’il
qu'une information périmée !), possède ou des clés de décodage . Et S’il est en mesure de lui
 Récepteur de l'information (une information boursière ou un résultat donner du sens, de maitriser les langages nécessaires à sa
sportif ont une valeur différente selon son potentiel de surprise - telle
compréhension puis à son appropriation dans l’action.
qu'une information secrète ou inattendue),

7 8

2
 2023/2024_YO

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises

Information / Donnée Information : Définitions

La donnée ne devient une information que lorsqu’elle est reçue par un être
humain qui l’interprète. L’information est une image donc des objets et des faits. Elle les
Une information est une donnée observée par un acteur. représente, elle corrige ou confirme l’idée qu’on se faisait.
L’observation implique la comparaison à d’autres données pour qu’il y ait L’information contient une valeur de surprise, en ce sens qu’elle apporte
interprétation. une connaissance que le destinataire ne possédait pas ou qu’il ne pouvait
Passer du rang de donnée à celui d’information : suppose que la pas prévoir.
connaissance de la donnée contribue à l’action de celui qui l’observe.
Les données (mots, nombres, images, sons, etc.) constituent donc la matière L’information a aussi une valeur, car elle permet de choisir, de prendre des
première de l’information par un processus d’interprétation qui leur attribue décisions et d’agir.
de la signification et du sens. Sa valeur est ainsi liée à son emploi dans le contexte de prise de décisions.

Il n’existe pas de définition unique du concept information La valeur de l’information est donc égale à la différence entre le bénéfice
Les définitions varient en fonction des référentiels attendu d’une décision prise sans l’information et celui attendu d’une
décision prise avec cette même information.

9 10

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises
Information : Sources
Information : Définitions

L’information reste ainsi au cœur du système de gestion de l’entreprise,

comme elle est au centre de toute décision à prendre.

Être bien informé est souvent (presque toujours) une

condition à la réussite.
Beaucoup d’interrogations gravitent autour de cette notion :
 Où et comment s’informer ?
 De quelles informations faut-il disposer ?
 À quels coûts peut -on se la procurer ?
 Quels sont ses différents canaux de communication, de circulation ?
 Que faire en cas de surinformation?

11 12

3
 2023/2024_YO

Les besoins en informations dans les entreprises

Les besoins en informations dans les entreprises
Information : Capital informationnel
Dans tous les secteurs d’activité, dans
toutes les entreprises, l’information est
devenue le « nerf de la guerre ».
Disposer de l’information utile avant ses « L’information du monde entier se déverse dans les bureaux des
concurrents et savoir la rendre disponible
à ceux qui savent en tirer profit dans
entreprises comme l’eau fait irruption dans le bateau en train de
l’entreprise, sont des éléments qui couler ».
permettent de faire la différence. H. Meyer, 2001.
Il y a peu de temps, disposer de
l’information pertinente était réservé à
une élite. Aujourd’hui, l’information est
« Bien gérer une entreprise, c’est gérer son avenir,
accessible à tous
Aujourd’hui, une entreprise double son capital informationnel et gérer son avenir, c’est gérer son information ».
toutes les minutes. Marion Harper JR
L’information est un service dont le coût est faible pour celui
qui la fournit mais, dont la valeur ajoutée est très forte pour
celui qui la reçoit et sait en tirer profit. Théorie de l'information

13 14

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises
Flux Flux de l’Information
vers le Flux de l’Information
bas
Flux informels

Les haut-placés (actionnaires, …

Les cadres

Les cadres assimilés

Les employés

Flux
Flux horizontaux
vers le
haut

15 16

4
 2023/2024_YO

Les besoins en informations dans les entreprises

Les besoins en informations dans les entreprises Système d’information: Définitions

Système d’information: Définitions Le système d’information de l’entreprise est constitué donc de

l’ensemble des moyens et procédures de:
La récolte, le traitement, le stockage et la diffusion de  Recherche,
l'information est devenue une industrie à part entière.  Saisie,
 Classement,
 Mémorisation,
Et toute organisation quelle qu'elle soit, doit consacrer une partie  Traitement,
de son effort à Récolter, Traiter, Stocker et Diffuser l'information  Diffusion des informations.
issue de son propre fonctionnement. Pour objectif de restituer aux différents cadres de l’entreprise, les
informations, sous une forme utilisable, au moment opportun, afin
C'est la tâche principale du système d'information de faciliter :
 Le bon fonctionnement opérationnel
 La prise de décision aux différents niveaux.

17 18

Les besoins en informations dans les entreprises

Les besoins en informations dans les entreprises
Système d’information: Définitions
Système d’information: Définitions Un système d’information est une combinaison de :
Le système d’information de l’entreprise se caractérise donc  Pratiques de travail,
par l’ensemble des moyens et procédures qu’il utilise des  Informations,
traitements :  Personnes
 Manuels et/ou automatisés,  Technologies de l’information,
 Centralisés et/ou répartis, Organisées pour atteindre des objectifs dans une organisation.
 Système éclaté ou intégré, etc.).
Sa finalité est de restituer, des informations à ceux qui en ont Un système d’information est un ensemble organisé de ressources:
besoin pour contrôler, coordonner ou prendre des décisions. matériel, logiciel, personnel, données, procédures [...] permettant
d’acquérir, de traiter, de stocker des informations (sous forme de données,
Les systèmes d ’information ne doivent pas être simplement textes, images, sons, etc.) dans et entre des organisations
considérés comme une ressource de support,
Mais comme une ressource stratégique capable de donner un Histoire : Le système d’information moderne a vu le jour au moment où il y eut
avantage concurrentiel durable à l ’entreprise . séparation entre les concepteurs des applications informatiques et les utilisateurs.

19 20

5
 2023/2024_YO

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises

JAT, Kaizen et Kan Ban

Système d’information: Définitions
Système d’information: Objectifs
Le système d’information est d’une grande utilité au sein de
l’entreprise, puisqu’il sert d’aide à la décision, il permet en plus d’agir
de manière optimale, de faire des prévisions qui vont orienter les L’objectif de la mise en place des systèmes d’information se résume
stratégies élaborées. donc dans leur rôle d’aide à la conception de la stratégie de
il sert aussi à contrôler et superviser les différentes activités l’entreprise, ainsi que celui de la supervision de sa réalisation.
de l’entreprise.
La mise en place d’un système d’information permet de :

Le système d’information est le socle sur lequel  Assurer la continuité de l’activité,

repose l’activité de l’entreprise.
 Se garantir une information fiable et efficace à la gestion,
 Se permettre d’effectuer des ajustements au niveau des
Avec la complexité de l’environnement de l’entreprise, les dirigeants orientations stratégiques avec grande souplesse.
comptent sur un système d’information efficace et fiable pour la
création de la valeur et la réalisation d’un avantage comparatif.

21 22

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises

Système d’information: Objectifs

Système d’information: Objectifs

Dans une organisation, un système d’information est utile et

pertinent dans la mesure où les données qu’il emmagasine sont
utiles, traitables et transformables en une information exacte,
pratique et fiable.

Cette information produira une intelligence d’affaires apte à créer

des connaissances qui procureront à son utilisateur un avantage
stratégique quand viendra le temps de prendre une ou des
décisions.
L’intelligence d’affaires : lorsqu’un gestionnaire comprend et relie des
informations provenant de sources internes et externes à l’entreprise. Ces dernières
sont composées de forces politiques, économiques, concurrentielles,
technologiques, socio-culturelles et écologiques.

23 24

6
 2023/2024_YO

Les besoins en informations dans les entreprises

Système d’information : Composantes
Les besoins en informations dans les entreprises
Composante
Organisationnelle Système d’information : Composantes
 La composante organisationnelle
Composante Composante L’information, si elle est pertinente, est le support de la réalisation des activités de
Technologique Humaine l’organisation.
Cette composante organisationnelle correspond aux règles, procédures et modes de travail
adoptés pour permettre le fonctionnement du Système d’information.
Système  La composante technologique
d'Information Désignée par l’appellation TIC, les Technologies de l’Information et de la Communication
regroupent l’ensemble des matériels permettant de faire fonctionner le Système
d’Information. On peut citer :
Un système d'information est un ensemble de moyens humains, techniques et  Les ordinateurs,
organisationnels pour fournir en temps et en heure toute l'information nécessaire au  Les logiciels, erp…
fonctionnement de l'organisation  Les réseaux informatiques…

 La composante humaine
Le SI doit apporter à TOUS les acteurs de l'organisation l'information et la
La composante humaine est composée de l'ensemble des personnes qui reçoivent,
connaissance dont ils ont besoin pour agir et décider. manipulent et émettent de l'information au sein du Système d’Information.

25 26

Les besoins en informations dans les entreprises

Informatique et système d’information
Les besoins en informations dans les entreprises
 Concepts : Maîtrise d’ouvrage et maîtrise d’œuvre
Informatique et système d’information
Pour bien marquer la différence entre le système d’information et l’informatique, on
parle, dans les entreprises, de maîtrise d’ouvrage et de maîtrise d’œuvre.

 La maîtrise d’ouvrage (MOA) définit les besoins en termes d’informatique pour

un métier, un processus ou une activité. Ce sont des personnes qui formalisent
les forces et les faiblesses des applications informatiques qu’elles utilisent. Elles
participent également à la formalisation des besoins pour l’évolution ou la
création d’une application.
 La maîtrise d’œuvre (MOE), quant à elle, procède à l’écriture des programmes
informatiques avec des langages. C’est un informaticien qui construit des
applications informatiques pour répondre au mieux aux besoins des
utilisateurs, décrits par la maîtrise d’ouvrage, en fonction des possibilités
techniques, du temps et des ressources alloués.
Le système d’information fait le lien entre
la technologie informatique et le
fonctionnement d’une entreprise. La métaphore de l’architecte et du maçon.

27 28

7
 2023/2024_YO

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises
Informatique et système d’information Informatique et système d’information
 Concepts : Urbanisation  Concepts : Urbanisation
Compte tenu du patrimoine important que représente le SI, la question de son
adaptabilité, de sa souplesse se pose de plus en plus.
Les plus grandes entreprises se dotent de moyens spécifiques pour éviter cet effet
D’autant plus que la complexité du SI ainsi que les interactions croissantes entre les
d’empilement nuisible à leur productivité : elles mettent en place le concept
applications et les systèmes qu’il contient, interdit bien souvent une rupture
d’urbanisation.
complète, un changement brutal.
Ce concept vise à établir une cohérence entre les processus de l’organisation et ses
ressources informatiques. Il faut également comprendre le système : cela passe par une cartographie des
différents niveaux, des différentes visions du système, depuis celle des Métiers
On va éliminer donc toutes les applications et les systèmes inutilisés. Cela permet de
jusqu’à l’infrastructure informatique, en passant par la vision fonctionnelle
réaliser des économies. Et surtout de rationaliser les usages.
intermédiaire.
Exemple : Les applications obsolètes doivent être supprimées (avec prudence).
Elles coûtent en maintenance, en espace, en électricité, etc. Le concept d’urbanisation permet d’aborder les qualités attendu d’un SI :
Encore faut-il savoir quelles sont les applications encore utilisées ?! Une application  La flexibilité,
comptable peut très bien être utilisée par une seule personne pour une seule  La mutualisation des ressources,
fonctionnalité un jour par an, et dans ce cas il faut bien la maintenir !… Urbaniser  La scalabilité (capacité à augmenter la capacité d’un si sans modifier son
consiste à établir la cartographie, les liens entre les processus et l’infrastructure, c’est- architecture),
à-dire vérifier la cohérence entre la vision Métier et la vision Technique.  La résilience (résistance aux pannes)
 La maintenabilité (réductions des pannes et de leurs effets).

29 30

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises
Informatique et système d’information Informatique et système d’information

 Concepts : Le Schéma Directeur Informatique  Concepts : Le Schéma Directeur Informatique

Le Schéma Directeur doit présenter un existant, un point de départ : l’étude des
besoins et la définition de systèmes cibles devront être faites après un état des lieux.
La Direction des Systèmes d’Information (DSI) doit mettre en place un Schéma De manière objective, les forces et faiblesses de l’organisation (sur le plan
Directeur Informatique. Ce référentiel est l’application de la stratégie de informatique) doivent être évoquées durant la phase d’Audit.
l’organisation aux systèmes d’information et informatique. Cette phase débouche sur une représentation « photographique » du SI existant
Il décrit l’évolution souhaitée des systèmes d’information et informatique et des (architecture technique, fonctionnelle, organisationnelle) puis sur une définition de
ressources (individus, logiciels, matériels, règles d’organisation) nécessaires pour la cible.
réaliser cette stratégie.

Les objectifs du Schéma Directeur Informatique sont multiples et définis en

un nombre limité de projets. Ce plan stratégique prospectif permet d’anticiper et de
prévoir les évolutions du SI, même en environnement instable et incertain.

31 32

8
 2023/2024_YO

Les besoins en informations dans les entreprises

Les besoins en informations dans les entreprises
Les Caractéristiques d’un « Bon » Système d’information
 Assurer la rentabilité et la pérennité de l’entreprise ainsi que sa capacité
Les Qualités d’un « Bon » Système d’information d’évolution fait que les systèmes d’information doivent remplir des conditions. Un
système d’information efficace est à la fois global, ouvert, orienté, et fiable.

Les Qualités d’un « Bon » système d’information, c’est-à-dire  Permet d’avoir une large couverture fonctionnelle, qui lui permet de centraliser
opérationnel pour la prise de décision sont obtenus lorsque : l’ensemble des flux d’information.
 le système d’information permet de
 Être en adéquation avec l’ensemble des activités de l’entreprise.
 Connaître le présent
 Prévoir  Être aussi ouvert sur les autres systèmes afin de favoriser l’échange des données
 Comprendre informatisées entre les partenaires, et faciliter les transactions entre les différentes
 Informer rapidement interfaces.

 Être orienté de manière à avoir une visibilité claire sur l’ensemble des informations
 Le système d’information doit être disponibles.
 Adapté à la nature de l’organisation (taille, structure,....)
 Efficace (rapport qualité / coût)  Être fiable et doté d’un système de sécurité qui va permettre la protection des
données.

33 34

Les besoins en informations dans les entreprises

Les besoins en informations dans les entreprises Système d’information : Les flux d’information

Système d’information : Trajectoire

35 36

9
 2023/2024_YO

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises

Système d’information : Fonctions des entreprise Système d’information : Fonctions des entreprise

Types de SI

37 38

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises
Système d’information : Place Système d’information :
Place/ Fonctions
L'information va permettre à celui-ci de prendre les
bonnes décisions en étant constamment informé de ce
qui se passe dans le système opérationnel.

le système d'information s'occupe de récolter

l'information, de la stocker, de la traiter et de la diffuser
dans le système opérant et dans le système de pilotage.

L’information va permettre à celui-ci de fonctionner. Car

chaque individu et chaque tâche ont besoin d'être
informés sur le flux physique qui la traverse.

La tâche principal du SI est donc de fournir un flux d'information qui d'une part,
reflète le plus fidèlement possible le flux physique, et d'autre part fournit au Saisie
système opérationnel les éléments nécessaires pour son fonctionnement quotidien Traitement Stockage Restitution Transmission et communication
et au système de pilotage les éléments nécessaires à une prise correcte de décision.

39 40

10
 2023/2024_YO

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises
Système d’information : Système d’information :
Place/ Fonctions Place/ Fonctions

La première facette est tournée vers le système opérant et dont la finalité

et d'assister le fonctionnement opérationnel et la gestion quotidienne de
l'organisation.

Ce sont les différents SI fonctionnels qu'on a vu, et qui sont accessibles

depuis des postes de travail de type bureautique.

Les applications informatiques qui supportent ces SI sont de type

transactionnel, et utilisent intensivement des bases de données de
production.

41 42

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises
Système d’information : Système d’information :
Place/ Fonctions Place/ Fonctions
La seconde facette est tournée vers le système de pilotage et dont la finalité
est d'assister la direction de l'entreprise et la prise de décision des dirigeants.
Ce sont des applications informatiques récentes qui font appel à des
technologies nouvelles (entrepôts de données ou datawarehouse et SIAD).

Ces systèmes sophistiqués et coûteux permettent aux dirigeants d'avoir une

vision synthétique de condensée de l'activité de l'entreprise.

Le but est de faciliter les projections et les simulations, en intégrant

notamment des données externes au SI de l'entreprise (tel que les données
des concurrents, ou la corrélation avec l'indice dévolution des prix).

La finalité ultime de ces systèmes est d'aider le dirigeant dans la prise de

décision.

43 44

11
 2023/2024_YO

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises

Système d’information : Place/ Fonctions Système d’information : Place/ Fonctions

L'introduction successive d'applications informatiques diverses dans les

différentes fonctions de l'entreprise aboutit à une situation problématique: Deux solutions se sont développées :

Alors que les processus de l'entreprise nécessitent la collaboration de plusieurs

 La première consiste à mettre en place une interface de communication unique
fonctions de l'organisation, les applications informatiques du SI qui les supportent
entre toutes les applications pour les faire communiquer et collaborer. C'est
n'ont pas été construite pour travailler ensemble et donner une vision unique du
l'intégration d'application ou l’EAI.
processus.

Au contraire, le support au processus est fragmenté  La seconde solution est radicalement différente: on remplace les principales
et les données sont redondantes et disséminé dans applications fonctionnelles du si par une seule et unique application capable de
diverses applications et des supports différents, ce traiter toutes ces fonctions et d'en fournir une seule vision cohérente et
qui ralentit la performance de l'entreprise et peut performante.
créer de graves problèmes. Cette nouvelle application est un PGI (progiciel de gestion intégré) ou ERP en
anglais.

45 46

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises
Stratégie : Système d’information
Système d’information : Stratégie L’élaboration de la stratégie du système d’information doit suivre un cycle qui
permet à l’entreprise de fonder une stratégie et de s’améliorer continuellement.
Le système d’information est d’une grande utilité au sein de
l’entreprise, puisqu’il sert d’aide à la décision, il permet en plus d’agir
de manière optimale, de faire des prévisions qui vont orienter les
stratégies élaborées.

La mise en place d’un système

d’information permet d’assurer la
continuité de l’activité, de se garantir
une information fiable et efficace à la
gestion, et également se permettre
d’effectuer des ajustements au niveau
des orientations stratégiques avec
grande souplesse.

47 48

12
 2023/2024_YO

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises

Le SI : Beaucoup de ressources à gérer:

Exp : Les sources d'information pour le CDG

La comptabilité, matière première essentielle du contrôle de gestion

Le système d'information financier et comptable, commun à toute
entreprise, est la première source de données pour mesurer et
analyser l'activité économique.

Mais la comptabilité générale n'est pas suffisante pour décomposer

les coûts et calculer des rentabilités.

Le contrôleur de gestion doit créer et surveiller le SI, avec des

informations venant de tous les services, traitées et analysées en
temps réel , puis livrées à la DG.

49 50

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises
Les cinq finalités d’un SI
Évolution des objectifs des SI

51 52

13
 2023/2024_YO

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises

Rôles d’un Manager d’un SI (MIS) Fonctions d’un manager SI

Le manager SI doit piloter son activité et être en mesure de
communiquer avec transparence sur ses réalisations.

Il doit :
 Identifier les tendances, les évolutions;
 Mesurer l’atteinte des objectifs (prévisionnel/réel);
 Analyser les écarts (causes/effets);
 Communiquer avec l’ensemble de l’organisation;
 Développer des axes de progrès et s’améliorer

53 54

Les besoins en informations dans les entreprises Les besoins en informations dans les entreprises
Indicateurs de base pour MSI
Indicateurs de base pour MSI

55 56

14
 2023/2024_YO

Les besoins en informations dans les entreprises

 Modèle d’activités de la fonction

Les niveaux de Maturité d’un SI
système d’information : 1. Niveau initial : l'organisation ne fournir pas un environnement stable
pour le développement et la maintenance D’un SI . Même un ERP
performant ne peut pas surmonter les instabilités créées par l’absence
de pratiques de gestion saines.
2. Niveau de répétition : les procédures pour mettre en œuvre des
politiques SI sont établies. La planification et la gestion de nouveaux
projets sont basées sur l'expérience de projets similaires.
3. Niveau de gestion : au niveau géré, l'organisation définit des
paramètres quantitatifs. objectifs de qualité pour les différents
processus. La productivité et la qualité sont mesurées pour les activités
importantes dans le cadre d'un programme de mesure organisationnel.
4. Niveau d'optimisation : Au niveau d'optimisation, l'ensemble de
l'organisation se concentre sur l'amélioration continue des processus.
L'organisation dispose des moyens : d'identifier les faiblesses et de
renforcer le processus de manière proactive, dans le but de prévenir
l'apparition de défauts.

57 58

Les besoins en informations dans les entreprises

Système d’information : Mesure de la performance

Le système d’information se fonde sur l’informatique, mais ses
pratiques propres et ses enjeux, qui visent à l’informatisation des
systèmes, dépassent le domaine technique.

La notion de système d’information se positionne comme le maillon Audit des

entre les utilisateurs, la stratégie et la technologie informatique. Systèmes
d’information
En forte mutation, à la fois technologique, méthodologique et
organisationnelle, le système d’information devient une fonction L’informatique constitue un
dont la performance prend une dimension tant stratégique formidable support pour des opérations
qu’économique. frauduleuses et le phénomène ne fait que
s’accélérer avec l’évolution des techniques
D’où l’importance de mesurer la performance et l’internationalisation des échanges.
des systèmes d’information : Audit SI

59 60

15
 2023/2024_YO

Audit des Systèmes d’information Audit des Systèmes d’information

Fonction informatique/ Fonction d’information
CI/ AI / SI / CDG
La fonction informatique vise à fournir à ces ressources l’organisation. Elle
comprend donc, outre le système informatique, les personnes, processus, « On ne peut maîtriser que ce qui est organisé »
ressources financières et informationnelles.
« Le contrôle interne constitue l’ensemble des sécurités contribuant à la maîtrise de
l’entreprise ».
La fonction système d’information, ensemble organisé de personnes, de
procédures et d’équipement qui a pour objet de : réunir, de trier, d’analyser, Le contrôle interne désigne l’ensemble des méthodes et procédures adoptées
d’évaluer et de distribuer, en temps utile, de l’information pertinente et par la direction pour contrôler les opérations afin de favoriser la réalisation
valide, provenant de sources internes et externes à l’organisation, afin que des objectifs de l'entreprise.
tous ceux qui ont à prendre des décisions disposent des éléments leur Il s’agit donc d’un système développé et conçu pour s’assurer de la
permettant de choisir l’action la plus appropriée au moment adéquat. conformité des services de gestion.
Pour assurer une structure efficace - élément intimement lié au contrôle
La fonction système d’information, s’appuie La fonction informatique peut
alors être «subordonné» à La interne - il est indispensable de mettre en place une organisation adéquate.
sur des ressources informatiques.
En raison de la confusion fréquente entre fonction SI Celle-ci repose sur deux notions essentielles qui sont :
En aucun cas, La fonction SI ne  Le respect du principe de séparation des fonctions ;
ces notions, Il convient donc d’être très clair peut être « subordonné » à La
sur les attendus de l’audit. fonction informatique  Les procédures et les méthodes.

61 62

Audit des Systèmes d’information Audit des Systèmes d’information

CI/ AI / SI / CDG CI/ AI / SI / CDG

Contrôle de
gestion
L’audit est avant tout une assurance pour les entreprises que les
fonctions de contrôle interne et gestion des risques sont correctement
mises en place, dans le but d’atteindre les objectifs plus facilement.
Contrôle interne Audit interne
L’audit peut être effectué par des personnes compétentes qui vont se
charger d’évaluer les dispositifs et proposer des axes
d’amélioration.
Système
d'Information

63 64

16
 2023/2024_YO

Audit des Systèmes d’information Audit des Systèmes d’information

Audit SI : Check points Le contrôle interne et Audit interne
L’ audit des systèmes d ’information consiste à une intervention réalisée par
Orientations d’audit des systèmes d’information une personne indépendante et extérieure au service audité,
Qui permet d’analyser tout ou une partie d’une organisation , d’établir un
constat des points forts et des points faibles et dégager ainsi les
recommandations d’amélioration.
L'audit des systèmes d’information a pour objectif d’identifier et
d’évaluer et déterminer les risques (opérationnels, financiers, de
réputation…) associés aux activités informatiques d'une entreprise ou d'une
administration.

Le processus de l’audit des systèmes d’information se base sur trois

(3) aspects indispensables :
❖ Le cadre réglementaire du secteur d’activité d ’ un pays donné ;
❖ Les référentiels de bonnes pratiques Les référentiels de bonnes pratiques
existants ( exemple le référentiel CobiT , ITIL, …) ;
❖ Les benchmarks à disposition et sur l’expérience professionnelle de
l’auditeur impliqué.

65 66

Audit des Systèmes d’information Audit des Systèmes d’information

L'audit du système d'information est donc le processus de
Critères d’évaluation d’un système d’information collecte et d'évaluation de preuves permettant de
déterminer si :
 Un système informatique protège les actifs,
 Maintient l'intégrité des données,
 Permet d'atteindre efficacement les objectifs de
l'organisation et utilise efficacement les ressources.

L'audit du système d'information permet donc de vérifier :

 Exigences de sécurité du système : pour garantir que la sécurité est intégrée
aux systèmes d'information
 Sécurité dans les systèmes d'application : Pour éviter la perte, la modification
ou l'utilisation abusive des données utilisateur dans le système d'application.
 Contrôles cryptographiques : Pour protéger la confidentialité, l'authenticité ou
l'intégrité des informations
 Sécurité des fichiers système : Pour garantir que les projets informatiques et
les activités de support sont menés de manière sécurisée

67 68

17
 2023/2024_YO

Audit des Systèmes d’information Audit des Systèmes d’information

1- Audit de la Fonction Informatique : Menaces
Soft Hard
Les 3 facettes de l'audit des systèmes d’information
L’audit des SI peut
 Soit constituer un sous-domaine d’un audit généraliste
(organisation, processus, régularité, etc.),
 Soit être l’objet principal de la mission (application, projet,
sécurité, respect de la législation, etc.).

1- Audit de la fonction informatique

2- Audit des applications opérationnelles
3- Audit de la sécurité informatique

69 70

Audit des Systèmes d’information Audit des Systèmes d’information

1 - Audit de la fonction informatique 1 - Audit de la fonction informatique

Pour effectuer un audit de la fonction informatique on se base sur

les bonnes pratiques connues en matière d'organisation de la
Le but de l'audit de la fonction informatique est de répondre aux
fonction informatique à savoir :
préoccupations de la direction générale ou de la direction informatique
 La clarté des structures et des responsabilités de l'équipe
concernant :
informatique ;
 La définition des relations entre la direction générale, les
 L'organisation de la fonction informatique,
directions fonctionnelles et opérationnelles et la fonction
 Son pilotage,
informatique ;
 Son positionnement dans la structure,
 L'existence de dispositifs de mesures de l'activité et notamment
 Ses relations avec les utilisateurs,
d'un tableau de bord de la fonction informatique ;
 Ses méthodes de travail…
 Le niveau des compétences et des qualifications du personnel de
la fonction.

71 72

18
 2023/2024_YO

Audit des Systèmes d’information Audit des Systèmes d’information

1 - Audit de la fonction informatique
2- Audit des applications opérationnelles
La mise en place d’une démarche qualité pour la gestion de la production et le
développement informatique permet de :
 Améliorer les performances du système d’information,
 Normaliser les procédures de gestion en fonction des référentiels existants
 Améliorer les compétences des acteurs du système d’information.
Il existe de nombreux référentiels, dont les principaux sont les suivants :
 La certification CISA (Certified Information Systems Auditor) attribuée par ISACA® est le
standard de réussite accepté à l'échelle mondiale par les professionnels de l'audit, du
contrôle et de la sécurité des systèmes d'information
 CMMI (Capability Maturity Model + Integration) pour les développements informatiques
(avec plusieurs niveaux de certification de 1 à 5) ;
 ITIL (Information Technology Infrastructure Library) : plus spécifique à la gestion de la
production informatique ;
 COBIT (Control Objectives for Information and related Technology) : est un référentiel en
matière de gouvernance informatique ;
 ISO 27001 (auparavant la BS7799) : présente les exigences en matière de sécurité
informatique ;
 Méthode MAREVA 2 d’analyse de la valeur des projets SI (performance).

73 74

Audit des Systèmes d’information Audit des Systèmes d’information

2- Audit des applications opérationnelles 2- Audit des applications opérationnelles

Le but de l'audit d'une application opérationnelle est de donner au management L'auditeur doit s'assurer du respect et de l'application des règles de
une assurance raisonnable sur son fonctionnement. contrôle interne.

Est-ce que le logiciel utilisé est sûr, efficace et adapté ? Il va en particulier vérifier que :
 Les contrôles en place sont opérationnels et sont suffisants ;
L'audit d'applications opérationnelles couvre un domaine plus large et s'intéresse
au système d'information de l'entreprise.
 Les données saisies, stockées ou produites par les
traitements sont de bonne qualité ;
Ça peut être l'audit de l'application comptable, de la paie, de la facturation,…  Les traitements sont efficaces et donnent les résultats
Mais, de plus en plus souvent, on s'intéresse à l'audit d'un processus global de attendus ;
l'entreprise comme les ventes, la production, les achats, la logistique,…  L'application est correctement documentée ;
Il est conseillé d'auditer une application de gestion tous les deux ou trois ans de
façon à s'assurer qu'elle fonctionne correctement et, le cas échéant pouvoir
apporter les améliorations souhaitables à cette application ou à ce processus.

75 76

19
 2023/2024_YO

Audit des Systèmes d’information Audit des Systèmes d’information

2- Audit des applications opérationnelles  Audit des Applications Opérationnelles

Pour effectuer l'audit d'une application opérationnelle on va recourir Pour aller plus loin l'auditeur peut aussi être amené à constituer
aux objectifs de contrôle les plus courants : des jeux d'essais pour s'assurer de la qualité des traitements.

 Le contrôle de la conformité de l'application opérationnelle par Il est aussi possible d'effectuer des analyses sur le contenu
rapport à la documentation utilisateur, par rapport au cahier des des principales bases de données afin de détecter d'éventuelles
charges d'origine, par rapport aux besoins actuels des utilisateurs ; anomalies
 La vérification des dispositifs de contrôle en place. Il doit exister des
contrôles suffisants sur les données entrées, les données stockées, La mesure des performances de l'application pour s'assurer que les temps
les sorties, les traitements,… L'auditeur doit s'assurer qu'ils sont en de réponse sont satisfaisants même en période de forte charge.
place et donnent les résultats attendus ;
L'auditeur va aussi s'intéresser au nombre d'opérations effectuées par le
 L'évaluation de la fiabilité des traitements se fait grâce à l'analyse
personnel dans des conditions normales d'utilisation.
des erreurs ou des anomalies qui surviennent dans le cadre des
opérations courantes.

77 78

Audit des Systèmes d’information Audit des Systèmes d’information

3- Audit de la Sécurité Informatique
Quatre notions fondamentales :
3- Audit de la Sécurité Informatique

En permanence il existe des menaces significatives concernant la sécurité informatique de

L'audit de la sécurité informatique a pour but de donner au l'entreprise et notamment ses biens immatériels ;
management une assurance raisonnable du niveau de risque de
l'entreprise lié à des défauts de sécurité informatique. Le facteur de risque est une cause de vulnérabilité due à une faiblesse de l'organisation,
des méthodes, des techniques ou du système de contrôle ;
L’outil informatique représente souvent un niveau élevé de risque pour
l'entreprise. La manifestation du risque : Il peut être physique (incendie, inondation) mais la plupart du
temps il est invisible et se traduit notamment par la destruction des données,
l'indisponibilité du service, et le détournement de trafic ;
Avec actuellement une augmentation de ces risques liée au
développement d'Internet.
La maîtrise du risque. Il s'agit de mettre en place des mesures permettant de diminuer le
niveau des risques notamment en renforçant les contrôle d'accès, et l'authentification des
utilisateurs ;

79 80

20