Mise en Oeuvre de l'Approche Cobit4.1 en Matière d'Audit Des Systèmes d'Information...
Université de Sfax Institut des Hautes Études Commerciales de Sfax
MÉMOIRE DE STAGE Pour l’obtention du diplôme de MASTÉRE PROFESSIONNEL « Audit Interne et Audit des Systèmes d’Information »
Audit des systèmes d’information : mise en œuvre de l’approche Cobit 4.1 (Élaboration d’un générateur de guides d’audit pour le cas de la STEG)
Élaboré par :
Mr Ammar SASSI
Encadré par :
Mr Salah RIAHI Expert d’audit certifié CISA & Mr Ridha BOUSSAIDI Chef de Département Audit Informatique Direction Audit - STEG
ANNEE UNIVERSITAIRE 2012-2013
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Remerciements
D’abord je tiens à remercier le chef de département audit informatique à la direction audit interne de la STEG Mr Ridha BOUSSAIDI de m’avoir accompagné et conseillé tout au long de cette période de stage. Je le remercie fortement pour son aide, sa disponibilité et ses précieux conseils. Et je tiens à souligner que nos échanges professionnels ont été très enrichissants et constructifs. Je remercie aussi Mr Salah RIAHI mon encadreur et l’ensemble de l’équipe pédagogique du « Master
Professionnel Audit Interne et Audit des Systèmes d’Information » de l’IHEC Sfax,
surtout Mme Samah REBAI pour sa disponibilité et son soutien qu’elle nous a accordé au cours de nos études.
Pour terminer, je remercie toutes les personnes qui ont pu m’aider pendant mon parcours et dont les noms ne figurent pas sur cette page.
1
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Sommaire
Introduction Partie 1 : Fondements théoriques Chapitre 1 : L’audit des systèmes d’information au cœur de la fonction d’audit interne I. II. III.
Le système d’information d’entreprise Le métier d’audit interne L’audit des systèmes d’information
Chapitre 2 : Cobit 4.1 un cadre fédérateur d’audit des systèmes d’information I.
L’ISACA et ses principales contributions en matière d’audit des systèmes d’information
II. III.
Présentation du cadre de référence Cobit 4.1 Approche Cobit 4.1 en matière d’audit des systèmes d’information
Partie 2 : Partie pratique Chapitre 3 : Contexte du stage – Présentation de la STEG et sa direction d’audit interne I. II.
Présentation de la STEG La Direction d’Audit Interne de la STEG
Chapitre4 : Èlaboration d’un générateur de guides d’audit sur la base de l’approche Cobit 4.1 I.
Ètat des lieux de la STEG en matière de management et d’audit des systèmes d’information
II.
Élaboration du générateur de guides d’audit : démarche et résultats
Conclusion
2
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Table des figures
Figure 1 : Le système d'information au centre de l’organisation de l’entreprise Figure 2 : Les différentes ressources d’un système d'information Figure 3 : Types de contrôles informatiques issus de la loi SOX Figure 4 : Les différentes approches d'audit Figure 5 : Démarche générale d’une mission d’audit Figure 6 : La relation « Audit Interne - Audit des SI » Figure 7 : Les différents types de missions d’audit des SI Figure 8 : Les principaux référentiels de la DSI Figure 9 : Evolution du cadre de référence Cobit Figure 10 : Le cube Cobit4.1 (inspiré du COSO) Figure 11 : Le modèle processus de cadre de référence Cobit 4.1 Figure 12 : Le principe de cascade des objectifs de Cobit 4.1 Figure 13 : Le tableau RACI correspondant au processus PO10 Figure 14 : L’échelle de maturité des processus selon Cobit4.1 Figure 15 : La documentation Cobit 4.1 Figure 16 : Les différents types de procédures d’évaluation selon le guide d’audit Cobit4.1 Figure 17 : Les différentes relations entre les procédures d’évaluation et les composants de Cobit4.1 Figure 18 : Les éléments relatifs à la notion de risque Figure 19 : Processus de cadrage d'une mission d'audit selon l'approche Cobit4.1 Figure 20 : Les 8 étapes de cadrage d'une mission d'audit selon l’approche Cobit4.1 Figure 21 : Le processus de cadrage Cobit4.1 Figure 22 : Processus d’exécution d'une mission d'audit selon l'approche Cobit4.1 Figure 23 : Organigramme générale de la STEG Figure 24 : Principe de la boucle d'amélioration continue (PDCA) Figure 25 : Le guide générique (la plateforme de questionnaires d'audit) Figure 26 : Les exigences du cadre de référence Cobit4.1 en matière de la sécurité des SI (critères d’information) Figure 27 : Cadrage de haut niveau de la mission « Audit de la sécurité globale des SI » Figure 28 : La carte de correspondances « Missions - Objectifs de contrôle » Figure 29 : La carte de correspondance « Audit de la sécurité globale des SI - Objectifs de contrôle » Figure 30 : La carte de correspondance « Audit de la sécurité des services internes - Objectifs de contrôle » Figure 31: Les principaux standards et normes informatiques qui traitent la sécurité des SI Figure 32 : La famille des normes ISO 2700X
9 10 13 15 17 24 25 27 31 32 34 35 36 37 38 40 41 44 44 45 46 47 55 60 67 69 71 79 80 81 82 83
3
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Liste des tableaux
Tableau 1 : L'informatique de la vision traditionnelle à la vision intégrée Tableau 2 : Phase de préparation d'une mission Tableau 3 : Phase de réalisation d'une mission Tableau 4 : Phase de conclusion d'une mission Tableau 5 : Les dix commandements pour un bon échantillonnage Tableau 6 : Les règles à suivre dans une interview Tableau 7 : Les différents types de questionnaire d'audit Tableau 8 : Exemples de missions d'audit des SI Tableau 9 : Descriptions des principaux référentiels et normes d’audit des SI Tableau 10 : Les différentes méthodes d'évaluation des contrôles adoptées par Cobit4.1 et SAS70 Tableau 11 : Les principales exigences de la norme S7 de l'ISACA Tableau 12 : Fiche technique de la STEG Tableau 13 : Les chiffres clés de la STEG Tableau 14 : Domaines d'intervention de la direction d'audit interne de la STEG Tableau 15 : Répartition des missions d'audit par département d’audit Tableau 16 : Les familles de risques pouvant contrarier le fonctionnement des SI Tableau 17 : Liste des objectifs de contrôle correspondant à la mission « Audit de la sécurité globale des SI » Tableau 18 : Découpage de la mission « Audit de la sécurité globale des SI » en sous-missions spécifiques Tableau 19 : Table de mappage Cobit 4.1 - ISO/CEI 27002
12 18 19 19 20 21 22 26 28 48 50 52 54 57 58 68 73 77 84
4
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Introduction
Dans une économie postindustrielle l’information a évolué d’un simple support d’indicateurs financiers, économiques et opérationnels pour devenir un élément axial et contributif à la réalisation des objectifs stratégiques des entreprises. Faisant ainsi émerger la fonction informatique de l’approche traditionnelle, qui la considère comme juste une plateforme technique assistant les différentes activités de l’entreprise, vers une nouvelle approche intégrée, qui la traite en tant qu’un composant de la chaine de valeur opérant au service des métiers d’une manière systématique d’où la notion de système d’information (désormais SI). Ce constat en plus des évolutions technologiques ainsi que les différents challenges des entreprises face à des environnements changeant ont considérablement renforcé la position des SI pour qu’ils deviennent les garants de la bonne performance et de la pérennité des entreprises. Sur ce, le maintien des niveaux d’efficacité, d’efficience, de qualité et de sécurité élevés de ces SI sera d’une grande importance. En fait les entreprises disposent d’un système de contrôle interne leur permettant de mettre en place un ensemble de dispositifs afin de s’assurer de l’efficacité et l’efficience de leurs activités et de les protéger contre les risques et les éventuels dysfonctionnements. Ce principe se décline aussi sur les SI, on distingue ainsi différents contrôles traitant les activités de ceux-ci. Ces contrôles sont soit édictés par la doctrine propre à l’entreprise, soit imposés par des lois et réglementations en vigueur. C’est au niveau de leurs directions d’audit interne que les entreprises cherchent perpétuellement à améliorer les dispositifs de contrôle mis en place en planifiant continuellement des missions d’audit afin de détecter les points de faiblesses de ceux-ci et d’apporter les corrections nécessaires. Ces missions ont pour vocation de donner une assurance raisonnable aux dirigeants et aux responsables des métiers quant à la bonne application de ces dispositifs et la pérennité de l’entreprise en générale. Pour ainsi faire les auditeurs internes se référent lors de leurs missions à des lois, des réglementations, des référentiels et/ou des normes internationales présentant des recommandations et des bonnes pratiques établies par des professionnels et des experts dans le domaine.
5
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
En matière des SI les auditeurs et les responsables en assurance ont à leur disposition un éventail de référentiels et normes qui traitent ces derniers de plusieurs perspectives tel que : la sécurité, la qualité, la performance … ou visent en particulier des éléments de ceux-ci, par exemple : les services, les applications, les projets, les installations, l’architecture matérielle, … Ce présent travail se situe dans le cadre d’un stage que j’ai effectué chez la direction d’audit interne de la « Société Tunisienne de l’Électricité et de Gaz » (STEG) pour l’obtention du diplôme de « Master Professionnel en Audit Interne et Audit des Systèmes d’Information » (MAIASI). La STEG, l’établissement hôte, a été parmi les premières entreprises tunisiennes à intégrer la fonction d’audit interne dans sa structure (en posant la première brique en 1972)
afin de se conformer aux
réglementations en vigueur, d’améliorer la qualité de ses services et de se protéger contre les risques et les anomalies possibles. Et en remarquant précocement les enjeux des SI dans l’économie moderne, elle a été la première en Tunisie à établir une unité d’audit informatique en 1985. Depuis ces dates, la direction de l’audit interne de la STEG n’a cessé, dans le cadre d’une stratégie globale d’amélioration continue adoptée par la direction générale, de chercher à faire évoluer ses approches, ses méthodes et ses outils d’audit. Ma mission lors de ce stage a été de contribuer au développement de la fonction d’audit interne, notamment en matière des SI, en apportant des nouvelles solutions et approches issues de mes études et mes différentes lectures. Une étude de l’état des lieux des SI de la STEG menée au début de ce stage, a montré des besoins accrus en missions d’audit. Face à ces besoins les responsables d’audit de la STEG se référent à une variété de réglementations, normes et cadres de référence pour planifier et exécuter un grand nombre de missions d’audit portant sur cet élément annuellement . Ces missions bien qu’ils apportent leurs contributions quant à l’amélioration des dispositifs de contrôle interne, reste qu’ils ne couvrent pas intégralement les SI et leurs différents composants, ce qui peut engendrer des failles intolérables. Par exemple des missions portant sur la sécurité des services, des données et/ou des applications ne peuvent garantir la protection des entreprises à 100% contre tous les risques qui peuvent aussi bien être de nature humaine, managériale, matérielle, … Ainsi la question qui se pose : « quelle solution peut-on mettre en œuvre afin de permettre aux auditeurs de planifier, organiser et exécuter des missions d’audit cohérentes, complémentaires et couvrant l’intégralité des SI?»
6
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
La réponse va trouver son incarnation dans l’approche globale et systématique du cadre de référence Cobit4.1(1) grâce à son modèle processus qui couvre l’ensemble des activités de la DSI(2) et intègre toutes les ressources associées aux SI. Et pour la raison que ce cadre harmonise et unifie différentes démarches et bonnes pratiques d’un grand nombre de référentiels et normes internationales lui valant ainsi le titre du cadre fédérateur le plus complet. Le long de ce travail, on va essayer de présenter et mettre en œuvre l’approche de cadre de référence Cobit4.1 en matière d’audit des SI tout en exploitant ses différents éléments et l’ensemble de sa documentation. Le produit de ce présent travail concrétisera cette approche en un générateur de guides d’audit, permettant de générer des questionnaires basés sur les procédures d’évaluation Cobit4.1 pour différentes missions d’audit et fournissant en extension un ensemble de tables de mappage afin de se référer à d’autres cadres et normes internationales. Ce mémoire de stage sera alors organisé en deux grandes parties, une partie théorique présentant l’approche du cadre de référence Cobit4.1 en matière d’audit ainsi que ses éléments constitutifs, tout en posant la lumière sur un nombre de concepts, notions et éléments relatifs au sujet de ce mémoire, tels que : le SI, le système de contrôle interne, la fonction d’audit interne et sa disciple l’audit des SI, les différents référentiels et normes d’audit des SI
… Et une deuxième partie pratique afin de
présenter le cadre et la mission de stage ainsi que le générateur de guides d’audit (le produit de ce présent travail) et la démarche suivie pour l’élaborer.
(1)
Cobit4.1 (« Control Objectives for Information and Related Technology ») c’est un cadre de référence de contrôle, de management et d’audit des SI élaboré par l’ISACA (« Information Systems Audit and Control Association »). (2)
Direction des Systèmes d’Information.
7
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Partie 1 : Fondements théoriques
8
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Chapitre 1 : L’audit des systèmes d’information au cœur de la fonction d’audit interne I. Le système d’information 1) Notion de système d’information L’information est devenue un élément crucial et contributif à la « création de la valeur » pour les entreprises à nos jours. C’est la synthèse d’un ensemble de données enregistrées,
classées et
organisées afin d’avoir une signification et une utilité au contexte et à l'instant désiré. Plusieurs types d’information œuvrent au sein de l’organisation d’une entreprise, il y a : l'information décisionnelle qui assure la prise de la décision au plus haut niveau, l'information opérationnelle nécessaire techniquement à l'exécution du travail, l'information de gestion qui définit les responsabilités, rôles et tâches, l'information de communication qui véhicule l’éthique, la doctrine et les politiques. Les différentes activités de l’entreprise tel que : l’activité administrative, l’activité commerciale, la production, le marketing, la comptabilité et le management utilisent l’information et la produisent par le biais des SI. Ces derniers présentent le cadre stratégique, managériale, technique et opérationnel permettant de maîtriser et d’exploiter cette variable stratégique. Robert REIX définit le SI comme étant « un ensemble organisé de ressources : matériel, logiciel, personnel, données, procédures permettant d’acquérir, traiter, stocker, communiquer des informations dans les organisations ». (3)
Figure 1 : Le système d'information au centre de l’organisation de l’entreprise (3)
REIX, R. (2004). « Systèmes d'information et management des organisations ». Vuibert.
9
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Le SI est alors considéré comme une colonne vertébrale sur laquelle se calent les différents autres systèmes de l’entreprise (voir Figure 1). Il permet d’assurer la circulation de l’information de la direction générale jusqu’aux métiers et de la concrétiser afin qu’elle puisse contribuer efficacement à la performance des activités de l’entreprise et par conséquence à sa performance financière. 2) Périmètre du système d’information Il s’avère très important, afin de dissiper toute confusion pour le lecteur, de faire la distinction entre les deux notions suivantes : le SI (objet de ce mémoire) et les TI (les technologies de l’information plus généralement, dénommées TIC : technologies de l’information et de communication). Ces derniers regroupent l’ensemble des composants matériels et logiciels ainsi ceux des réseaux permettant et assurant la collection, la transformation, le stockage et la diffusion de l’information. En retournant à la définition de Robert REIX, on remarque bien que le périmètre du SI intègre celui des TI (en tant que l’ensemble des ressources matérielles et logiciels) et il l’étend en lui associant d’autres ressources : Le personnel : qui groupe les utilisateurs de l’information, les décideurs, les analystes et toute personne dont sa tâche est en relation étroite avec l’information. Les données : qui représentent les éléments d’entrée (que se soit d’origine interne ou externe) à leurs états bruts et qui seront analysées et traitées par le SI. Les procédures(4) : qui représentent la manière de mettre en œuvre tout ou une partie d'un processus.
Systéme d'information Procédures
Technologies de l'information Données Ressources matériels
Ressources logiciels Personnel
Figure 2 : Les différentes ressources d’un système d'information
(4)
Par définition une procédure représente le Qui (les responsabilités) fait Quoi ? (les processus), Où et Quand ? (le planning), Comment ? (les activités), Combien ? (les investissements) et Pourquoi ? (les objectifs). (QQOQCCP).
10
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Ainsi le SI consiste à réaliser plusieurs opérations dépassant la simple collection, traitement, stockage et diffusion de l’information, il est conçu aussi pour assurer : la gestion des ressources informatiques, la gestion des tâches, rôles et responsabilités, la gestion de la relation avec les utilisateurs et la prestation des services, la gestion des projets informatiques, la qualité et la sécurité des produits, services et activité la protection matériel et logiciel la protection des données …. De ce fait on peut conclure que le SI ne se limite pas aux simples dimensions techniques et technologiques, mais il représente la gestion globale de l’information (de l’information stratégique à l’information
opérationnelle)
au
moyen
d’un
ensemble
de
ressources
technologiques,
organisationnelles et humaines. 3) La mutation de la fonction informatique Une évolution de la notion de l’informatique dans l’économie moderne a transformé l’organisation de la fonction informatique d’une approche classique qui la découpe selon l’organisation structurelle (fonctionnelle) de l’entreprise vers une nouvelle approche axée sur les métiers et organisée en processus interconnectés, donnant ainsi lieu à la nouvelle notion de système d’information.(5) Cette mutation a permet d’installer le SI au cœur de l’organisation de l’entreprise, désormais le SI est devenue une variable structurante et contributive à l’atteinte des objectifs stratégiques puisqu’il est directement embarqué dans les opérations métiers, non plus considéré comme juste un support technologique (voir Tableau 1).
(5)
Les différents modèles d’organisation de la fonction informatique : Le modèle traditionnel : consiste à découper cette fonction selon une vision organisationnelle (en imitant l’organisation fonctionnelle de l’entreprise), ce modèle considère l’informatique comme un moyen et un outil pour assister les différentes activités de l’entreprise. Le modèle métier : opte à un découpage selon l’ensemble des métiers qui existent au sein de l’entreprise, ce découpage marche en phase avec les systèmes intégrés de gestion des données : les ERP (« Enterprise Resource Planning » aussi appelés « Progiciels de Gestion Intégrés » (PGI)) qui sont en fait des applications dont le but est de coordonner l'ensemble des activités d'une entreprise, telles que la production, la vente, l’approvisionnement, le marketing, la gestion des ressources humaines, ... autour d'un même système d'information. Le modèle processus : conçu sur la base du modèle métier, permettant d’organiser les activités en processus interconnectés afin de réaliser les objectifs globaux de l’entreprise. C’est au niveau de ce modèle qu’on a vu l’évolution de la notion de l’informatique vers celle de SI.
11
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Tableau 1 : L'informatique de la vision traditionnelle à la vision intégrée Vision traditionnelle L’informatique est un centre de coût. L’informatique est un moyen. L’informatique est une fonction de support et non stratégique. L’informatique est un bien privatif, cloisonné à chaque service ou direction. L’informatique est un domaine réservé aux informaticiens.
Vision intégrée Le SI est un élément de la chaine de valeur. Le SI est un actif de l’entreprise. Le SI est une fonction de transformation stratégique. Le SI est un bien collectif pour l’entreprise, partagé par tous. Le SI est un domaine transversal à l’entreprise, au service de tous.
Source : « Alignement stratégique du système d’information ». Cigref (2002).
4) Système d’information et contrôle interne Le contrôle interne est un système mis en œuvre par le management et destiné à donner une assurance raisonnable quant à la réalisation et l’optimisation (efficacité et efficience) des activités de l’entreprise, la fiabilité de l’information financière et la conformité aux lois et règlementations en vigueur. Il permet de maîtriser les opérations à risques que l’entreprise ne veut ou ne peut ni transférer ni abandonner et cela en cherchant à réduire ces risques à des niveaux acceptables. Ainsi tout élément ou composant de l’entreprise est mis sous contrôle de conformité, de performance et de bon fonctionnement par référence à des lois, des réglementations, des référentiels de contrôle interne et/ou des normes. Ce système repose en une partie sur des contrôles informatiques qui sont soit édictés par les cadres de références propres à l’entreprise ou imposés par des lois et des réglementations en vigueur, comme le cas des contrôles issus de la section 404 de loi SOX(6) et de son homologue la LSF(7) (voir Figure 3). En faite ces lois émergeantes exigent aux entreprises une transparence financière qui ne peut être garanti que par la production des informations qui vérifient les critères de fiabilité, de traçabilité et de sécurité. Ainsi les activités des SI associées au reporting financier doivent être contrôlées et gérées via des dispositifs de contrôle informatiques qui seront intégrés dans le système de contrôle interne.
(6)
La loi SOX (loi « Sarbanes-Oxley »), est une loi établi par le sénateur « Paul Sarbanes » et le député « Mike Oxley » et voté par le congrès américain suite aux différents scandales financiers des entreprises cotées en bourse aux débuts des années 2000, tels ceux d' « Enron » et de « Worldcom »... Cette loi a pour objectif d'accroître la responsabilité des entreprises, de rendre la communication de l'information financière transparente et plus fiable ainsi que de lutter contre les comportements déviants et frauduleux des entreprises. (7)
La LSF («Loi de la Sécurité Financière »), cette loi s'applique à toutes les sociétés cotées en bourse pour le cas de la France et comme la loi américaine « Sarbanes-Oxley » elle repose principalement sur : une responsabilité accrue des dirigeants, le renforcement du contrôle interne et la réduction des sources de conflits d'intérêt.
12
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Figure 3 : Types de contrôles informatiques issus de la loi SOX
En réponse aux exigences de la loi SOX, les entreprises ont largement adopté l’approche et la démarche du cadre de contrôle interne COSO(8). Ce cadre de référence permet via sa structure de déployer un ensemble de dispositifs de contrôle internes permettant de maîtriser les différentes activités de l’entreprise, y compris les activités informatiques. Ainsi COSO définit un sous-ensemble de contrôles informatiques qu’on peut les répertorie en trois classes : Les contrôles informatiques au niveau de l’entité : ces contrôles font partie des contrôles internes et traitent les activités des SI associées aux éléments suivants : les stratégies et plans d’action, les politiques et procédures, l’évaluation des risques, la formation, l’assurance qualité et l’audit interne. Les contrôles applicatifs (CA) : sont des contrôles basiques qui se trouvent au début de l’échelle des contrôles associés aux SI. Ils sont intégrés dans les applications métiers (les ERP) et ils participent aux contrôles financiers. Ces contrôles ont pour objectifs de vérifier les critères suivants de l’information financière : l’exhaustivité et l’exactitude, l’existence et l’approbation, la présentation et l’intelligibilité. Les contrôles généraux informatiques : ces contrôles sont intégrés dans les processus des SI (la fonction informatique), ils permettent de garantir un environnement de traitement fiable et un déroulement adéquat des contrôles applicatifs. Ils couvrent : le développement et les modifications des applications, l’accès aux données et aux programmes, les traitements informatiques. (8)
COSO est un référentiel de contrôle interne défini par le « Committee Of Sponsoring Organizations of the Treadway Commission ». Il est utilisé notamment dans le cadre de la mise en place des dispositions relevant des lois SOX ou LSF. Le référentiel initial de contrôle appelé COSO 1 a évolué depuis 2002 vers un second corpus axé sur la gestion des risque dénommé « Entreprise Risk Management » ou COSO 2.
13
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Il est à remarquer que ces contrôles ne sont pas exhaustifs et qu’ils sont destinés à assurer la fiabilité de l’information financière et d’assister les activités métiers. Ces contrôles doivent être renforcés par d’autres dispositifs de contrôle plus rigoureux et des bonnes pratiques issus d’autres référentiels spécialisés pour couvrir la totalité des activités de la DSI et l’ensemble des ressources des SI.
II. Le métier d’audit interne 1) Notion de l’audit interne « L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte des conseils pour les améliorer et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant par une approche systématique et méthodique ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité ». (9) La fonction de l’audit interne consiste à vérifier et valider les dispositifs de contrôle interne associés aux procédures, informations, opérations, organisations et structures de l’entreprise. C’est un outil d'amélioration continue qui permet de faire le point sur l'existant (état des lieux) et d’identifier les points de faiblesses et les non-conformités des contrôles mis en place, cela afin de mener par la suite les actions adéquates permettant de corriger les écarts et dysfonctionnements constatés. La qualité de cette fonction sera déterminée par le niveau de respect des critères suivants : l’indépendance et le degré de compétence des auditeurs, l’utilisation ou l’élaboration des normes ou référentiels d’audit, l’élaboration d’un programme d’audit, l’exhaustivité et la permanence de dispositif d’audit, l’existence d’un dispositif de suivi des recommandations. Plusieurs approches d’audit se présentent, on cite : L’approche par métier : dans cette approche les sujets d’audit seront découpés en fonction des grands métiers de l’entreprise. C’est une approche par les structures (départements, divisions, services…) et qui permet d’examiner à chaque fois une de ces structures. (9)
Définition de l’audit interne inspirée de la définition approuvée le 21 mars 2000 par le Conseil d'Administration de l'IFAC (« International Federation of Accountants »), c’est une traduction de la définition en anglais approuvée par l’IIA (« Institute of Internal Auditors ») le 29 juin 1999.
14
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
L’approche par fonction : appelée audit opérationnel ou audit d’évaluation, c’est l’examen d’une situation ou d’une fonction bien particulière (commerciale, production, financière, comptable, sociale, gestion des ressources humaines…) permettant ainsi de traiter à chaque fois un élément clé de l’entreprise. L’approche par thème : certains sujets d’audit ne correspondent ni à une structure ni à une fonction bien déterminée, d’où cette approche par thème qui permet de planifier et d’exécuter des missions d’audit spécifiques, selon les besoins de l’entreprise (comme par exemple la sécurité). Cette approche permet d’examiner un ensemble de structures et de fonctions en réponse au sujet d’audit fixé. L’approche par processus : qui consiste à traiter l’entreprise comme un ensemble de processus interconnectés opérants ensemble pour l’atteint des objectifs stratégiques fixés par la direction générale. Cette approche permet de déterminer et examiner les processus qui répondent et contribuent à la réalisation d’un objectif métier bien déterminé. L’approche par les risques : elle consiste à identifier les différents risques qui peuvent porter atteintes au bon fonctionnement de l’entreprise, de les évaluer, de leurs attribuer des niveaux de priorités et de les examiner selon cet ordre. Dans cette logique une cartographie des risques sera dressée et sur sa base des missions d’audit seront planifiées et exécutées par ordre de priorité des risques.
Approche par métier
Approche par théme
Approche par les risques
Approche par processus
Approche par fonction
Figure 4 : Les différentes approches d'audit
Á remarquer que le choix de l’approche d’audit sera décidé en fonction du modèle d’organisation de l’entreprise, des moyens et outils d’audit déployés et en fonction des besoins de la direction et des métiers. Toutefois une démarche générale peut être dressée et suivie quelque soit l’approché adoptée, ce qu’on va présenter par la suite. 15
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
2) Conduite d’une mission d’audit : démarche générale
16
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Figure 5 : Démarche générale d’une mission d’audit (10)
(10)
Cette démarche a été inspirée des normes internationales et elle est axée sur les risques. Cette démarche peut être appliquer pour les différentes autres approches d’audit.
17
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Cette démarche comporte cinq phases, qui sont : La phase de planification pluriannuelle et annuelle : pour cette approche, la méthode de détection des risques présente un élément d’entrée pour la phase de planification, ainsi une cartographie des risques doit être établie à priori par la direction d’audit. Selon les indicateurs de cette carte un plan pluriannuel (de trois à cinq ans) sera discuté avec le comité d’audit et la direction générale afin de le valider et l’améliorer. De ce plan pluriannuel découlent des plans annuels d’audit qui doivent être aussi approuvés par la direction générale. La phase de préparation : cette phase peut se déclencher plusieurs fois selon une chronologie des missions planifiées d’avance, ou suite à un ordre de mission de la part d’un commanditaire (la direction générale par exemple). Elle consiste à : Prendre connaissance du sujet à traiter et du système de contrôle interne. Identifier les risques spécifiques. Déterminer les objectifs de la mission. Déterminer les vérifications à établir. Cette phase se terminera par l’élaboration d’un programme de travail qui sera suivi. Tableau 2 : Phase de préparation d'une mission Eléments Ordre de mission Rencontre avec la direction de l’entité auditée Réunion d’ouverture Rapport d’orientation Programme de travail
Description C’est le mandat donné par la direction générale au service d’audit, précisant l’origine de la mission et son étendue tout en nommant une équipe d’audit. Cette rencontre permet d’identifier : les objectifs, l’étendue, la nature, le délai, les auditeurs responsables de la mission et l’organisation ou non d’une réunion d’ouverture. Un compte rendu sera rédigé et envoyé aux participants. Elle permet d’établir les premiers contacts entre les auditeurs et les audités (elle est facultative), elle consiste à unir le chef de la mission, les auditeurs, les directeurs et les chefs services des entités auditées. C’est un contrat de prestation de services précisant les axes d’investigation et les limites de la mission en les exprimant en objectifs à atteindre par l’audit. C’est un document interne qui permet de déterminer, de répartir et de planifier les actions d’audit. Il précise les tâches à effectuer, les investigations à mener, les questions à poser et les pratiques de bonne gestion à vérifier.
La phase de réalisation : cette phase suit le programme de travail établi dans la phase précédente, elle consiste à mener des travaux d’investigation et de vérification sur terrain (via des moyens et des outils d’audit), tout en suivant la chaîne : Faits Causes Conséquences Conclusion Recommandations, et qui seront formulés au niveau des FRAP(11). Cette phase aboutira à une appréciation du système de contrôle interne tout en relevant ses principaux points forts et ses faiblesses. (11)
FRAP : Feuille de Résolution et d'Analyse des Problèmes.
18
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Tableau 3 : Phase de réalisation d'une mission Eléments Questionnaire de CI
FRAP
Compte rendu final
Description L’objectif de ce questionnaire est d’évaluer les dispositifs de système de contrôle interne pour chaque opération à risque (Qui ? Quoi ? Où ? Quand ? Comment ?) et de vérifier l’existence et l’efficacité de ces dispositifs. Ils présentent les résultats des travaux sur terrain et sont rédigées par l’auditeur pour chaque dysfonctionnement constaté, permettant de structurer le raisonnement de l’auditeur jusqu’à la formulation de la recommandation. Elles comprennent : les problèmes, les faits, les causes, les conséquences et les recommandations. Elles serviront comme une base pour la rédaction du rapport d’audit. C’est une présentation orale des principales observations, faite par le chef de l’équipe d’audit et destinée au responsable de l’entité auditée. Il sera effectué à la fin du travail terrain.
La phase de conclusion : elle consiste à formuler un rapport d’audit structurant les conclusions et comportant les recommandations en réponse aux risques et dysfonctionnement détectés lors de la phase d’investigation. Ce rapport sera accompagné d’un plan d’action ou au cas échéant des modalités de remise future qui seront destiné aux parties prenantes concernées. Tableau 4 : Phase de conclusion d'une mission Eléments Projet de rapport Réunion de validation et de clôture Rapport final
Plan d’action
Description En se basant sur les FRAP et les différents éléments probants, l’auditeur formulera sa conclusion dans ce rapport avant d’être validé par les audités. Cette réunion permettra de présenter et de valider les constats, expliquer les recommandations et de fixer les modalités pratiques relatives au plan d’action et de suivi de la mission. Rédigé après la remise des commentaires écrits des audités (prévus lors de la réunion de validation et de clôture). Ce rapport doit être complet, constructif, objectif et clair. Il doit être publié en deux versions, un exposé général et une synthèse afin de satisfaire aux différents lecteurs. Ce rapport a deux objectifs : informer la hiérarchie des conclusions de la mission et de l’état du système de contrôle interne assister les audités dans l’élaboration des plans d’action afin de remédier aux problèmes et aux dysfonctionnements détectés. Rédigé par les directeurs des entités auditées. Il vise à mettre en œuvre les recommandations citées dans le rapport final. Pour chaque recommandation, l’audité doit exprimer sa position soit en l’acceptant totalement ou partiellement (tout en précisant « Qui fera Quoi ? »), soit en la refusant en expliquant les raisons. Ce plan doit être validé par le service d’audit
Le suivi des recommandations : une fois le plan d’action validé, le service d’audit suivra sa mise en œuvre tout en communiquant les états d’action et de progrès régulièrement à la direction générale.
Cette étape permet de garantir la bonne application des différentes
corrections et améliorations établies dans le plan d’action. Ces plans d’action et de suivi formeront un pilier de la démarche globale d’amélioration continue des services, produites et structures des entreprises en générale.
19
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
3) La boîte à outils de l’auditeur Afin de mener à bien sa mission, l’auditeur a besoin le long de son travail, dés la phase de préparation jusqu’à l’élaboration du rapport d’audit final, d’un nombre d’outils et de méthodes afin de collecter les informations, analyser les données, décrire l’état du système, ainsi que des outils de vérification et de validation. On distingue deux catégories d’outils utilisés : Les outils d’investigation : ces outils offrent une aide aux auditeurs afin de formuler des questions ou apporter des réponses à des questions qui se posent. Les outils de description : permettant de projeter de la lumière sur différents aspects fonctionnels et organisationnels de l’entreprise, ce sont des outils de « révélation ». a) Les outils d’investigation Les sondages statistiques ou échantillonnage : ce type d’outils est souvent utilisé dans la pratique d’audit. Dans la plupart des opérations de sondage ou d’échantillonnage, l’échantillon est choisi à partir d’une série d’articles (cet échantillon doit être représentatif de la population fixée). Suite à ça, des mesures et des opérations statistiques permettront au moyen de cet échantillon de projeter des jugements et des conclusions sur l’ensemble de la population. Cet outil fait appel aux qualités de bon sens et de jugement de l’auditeur, que ce soit pour la détermination de la taille de l’échantillon, la sélection des articles à étudier et la formulation des conclusions relatives à la population dérivée des résultats de l’analyse de l’échantillon. Tableau 5 : Les dix commandements pour un bon échantillonnage
2
Principes Connaitre les principes de l’échantillonnage scientifique, et ne l’utiliser que lorsqu’ils s’adaptent aux mieux aux objectifs de l’audit. Connaitre la population étudiée et ne fonder des opinions que sur la population échantillonnée.
3
Accorder la même chance d’être choisis à tous les éléments de la population.
4
Ne laissez pas un « biais » personnel affecte l’échantillon.
5
Ne permettre pas que des configurations particulières de la population affectent le caractère aléatoire que doit revêtir l’échantillon. Faire attention, l’échantillon orienté vers un but (dirigé) a un rôle à jouer, mais n’en tirer pas des conclusions pour toute la population. Baser les estimations de taux maximaux d’erreurs sur ce qui est raisonnable dans un modèle réel, essayer de déterminer à quel moment des signaux d’alarme cesseraient de jouer. Stratifier chaque fois que cela semble réduire la dispersion dans l’échantillon.
1
6 7 8 9
10
Ne fixer pas sans nécessité des objectifs élevés de fiabilité (niveau de confiance et de précision). Les contrôles, la supervision, les indicateurs, les procédés d’auto-correction, ainsi que la conscience des faits qu’à la direction et la surveillance qu’elle exerce, sont autant d’éléments qui doivent être considérés pour tenter de réduire l’étendue des investigations d’audit. Ne s’arrêter pas aux résultats statistiques, mais chercher les causes.
20
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Les interviews ou entretiens : ces outils sont utilisés fréquemment, ils ne doivent pas être confondus avec les conversations et les interrogatoires. Les conditions d’une bonne interview seront garanties en fonction du niveau de collaboration instauré entre l’audité et l’auditeur. Une interview se décompose généralement en trois phases : La préparation de l’interview : l’auditeur doit d’abord prendre un rendez-vous avec son interlocuteur, et avant de le contacter il doit collecter quelques informations professionnelles sur lui (prendre connaissance de son interlocuteur). Aussi il doit préparer son sujet et ses outils, il est indispensable pour chaque entretien d’avoir fixé au préalable les objectifs que l’on souhaite atteindre avec un questionnaire détaillé ou au moins un guide d’entretien. La conduite de l’interview : une méthode efficace consiste à prendre des notes au fur et à mesure, ça permet de ralentir les flux d’informations et de garder des traces du déroulement de l’entretien et de ces points essentiels. L’après interview : l’auditeur doit formaliser ses notes afin de les exploiter. Tableau 6 : Les règles à suivre dans une interview
1 2
3 4 5
Règles Il faut respecter la voie hiérarchique. Sauf urgence exceptionnelle, l’auditeur ne doit pas procéder à une interview sans que le supérieur hiérarchique de son interlocuteur ne soit informé. Rappeler clairement la mission et ses objectifs. L’interlocuteur de l’auditeur doit connaître le pourquoi et le comment de l’interview. Il serait désastreux qu’il puisse s’imaginer que l’on va lui tendre des questions pièges, que l’interview n’est en somme qu’un interrogatoire déguisé. Evoquer les difficultés, les points faibles, les anomalies rencontrées avant toute autre chose. Recueillir son adhésion les conclusions de l’interview résumées avec l’interlocuteur, avant de les communiquées sous quelque forme que ce soit à sa hiérarchie. Conserver l’approche système, en vertu de ce principe l’auditeur ne s’intéresse pas aux hommes. On doit donc se garder de toute question ayant un caractère subjectif et mettant en cause les personnes.
Les questionnaires : ceux-ci se présentent comme un outil efficace d’évaluation de niveau de conformité des dispositifs de contrôle aux normes et bonnes pratiques choisies comme références. Ils permettent d’identifier les points forts et/ou les faiblesses de ces dispositifs ainsi que les risques associés à leur absence ou leur insuffisance. Ils permettent aux auditeurs d’organiser et de répartir les différents points à traiter sous forme de questions groupées par thème. Leur importance réside dans un ensemble d’avantages qui permettent à l’auditeur de : Formuler des questions par thèmes et de les mettre dans un ordre de priorité. Préparer un ensemble de points à traiter et à aborder dans le questionnaire. Etablir un barème d’évaluation afin de comparer les réponses de l’audité avec la référence et de comparer les réponses des différents audités. 21
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Tableau 7 : Les différents types de questionnaire d'audit Type de questionnaire Les questions à choix multiples Les questions directes Les questions indirectes Les questions fermées Les questions ouvertes Les grilles d’évaluation
Description Questions fermées avec un choix à faire parmi plusieurs réponses prédéfinies. Questions formulées de manière à impliquer directement le répondant, afin qu'il se sente concerné par la réponse. Questions formulées de manière à ne pas impliquer directement le répondant, afin qu'il se sente libre de répondre. Questions à la/aux réponse(s) limité(s) à une liste de propositions. Question laissant au répondant la liberté de choisir ses propres mots. Succession de questions basées sur la même échelle d'évaluation (échelle de Likert). L'échelle contient en général cinq ou sept choix de réponse qui permettent de nuancer le degré d'accord. 1. Pas du tout d'accord 2. Pas d'accord 3. Ni en désaccord ni d'accord 4. D'accord 5. Tout à fait d'accord
À remarquer que des modèles de questionnaires, formulés par des experts, peuvent être utilisés néanmoins ces modèles doivent être adaptés à l’entreprise et au contexte de la mission ainsi l’auditeur doit garder un recul nécessaire par rapport à ces modèles. Á remarquer aussi qu’un questionnaire est une sorte de guide pour l’entretien, l’auditeur peut approfondir son enquête en improvisant des questions sur la lumière des révélations de son interlocuteur et en se basant sur son expérience sans oublier de noter ses observations et les remarques conclues. b) Les outils de description L’organigramme fonctionnel : la collecte des organigrammes de l’entreprise par l’auditeur est une tâche importante afin de pouvoir comprendre les responsabilités respectives du personnel. L’auditeur est très souvent amené à mettre à jour les organigrammes ou à rajouter ses propres commentaires sur les responsabilités réelles. Les mots figurant dans les cases de ces organigrammes ne sont pas des noms de personnes (organigramme hiérarchique) mais des verbes désignant des fonctions. Cet organigramme doit aussi présenter des descriptifs des postes qui se considèrent comme des éléments importants de contrôle interne. Le diagramme de circulation des flux ou Flow-Chart : c’est une représentation narrative ou graphique d’une suite d’opérations dans laquelle les différents documents, centres de travail, de décision, de responsabilité, sont représentés par des symboles réunis les uns aux autres suivant l’organisation administrative de l’entreprise. En fait l’élaboration de tel Flow-Chart améliore la perception de l’entreprise par le classement et le tri des données structurées sous une forme synthétique. 22
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Ce diagramme de circulation des flux doit permettre de faire ressortir les éléments suivants : les rôles et responsabilités pour chaque opération, les points d’action, de décision et de contrôle, les descriptions des circulaires et documents similaires, les flux de communication à l’intérieur et avec l’extérieur de l’organisation. La synthèse de tous ces éléments permettra à l’auditeur de mettre en évidence les contrôles clés existant au sein de l’organisation et sur lesquels il s’appuiera lors de sa mission. Le document doit donc représenter sans ambiguïté toute l’information nécessaire pour comprendre le circuit étudié et l’interpréter sans avoir à rechercher de renseignements complémentaires. La forme narrative de description se révèle une méthode difficile à manier et peu claire, c’est pour cette raison qu’une représentation schématique recensant les faiblesses et forces du contrôle interne s’avère beaucoup plus utile. Et comme toute technique standardisée, cette représentation doit comprendre un certain nombre de symboles et de conventions. Un autre avantage de cet outil, c’est qu’il permet à l'auditeur de comprendre les méthodes et les systèmes employés au sein de l'organisation, ainsi que les contrôles effectués, en mettant l'accent plus particulièrement sur les procédure de circulation de l'information. Cette compréhension des systèmes (y compris systèmes d’information de l’entreprise) sert de base à
l'évaluation
des
flux
et
contrôles
interne matérialisés par ce type de documents
normalisés. Son usage permet en outre d'améliorer l'efficacité et l'homogénéité du groupe d'audit et de permettre une meilleur communication entre les différents auditeurs. L’observation physique : il s’agit d’une constatation de la réalité instantanée de l’existence et du fonctionnement d’un ensemble d’éléments tel que : le processus, les biens, les transactions, les valeurs, les documents, les comportements. Il existe deux formes d’observations : L’observation directe : permettant d’assurer une vérification immédiate et visuelle d’un descriptif. Elle peut aboutir à un avis sur l’état physique et/ou de fonctionnement d’un bien, comme elle peut prendre la forme d’un comptage d’unités/ des composants. L’observation indirecte : et qui consiste soit à consulter directement des documents représentatifs du droit, de l’engagement comme les contrats, les courriers, les certificats…, soit faire des correspondances avec des tiers concernés pour qu’ils fournissent leurs observations et remarques concernant les éléments à audités. D’une manière générale cette méthode va permettre à l’auditeur de mieux comprendre le contexte, le périmètre et l’environnement de la mission d’audit à exécuter. 23
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
III.
L’audit des systèmes d’information
1) Portée de l’audit des systèmes d’information Vu la nouvelle dimension qu’a pris le SI dans l’ensemble des activités de l’entreprise, en se présentant comme un élément contributif à la « création de la valeur » et afin d’assurer sa performance et son bon fonctionnement, un ensemble de dispositifs de contrôle associés doivent être mis en place. Des dispositifs relevant de la doctrine propres à l’entreprise ou en réponse aux exigences des lois émergeantes telles que la LSF et la loi SOX (cas des dispositions de la section 404 cherchant à garantir l’exhaustivité, l’exactitude, la validité des informations financières et la restriction d’accès). Plusieurs entreprises pour se conformer à des telles exigences et se protéger contre les risques affectant les assertions de leurs états financiers, ont procédé à l’implémentation de l’ensemble des contrôles généraux informatiques et les contrôles applicatifs issus du référentiel de contrôle interne COSO. Ces dispositifs font l’objet des révisions globales au niveau des missions d’audit interne (tel que l’audit des états financiers). Cependant ces missions d’audit ne permettent pas de vérifier l’intégralité des activités de SI qui dépassent de loin celles propres à l’établissement de ces états financiers. C’est dans ce contexte qu’a évolué la notion d’audit des SI et qui dérive de celle de l’audit interne visant à compléter cette fonction en traitant en objet : l’information, les infrastructures technologiques, les ressources humaines, les processus et les applications associées.
Figure 6 : La relation « Audit Interne - Audit des SI »
24
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
L’audit des SI forme ainsi un support à la fonction d’audit interne qui traite les risques opérationnels et financiers associés aux différents processus métiers de l’entreprise. En générale plusieurs contrôles automatiques (les contrôles applicatifs) font partie intégrante des différents applications métiers (ERP) déployés au sein de l’organisation, ces contrôles visent à garantir l’efficacité et l’efficience des données et transactions financières. C’est au niveau des missions d’audit interne que ces contrôles vont faire objet de vérification et d’évaluation par rapport aux bonnes pratiques des cadres générale de contrôle interne, tel que COSO. De cet angle des audits informatiques associés auront lieu au sein de ces missions, néanmoins les risques informatiques ne seront pas tous cernés, ce qui exigent d’autres missions plus spécifiques se chargeant de la fonction informatique en particulier. C’est là qu’intervient la fonction audit des SI, et qui va revoir la totalité des activités des SI, en vérifiant les contrôles généraux informatiques et applicatifs associés aux différentes ressources matériels, logiciels et humaines ainsi que les procédures et règles de gestion établies pour ces SI. Les auditeurs informatiques se référeront pour cette raison à des référentiels d’audit édités spécialement aux SI, comme le cas de cadre de référence Cobit et autres standards. 2) Types de missions d’audit des systèmes d’information D’après l’enquête faite en 2007 par MAZARS(12) auprès de 134 organisations sur la diversité et l’étendu des missions d’audit se portant sur les SI, une variété de missions était recensé. La figure suivante segmente en pourcentage le périmètre d’intervention des auditeurs informatiques et les types de missions couvrant les SI identifiés par cette étude.
Figure 7 : Les différents types de missions d’audit des SI (12)
MAZARS est une entreprise internationale d'origine française spécialisée dans l'audit, l'expertise comptable, la fiscalité et le conseil aux entreprises.
25
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Ainsi on remarque bien que ces missions d’audit identifiées traitent les différentes dimensions : managériale, opérationnelle et technique (audit de performance-efficacité) d’un SI, comme ils traitent des objets et thèmes spécifiques tels que : les données, les processus, les projets, l’architecture, la sécurité, la qualité, la conformité … Tableau 8 : Exemples de missions d'audit des SI Mission Audit de la stratégie informatique Audit de la fonction informatique Audit de l’exploitant Audit des projets informatiques
Audit des applications opérationnelles
Audit des donnés et transactions Audit physique
Audit de migration
Audit de la sécurité des SI
Description Cette mission consiste à s’assurer que le SI est bien aligné avec la stratégie globale de l’entreprise et que les investissements informatiques sont bien gouvernés. L’objectif de cette mission est de répondre aux préoccupations de la DG ou de la DSI concernant l'organisation de la fonction informatique, son pilotage, son positionnement dans la structure, ses relations avec les utilisateurs, ses méthodes de travail… Cette mission a pour but de s'assurer que les centres de production informatiques (centres de services) fonctionnent de manière efficace et qu'ils sont correctement gérés. Le but de cette mission d’audit c’est de s'assurer que les projets informatiques se déroulent normalement et que l'enchaînement des opérations se fait de manière logique et efficace à fin d'arriver en toute sûreté à la fin de la phase de développement, et afin de délivrer une application performante et opérationnelle. Cette mission d’audit permet de donner au management une assurance raisonnable sur la sûreté de fonctionnement d’une application et les contrôles imbriqués dedans. Cette mission d’audit peut traiter une application comptable, de paie, de facturation,…. mais, de plus en plus souvent, on s'intéresse à l'audit des processus globaux de l'entreprise comme la vente, la production, l’achat, la logistique,… Le but de cette mission c’est de vérifier la fiabilité des données et transactions financières pris en charge par le SI et les technologiques d’information associées. Ce type de mission traite les infrastructures, les équipements et installations, afin de s’assurer de la validité des dispositifs mis en place pour se protéger contre des dommages et désastres comme : les incendies, les inondations, orages … Cette mission vérifier le processus de migration d’une application ou d’un système vers des nouvelles versions ou suite à des changements au niveau de l’infrastructure et les technologies de l’information, dans le but de s’assurer de la pérennité du SI. Cette mission d’audit a pour but de donner au management une assurance raisonnable du niveau de risque acceptable associé à des défauts de sécurité des SI et que l’entreprise peut assumer. Ce type de mission globale peut être divisé en sous-missions d’audit plus spécifiques, tel que : Audit de la sécurité physique Audit de la sécurité des applications Audit de la sécurité des services informatiques ….
3) Référentiels d’audit des systèmes d’information Avant de mener des travaux d’investigation lors de la phase d’exécution les auditeurs doivent d’abord fixer un ou plusieurs cadres de référence, soit de ceux propres à l’entreprise ou choisis parmi les standards et les normes internationales existants. Un cadre de référence par définition est un ensemble de règles organisationnelles, procédurales et/ou techniques à mettre en place pour gouverner (gérer dans les règles de l’art) les SI. Ces cadres peuvent être utilisés par les auditeurs au cours d’une mission d'audit à fin d'évaluer les dispositifs de contrôle en question et de mesurer le niveau de leurs applications par rapport aux exigences et les bonnes pratiques de ces standards. 26
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Plusieurs cadres de référence de contrôle, de gestion, de gouvernance et d’audit se présentent sur le marché et permettant chacun de traiter un élément ou une dimension des SI, tels que : L’architecture des SI (exemple : TOGAF). Les services informatiques (exemple : ITIL, la norme ISO 20000). Les projets informatiques (exemple : PMBOK, PRINCE2, CMMi). La gouvernance des SI (exemple : Cobit, Val IT, Risk IT, la norme ISO 38500). L’externalisation des services informatiques (exemple : eSCM). La conformité réglementaires des SI (exemple : loi SOX, Acte BâleII, COSO, Cobit). La sécurité des SI (exemple : la famille des normes ISO 27000).
Figure 8 : Les principaux référentiels de la DSI
Ces différents cadres de référence présentent une bibliothèque complète de savoir et de bonnes pratiques pour la gestion et la bonne gouvernance des SI, ils forment une base aux managers à fin de piloter, contrôler et maintenir des SI en haute performance. 27
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Ces cadres seront aussi la référence à la quelle se pointent les auditeurs pendant leurs missions d’audit dans le but de vérifier le niveau d’application de ces bonnes pratiques et l’efficacité et l’efficience des contrôles mis en place. Dans le tableau suivant on présentera des descriptions brèves des principaux référentiels et normes internationales d’audit des SI. Tableau 9 : Descriptions des principaux référentiels et normes d’audit des SI Référentiel / Norme ITIL (Information Technology Infrastructure Library)
CMMi (Capability Maturity Model integrated)
PMBOK (Project Management Body of Knowledge) PRINCE2 (PRojects IN Controlled Environments) TOGAF (The Open Group Architecture Framework) eSCM (eSourcing Capability Model)
COSO (Committee Of Sponsoring Organizations)
Cobit (Control Objectives for Information and related Technology)
Description ITIL a été mis en place par l’OGC (« Office of Gouvernement Commerce ») britannique. C’est un ensemble d’ouvrages recensant les bonnes pratiques du management tout autour des services du SI. Les tomes les plus utilisés concernent le soutien et la fourniture des services informatiques. ITIL permet, grâce à son approche processus clairement définie et contrôlée, d'améliorer la qualité des services du SI et de l'assistance aux utilisateurs. Dans sa troisième version ITIL a met l’accent sur la maîtrise du cycle de vie d’un service informatique. CMMi a été conçu par le SEI (« Software Engineering Institute ») de l’université de Carnegie Mellon. C’est un modèle de référence, sous forme d’un ensemble structuré de bonnes pratiques, destiné à appréhender, évaluer et améliorer les activités des entreprises d'ingénierie informatique afin de contrôler la fonction de développement des applications et des logiciels. Il se présente comme une référence en matière de gestion des projets, il est édité par le PMI (« Project Management Institute »). Ce référentiel est totalement complémentaire avec des démarches d’amélioration continue de type CMMi. C’est une méthode de gestion et de certification de projet aussi structurée et qui se focalise sur trois points : l'organisation, la gestion et le contrôle du projet. C’est un ensemble de concepts et un standard industriel couvrant le domaine des architectures informatiques d'entreprise, qui peut être utilisé par toute entreprise souhaitant développer ou modifier son architecture. C’est un référentiel élaborée depuis 2001 par l’Université Carnegie-Mellon/ ItSQC afin d’améliorer la relation entre clients et fournisseurs dans le cadre de la fourniture de services utilisant les technologies de l’information. Ces services sont de nature très diverse : infogérance, externalisation du support informatique, tierce maintenance, fourniture de liaisons de télécommunications… C’est un référentiel de contrôle interne défini par le la COSO (« Committee Of Sponsoring Organizations of the Treadway Commission »). Il est utilisé notamment dans le cadre de la mise en place des dispositions relevant des lois SOX (pour les entreprises cotées en bourse en USA) ou LSF (pour les entreprises françaises). Le référentiel initial appelé COSO1 représente un « framework » de gestion des objectifs de conformité configurable à toute règlementation. L’approche COSO est structurée en trois axes : le premier pour l’évaluation des objectifs, le deuxième axe définit les risques, contrôles et les actions et le troisième axe organise le travail dans un système processus bien structuré. COSO a évolué depuis 2002 vers une deuxième version COSO2 sous forme d’une méthodologie axée sur la gestion des risques appelée ERM (« Entrprise Risk Management »). Cobit a été publié en 1996 par l’ISACA (« Information Systems Audit and Control Association »). CobiT est organisé selon une approche orientée processus, qui regroupe en 4 domaines (structurés par analogie avec la Roue de Deming), 34 processus distincts qui comprennent en tout 215 activités et un nombre plus important de pratiques de contrôle. CobiT fournit aux gestionnaires, auditeurs et utilisateurs de SI, des indicateurs, des processus et des bonnes pratiques pour les aider à maximiser les avantages issus du recours à des techniques informatiques et à l'élaboration de la gouvernance et du contrôle d'une entreprise. Dans sa version 4.1 Cobit intègre proprement dit les deux volets audit et management des SI, ainsi qu’un grand nombre de démarches et bonnes pratiques issues d’autres référentiels et normes internationales.
28
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Val IT (Governance of IT investments)
Risk IT (Governance of IT risks)
La norme ISO 9000
La norme ISO/CEI 20000
La série des normes ISO/CEI 27000
C’est un cadre de référence pour la gouvernance des investissements informatiques qui a été réalisé par l’ITGI (« IT Gouvernance Institute» qui a été crée par l’ISACA), et qui propose une analyse de la performance des investissements en technologies de l'information. Val IT distingue trois axes de gouvernance des projets SI : la gouvernance de la valeur (GV), la gestion de portefeuille (GP) et la gestion des investissements (GI). Remarque : Val IT a été intégré dans la version 5 de Cobit. Risk IT est un référentiel de management du SI et des TI par les risques il a été publié en 2009 par l'ISACA. C’est un guide de principes directeurs et de bonnes pratiques qui s’organisent en 3 domaines, 9 processus et comptent 47 bonnes pratiques. Les domaines et processus de ce référentiel couvrent les trois axes suivants : la gouvernance des risques (GR), l’évaluation des risques (ER) et le traitement des risques (TR). Remarque : Risk IT a été intégré dans la version 5 de Cobit. C’est un ensemble de normes relatives à la gestion de la qualité et qui est publiées par l'ISO (« International Organization of Standardization »). Cette norme repose sur un certain nombre de principes de management de la qualité, notamment une forte orientation client, la motivation et l’engagement de la direction, l’approche processus et l’amélioration continue. La variante ISO 9001:2008 aide à s’assurer que les clients obtiennent des produits et services uniformes et de bonne qualité, avec, en retour, de belles retombées commerciales. Elle est issue de la norme BS 15000 de BSI (« British Standards Institution »), c’est une norme de certification des services informatiques des organisations prouvant le respect de normes de qualité éditées au travers de phases, de contrôles et de procédures mises en place. C’est une suite des normes de sécurité de l'information publiée conjointement en mai 2009 et révisée par l’ISO (« International Organization of Standardization »).) et la CEI (« Commission Electrotechnique Internationale »). Ces normes sont dérivés des normes précédentes telles que : ISO 17799 et BS 7799. Parmi cet ensemble des normes la norme ISO/CEI 27002 présente un ensemble de 39 objectifs de contrôle qui s’étalent en 133 mesures ou bonnes pratiques destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un « Système de Management de la Sécurité de l'Information » (SMSI) et les auditeurs des SI au cours de leurs missions.
Sources : « Les référentiels de la DSI ». Cigref (2009). L’organisation internationale de normalisation ISO (site web : http://www.iso.org/ )
29
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Chapitre 2 : Cobit 4.1 un cadre fédérateur d’audit des systèmes d’information I. L’ISACA et ses principales contributions en matière d’audit des systèmes d’information 1) Présentation de l’ISACA L’« Information System Audit and Control Association » (ISACA) est une association professionnelle internationale qui a été fondée aux États-Unis en 1969 dont l'objectif est d'améliorer la gouvernance des SI, notamment par l'amélioration des méthodes d'audit informatique. Elle est aussi un membre affilié de l’IFAC(13). Depuis sa création et afin d’atteindre l’objectif fixé elle a développé un ensemble de textes et de référentiels qui se résument essentiellement en : Un code de déontologie : c’est une charte d’audit standard pour encadrer la fonction des auditeurs des SI. Ce code doit être respecté par les adhérents à l’ISACA (essentiellement les auditeurs certifiés) et peut être considéré comme un modèle aux entreprises afin d’élaborer leurs propres étiques et codes de déontologie à suivre par leurs propres unités d’audit des SI. Un ensemble de normes, conseils et procédures pour l’audit des SI (« Standards, guidelines and procedures for information system auditing »). Ces normes ont été codéveloppées avec l’IFAC et approuvées comme des normes internationales en audit et contrôle des SI dans le but d’aider les auditeurs à promouvoir des SI de confiance et créateurs de valeur. Un ensemble de référentiels pour l’audit et la gouvernance des SI : Val IT, Risk IT, Cobit et plusieurs autres publications connexes. 2) Chronologie des variantes Cobit Le référentiel Cobit a vu dés son apparition plusieurs évolutions : C’est en 1996 que l’ISACA a publié la première version de Cobit qui était à ce premier stade juste un référentiel d’audit et de contrôle des SI s’inspirant des principes de référentiel de contrôle interne COSO (publié en 1992). Cette première version était destinée aux auditeurs dans le but de les assister dans la planification et l’exécution de leurs missions d’audit. (13)
IFAC (« International Federation of Accountants »), c’est la fédération globale de la profession comptable fondé en 1977. Elle a pour vocation de publier des standards internationaux sur l'éthique, audit et assurance, l'éducation, et la comptabilité du secteur public. Elle publie aussi des conseils pour encourager la qualité dans les services des professionnels comptables.
30
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
En 2000 une troisième version a apparu suite aux nombreux travaux de l’ITIG(14) . Cette version a introduit pour la première fois la notion de management, proposant ainsi deux guides : un guide d’audit qui offre une approche processus guidée par des objectifs de contrôle et un guide de management pour ces processus sous forme d’un ensemble de lignes directrices. La version quatre de ce référentiel a fait son apparaissance en 2005 et a évolué vers la version 4.1 en 2007. Ces deux versions regroupent deux visions : le contrôle et le management des SI (notion développée depuis la version 3 et approfondie dans la version 4.1 au niveau d’un guide complet de management). Ces deux versions ont été fortement influencées par la loi SOX et son homologue la LSF, en renforçant les contrôles des SI associées aux processus financiers et la gouvernance des SI .Ces deux version intègrent aussi dans leurs processus les bonnes pratiques issues d’un nombre autres référentiels, lois et normes tel que : ITILV3, ISO 27002, ISO 9000, ISO 38500, CMMi, COSO, loi SOX, PMBOK, TOGAF …. Dés lors la version 4.1 de Cobit a été considère comme un cadre fédérateur d’audit et de gouvernance des SI. La cinquième variante de Cobit a été dévoilée en 2012 et a pris une nouvelle étendue en se focalisant sur la dimension gouvernance qui est devenue la ligne directrice de la nouvelle approche Cobit. Cette version a intégré en plus des bonnes pratiques issues de nombreux cadres d’audit et de gouvernance dans la version précédente, les bonnes pratiques des référentiels Val IT et Risk IT développés par l’ISACA, à fin de présenter une démarche cohérente et globale en matière d’audit, management et gouvernance des SI.
Figure 9 : Evolution du cadre de référence Cobit
(14)
ITGI (« IT Governance Institute ») est un institut fondé par l’ISACA en 1998 afin de contribuer par des études et des recherches en gouvernance des SI à apporter des améliorations aux approches et méthodologies des produits de cette dernière.
31
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
II. Présentation du cadre de référence Cobit 4.1 1) Description générale Cobit 4.1 se présente comme un cadre fédérateur d’audit et de gouvernance des SI, il intègre les bonnes pratiques d’un grand nombre de référentiels et normes internationales. Il suit une démarche transversale en couvrant toutes les activités de la DSI. Son approche se base sur un grand nombre d’éléments et des concepts lui valant une dimension universelle, c’est-à-dire qu’elle peut être appliquée à tout type d’entreprise quelque soit son secteur d’activité ou sa taille. Les éléments de Cobit 4.1 s’organisent sur trois axes, tout en s’inspirant du modèle COSO : L’axe « Exigences métiers » : qui définit les critères d’information gouvernant les activités du SI en réponse aux besoins des métiers. L’axe « Processus informatiques » : qui décrit et organise les différents processus, activités et pratiques de la fonction SI dans un modèle en trente-quatre processus interconnectés. L’axe « Ressources informatiques » : qui regroupe les différentes ressources (applications, information, infrastructure et personnes) œuvrant dans le cadre du SI.
Figure 10 : Le cube Cobit4.1 (inspiré du COSO)
Le cadre de référence Cobit4.1 fonde son approche tout autour de l’information, qui se présente comme garant du bon fonctionnement des activités de l’entreprise et qui contribue à la réalisation de l’objectif ultime de l’entreprise : la « création de la valeur ». Pour cette raison que l’information ainsi que les processus lui sont associés et les différentes ressources déployées doivent avoir un niveau de performance, de qualité et de sécurité élevé afin d’aboutir à l’atteinte de cet enjeu. 32
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Dans cette perspective Cobit définit sept critères (exigences) d’information, qui doivent être vérifiés : L’efficacité : c’est la mesure par laquelle l’information contribue aux résultats des processus métier par rapport aux objectifs fixés. L’efficience : c’est la mesure par laquelle l’information contribue aux résultats des processus métier au meilleur coût. La confidentialité : c’est la mesure par laquelle elle est protégée des accès non autorisés. L’intégrité : c’est la mesure par laquelle l’information correspond à la réalité de la situation. La disponibilité : c’est la mesure par laquelle l’information est disponible en temps voulu. La conformité : c’est la mesure par laquelle les processus sont en conformité avec les lois, les règlements et les contrats. La fiabilité : la mesure par laquelle l’information de pilotage est pertinente. Afin de garantir ces exigences d’information, contrôler les SI et contribuer à l’amélioration de leurs fonctionnements, Cobit 4.1 déploie trente-quatre processus informatiques interconnectés (déclinés en plus de deux-cent activités) afin de gérer et optimiser les différentes ressources des SI : personnes, informations, applications et infrastructure. Ces processus sont groupés en quatre domaines : Planifier et Organiser (PO) : ce domaine traite les problèmes du
management global
(stratégique) des SI. Acquérir et Implémenter (AI) : ce domaine traite les problèmes du management des projets informatiques (il rassemble tous les processus qui impactent les ressources dés l’acquisition jusqu’à l’implémentation d’un élément du SI). Délivrer et Supporter (DS) : ce domaine traite les problèmes du management des services offerts aux clients de la DSI, tels que : l’exploitation informatique la gestion de la sécurité la gestion des données et équipements l’assistance aux utilisateurs Surveiller et Evaluer (SE): ce domaine permet d’évaluer la conformité et la qualité des processus Cobit et cela en vérifiant : la surveillance de contrôle interne (efficacité / efficience) la gouvernance des SI la gestion de la performance le respect des normes réglementaires 33
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Figure 11 : Le modèle processus de cadre de référence Cobit 4.1
34
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
2) Les principaux éléments de Cobit 4.1 Pour élaborer et maintenir sa démarche en matière d’audit, de management et de gouvernance des SI le cadre de référence Cobit 4.1 définit un grand nombre d’éléments et des concepts, dont les principaux sont : Les objectifs métiers : ces objectifs traduisent ce qu’exigent les directions métiers en matière des SI. Ils ont pour but de garantir que les SI vont contribuer à la performance de l’entreprise tout en orientant les objectifs informatiques dans ce sens. Les objectifs informatiques : ce sont les objectifs propres aux SI, définis et gérés par la DSI. Ces objectifs ont pour but de gérer l’ensemble des ressources constituant les SI, tout en s’alignant sur les objectifs métiers dans le cadre de la stratégie globale de l’entreprise. Ces objectifs se divisent en objectifs de processus et objectifs d’activités. Les objectifs de contrôle : ces objectifs sont reliés aux processus de Cobit4.1, ils présentent « les exigences minimales pour garantir un contrôle efficace de chaque processus ». Ils expriment le résultat ou le but à atteindre par la mise en œuvre d’un ensemble de pratiques de contrôle pour chacun des processus. Ces objectifs sont exigés par la direction, mis en place par la DSI et audités par les auditeurs et les professionnels d’assurance.
Figure 12 : Le principe de cascade des objectifs de Cobit 4.1
35
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Les métriques : pour chaque objectif informatique, processus ou activité, Cobit4.1 offre un ensemble de mesures afin d’évaluer le degré d’atteinte de ceux ci (KGI(15)) et d’autres mesures pour évaluer leurs performances (KPI(16)). Les tableaux RACI
(17)
: se sont des tableaux qui identifient pour chaque activité d’un
processus le groupe d’intervenants en déterminant ceux qui sont responsables, ceux qui approuvent et ceux qui seront consultés et/ou informés. Cobit4.1 identifie au moyen de ces tableaux, dix-neuf rôles et responsabilités génériques pouvant se décliner en postes et emplois plus structurés. C’est un élément de management permettant de clarifier les responsabilités et les tâches, il est d’ordre indicatif et peut faire référence à des instances comme : comité stratégique informatique, comité de pilotage informatique ….
Figure 13 : Le tableau RACI correspondant au processus PO10
Les entrées et sorties des processus (Input /Output) : la démarche Cobit4.1 est basée sur un ensemble de processus informatiques interconnectés, pour chacun de ces processus un ensemble de flux d’entrée et de sortie sont associés et définis. Ces éléments permettent d’établir les liens entre l’ensemble de ces processus dans le cadre d’une approche système.
(15)
KGI (« key Goal Indicator ») ce sont des mesures de résultat des processus qui informent le management a posteriori si un processus informatique a répondu aux exigences métier. (16) KPI (« Key Performance Indicator ») ce sont des mesures qui déterminent à quel point la performance d’un processus informatique lui donne la chance d’atteindre ses objectifs. (17) RACI : un tableau des rôles et responsabilités qui précise pour chaque activité d’un des processus Cobit le Responsable, celui qui Approuve, le Consulté et/ou l’Informé.
36
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Les modèles de maturité : dans une logique d’amélioration continue des processus informatiques, Cobit4.1 présente une échelle de maturité graduée en six degrés, pour suivre leurs évolutions. Chaque processus informatique mis en place peut passer par plusieurs stades de maturité jusqu’à atteindre l’état optimal. Dans ce cycle, des évaluations de maturité périodiques (annuelles) permettent de localiser le niveau atteint d’un processus (par exemple le niveau trois « Processus défini »), et afin de le faire évoluer vers le niveau de maturité suivant (le niveau quatre « Géré et mesurables »)
Cobit4.1 offre des modèles de maturité qui
présentent à titre indicatif des directives à suivre par les managers.
Figure 14 : L’échelle de maturité des processus selon Cobit4.1
3) Documentation et publications de Cobit 4.1 La documentation Cobit4.1 s’étale sur les différents besoins des SI en management, gouvernance, contrôle et audit. Les principaux documents et publications sont: Le cadre de référence Cobit4.1 : (« Cobit4.1 Framework ») ce document représente l’approche processus de Cobit4.1, ses éléments constitutifs et les différents concepts lui sont associés. Les objectifs de contrôles (« Cobit and Application Control ») : c’est l’ensemble des objectifs de contrôle Cobit et les contrôles d’application issus de COSO et à la charge de la DSI. Le guide d’implémentation (« Cobit Implementation Guide ») : un guide offrant une démarche bien élaborée pour implémenter les processus Cobit4.1 et les différentes activités informatiques qui en découlent. C’est un guide générique qui peut être adapté par chaque entreprise quelque soit sa taille ou son secteur d’activité selon ses besoins et ses objectifs stratégiques. Le guide de management : (« Cobit Management Guide ») regroupe l’ensemble des tableaux RACI, les flux d’entrée/sorties des processus et les modèles de maturité (sous formes de conseils et des directives), tous ces éléments sont à la destination des managers afin de mieux gérer les processus informatiques et faire évoluer leurs niveaux de maturité. 37
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Les pratiques de contrôle (« Cobit Control practices : 2nd Edition ») : c’est un ensemble des pratiques de contrôles établies par des experts en réponses aux différents objectifs de contrôle Cobit. Ces pratiques sont à la destination des managers à fin de les aider à implémenter des objectifs de contrôle et forment des éléments sur lesquels les auditeurs informatiques peuvent se baser pour évaluer les objectifs de contrôle implémentés. Les bases de sécurité de l’information (« Cobit Security Baseline : 2nd Edition ») : c’est un ensemble de conseils de management destinés au conseil d’administration et à la direction générale pour les guider en matière de sécurité de l’information. Ces conseils sont basés sur les objectifs de contrôle Cobit. Le guide d’audit (« IT Assurance Guide: Using Cobit ») : ce guide offre aux auditeurs une démarche, des méthodes et des outils pour les aider dans la planification, la réalisation et la conclusion de leurs différentes missions d’audit tout en exploitant les éléments de Cobit.
Figure 15 : La documentation Cobit 4.1(18) (18)
Ce schéma présente les produits généralement applicables et leur public principal. Il existe également des produits dérivés pour des fonctions particulières, tels que : « Objectifs de contrôle des SI pour Sarbanes-Oxley, 2ème édition », « Gouvernance de la sécurité de l’information : Recommandations destinées aux conseils d’administration et aux directions générales » (dans des domaines sécurité) et « Cobit Quickstart pour les petites et moyennes entreprises »). (pour des entreprises spécifiques).
38
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
III.
L’approche Cobit 4.1 en matière d’audit des systèmes d’information 1) Les objectifs de contrôle : un élément axial dans l’approche Cobit 4.1
Dés son apparition le cadre de référence Cobit était conçu pour aider les auditeurs informatique à planifier et exécuter des missions d’audit, et même en évoluant vers d’autres perspectives managériale et stratégique (tel que la gouvernance) il a gardé son volet audit proprement dit au moyen d’un élément axial : « les objectifs de contrôle ». Les objectifs de contrôle permettent de définir « les exigences minimales pour garantir un contrôle efficace de chaque processus informatique », ils s’étalent en un grand nombre de pratiques de contrôle détaillés et plus spécifiques. Ces objectifs d’ordre opérationnel et les pratiques qui en découlent sont à la base des évaluations à exécuter par les auditeurs au niveau des missions d’audit afin de détecter les faiblesses de différents dispositifs de contrôle mis en place. En pratique les auditeurs peuvent se référer à ces objectifs et les pratiques associées afin de mettre au point des procédures d’audit détaillées sous forme de questionnaires ou des grilles d’évaluation. Dans sa version 4.1 Cobit déploie ces objectifs de contrôle sur l’ensemble des activités des SI dans un modèle processus comportant trente-quatre processus couvrant l’intégralité de la fonction SI. Cette caractéristique permet aux auditeurs de mener des missions d’audit transversales, telle que l’audit de la sécurité globale des SI et cela en évaluant tous les objectifs de contrôle en relation avec le thème de cette mission. Cobit4.1 permet aussi de délimiter le périmètre des missions d’audit et de restreindre le champ d’intervention des auditeurs à des fins plus spécifiques, et cela via un processus du cadrage de ces objectifs de contrôle qu’on va voir par la suite. Ces mêmes objectifs de contrôle permettent aux auditeurs d’affiner leurs investigations en leurs dirigeant via des tables de mappage vers les bonnes pratiques d’autres standards plus détaillées tel que : ITIL, CMMi, COSO, PMBOK, PRINCE2, TOGAF, Loi SOX, Act Bâle II, ISO 9001, ISO 17799, ISO 27002, ISO38500 … offrant ainsi aux auditeurs des énormes possibilités d’approfondir leurs missions d’audits et de les enrichir par des évaluations plus rigoureuses. Parmi les nombreuses publications de l’ISACA, le guide d’audit Cobit4.1 se présente comme indispensable aux auditeurs des SI, en leur proposant un ensemble de conseils d’audit sous forme de procédures d’évaluation détaillés. Ces conseils portent sur l’ensemble des processus Cobit4.1 et les objectifs de contrôle associés, et ils sont à la destination des auditeurs aussi bien qu’aux managers.
39
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Ces procédures forment une base sur la quelle l’auditeur peut s’appuyer afin de préparer les questionnaires d’audits qui vont le guider dans son travail, elles se divisent en : Enoncés des valeurs : ce sont des indicateurs d’ordre managérial permettant aux professionnels de justifier au prés des leurs supérieurs le choix d’un tel objectif de contrôle ou autre, dans le cadre d’une implémentation des dispositifs de contrôle pour les SI. Ils indiquent les apports en valeur qu’un objectif de contrôle peut garantir à l’entreprise. Enoncés des risques : ces éléments mettent l’accent sur les principaux risques pouvant survenir en cas d’absence d’un tel objectif de contrôle ou autre. Une évaluation des différents risques de non mise en place de certains objectifs de contrôle Cobit, permet aux managers de classifier par ordre d’importance ces objectifs de contrôle afin de choisir ceux qui seront recommandés pour assurer le bon fonctionnement des SI. Procédures d’évaluation des objectifs de contrôle : ce sont des conseils permettant aux auditeurs de formuler des questionnaires pour évaluer le niveau de respect du l’objectif de contrôle en question. Ils leurs proposent aussi à titre indicatif quelques directives et méthodes afin de mieux exécuter leurs missions et enquêtes. Procédures d’évaluation du résultat des objectifs de contrôle : ces procédures permettent de vérifier l’ensemble d’objectifs de contrôle d’un processus bien déterminé afin d’évaluer le niveau de contribution de celui-ci dans la création de valeur. C’est de l’instar des auditeurs de faire ces évaluations et de présenter leurs conclusions aux dirigeants. Procédures d’évaluation de l’impact des faiblesses de contrôle : ces procédures permettent aux auditeurs de fournir aux dirigeants leurs opinions concernant les répercutions des faiblesses détectées de l’ensemble des objectifs de contrôle propres à un processus Cobit bien déterminé. Sur la lumière de ces remarques et opinions les responsables vont prendre les mesures convenables afin d’améliorer les contrôles mis en place.
Figure 16 : Les différents types de procédures d’évaluation selon le guide d’audit Cobit4.1
40
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Des relations bien déterminées règnent entre les éléments de Cobit4.1 (les processus, les objectifs de contrôle et les pratiques de contrôle) et les procédures d’évaluation édictées dans le guide d’audit. Le schéma suivant décrit ces liens tout en mettant le point sur la hiérarchie réglant ces relations.
Figure 17 : Les différentes relations entre les procédures d’évaluation et les composants de Cobit4.1
Les contrôles applicatifs et les contrôles génériques : En plus des différentes évaluations traitant l’ensemble des processus Cobit4.1 et les objectifs de contrôle correspondants, les experts en Cobit proposent aux auditeurs d’autres procédures pour évaluer les contrôles applicatifs (CA). Ces contrôles ont été initiés dans le référentiel de contrôle interne COSO afin de répondre aux exigences imposées par certaines règlementations comme la loi SOX en matière de la sécurité des données et des transactions financières (à savoir l’exhaustivité, l’exactitude, la validité, l’autorisation et la séparation des tâches). Ils ont été repris par le cadre de référence Cobit4.1 qui les a greffé à sa démarche processus en les groupant dans un ensemble sous le nom de « Contrôles applicatifs ». Ces contrôles se divisent en six groupes : CA1 : Autorisation et préparation des données sources. CA2 : Collecte et saisie des données sources. CA3 : Vérification d’exactitude, d’exhaustivité et d’authenticité. CA4 : Intégrité et validité des traitements. CA5 : Vérifications des sorties, rapprochements, traitements et erreurs. CA6 : Authentification et intégrité des traitements. 41
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
D’autres contrôles font aussi objet des évaluations spécifiques, se sont les contrôles génériques ou contrôles des processus (CP). Ces contrôles sont d’une nature managériale, permettant de s’assurer de la bonne implémentation et de la meilleure gestion des processus, ils s’appliquent à tous les processus Cobit et sont au nombre de six : PC1 : Buts et objectifs de processus. PC2 : Propriété de processus. PC3 : Reproductibilité de processus. PC4 : Rôles et responsabilités. PC5 : Politiques, plans et procédures. PC6 : Amélioration des performances de processus. À remarquer que l'ensemble composé des pratiques de contrôle génériques (associées aux processus) et les différentes pratiques de contrôle spécifiques (associées aux objectifs de contrôle) constitue une méthode cohérente, nécessaire et suffisante pour atteindre les objectifs de contrôle implémentés. 2) La conduite d’une mission d’audit selon l’approche Cobit 4.1 « L’IAASB Assurance Framework » (19) identifie cinq éléments composant une mission d’audit : La relation tripartie : qui définie les liens entre les
responsables de domaine traité, les
auditeurs et les destinataires de rapport d’audit. Cette relation est matérialisée en une charte d’audit ou lettre de mission. Le domaine d’audit ou le périmètre d’une mission d’audit. Les critères pertinents d’évaluation : normes, cadres de référence et/ou réglementations. Le processus d’audit établi par les auditeurs, on parle du programme d’audit ou plan d’action. La conclusion de la mission d’audit : qui prendra forme en un rapport d’audit comportant l’opinion des auditeurs et leurs recommandations concernant l’élément audité. Cobit4.1 lui définit sa propre démarche d’audit (qui s’aligne avec celle de l’IAASB – voir Annexe1) tout en offrant aux auditeurs des SI au moyen de son guide d’audit un grand nombre de méthodes, d’outils et de conseils afin de les aider à établir un programme d’audit et bien exécuter leurs missions. Ce programme d’audit ou plan d’action se divise en trois phases : planification, cadrage et exécution. (19)
Ce cadre établi par l’IAASB décrit les objectifs d'une mission d’audit, et identifie les engagements par rapport aux normes internationales d'audit (ISA : « International Standard on Auditing »).Parmi l’ensemble des normes ISA, la norme ISA 3000 établit les principes de base et les procédures essentielles pour mener à bien une mission d’audit ou un examen d'informations financières.
42
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
a) La phase de planification Cette phase débouche sur l’établissement d’un plan d’audit annuel, en cas d’audit interne, permettant d’encadrer les différentes activités d’audit sur une période bien déterminée et délimiter les rôles, responsabilités et périmètres. En cas d’audit externe, des plans d’audit seront établis pour chaque mission. Selon l’approche de cadre de référence Cobit4.1, la planification d’une mission d’audit consiste à : 1. Définir le périmètre d’une mission d’audit. La méthode d’évaluation des risques se présente dans cette étape comme une méthode pertinente pour délimiter le périmètre d’une mission. 2. Sélectionner un cadre de référence de contrôle. 3. Procéder à la planification des missions d’audit. 4. Procéder à des évaluations de haut niveau, des telles évaluations favorisent des missions d’audit basées sur les risques. Plusieurs éléments de Cobit peuvent être utilisés lors de ces évaluations afin d’identifier les processus à auditer, par exemple : les énoncés de valeur et des risques, les attributs de maturité des processus, les objectifs de contrôle… 5. Définir le cadre et les objectifs généraux de l’audit. La méthode d’évaluation des risques : Cette méthode est axée sur les risques (voir Figure 18), on distingue trois types de risque : les risques inhérents (risques propres à l’élément à auditer), les risques liés au contrôle (faiblesses de contrôle) et les risques de non détection, ces derniers doivent être évalués lors de cette phase de planification afin d’élaborer des méthodes assurant l’atteinte des objectifs de la mission d’audit. L’auditeur est amené alors à examiner les risques de l’élément à auditer ainsi que la qualité de processus de gestion des risques. Il aura à réaliser les tâches suivantes : Identification du risque : c’est la recherche des risques et l’identification de leurs causes et conséquences afin de valider ou construire un portefeuille de risques. Évaluation du risque : consiste à estimer la criticité (20) du risque, son importance en termes de probabilité d’apparition et d’impact (financiers, délais, qualité, …). L’auditeur doit calculer la criticité relative ou absolue de chaque risque. Recherche des moyens de réduction : qui consiste à rechercher des solutions de prévention, de contournements, de transfert et de surveillance. Et à la fin de cette tâche l’auditeur examinera ou émettra ses recommandations.
(20)
La criticité d’un risque (C) est déterminée par deux facteurs : la gravité qui correspond à l’impact du risque(G) et la probabilité d’occurrence d’un risque(P). C’est le croisement de ces deux estimations : C = G*P.
43
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Figure 18 : Les éléments relatifs à la notion de risque
b) La phase de cadrage Cette phase consiste à identifier les principaux objectifs de contrôle à auditer via un processus de cadrage permettant de délimiter le périmètre d’une mission d’audit, le résultat sera un champ d’action bien déterminé et des objectifs plus détaillés.
Figure 19 : Processus de cadrage d'une mission d'audit selon l'approche Cobit4.1
La cascade des objectifs de Cobit4.1 (Figure 12) et qui permet le passage d’un niveau d’objectif à un autre au moyen des tables de mappage (voir Annexe1) jusqu’à l’identification des processus informatiques, peut former un premier niveau de cadrage ou un cadrage de haut niveau (étapes 1,2,3 et 4 de processus de cadrage selon la Figure 20). Aussi d’autres éléments de Cobit4.1 tels que : les critères d’information, les énonces des risques et des valeurs des objectifs, les attributs des modèles de maturité … peuvent constituer des inducteurs pour ce niveau de cadrage.
44
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Sur la base de ce cadrage de haut niveau un autre cadrage plus détaillé permettra de délimiter le champ d’action des auditeurs en fixant les principaux objectifs de contrôle et les ressources de l’entreprise concernées par la mission (étapes 5 et 7 de la Figure 20). Ce dernier cadrage peut être aussi affiné en sélectionnant parmi les éléments fixés (ressources et objectifs de contrôle) un sous ensemble plus personnalisé (étapes 6 et 8 de la Figure 20). Cet affinement peut se baser sur la méthode d’évaluation des risques afin de restreindre la liste des objectifs de contrôle et sur la méthode d’analyse des causes à effets en ce qui concerne les ressources pour ne garder que les ressources qui auront un effet significatif en cas de risque de non atteint des objectifs de contrôle critiques.
Figure 20 : Les 8 étapes de cadrage d'une mission d'audit selon l’approche Cobit4.1
45
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
D’une manière générale la phase de cadrage consiste respectivement à : 1. Etablir des inducteurs pour la mission d’audit (exemples d’inducteur : l’amélioration des processus, la satisfaction des besoins de conformité complétant l'audit des états financiers …). 2. Documenter l’architecture informatique de l’entreprise. 3. Choisir un cadre de référence de contrôle des SI (tel que : ITIL, ISO, COSO, Cobit ….). 4. Sélectionner les processus informatiques à auditer selon le principe de cascade des objectifs (cadrage de haut niveau). 5. Sélectionner les composants ou ressources informatiques (applications, informations, infrastructures, personnes) concernées par la mission d’audit. 6. Affiner la sélection des ressources par une analyse des causes et effets (en ne gardant que les éléments en relation directe avec la mission d’audit). 7. Sélectionner les objectifs de contrôle initiaux : Cobit4.1 permet, au moyen des énoncés de risques et de valeurs de chaque objectif de contrôle, aux auditeurs de sélectionner, les objectifs de contrôle les plus susceptibles de subir un audit spécifique (selon les besoins de l’entreprise et les ressources déployées). 8. Affiner la sélection des objectifs de contrôle à l’aide de l’analyse des risques. Au cours de cette étape, l'auditeur doit analyser le risque de ne pas atteindre les objectifs de contrôle choisis (par rapport aux ressources sélectionnées). On doit uniquement conserver les ressources informatiques et les objectifs de contrôle qui auraient un effet significatif si l'objectif de contrôle n'était pas atteint.
Figure 21 : Le processus de cadrage Cobit4.1
46
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
À remarquer qu’un cadrage trop étroit de la mission peut conduire à ce que des facteurs significatifs ne soient pas pris en compte. Néanmoins un cadrage trop large peut entraîner des inefficacités et des conclusions incorrectes en raison de limitation des ressources ou d'un manque de temps. Pour cette raison l’auditeur doit bien cadrer son champ d’action afin de favoriser l’efficacité et l’efficience de sa mission d’audit. c) La phase d’exécution Cette phase comporte selon l’approche d’audit de cadre de référence Cobit4.1 six étapes dont les deux premières ont pour objectif d’affiner le travail fait lors des deux phases précédentes (phases de planification et du cadrage). Pour les étapes trois, quatre et cinq ils consistent à collecter et évaluer les éléments probants au moyen d’un nombre d’outils, méthodes et procédures d’évaluation que les experts en Cobit ont mis à la disposition des auditeurs dans le guide d’audit Cobit. Les résultats de ces investigations vont servir par la suite (au niveau de l’étape six) à la rédaction du rapport d’audit final qui va comporter les opinions des auditeurs concernant les éléments audités et leurs recommandations pour remédier aux dysfonctionnements et risques détectés.
Figure 22 : Processus d’exécution d'une mission d'audit selon l'approche Cobit4.1
Les étapes de la phase d’exécution sont respectivement : 1. Affinement de la compréhension de l'objet de la mission : cette étape permet de délimiter les objectifs et le périmètre de la mission d’audit en se basant sur des éléments tels que : les tableaux RACI, les listes des activités, les entretiens, les descriptions des processus, le travail de cadrage déjà fait, la compréhension de l’architecture, les rapports d’audit précédents …. 2. Affinement du cadrage : cette étape permet de déterminer un sous-ensemble finalisé du périmètre d’audit et des évaluations à effectuer. Elle consiste à analyser les objectifs métiers et informatiques et les risques de non réalisation des objectifs de contrôle significatifs afin de réajuster l’ensemble des processus et des contrôles sélectionnés dans la phase précédente (phase de cadrage) et finaliser le champ d’intervention. 47
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
3. Evaluation des contrôles : le but de ces vérifications est d’évaluer les contrôles, leurs applications et leurs efficacités opérationnelles. Différents types de vérification et de tests peuvent être appliqués durant cette étape. Le guide d’audit Cobit4.1 définit cinq méthodes génériques d’évaluation comme décrit dans le tableau suivant : Tableau 10 : Les différentes méthodes d'évaluation des contrôles adoptées par Cobit4.1 et SAS70(21) Méthode d’évaluation S’informer et confirmer
Inspecter
Observer
Ré exécuter et /ou recalculer
Contrôler la collecte automatisée des éléments probants
Exemples d’évaluations – Rechercher les exceptions/écarts et les examiner. – Analyser les transactions/événements inhabituels ou exceptionnels. – Vérifier/déterminer si une action s'est (ou ne s'est pas) produite. – Corroborer les rapports de gestion à partir de sources indépendantes. – Interroger les employés et évaluer leurs connaissances et leur sensibilisation. – Rapprocher les transactions. – Interroger le management et obtenir des réponses pour confirmer des constatations. – Examiner les plans, les politiques et les procédures. – Rechercher les pistes d'audit, les journaux d'incidents ... – Retrouver l'origine des transactions dans le processus/système. – Vérifier physiquement l'existence de documents, actifs … – Effectuer la visite sur site des installations, des plans … – Effectuer une étude de la conception ou une inspection des codes. – Comparer la réalité et les constatations attendues. – Observer et décrire les processus. – Observer et décrire les procédures. – Comparer la réalité et le comportement attendu. – Exposer et estimer séparément le résultat attendu. – Tenter ce qui est empêché. – Ré-exécuter ce qui est détecté par les contrôles de détection. – Ré-exécuter les transactions, les procédures de contrôle … – Recalculer séparément. – Comparer la valeur escomptée et la valeur réelle. – Comparer la réalité et le comportement attendu. – Retrouver l'origine des transactions dans le processus/système. – Collecter des échantillons de données. – Utiliser des modules d'audit intégrés. – Analyser les données à l'aide de techniques d'audit assistées par ordinateur (TAAO). – Extraire des exceptions ou des transactions clés.
Source : « Guide d’audit des systèmes d’information, Utilisation de Cobit4.1 ». AFAI (2008).
En général l'auditeur dans cette étape qui traite les contrôles critiques cherche à déterminer si : Des processus de contrôle documentés existent. Des traces appropriées des processus de contrôle existent. Les responsabilités finales et opérationnelles sont claires et effectives. Des contrôles compensatoires existent, si nécessaire.
(21)
SAS70 (« Statement on Auditing Standards n°70 ») c’est une norme d'audit reconnue à l'international, édictée par l'AICPA (« American Institute of Certified Public Accountants »).
48
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
4. Evaluation du résultat des objectifs de contrôle : cette étape permet de garantir que les contrôles des processus fonctionnent comme prévus de façon homogène et continue et qu’ils contribuent à la performance des processus informatiques. Pour tester le résultat ou l'efficacité d’un contrôle, l'auditeur doit rechercher les éléments probants directs et indirects et l'impact du contrôle sur la qualité des sorties du processus tout en utilisant des méthodes de test et d’évaluation appropriés. 5. Evaluation de l’impact des faiblesses de contrôle : cette étape permet de mesurer et de justifier le risque que les objectifs de contrôle ne soient pas atteints à l’aide de techniques d’analyse et de test permettant de détecter les faiblesses, les menaces et les vulnérabilités et de déterminer leurs impacts. L'objectif de cette étape est d'effectuer les tests nécessaires pour apporter au management la garantie ou l'absence de garantie relative à la réalisation d'un processus informatique donné et de l’efficacité des contrôles lui sont associés. Les éléments de Cobit aux quels un auditeur peut se référer pour effectuer ces évaluations sont : les descriptions des processus, les énoncés d'inducteurs de risque, les tableaux RACI et les modèles de maturité. 6. Rédaction et notification des conclusions et recommandations : cette étape consiste à communiquer les risques inhérents aux faiblesses de contrôle aux différents partenaires de la mission d’audit, sous forme de conclusions et recommandations dans un rapport d’audit qui doit clarifier les éléments suivants : Les actions recommandées pour atténuer l'impact des faiblesses de contrôle. Le comparatif de performance par rapport aux normes et aux meilleures pratiques afin d’apprécier les résultats des évaluations.
Le niveau de risque associé au processus. Ces éléments seront communiqués essentiellement aux responsables de management afin qu’ils prennent les mesures supplémentaires et les mesures correctives pour faire évoluer les processus audités vers un niveau de maturité plus élevé (en se référant aux modèles de maturité de Cobit). À remarquer que l’auditeur doit lors de cette étape respecter les normes et les recommandations concernant la rédaction et la communication du rapport d’audit final, il peut ainsi se référer aux exigences de la norme S7
(22)
d’audit des SI établis par l’ISACA (voir
Tableau 11). (22) Cette norme fait partie d’un ensemble de seize normes d’audit des SI établies par l’ISACA dont le but de régler le métier d’auditeurs informatique. Ces normes doivent impérativement respectés par les auditeurs certifiés CISA, et aussi peuvent sert de guide pour les entreprises et les auditeurs informatiques en générale.
49
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Tableau 11 : Les principales exigences de la norme S7 de l'ISACA
1
2 3
4 5
Exigences L'auditeur doit fournir un rapport, sous une forme appropriée, à la fin de la vérification. Ce rapport doit identifier l’organisation, les destinataires et les restrictions sur la circulation du document. Le rapport d'audit doit indiquer la portée, les objectifs, la durée de la mission et sa nature, le calendrier et l'étendue des travaux de vérification effectués. Le rapport doit indiquer des constatations, conclusions et recommandations et toutes réserves, qualifications ou limitations, que l'auditeur a eu dans sa mission lors de ses travaux de vérification. L'auditeur doit présenter des éléments probants suffisants et appropriés pour appuyer les résultats rapportés. Le rapport de l'audit doit être signé, daté et distribué selon les termes de la charte d'audit ou lettre de mission, avant d’être émis aux destinataires appropriés.
50
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Partie 2 : Partie pratique
51
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Chapitre 3 : Contexte du stage – Présentation de la STEG et de sa direction d’audit interne I.
Présentation de la STEG 1) Historique et évolution
Jusqu'à avant l’année 1959, l'industrie électrique tunisienne était répartie entre sept sociétés différentes, puis depuis, l'État tunisien a décidé de prendre provisoirement en charge ces sociétés en mettant en place, le 15 août 1959, un comité de gestion à la tête de l'une de ces sociétés connue sous le nom de Compagnie Tunisienne d'Electricité et Transports (CTET). Par le décret-loi n°62-8 du 3 avril 1962, l'État a mis fin à cette situation en créant un monopole public baptisé la Société Tunisienne de l’Électricité et de Gaz (STEG). Cinquante ans après sa création, l’activité de la STEG, a vu passer (23) : le taux d'électrification global de 21% à 99,5% le taux d'électrification rural de 6% à 99% la puissance installée de 100 MW à 4 016 MW la production nationale de 288 GWh à 16 833G GWh le nombre de ses clients de 183 mille à 3 383 mille pour le secteur de l'électricité le nombre de ses clients de 25 mille à 644 mille pour le secteur de gaz Cette évolution de la production et de nombre des clients a placé la STEG en haut de l’échelle des performances des entreprises tunisiennes tout en occupant la deuxième place en termes de chiffre d'affaires qui a atteint 2670 MDT en 2012. Tableau 12 : Fiche technique de la STEG
Raison Sociale Adresse Téléphone Fax E-mail Site Web Statut juridique Domaine Activité
Description Société Tunisienne d'Electricité et de Gaz 38, Rue Mustapha Kamel Ataturk BP n° 190 Tunis Cédex 1080 Tunis 71 341 311 71 349 981
[email protected] http://www.steg.com.tn Entreprise publique Energie Production et distribution de l'électricité et de gaz
Source : site officiel de la STEG
(23)
D’après les chiffres de site officiel de la STEG. (Arrêtés en 2012)
52
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Métiers, Mission et Vision L’activité de la STEG est découpée en deux secteurs : secteur électricité et secteur gaz. Chacun de ces deux secteurs est subdivisé lui-même en deux branches d’activité : une activité principale se chargeant de la production, le transport et la distribution de l’électricité et du gaz. une activité annexe qui assiste l’activité principale de la STEG, elle correspond à la réalisation de travaux pour elle-même et la réalisation de travaux, services et prestations remboursables par les tiers (réalisation de branchements d’électricité et de gaz, déplacement de lignes, conduites, branchements, petites interventions, ...). La STEG a pour mission de satisfaire les besoins de ses clients en énergie électrique et gazière dans les meilleures conditions de coût, qualité et sécurité tout en respectant les cinq valeurs suivantes : l’orientation client la considération des personnes le travail en équipe l'amélioration continue la gestion par les faits Et en s’engageant dans une stratégie de performance, la STEG vise encore plus à mettre à la disposition de ses clients des services d'une qualité comparable à celle fournie par les meilleures entreprises d'électricité et de gaz du bassin méditerranéen. C’est pour cette raison qu’elle cherche continuellement à améliorer ses moyens de production, de commercialisation et de gestion. 2) Chiffres clés D’après son rapport d’activité de l’année 2011 on constate clairement en étudiant les statistiques fournies (voir Tableau 13) que la STEG est en perpétuelle croissance soit en chiffre d’affaires, en investissement, en production qu’en nombre de sa clientèle et ses employés. Cette croissance revient au développement et à la maîtrise des nouvelles technologies que se soit en production de gaz et d’électricité ainsi qu’en technologies de l’information et de communication qui présentent le socle de toutes les activités de l’entreprise. Aussi cette performance tient sa raison de la détermination des responsables de la STEG à offrir toujours des produits et services innovants. Tout ceci impose à la STEG de maintenir un niveau de qualité et de sécurité élevé de ses services, ses produits et ses moyens afin de préserver sa position, améliorer sa compétitivité et atteindre ses visions.
53
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Tableau 13 : Les chiffres clés de la STEG
Source : rapport d’activité de la STEG de l’année 2011 (remarque : les rapports de la STEG sont toujours publiés avec l’écart d’une année d’exercice).
54
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
3) Organigramme
Figure 23 : Organigramme générale de la STEG
II. La direction d’audit interne de la STEG 1) Historique et évolution de la fonction d’audit interne de la STEG Le processus d’audit interne a démarré en 1972 avec la recommandation du réviseur légal des comptes de la STEG à la direction générale de lancer une cellule d’audit interne. Depuis sa création, la fonction d’audit interne a connu des évolutions au niveau de sa structure, son organisation, ses attributions, sa méthodologie et son image.
55
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Chronologie des évolutions de la fonction d’audit interne : 1972 : démarrage de la fonction et la mise en place d’un « Service Inspection » relevant de la « Division Financière ». 1974 : cette inspection est devenue la «Division Inspection Comptable et Financière », rattachée à la «Direction Contrôle de Gestion ». 1975 : changement de la dénomination de cette division en « Audit Interne Comptable et Financier ». 1978 : la division « Audit Interne Comptable et Financier » devient un département indépendant dénommé « Audit et Inspection ». 1985 : dans le cadre des projets de développement de l’informatique à la STEG, un noyau « Assistance et Audit Informatique » a été créé et rattaché à la « Direction Générale ». 1987 : cette année a été caractérisée par le renforcement de la fonction audit au travers du
lancement de l’«Audit Technique ». A ce niveau, l’audit de gestion, l’audit informatique et l’audit technique fonctionnent chacun d’une manière indépendante durant plusieurs années tout en étant rattachés à la « Direction Générale ». 1992 : création de la « Direction Audit » regroupant ainsi les trois unités d’audit : « Gestion, Informatique et Technique ». 1993 : la fonction « Prévention Sécurité » a été séparée de l’audit technique et a été rattachée à la « Direction des Affaires Générales », marquant ainsi une orientation en faveur d’une indépendance de la fonction d’audit. En même année l’audit technique a été divisé en deux structures indépendantes : « Audit Technique Electricité » et « Audit Technique Gaz ». Dés 1993 jusqu’à nos jours : la « Direction Audit » a gardé sa structure qui comporte jusqu’à cet instant quatre départements : Département Audit Technique Electricité Département Audit Technique Gaz Département Audit de Gestion Département Audit Informatique Á remarquer que cette direction effectue, en plus des missions d’audit, un nombre de missions de suivi de la mise en œuvre des plans d’actions, ainsi que des enquêtes spécifiques et des expertises (selon les besoins de l’entreprise) sur les deux niveaux centrale et régional. Aussi elle participe constamment aux travaux des commissions et groupes de réflexion internes, dans une logique de coordination avec toutes les structures et divisions de la STEG afin de contribuer efficacement à la performance des activités de celle-ci. 56
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Il est important de mentionner que la fonction d’audit interne a fait des énormes progrès depuis sa mise en place en 1972. Le premier objectif de cette fonction a consisté à faire un « Audit de Régularité / de Conformité » par rapport aux règles internes à la STEG et aux dispositions légales et réglementaires locales et internationales régissant son secteur d’activité. Depuis ses premières variantes et jusqu’à aujourd’hui, la direction d’audit interne de la STEG n’a cessé et ne cesse de chercher à faire évoluer ses approches d’audit. Ainsi dans sa quête d’efficacité, elle a enrichi l’approche existante par l’intégration progressive du volet « Audit d’Efficacité » qui se préoccupe d’émettre une opinion non seulement sur la bonne application des règles et procédures mais aussi sur leur qualité. Puis elle a instauré peu à peu l’ « Audit de Performance » qui englobe à la fois la notion d’efficacité et d’efficience. Toutes ces évolutions empruntaient les lignes directrices de principales normes et référentiels d’audit sur le marché. 2) Activités de la direction d’audit interne Pour donner une assurance raisonnable quant à l’efficacité et l’efficience, la conformité, la qualité ainsi que la sécurité des activités principales de la STEG (la production, la distribution et le transport de l’électricité et du gaz) et ses autres activités annexes (administrative, commerciale, informatique, comptable, financière …) la direction d’audit interne planifie et exécute annuellement plusieurs missions au niveau de ses quatre départements d’audit. Ces missions s’étalent sur plusieurs domaines et traitent plusieurs éléments comme présentés dans ce tableau. Tableau 14 : Domaines d'intervention de la direction d'audit interne de la STEG Domaine Financier Administratif Juridique Moyens généraux Production, Transport et Distribution Projets d’équipement Informatique
Comptabilité Générale Filiales
Missions Audits de la trésorerie, des emprunts, de règlement des fournisseurs, des budgets … Audits de la gestion du personnel, de la paie, de la formation du personnel … Audit de la conformité aux lois et réglementations locales et internationales. Audits de l’entretien des bâtiments/mobilier, de la gestion du parc véhicules… Audits de de la production, du transport et de la distribution du l’électricité et du gaz. Audits des nouvelles acquisitions et des projets d’aménagement… Audit de la sécurité des équipements, des applications informatiques et/ou des réseaux Audit de la qualité des services informatiques Audit de la conformité aux règlementations Audit de la gestion des projets informatiques … Audits des rubriques les plus significatives des états financiers (immobilisations, stocks, créances, dettes à long, moyen et court terme…) L’examen des états financiers Diagnostic de gestion Projections commerciales et financières…
57
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
En étudiant les rapports annuels de la STEG sur la période de l’année 2007 à l’année 2011 on a recensé un grand nombre de missions d’audit, de suivi et de mise en œuvre, ainsi que des enquêtes et des expertises qui ont été planifiées et exécutées par la direction d’audit interne. Le tableau suivant présente la répartition des ces missions par département d’audit : Tableau 15 : Répartition des missions d'audit par département d’audit Missions Missions d’audit technique électricité Missions d’audit technique gaz Missions d’audit informatique Missions d’audit de gestion Nombre total de missions
2007 12 22 12 73 119
2008 35 18 15 73 141
2009 39 21 22 67 149
2010 33 23 32(1) 65 153
2011 35 23 22 58 138 (2)
(1) 7 missions ont été reconduites du plan d’audit 2009 (2) 4 missions d’audit hors plan : 2 missions d’audit informatique, 2 missions d’audit technique électricité Source : d’après les rapports annuels de la STEG des années : 2007 - 2008 - 2009 - 2010 – 2011
3) Problématique et mission du stage Vu l’expansion des activités de la STEG et pour faire face aux exigences accrues de sa clientèle et aux différents risques internes et externes ainsi qu’aux mutations technologiques, la direction d’audit interne doit continuellement faire évoluer ses approches, méthodes et outils d’audit afin d’améliorer les dispositifs de contrôle interne associés aux procédures, informations, opérations, organisations et structures de l’entreprise. Cette même logique s’incline aussi sur les dispositifs de contrôles associés aux SI qui présentent le socle des activités de la STEG. Ainsi dans la quête de l’excellence et pour mieux organiser leurs travaux les auditeurs informatiques de la STEG doivent chercher toujours des nouvelles solutions et développer des nouveaux outils d’audit afin d’aider à maintenir des SI en meilleur état. Ma mission lors de ce stage était de contribuer à l’amélioration des méthodes et outils d’audit des SI tout en déployant les savoirs et acquis issus de mes études en master et de mes propres lectures. Mes tâches vont ainsi allez du diagnostic de l’état des lieux de la STEG en matière d’audit des SI, à la présentation d’une solution jusqu’à son implémentation.
58
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Chapitre4 : Élaboration d’un générateur de guides d’audit sur la base de l’approche Cobit 4.1 I.
États des lieux de la STEG en matière de management et d’audit des systèmes d’information 1) Activités de la direction des systèmes d’information de la STEG
Parmi les nombreuses divisions de la STEG, la DSI est considérée comme la dynamo de son organisation structurelle, elle a pour rôle de développer, gérer et maintenir les ressources des SI et aussi d’apporter des réponses et solutions aux différents besoins des métiers afin qu’ils puissent contribuent efficacement à la réalisation des objectifs stratégiques de l’entreprise. Durant la période allant de l’année 2007 jusqu’à l’année 2011, la DSI de la STEG a exécute plusieurs activités et tâches, dont on a recensé les suivantes (24) : L’alignement des projets informatiques sur les objectifs stratégiques de la STEG, dans une approche globale de réduction des coûts et de création de la valeur. L’établissement du schéma directeur des SI basé sur une démarche d’urbanisation du SI clientèle. L’actualisation des structures telles que : MPDS : Management des Projets et Développement Personnel. CSIC : Comité SI et de Communication. La restructuration de COPIL : comité de pilotage. La mise en place d’un PMO (Project Management Office) : bureau de gestion des projets SI. C’est un support stratégique à la DG et méthodologique aux chefs de projets SI. Le développement des projets informatiques : EAI : Entreprise Application Integration. SIPAD : Système d’Information d’Aide à la Décision. GMAO : progiciel de Gestion de Maintenance Assistée par Ordinateur. SIG : Système d’Information Géographique. SIRH : Système d’Information des RH. E-Com : communication électronique. La documentation des projets SI (pour la gestion des activités informatiques et pour assurer la pérennisation du SI générale). (24)
Etude faite à partie des rapports annuels de la STEG pour la période de l’année 2007 à l’année 2011.
59
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
L’acquisition, le déploiement, le test et la mise en œuvre des progiciels et systèmes : Progiciel de gestion d’achat et du stock. Progiciel de gestion financière et de gestion de la comptabilité (AMIN). Plateforme de développement, test et de production des projets informatiques. L’externalisation de quelques services et gestion des contrats avec les tiers. La planification, la gestion et la mise à niveau des plans de formation du personnel SI. La gestion des centres d’assistance et de relation à distance avec les clients, exemple : Centre National des Services Distants (CNSD). La mise en place d’une solution de gestion du parc et de support aux utilisateurs (helpdesk). La maintenance et le développement de l’infrastructure informatique. Vu le volume des activités de la STEG et notamment celles de la DSI et dans une quête de la qualité ultime, les responsables ont mis en place depuis plusieurs années un système de management de la qualité (SMQ) sur la base de la norme internationale ISO 9001. Ce système a été déployé et le sera encore progressivement sur l’ensemble des unités organisationnelles, y compris celles de la DSI, au moyen d’une cellule de qualité. On compte jusqu’à 2010, 50 unités certifiées ISO 9001. Á remarquer que ce SMQ hérite de la démarche universelle de gestion de la qualité PDCA (voir Figure 24), qui comporte quatre étapes, dont chacune entraînant l'autre, et qui vise à établir un cercle vertueux dont la mise en place permettra d'améliorer sans cesse la qualité d'un produit, d'un service, d’une structure ou d’une procédure.
Figure 24 : Principe de la boucle d'amélioration continue (PDCA)(25)
(25)
Boucle d’amélioration continue ou la roue de Deming c’est une illustration de la méthode de gestion de la qualité dite PDCA (Plan-Do-Check-Act). Son nom vient du statisticien « William Edwards Deming ». Ce dernier n'a pas inventé le principe du PDCA (la paternité en revient à « Walter A. Shewhart »), mais il l'a popularisé dans les années 1950 en présentant cet outil (sous le nom de cycle de Shewhart, « the Shewhart cycle ») au « Nippon Keidanren », l'organisation patronale japonaise.
60
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Ce SMQ s’intègre dans une stratégie globale d’amélioration continue des activités, des services, des produits et des structures de la STEG et qui a été adopté par la direction générale. Cette stratégie est opérée aussi au moyen d’autres systèmes de management et des organes de contrôle, à savoir : Un Système de Management de l’Environnement (SME) basé sur la norme ISO 14001. Un Système de Management de la Qualité des Laboratoires d'Etalonnages et d'Essais (SMQLEE) basé sur la norme ISO/CEI 17025 (et qui est fondé sur la norme ISO 9001). Un Système de Management de la Santé et de la Sécurité au Travail (SMSST) basé sur la norme OHSAS 18001. Un projet RSO : projet de « Responsabilisation Sociétale des Organisations » basé sur la norme ISO 26000. Une cellule qualité pour la mise en place du SMQ, l’assistance et la certification des unités. Une cellule « Risk Management » pour la gestion et la maîtrise des risques, y compris les risques informatiques. Une direction d’audit : chargée de la garantie et de l’amélioration des dispositifs de contrôle interne au moyen de missions d’audit, de suivi et de mise en œuvre tout en collaborant avec les autres structures de la STEG et/ou en faisant recours à des experts externes. 2) L’approche de la direction d’audit interne de la STEG en matière d’audit des systèmes d’information La direction d’audit interne s’intègre aussi bien dans la stratégie globale d’amélioration continue adoptée par la STEG. Sa tâche consiste à apporter une assurance raisonnable aux dirigeants quant à la bonne mise en place des dispositifs de contrôle interne en menant des missions d’audit tout en se référant à des cadres de référence et des normes internationales. Etant donné la position centrale qu’occupent les SI dans l’organisation de l’entreprise et vu le volume et la diversité des activités de la DSI de la STEG, des audits portant sur ces SI seront d’une importance vitale pour assurer la performance de l’entreprise et sa pérennité. La STEG a été parmi les premières entreprises tunisiennes à déployer des moyens et des structures (département d’Audit Informatique, une cellule « Risk Management ») pour mener des missions d’audits spécifiques à ses SI chaque année afin de vérifier, valider et améliorer les dispositifs de contrôle interne leurs sont associés (voir Tableau 15). Lors de leurs missions, les auditeurs informatiques de la STEG se référent à plusieurs réglementations et lois en vigueur ainsi que de référentiels et normes internationales, tels que : 61
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
ISO 9001, ISO 14001, ISO 26000, OHSAS 18001 et qui forment des cadres globaux d’assurance pour les différentes activités et ressources de l’entreprise (y compris celles des SI) selon différentes perspectives. ISO 13335, ISO 17799, la famille ISO 2700X, ITIL V3, PRINCE2 … qui sont des normes et des cadres de références spécifiques aux SI. Ces missions d’audit menées par le département d’audit informatique soit qu’elles font partie des missions globaux d’assurance (tels que : l’audit de performance, l’audit de qualité, l’audit de conformité …), soit qu’elles sont des missions d’audits spécifiques se focalisant sur l’aspect opérationnel de la fonction informatique et cherchant à décerner les défaillances techniques des TI implémentées par la STEG et les risques informatiques potentiels. Bien qu’elles apportent des résultats remarquables et contribuent à l’amélioration des dispositifs de contrôle interne, reste que ces missions ne traitent pas les SI d’une manière intégrale, ce qui peut ne pas donner une vraie image sur l’état globale des SI. Par exemple en matière de la sécurité des SI, des missions d’audit traitant juste la sécurité des applications informatiques ou la sécurité physique des ressources matérielles, ne garantissent pas à 100% la pérennité des SI, qui peuvent être contrariés par exemple par des risques d’autres natures, tels que les risques humains (mauvaises utilisation, fraude ….) ou des risque stratégiques (telles que : la défaillance de la stratégie numérique, la défaillance de la stratégie de sécurité ou suite à une défaillance organisationnelle). En fait le département d’audit informatique ne dispose pas d’une démarche d’audit systématique, cohérente et transversale, couvrant l’ensemble des activités des SI. En réalité les auditeurs informatiques de la STEG opèrent d’une manière artisanale suivant les besoins en audits explicités par les responsables métiers ou la direction générale, ou suite aux défaillances détectées. En plus les auditeurs se référent à une variété des normes et référentiels ce qui peut affecter la cohérence des missions d’audit réalisées. Ce présent travail s’établit dans le cadre de la recherche d’une solution qui répondra à ces manquements. La base de la solution sera fonder sur l’approche de cadre de référence Cobit 4.1 en vertu de sa qualification en tant qu’un cadre fédérateur
(26)
de référence, sa démarche processus
transversale ainsi que ses nombreux avantages en matière d’audit des SI, qu’on va essayer de les maître en œuvre au moyen d’un générateur de guides d’audit basé intégralement sur cette approche. (26)
Cobit 4.1 est un cadre fédérateur de référence en matière des SI par excellence, il organise, unie et favorise la convergence d’un grand nombre de bonnes pratiques issues de plusieurs standards et normes internationales.
62
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Un autre constat qui a favorisé ce choix, c’est qu’une telle solution s’intègrera belle et bien dans la stratégie globale de l’amélioration continue adoptée par la direction générale de la STEG. En fait Cobit4.1, intègre le principe de la boucle d’amélioration continue PDCA et les bonnes pratiques de la norme internationale de qualité ISO 9001 dans sa démarche processus. Ce dernier constat va faciliter l’appréhension de l’approche Cobit4.1 par les auditeurs de la STEG et va leur permettre de l’incorporer aisément dans leurs missions et activités d’audit au moyen des produits résultant de ce présent travail.
II.
Élaboration du générateur des guides d’audit : démarche et résultats 1) Présentation générale
C’est dans le cadre de la contribution à l’amélioration des méthodes et outils utilisés par les auditeurs informatique de la STEG et en réponse aux manquements détectés lors de l’étude des états des lieux réalisée tout en essayant d’exploiter les avantages du cadre de référence Cobit4.1 en matière d’audit des SI, que se situe ce travail. La solution à proposer sera matérialiser en un générateur de guides d’audit traduisant l’approche Cobit, permettant ainsi aux auditeurs de planifier, cadrer et exécuter des missions d’audits cohérentes, complémentaires, opérantes dans une même logique, couvrant l’intégralité des activités des SI, alignées sur les exigences métiers au niveau le plus général et ouvertes sur les bonnes pratiques d’autres référentiels et normes plus spécifiques. L’élément central sur le quel se base l’approche Cobit4.1 en matière d’audit des SI ce sont les « objectifs de contrôle ». Pour auditer un élément des SI il faut tout d’abord selon cette l’approche identifier les objectifs de contrôle lui sont associés (il s’agit du principe de cadrage selon la terminologie Cobit) et par la suite les évaluer afin de détecter les points de faiblesses des contrôles mis en place, des éventuelles dysfonctionnements et/ou des risques potentiels. Une autre avantage de ces objectifs de contrôle ce qu’ils font référence à des bonnes pratiques d’un nombre de cadres et normes internationales ce qui va permettre aux auditeurs d’approfondir leurs missions et les enrichir par des évaluations et des investigations plus détaillées. Plusieurs autres éléments s’intègrent d’une manière ou d’une autre dans le volet audit de cadre de référence Cobit4.1 (voir Annexe 1), le produit à réaliser (le générateur de guides d’audit) va se baser principalement sur les éléments suivants :
63
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Les processus Cobit4.1 et leurs description Les objectifs métiers et les objectifs informatiques Les objectifs de contrôles, leurs descriptions et les pratiques de contrôle associées Les tableaux RACI Les critères d’information définis par Cobit4.1 Les différentes procédures d’évaluation des contrôles, de leurs résultats et des impacts de leurs faiblesses Le générateur de guides d’audit est un outil qui va aider les auditeurs informatiques de la STEG à planifier, organiser et exécuter différentes missions d’audits cohérentes et œuvrant dans une même logique selon l’approche de cadre de référence Cobit4.1. Ce générateur se composera d’: Un guide générique : qui présentera une plateforme depuis de laquelle vont être générés différents questionnaires en réponse à un éventail de missions. Cette plateforme sera établi intégralement à partir de la documentation Cobit4.1 en la matière, elle présentera tous les objectifs de contrôles Cobit4.1 et offrira un grand nombre d’évaluations associées à chacun de ces objectifs sous forme de questions soutenus par des renseignements et des conseils. Une carte de correspondance « Missions - Objectifs de contrôle » : c’est une carte clé qui permettra d’identifier les principaux objectifs de contrôle qui devront être évalués en réponse à une mission bien déterminée. Sur la base de ces objectifs identifiés, un questionnaire spécifique à la mission fixée sera généré par la suite. Un ensemble de tables de mappage : ces tables vont permettre aux auditeurs d’affiner leurs missions d’audit en se référant aux bonnes pratiques des autres cadres de références et normes internationales qui traitent le même objet d’une telle ou telle mission d’audit. Le cadre de référence Cobit4.1 offre cet avantage via ses objectifs de contrôle qui s’alignent sur les bonnes pratiques d’un grand nombre de standards et normes internationales. 2) Le guide générique (la plateforme de questionnaires d’audit) Cette plateforme à la quelle vont se référer les auditeurs informatiques de la STEG pour préparer leurs missions d’audit, comportera un ensemble des évaluations couvrant tous les processus et objectifs de contrôle de Cobit. Ces questionnaires génériques seront implémentés en feuilles Excel sur la base des conseils et des procédures d’évaluation proposés par des experts en la matière et édictés dans le guide d’audit Cobit4.1. L’organisation de cette plateforme va être de la manière suivante : 64
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Une feuille Excel pour chaque domaine de processus Cobit4.1, cette feuille va comporter toutes les évaluations et questions portant sur l’ensemble des processus de ce domaine et les objectifs de contrôle leurs sont associés. Ainsi on aura quatre feuilles correspondant aux quatre domaines suivants : Planifier et Organiser (PO) Acquérir et Implémenter (AI) Délivrer et Supporter (DS) Evaluer et Surveiller (SE) Pour chaque objectif de contrôle de chaque processus un ensemble d’évaluations sera présenté afin de vérifier l’efficacité des contrôles internes implémentés par rapport aux bonnes pratiques édictés par le cadre de référence Cobit4.1. En plus de ces quatre domaines qui couvrent l’ensemble des activités des SI, une feuille Excel sera dédiée aux évaluations concernant les contrôles applicatifs (CA) qui sont à la charge de la DSI et qui concernent le reporting financier et la sécurité des données et transactions financières (ces contrôles sont issus du cadre de référence de contrôle interne COSO en réponse aux exigences de la loi SOX et adoptés par Cobit4.1). À remarquer que les différentes évaluations que ce soit ceux portant sur les processus, les objectifs de contrôles associés ou les contrôles applicatifs (CA) sont issus des conseils et des procédures d’évaluation élaborés par les experts dans le guide d’audit Cobit4.1. Description du guide générique et ses composants Ce guide générique va mettre en œuvre plusieurs éléments de Cobit qui s’intègrent d’une manière et d’une autre au volet audit de cadre de référence Cobit4.1. L’élément pivot autour du quel s’organise l’approche audit de Cobit sont les « Objectifs de contrôle » (l’élément 3 de la Figure 25), ces objectifs décrivent « les exigences minimales pour garantir un contrôle efficace de chaque processus relatif aux SI ». Au niveau de ce guide générique on va respecter le modèle processus de Cobit4.1 qui est structuré en « Processus » (l’élément 2 de la Figure 25) groupés par « Domaine » (l’élément 1 de la Figure 25) afin de présenter tous les objectifs de contrôles. Pour chaque processus et pour chaque objectif de contrôle une description sera présentée permettant aux auditeurs de mieux comprendre le champ d’application et l’utilité de chacun des ces éléments.
65
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
En réalité, ce guide n’est pas à utiliser tel qu’il est, les clés d’exploitation de ce guide seront dans la carte de correspondance « Missions - Objectifs de contrôle » qui va permettre de cadrer les missions d’audit et de générer des questionnaires spécifiques en fonction de type de mission défini. Et à fin de guider les auditeurs informatiques dans leurs investigations lors de la phase d’exécution, des tests et des évaluations seront présentés au moyen de ce guide générique sous forme de « Questions types » (l’élément 4 de la Figure 25) et qui traduisent les conseils et les procédures d’évaluation proposés par des experts dans le guide d’audit Cobit4.1. Ces questions ont pour but de vérifier si les dispositifs de contrôles implémentés et relatives à un objectif de contrôle bien déterminé répondent aux exigences du cadre de référence Cobit4.1 en réalisant une « Evaluation » (l’élément 6 de la Figure 25) de ceux-ci par une réponse affirmative de type Oui/Non. En assistance aux travaux d’investigation des auditeurs un nombre des « Méthodes et des conseils » (l’élément 5 de la Figure 25) seront mis à leur disposition afin de les aider à bien évaluer les objectifs de contrôle en question. Ces conseils et méthodes sont mentionnés à titre indicatif, chaque auditeur peut se confier à d’autres méthodes, ses propres outils et son expérience en la matière. Les évaluations et les tests à effectuées peuvent faire intervenir des audités qui sont généralement les responsables des processus concernés par la mission en question. Ainsi dans ce guide et en se basant sur les tableaux RACI, une rubrique dénommée « Responsables » rattachée à la description de chaque processus (faisant partie de l’élément 2 de la Figure 25) mentionnera les responsables clés d’un tel ou tel processus vers qui l’auditeur peut s’orienter pour demander des explications ou des réponses à ses interrogations. Enfin une rubrique « Observations et remarques » (l’élément 7 de la Figure 25) sera consacrée aux auditeurs afin d’inscrire leurs remarques et observations sur l’ensemble des évaluations faites à chacun des objectifs de contrôle. Ces remarques et observations en plus des résultats des évaluations vont former la base des opinions et recommandations qu’ils vont mentionner dans le rapport d’audit qu’ils vont rédiger en fin de leurs missions. Á remarque que dans ce guide générique les contrôles applicatifs (CA) seront groupés dans un domaine titré « Contrôles Applicatifs » qui sera implémenté en une feuille Excel à part et qui peut être accédée par la barre de navigation d’en bas (l’élément 8 de la Figure 25). Cette barre de navigation permettra aussi de se déplacer entre les différents composants de ce générateur : la plateforme des questionnaires, la carte clé et les tables de mappage (en forme d’Annexes). 66
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Figure 25 : Le guide générique (la plateforme de questionnaires d'audit)
67
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
3) La carte de correspondance « Missions - Objectifs de contrôle » Cette carte est la pièce maitresse de ce générateur de guides d’audit, elle va présenter une clé qui permettra de générer des questionnaires spécifiques à des missions bien déterminées. Sous contrainte de temps, on n’a pas pu développer largement cette carte. Le choix a été fixé sur la mission « Audit de la sécurité globale des SI » afin de mettre en œuvre l’approche Cobit4.1 en matière d’audit. Le choix de cette mission s’avère plus que judicieux, vu l’importance de la sécurité des SI pour la STEG qui opère dans un secteur assez sensible et aussi en raison de la nature de cette mission qui traverse les SI de bout en bout ce qui va permettre de mettre en application toutes les particularités et les avantages de cadre de référence fédérateur Cobit4.1. a) Etude de cas : « Audit de la sécurité globale des SI » Approche Cobit4.1 en matière de la sécurité des systèmes d’information Les SI d’entreprise se confrontent à un grand nombre de risques de différents types qui attaquent l’intégrité, la confidentialité, la disponibilité, la traçabilité des informations, ainsi que la sécurité physique et logique des dispositifs matériels et logiciels et autres éléments et dimensions des SI. Le tableau suivant expose plusieurs exemples de ces risques en les groupant par famille. Tableau 16 : Les familles de risques pouvant contrarier le fonctionnement des SI Famille des risques Risques stratégiques Risques humains
Risques physiques
Risques logiques
Risques externes (risques réseaux) Risques liés aux partenaires Risques juridiques
Exemples Défaillance de la stratégie numérique et de sécurité Mauvaise organisation (failles organisationnelles) Manque des compétences, d’adhésion à la politique de l’entreprise Mauvaise utilisation (erreurs d’exécution) Malveillance, négligence Divulgation des données critiques Abus, usurpation des droits, fraude Accès non autorisés Indisponibilité ou départ d’un homme clé Vols ou destruction du matériel informatique Dommages matériels et logiciels (exemple : altération des BD) Sinistres : incendies, inondations ….. Déni de service à cause de saturation Maintenance insuffisante Dysfonctionnements des applications et systèmes Applications et systèmes non conformes aux spécifications Erreurs de conception, bogues logiciels Pertes des données Espionnage : analyse de trafic, intrusion Virus, programmes malveillants Vols et altération des données Externalisation Défaillance d’un fournisseur pou d’un prestataire de service Contrats avec les prestataires et les sous-traitants. Nouvelles réglementations. Evolution des structures juridiques.
68
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Selon ce tableau les risques informatiques sont de plusieurs origines : stratégique, managériale, opérationnel (utilisateurs des SI), comme ils infectent presque toutes les ressources des SI : les informations, les applications, les équipements, les installations ainsi que les processus de management. En raison de tous ces faits, la sécurité des SI s’impose comme un besoin vital pour les entreprises afin de se protéger contre cette variété des risques, d’assurer la continuité de leurs activités et de garantir leurs pérennités. Le cadre de référence Cobit 4.1 répond parfaitement à la mission « Audit de la sécurité globale des SI » par son modèle processus qui couvre l’ensemble des activités et les différentes ressources des SI, en plus de ses nombreux avantages, tels que : l’alignement des ses bonnes pratiques sur les besoins des métiers et l’intégration des plusieurs bonnes pratiques d’autres référentiels d’audit (notamment la norme ISO 27002 en matière de sécurité de l’information) offrant ainsi aux auditeurs un cadre générale pour évaluer la sécurité des SI. Selon l’approche Cobit 4.1 les exigences en matière de la sécurité des SI doivent couvrir et satisfaire trois critères parmi les sept critères d’information qu’il définit, à savoir : la confidentialité, l’intégrité et la disponibilité (voir Figure 26), et cela afin de s’assurer d’une manière générale que : Les SI sont disponibles et utilisables en cas de besoin, et qu’ils peuvent résister aux attaques et être récupérés suite à des échecs (disponibilité). L'information est observé par ou divulguée à uniquement ceux qui ont le droit d’accès (confidentialité). L'information est protégée contre toute modification non autorisée ou d'une altération de sorte que la précision, l'exhaustivité et la validité seront maintenues (intégrité).
Figure 26 : Les exigences du cadre de référence Cobit4.1 en matière de la sécurité des SI (critères d’information)
69
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Cadrage de la mission « Audit de la sécurité globale des SI » Le principe de cadrage des objectifs de contrôles selon l’approche Cobit4.1 consiste à identifier ceux qui répondent aux besoins en sécurité des SI (pour ce cas d’étude), dans une démarche descendante allant des exigences métiers vers les processus en passant par les objectifs informatiques (principe de cascade des objectifs comme décrit dans la Figure 12). Les auditeurs peuvent se référer ainsi aux tableaux présentés par le cadre de référence Cobit4.1 (voir Annexe1) qui permettent de faire les liens entre les objectifs métiers, les objectifs informatiques et les processus Cobit à fin d’appliquer ce principe. Ils doivent tout d’abord fixer les objectifs informatiques, ceux qui traitent l’objet à auditer ou le thème de la mission d’audit, afin d’identifier l’ensemble des processus informatiques œuvrant à la réalisation de ces objectifs. Par la suite les auditeurs devront extraire les objectifs de contrôle en relation étroite avec le sujet de la mission parmi l’ensemble des objectifs de contrôle des processus identifiés et cela peut être réalisé sur la base des descriptions de chaque objectif de contrôle et/ou les énoncés des valeurs et des risques lui sont associées. Démarche de cadrage suivie : La démarche qu’on va suivre s’inspire largement du processus de cadrage décrit par le cadre de référence Cobit4.1. Dans cette démarche on va commencer du générale vers le personnalisé, en passant par différents niveaux de cadrage qui sont : Premier niveau de cadrage « Cadrage de haut niveau » : Dans cette étape nous allons nous référé au tableau reliant les objectifs informatiques au processus Cobit4.1 (voir Figure 27), en choisissant comme inducteur pour ce cadrage initial de cette mission les critères d’information qui répondent aux exigences de la sécurité des SI à savoir : la confidentialité, l’intégrité et la disponibilité. Ceci va nous permettre d’identifier en premier lieu tous les processus concernés par la mission (les processus encadrés en rouge dans la Figure 27) et par conséquent tous les objectifs de contrôle leurs sont associés. On parle alors de la sécurité globale des SI , une sécurité qui touche tous les niveaux organisationnels et les différentes ressources de l’entreprise, cela est bien remarqué par le grand nombre des processus et objectifs de contrôle identifiés. À remarquer que selon le même tableau décrit, les processus Cobit sont qualifiés soit de prioritaire (P) ou de secondaire (S) par rapport aux différents objectifs informatiques. Dans cette première étape de cadrage on va prendre en compte tous les processus que ce soit prioritaires (P) ou secondaire (S) tout en préservant ces indications pour une étape ultérieure. 70
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Figure 27 : Cadrage de haut niveau de la mission « Audit de la sécurité globale des SI »
71
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Deuxième niveau de cadrage : « Identification des objectifs de contrôle initiaux » Une fois les processus informatiques fixés, la suite consiste à identifier les objectifs de contrôle qui sont en rapport direct avec la mission parmi l’ensemble des objectifs des processus sélectionnés. Une manière de faire consiste à parcourir tous les processus sélectionnés et à la lumière de la description de chaque objectif de contrôle extraire ceux qui correspondent le plus à la mission et qui vont être objets des évaluations à effectuées par les auditeurs. Le résultat de cette étape sera un tableau qui comprendra tous les objectifs de contrôle en question groupés par processus et par domaine (Tableau 17). À ces objectifs de contrôle nous ajouterons la liste des contrôles applicatifs (CA) répondant aux exigences de reporting financier et qui concernent les données et transactions financières automatisées. Troisième niveau de cadrage : « Affinement du cadrage » Cobit4.1 présente une démarche trop élaborée pour l’affinement du processus de cadrage, cette démarche consiste à ne garder parmi les objectifs de contrôle identifiés dans le premier niveau que ceux qui sont critiques (dont la non-atteinte aura des effets significatifs sur le bon fonctionnement des SI et par conséquent sur la pérennité de l’entreprise) et qui correspondent aux ressources les plus impliquées par la mission. Ainsi dans ce cas d’étude en se référant au tableau résultant de l’étape précédente (Tableau 17) on va restreindre la liste des objectifs de contrôle identifiés en se limitant aux processus prioritaires (P) pour un premier niveau d’affinement ce qui va donner lieu à une liste plus restreinte des processus et des objectifs de contrôle (mentionnés en surbrillance dans le même tableau 17). Pour restreindre plus encore le périmètre de cette mission on peut se référer aux descriptifs de ces objectifs de contrôle et/ou les énoncés des risques et des valeurs leurs sont associés afin de déterminer ceux les plus critiques et qui correspondant aux ressources les plus impliquées par cette mission comme décrit dans la démarche Cobit. Ce processus de cadrage permet de limiter le champ d’investigation pour la mission « Audit de la sécurité globale des SI » à une liste d’objectifs de contrôle critiques. Cette liste va alimenter la carte des correspondances « Missions - Objectifs de contrôle ». Reste que ça sera mieux de considérer cette mission comme un cadre générale afin de planifier et d’exécuter des missions plus spécifiques traitant chacune un volet de la sécurité des SI. Ainsi il sera judicieux qu’on opérera à un découpage de cette mission générale afin de raffiner la carte des correspondances « Missions - Objectifs de contrôle ». Dans ce dernier cas nous allons reconsidérer tous les processus prioritaires (P) et secondaires (S) et tous les objectifs de contrôle leurs sont associés pour cette mission générale. 72
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Tableau 17 : Liste des objectifs de contrôle correspondant à la mission « Audit de la sécurité globale des SI » Domaine Planifier et Organiser (PO)
Processus PO1 : Définir un plan informatique stratégique
PO2 : Définir l’architecture de l’information (x)
PO3 : Déterminer l’orientation stratégique PO4 : Définir les processus, l’organisation et les relations de travail
PO6 : Faire connaitre les buts et orientations du management (xxxx) PO7 : Gérer les ressources humaines et informatiques
PO8 : Gérer la qualité PO9 : Evaluer et gérer les risques (xx)
Acquérir et Implémenter (AI)
AI1 : Trouver des solutions informatiques
AI2 : Acquérir des applications et en assurer la maintenance
AI3 : Acquérir une infrastructure technique et en assurer la maintenance
AI4 : Faciliter le fonctionnement et l’exploitation
AI5 : Acquérir des ressources informatiques
AI6 : Gérer les changements (xx)
AI7 : Installer et valider les solutions et les modifications (xx)
Objectifs de contrôle PO1.2 : Alignement Métiers-Informatique PO1.4 : Plan informatique stratégique PO1.6 : Gestion de portefeuille informatique PO2.1 : Modèle d’architecture de l’information de l’entreprise PO2.2 : Dictionnaire et règles de syntaxe des données PO2.3 : Système de classification des données PO2.4 : Gestion de l’intégrité PO3.3 : Surveillance de l’évolution des tendances et de réglementation PO3.4 : Standards informatiques PO4.8 : Responsabilité des risques, de la sécurité et de la conformité PO4.9 : Propriété des données et du système PO4.10 : Supervision PO4.11 : Séparation des tâches PO4.13 : Personnel informatique clé PO4.15 : Relations PO6.2 : Risque informatique pour l’entreprise et cadre de contrôle PO6.3 : Gestion des politiques informatiques PO6.4 : Déploiement des politiques, des standards et des procédures PO6.5 : Communication des objectifs et des orientations informatiques PO7.1 : Recrutement et maintien de personnel PO7.2 : Compétences du personnel PO7.3 : Affection des rôles PO7.4 : Formation PO7.5 : Dépendance à l’égard d’individus PO7.6 : Procédures de sécurité concernant le personnel PO7.7 : Evaluation des performances PO7.8 : Changements de postes et départs PO8.3 : Standards de développement et d’acquisition PO9.1 : Référentiel de gestion des risques informatiques PO9.2 : Etablissement du contexte du risque PO9.3 : Identification des événements PO9.4 : Évaluation du risque PO9.5 : Réponse au risque PO9.6 : Maintenance et surveillance du plan d’action vis-à-vis risques AI1.1 : Définition des exigences métiers, techniques et fonctionnelles AI1.2 : Rapport d’analyse de risques AI1.3 : Etude de faisabilité et formulation d’alternatives AI2.2 : Conception détaillée AI2.3 : Contrôles applicatifs et auditabilité AI2.4 : Sécurité et disponibilité des applications AI2.5 : Configuration et implémentation des logiciels applicatifs acquis AI2.6 : Mise à jour majeurs des systèmes existants AI2.8 : Assurance qualité des logiciels AI3.1 : Plan d’acquisition d’une infrastructure technique AI3.2 : Protection et disponibilité des ressources de l’infrastructure AI3.3 : Maintenance de l’infrastructure AI3.4 : Environnement de test et faisabilité AI4.1 : Planification pour rendre les solutions exploitables AI4.2 : Transfer de connaissances aux métiers AI4.3 : Transfer de connaissances aux utilisateurs finaux AI4.4 : Transfert de connaissance aux équipes d’exploitation et support AI5.2 : Gestion des contrats fournisseurs AI5.3 : Choix des fournisseurs AI5.4 : Acquisition des ressources informatiques AI6.1 : Standards et procédures de changement AI6.2 : Évaluation de l’impact, choix des priorités, autorisation AI6.3 : Modification d’urgence AI6.4 : Suivi et compte-rendu des changements AI6.5 : Clôture et documentation des changements AI7.1 : Formation AI7.2 : Plan de test AI7.3 : Plan d’implémentation AI7.4 : Environnement de test AI7.5 : Conservation de système des données AI7.6 : Tests des modifications AI7.7 : Tests de recettes définitives AI7.8 : Mise en production AI7.9 : Revue post-implémentation
73
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Délivrer et Supporter (DS)
Surveiller et Evaluer (SE)
Contrôles applicatifs (CA)
DS1 : Définir et gérer les niveaux de services
DS1.3 : Contrats ou convention de services (CS) DS1.5 : Surveillance et comptes rendu des niveaux de services DS1.6 : Revue des conventions de services et contrats DS2 : Gérer les services tiers DS2.3 : Gestion du risque fournisseurs DS2.4 : Surveillance des performances fournisseurs DS3 : Gérer la performance et la capacité x DS3.4 : Disponibilité des ressources informatiques DS4 : Assurer un service continu DS4.1 : Référentiel de continuité informatique (xxx) DS4.2 : Plans de continuité informatique DS4.3 : Ressources informatiques critiques DS4.4 : Maintenance du plan de continuité des SI DS4.5 : Tests du plan de continuité des SI DS4.8 : Reprise et redémarrage des services informatiques DS4.9 : Stockage de sauvegardes hors site DS5 : Assurer la sécurité du système DS5.1 : Gestion de la sécurité informatique (xxxxx) DS5.2 : Plan de sécurité informatique DS5.3 : Gestion des identités DS5.4 : Gestion des comptes utilisateurs DS5.5 : Tests de sécurité, vigilance et surveillance DS5.6 : Définition des incidents de sécurité DS5.7 : Protection de la technologie de sécurité DS5.8 : Gestion des clefs de chiffrement DS5.9 : Prévention, détection et neutralisation des logiciels malveillants DS5.10 : Sécurité des réseaux DS5.11 : Echange de données sensibles DS9 : Gérer la configuration DS9.1 : Référentiel de configuration et configuration de base (x) DS9.2 : Identification et maintenance des éléments de configuration DS9.3 : Revue d’intégrité des configurations DS10 : Gérer les problèmes DS10.1 : Identification et classification des problèmes DS10.2 : Suivi et résolution des problèmes DS10.3 : Clôture des problèmes DS11 : Gérer les données DS11.1 : Exigences des métiers pour la gestion des données (xx) DS11.2 : Dispositifs de stockage et de conservation DS11.3 : Système de gestion de la médiathèque DS11.4 : Mise au rebut DS11.5 : Sauvegarde et restauration DS11.6 : Exigences de sécurité pour la gestion des données DS12 : Gérer l’environnement physique DS12.1 : Sélection de site et agencement (xxxx) DS12.2 : Mesures de sécurité physiques DS12.3 : Accès physique DS12.4 : Protection contre les risques liés à l’environnement DS12.5 : Gestion des installations matérielles DS13 : Gérer l’exploitation DS13.3 : Surveillance de l’infrastructure informatique (x) DS13.4 : Documents sensibles et dispositifs de sortie DS13.5 : Maintenance préventive du matériel SE1 : Surveiller et évaluer la performance du SI SE1.2 : Définition et collationnement des données SE1.4 : Evaluation de la performance SE1.5 : Comptes rendus destinés au CA et à la DG SE1.6 : Actions correctives SE2 : Surveiller et évaluer le contrôle interne SE2.1 : Surveillance de référentiel de contrôle interne (xx) SE2.4 : Autoévaluation du contrôle SE2.5 : Assurance du contrôle interne SE2.6 : Contrôle interne des tiers SE3 : S’assurer de la conformité aux obligations SE3.1 : Identification des obligations externes : lois, règlements, contrats externes SE3.2 : Optimisation de la réponse aux obligations externes SE3.3 : Evaluation de la conformité aux obligations externes SE3.4 : Assurance positive de la conformité SE4 : Mettre en place une gouvernance des SI SE4.5 : Gestion des risques SE4.7 : Assurance indépendante CA1 : Autorisation et préparation des données source CA2 : Collecte et saisie des données source CA3 : Vérifications d'exactitude, d'exhaustivité et d'authenticité CA4 : Intégrité et validité du traitement CA5 : Vérification des sorties, rapprochement et traitement des erreurs CA6 : Authentification et intégrité des transactions
Remarque : Les processus en surbrillance sont les processus qualifiés de prioritaires (P). Le degré de priorité de chaque processus est calculé selon le nombre de fois qu’un processus est impliqué en matière de sécurité des SI (voir Figure 27). Ce degré de priorité est mentionné par des marques (xxx). Les contrôles applicatifs (CA) font partie des contrôles à haut degré de priorité, pour cette mission « Audit de la sécurité globale des SI ».
74
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Découpage de la mission « Audit de la sécurité globale des SI » en sous-missions spécifiques La mission type choisi pour ce cas d’étude s’étend sur le large des SI impliquant presque toutes les ressources matérielles, logicielles, humaines ainsi que les informations et les procédures, et touche les dimensions stratégiques et managériale des SI qui peuvent présenter des risques et des problèmes de sécurité. Comme discuté dans la section précédente il sera alors plus judicieux de découper cette mission en sous-missions d’audit traitant chacune un besoin bien déterminé en sécurité. Ainsi cette mission « Audit de la sécurité globale des SI » pourra être considérée au niveau de la phase de planification comme un cadre pluriannuel ou annuel traitant la sécurité des SI. Une première idée de découpage de cette mission générale consiste à s’inspirer du modèle processus de cadre de référence Cobit4.1, et cela en traitant tous les objectifs de contrôle identifiés soit par domaine ou par processus. Un tel découpage s’avère confus, en faite ce modèle fait interconnecter plusieurs processus de différents domaines à fin d’opérer ensemble dans le but d’atteindre un objectif informatique bien déterminé, ce qui rend cette idée de découpage non pratique. Plusieurs autres modèles de découpage peuvent être établis, comme : le découpage par structure le découpage par fonction le découpage par ressource le découpage par thème Le découpage le plus adapté à cette mission sera celui par thème en raison des spécificités des SI, et de la nature de la mission. Ce mode de découpage permet aussi d’intégrer toutes les différentes missions d’audit de la sécurité des SI que les auditeurs informatiques de la STEG ont eu généralement l’habitude à exécuter, sans tomber dans un découpage par processus trop spécifique et non adapté. Parmi les nombreuses publications de l’ISACA tournant tout autour du cadre de référence Cobit4.1, un guide du management, le « Cobit Security Baseline », fournit des conseils aux responsables et aux conseillés en sécurité
afin d’implémenter des dispositifs de contrôles permettant d’assurer la
protection des SI de tous risques. Ces conseils et directives sont élaborés sur la base des pratiques de contrôles associées aux différents objectifs de contrôle Cobit.
75
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
En se référant à ce guide et en l’étudiant on a pu ainsi éventailler la mission « Audit de la sécurité globale des SI » en un nombre de sous-mission tout en spécifiant les objectifs de contrôle propres à chacune (voir Tableau 18). Ces sous-missions sont : Audit du management de la sécurité des SI : cette mission consiste à vérifier la stratégie sécuritaire mise en place par la direction, l’organisation des SI et les responsabilités ainsi que le processus de communication en matière de la sécurité. Audit des risques informatiques : cette mission consiste à vérifier le processus de gestion des risques informatiques et l’existence d’un plan d’action pour faire face aux risques potentiels. Audit des risques associés au personnel : cette mission consiste à vérifier le degré d’implication du personnel dans la politique sécuritaire de l’entreprise. Audit de la sécurité des applications et infrastructures : cette mission consiste à vérifier la sécurité des ressources logiciels et matériels dés leurs acquisitions (ou développements pour le cas des applications et systèmes) jusqu’à leurs implémentations et leurs mises en œuvre. Audit de la sécurité des changements : cette mission consiste à vérifier la sécurité des systèmes et applications lors des différents changements apportés à ceux-ci. Audit de la sécurité des services fournis par des tiers : cette mission consiste à vérifier que les services offerts par des tiers respectent les politiques et les procédures de l’entreprise. Audit de la sécurité des services internes : cette mission consiste à vérifier que les services internes fournis par les SI de l’entreprise sont toujours disponibles, fiables, récupérables en cas d’échec protégés contre toute violation de la sécurité. Audit de la sécurité des données et transactions : cette mission consiste à vérifier que les contrôles mis en place pour assurer l’intégrité, l’accessibilité et la lisibilité des données et que ceux assurant la conformité des transactions aux règles et procédures de l’entreprise, existent et qu’ils sont efficaces. Audit de la sécurité physique : cette mission consiste à vérifier la sécurité physique des équipements matériels, des installations, des constructions et tous les biens informatiques de l’entreprise. Audit de la gouvernance des dispositifs de sécurité : cette mission consiste à vérifier la performance des dispositifs de sécurité mis en place, l’existence d’une assurance indépendante des mesures de sécurité établies et la conformité réglementaire des politiques et procédures de sécurité avec les normes et lois en vigueur.
76
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Tableau 18 : Découpage de la mission « Audit de la sécurité globale des SI » en sous-missions spécifiques(27) Type de mission d’audit Audit du management de la sécurité des SI
Audit des risques informatiques
Audit des risques associés au personnel en matière de la sécurité des SI Audit de la sécurité des applications et infrastructures
Audit de la sécurité des installations et des changements
Audit de la sécurité des services fournis par des tiers Audit de la sécurité des services internes
Audit des données et des transactions
Audit de la sécurité physique Audit de la gouvernance des dispositifs de sécurité
(27)
Objectifs de contrôle PO1 : 1.2, 1.4, 1.6 PO2 : 2.2, 2.3 PO3 : 3.4 PO4 : 4.8, 4.9, 4.10, 4.11, 4.15 PO6 : 6.2, 6.3, 6.4, 6.5 PO7 : 7.3 AI5 : 5.2 DS1 : 1.3, 1.5, 1.6 DS2 : 2.4 DS5 : 5.1, 5.2 PO2 : 2.3 PO7 : 7.4 PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6 AI1 : 1.1, 1.2 PO4 : 4.13 PO7 : 7.1, 7.2, 7.5, 7.6, 7.7 AI4 : 4.1, 4.2, 4.3, 4.4 AI7 : 7.1 PO8 : 8.3 AI1: 1.1, 1.2, 1.3 AI2 : 2.2, 2.3, 2.4, 2.5, 2.6, 2.8 AI3 : 3.1, 3.2, 3.3, 3.4 AI4 : 4.1, 4.4 AI5: 5.2, 5.3, 5.4 AI6 : 6.1 DS5 : 5.9 DS9 : 9.1, 9.3 PO8 : 8.3 AI2: 2.8 AI3: 3.4 AI6: 6.1, 6.2, 6.3, 6.4, 6.5 AI7: 7.2, 7.4, 7.6, 7.7, 7.8, 7.9 AI5 : 5.3 DS2 : 2.3, 2.4 SE2 : 2.6 PO2: 2.3 PO9: 9.3, 9.4 DS4: 4.1, 4.2, 4.3, 4.4, 4.5, 4.8, 4.9 DS5: 5.2, 5.3, 5.4, 5.5, 5.6, 5.7, 5.8, 5.9, 5.10, 5.11 DS10: 10.1, 10.2, 10.3 DS11 : 11.5, 11.6 DS12: 12.3, 12.5 DS13 : 13.4 AC6 DS4 : 4.9 DS5: 5.11 DS11: 11.2, 11.4, 11.6 AC1 AC2 AC3 AC4 AC5 AC6 DS12: 12.1, 12.2, 12.3, 12.4, 12.5 PO3 : 3.3 SE1: 1.2, 1.4, 1.5, 1.6 SE2: 2.1, 2.4, 2.5 SE3 : 3.1, 3.2, 3.3, 3.4 SE4 : 4.7
Voir Annexe2 pour une description plus détaillée de l’objectif et du périmètre de chacune de ses sous-mission.
77
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
b) Implémentation de la carte de correspondance « Missions - Objectifs de contrôle» Les besoins de la STEG en missions d’audit des SI sont nombreux, vu la diversification des activités de sa DSI et les différentes contraintes qui lui font face : contraintes de sécurité, de qualité, de coûts, contraintes environnementales et autres. Dans ce présent travail on a choisi comme mission type « Audit de la sécurité globale des SI » à fin de mettre en œuvre l’approche Cobit4.1 en matière d’audit des SI et de présenter un exemple à suivre pour les auditeurs de la STEG. En fait le produit de ce travail (le générateur de guides d’audit) est un outil qui va permettre d’automatiser la phase de cadrage de la démarche d’audit Cobit4.1 au moyen de la carte de correspondance « Missions Objectifs de contrôle » et de fournir en résultat des « Frameworks » (en forme de questionnaires spécifiques et des tables de mappage correspondant) pour différentes missions d’audit. Cette carte clé sera implémentée en un ficher Excel présentant tous les objectifs de contrôle Cobit4.1 organisée par processus et domaines (tel le modèle de processus Cobit4.1), et comportera une liste qui regroupera tous les travaux de cadrage, celui réalisé pour le cas de cette mission type et ceux qui seront à la charge des auditeurs de la STEG par la suite. Cette liste organisera l’ensemble des missions d’audit en une hiérarchie de missions et de sous-missions qui en découlent (voir Figure 28). Le rôle de cette carte sera de présenter aux auditeurs des pistes à suivre dans leurs missions en leur offrant des correspondances entre des missions d’audit (organisées par thème et sous thèmes) et les objectifs de contrôle Cobit4.1 relatifs à chacune. Elle présentera ainsi des modèles de cadrage pour un ensemble de missions d’audit et permettra de générer des questionnaires d’audit spécifiques en fonction de type de mission fixé (voir Tutoriel Annexe 3). Ce travail formera une base à partir de quelle sera établie une carte plus élaborée, pouvant contenir plusieurs autres missions d’audit telles que : Audit des projets informatiques Audit des services informatiques Audit des applications informatiques Audit de la performance des SI Audit de la qualité des SI Audit de la gouvernance des SI … À remarquer que tous ces missions peuvent être découpées en sous-missions comme c’était fait pour le cas de la mission « Audit de la sécurité globale des SI », permettant ainsi de former une hiérarchie de guides d’audit structurés, cohérents, complémentaires et œuvrant dans une même logique. 78
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Figure 28 : La carte de correspondances « Missions - Objectifs de contrôle »(28) (28)
Un tutoriel de cette application est présenté en Annexe3.
79
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Exemple 1 : Objectifs de contrôle correspondant à la mission générale « Audit de la sécurité globale des SI ».
Figure 29 : La carte de correspondance « Audit de la sécurité globale des SI - Objectifs de contrôle » (Exemple1)
80
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Exemple 2 : Objectifs de contrôle correspondant à la sous-mission « Audit de la sécurité des services internes ».
Figure 30 : La carte de correspondance « Audit de la sécurité des services internes - Objectifs de contrôle » (Exemple2)
81
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
4) Les tables de mappage Une des particularités de cadre de référence Cobit4.1, c’est qu’il organise, unie et favorise la convergence d’un grand nombre de bonnes pratiques issues de plusieurs standards et normes internationales, lui valant ainsi le titre d’un cadre fédérateur par excellence. Cet alignement de Cobit4.1 sur des référentiels plus spécifiques permet de mettre en place un ensemble hiérarchisé de guides d’audit bien élaborés, traitant les SI de plus haut niveau stratégique et managériale jusqu’au niveau opérationnel et purement technique. Le produit de ce présent travail : le « Générateur de guides d’audit » cherche à implémenter l’approche Cobit au moyen de tous ses sous-produits : la plateforme des questionnaires d’audit, la carte de correspondance « Missions – Objectifs de contrôle » et notamment des tables de mappage (qui font liens entre les objectifs de contrôle Cobit4.1 et les bonnes pratiques des autres standards et normes). En matière de la sécurité des SI Cobit4.1 fait référence via ses objectifs contrôle aux bonnes pratiques de plusieurs standards et normes internationales traitant ce même thème, on note particulièrement : le cadre de référence ITIL la norme ISO 13335 la norme ISO 15408 la norme ISO 20000 (inspirée des bonnes pratique de cadre de référence ITIL) la norme ISO 27002 (évoluée à partir de la norme ISO 17799) ….
Figure 31: Les principaux standards et normes informatiques qui traitent la sécurité des SI
82
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Pour le cas de la mission type fixée pour ce travail, la mission d’« Audit de la sécurité globale des SI », le standards ou la norme la plus adaptée au sujet traité est essentiellement la norme ISO/CEI 27002 : 2005 de la famille des normes ISO 2700X (voir Figure 32). Cette norme est en fait un code de bonnes pratiques pour la gestion de la sécurité de l'information qui présente trente-neuf objectifs de contrôle qui se déclinent eux-mêmes en cent-trente-trois mesures ou bonnes pratiques destinées à être implémentées par le management au moyen d’un « Système de Management de la Sécurité de l'Information » (SMSI).
Figure 32 : La famille des normes ISO 2700X
Cette norme définie la sécurité de l'information comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité », ainsi on remarque la forte similitude entre cette définition et l’approche Cobit4.1 concernant la sécurité des SI. Cet alignement entre Cobit et la norme ISO 27002 : 2005 permettra aux auditeurs de se référer via une table de mappage (Tableau 19) pour chacune des sous-missions de la mission générale « Audit de la sécurité globale des SI » à l’ensemble des bonnes pratiques de cette norme internationale afin d’approfondir leurs missions et de détailler leurs investiguassions. Á remarquer que cette table de mappage a été dressée par référence au guide de sécurité des informations (« Cobit Security Baseline ») établie par l’ISACA. Plusieurs autres tables de mappage peuvent être aussi dressées, alignant ainsi les objectifs de contrôles Cobit4.1 identifiés pour la mission générale « Audit de la sécurité des SI » et ses sous-missions dérivées avec les bonnes pratiques des autres référentiels concernés, tel que : ITILV3, ISO 13335, ISO 15408, ISO 20000 …
83
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information » Tableau 19 : Table de mappage Cobit 4.1 - ISO/CEI 27002 Type de mission d’audit
ISO/CEI 27002 : 2005
Objectifs de contrôle Cobit 4.1 PO1 : 1.2, 1.4, 1.6 PO2 : 2.2, 2.3 PO3 : 3.4 PO4 : 4.8, 4.9, 4.10, 4.11, 4.15 PO6 : 6.2, 6.3, 6.4, 6.5 PO7 : 7.3 AI5: 5.2 DS1 : 1.3, 1.5, 1.6 DS2 : 2.4 DS5 : 5.1, 5.2 PO2 : 2.3 PO7 : 7.4 PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6 AI1 : 1.1, 1.2
8.1, 8.2 10.1
PO4 : 4.13 PO7 : 7.1, 7.2, 7.5, 7.6, 7.7 AI4 : 4.1, 4.2, 4.3, 4.4 AI7 : 7.1
9.2 11.4, 11.5 12.1, 12.2, 12.4, 12.5, 12.6
PO8: 8.3 AI1: 1.1, 1.2, 1.3 AI2: 2.2, 2.3, 2.4, 2.5, 2.6, 2.8 AI3: 3.1, 3.2, 3.3, 3.4 AI4: 4.1, 4.4 AI5: 5.2, 5.3, 5.4 AI6: 6.1 DS5: 5.9 DS9: 9.1, 9, 9.3
Audit de la sécurité des installations et des changements
10.1, 10.3 12.5
Audit de la sécurité des services fournis par des tiers Audit de la sécurité des services internes
Audit des données et des transactions
6.2 10.2 15.2 4.1, 4.2 6.2 7.2 9.2 10.1, 10.3, 10.4, 10.5, 10.8, 10.9, 10.10 11.1, 11.2, 11.4 12.3, 12.4 13.1, 13.2 14.1 7.2 9.2 10.7, 10.8 11.2, 11.6 15.2
9.1, 9.2 12.3, 12.5 4.1 10.10 15.1, 15.2, 15.3
PO8: 8.3 AI2: 2.8 AI3: 3.4 AI6: 6.1, 6.2, 6.3, 6.4, 6.5 AI7: 7.2, 7.4, 7.6, 7.7, 7.8, 7.9 AI5 : 5.3 DS2 : 2.3, 2.4 SE2 : 2.6 PO2: 2.3 PO9: 9.3, 9.4 DS4: 4.1, 4.2, 4.3, 4.4, 4.5, 4.8, 4.9 DS5: 5.2 ,5.3, 5.4, 5.5, 5.6, 5.7, 5.8, 5.9, 5.10, 5.11 DS10: 10.1, 10.2, 10.3 DS11: 11.5, 11.6 DS12: 12.3, 12.5 DS13: 13.4 AC6 DS4: 4.9 DS5: 5.11 DS11: 11.2, 11.4, 11.6 AC1 AC2 AC3 AC4 AC5 AC6 DS12: 12.1, 12.2, 12.3, 12.4, 12.5
PO3: 3.3 SE1: 1.2, 1.4, 1.5, 1.6 SE2: 2.1, 2.4, 2.5 SE3: 3.1, 3.2, 3.3, 3.4 SE4: 4.7
Audit du management de la sécurité des SI
4.1, 4.2 5.1 6.1, 6.2 7.1 10.1, 10.2, 10.8 15.2
Audit des risques informatiques
4.1, 4.2 6.1 8.2
Audit des risques associés au personnel en matière de la sécurité des SI
Audit de la sécurité des applications et infrastructures
Audit de la sécurité physique Audit de la gouvernance des dispositifs de sécurité
84
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Conclusion
La fonction d’audit interne est d’une importance cruciale, elle permet de garantir le bon fonctionnement de l’ensemble des activités de l’entreprise en vérifiant les différents dispositifs de contrôle interne mis en place par le management. Cette vérification a pour but de décerner les faiblesses de ces dispositifs et d’identifier les risques potentiels qui peuvent mettre en péril la pérennité de l’entreprise. Vu la position qu’occupent les SI au centre de l’organisation de l’entreprise et leur rôle émergeant en tant que un levier de croissance contributif à la « création de la valeur » et afin de mieux les maîtriser, des audits portant sur ces SI sont de plus en plus exigés. Ainsi la direction d’audit interne doit perpétuellement améliorer ses approches, méthodes et outils d’audit pour faire face à un environnement trop changeant en matière des SI et les technologies associées. Ce présent travail s’établait dans le cadre d’un stage effectué au sein de la direction d’audit interne de la STEG pour l’obtention du diplôme de master en « Audit Interne et Audit des Systèmes d’Information ». Ma mission était d’élaborer un ensemble de guides d’audit pour vérifier les différentes activités des SI et d’aider à l’évolution des méthodes et outils du département d’audit informatique. Ce stage était une bonne occasion pour mettre en application les savoirs et les connaissances théoriques que j’ai acquis lors de mes études et de développer mes compétences professionnelles et techniques via un cas pratique. Pour répondre à la tâche qui m’a été confié j’ai trouvé judicieux et méthodologique de faire une étude de l’état des lieux de la STEG en matière de management et d’audit des SI afin de choisir la bonne solution à mettre en place. Cette étude qui s’est basée sur l’ensemble des rapports annuels de la STEG couvrant la période entre l’année 2007 et l’année 2011, a montré que le volume des activités de la DSI de l’entreprise d’accueil est trop important et sans cesse en évolution et que ces activités se déploient sur tout l’ensemble de l’organisation. Les responsables de la STEG pour assister cette évolution, n’ont cessé de chercher continuellement à améliorer les approches, méthodes et les structures garantissant le bon fonctionnement de l’entreprise, c’est dans cette vision qu’un système de management de la qualité (SMQ) basé sur la norme internationale ISO 9001 a été mis en place ainsi qu’une cellule « Risk Management » et aussi pour cette vocation qu’a été crée
la
direction d’audit interne et ses quatre divisions antérieurement. 85
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Dans cette logique globale d’amélioration continue, que s’installe la fonction audit interne et son disciple l’audit des SI. Les auditeurs informatiques de la direction d’audit interne de la STEG se référent dans leurs travaux à un éventail de référentiels et standards pour mener des missions d’audits spécifiques traitant des éléments particulières selon les besoins et en réponse aux demandes de la direction générale et des métiers. Néanmoins il manquait un cadre globale d’audit des SI afin d’organiser et de structurer les différentes missions dans une logique cohérente et complémentaire. La solution était d’élaborer un générateur de guides d’audit hiérarchisés sur la base d’un cadre de référence qui pourra combler ce manquement. Ainsi le choix s’était fixé sur le cadre de référence fédérateur Cobit4.1. Le cadre de référence Cobit4.1 se distingue par un nombre d’avantages par rapport aux autres standards, particulièrement par son modèle processus qui considère toutes les ressources des SI et couvre les différentes activités de la DSI donnant ainsi une vision complète de la fonction informatique.. Un autre avantage de Cobit4.1 c’est qu’il intègre au moyen de ces objectifs de contrôle plusieurs démarches et bonnes pratiques de plusieurs référentiels et normes internationales, tels que : ITIL, CMMi, PMBOK, PRINCE2, TOGAF, COSO, ValIt, RiskIt, ISO 9001, ISO 20000, la série ISO 27000, … ainsi Cobit4.1 est considéré comme un cadre intégrateur et harmonisateur des standards informatique. Pour le volet audit, l’approche Cobit4.1 tourne tout autour d’un élément axial : les objectifs de contrôles « qui définissent les exigences minimales pour garantir un contrôle efficace de chaque processus » et qui sont à la base de toute évaluation lors des missions d’audit selon cette approche. Aussi Cobit4.1 offre au moyen d’un guide d’audit établi par des experts dans le domaine et ses différents éléments une démarche d’audit bien élaborée permettant ainsi aux auditeurs informatiques de mieux planifier et exécuter leurs missions. Le produit de ce présent travail le « Générateur de guides d’audit » imite intégralement l’approche audit de cadre de référence Cobit4.1. Ce générateur se compose d’un guide générique (en forme d’une plateforme de questionnaires d’audit basée sur les objectifs de contrôle), une carte de correspondance « Missions-Objectifs de contrôle » (qui se présente comme une clé permettant de et de générer des questionnaires spécifiques correspondant à des missions bien déterminées) et d’un ensemble de tables de mappage (faisant référence aux principaux normes et standards SI afin d’enrichir les missions et approfondir les investigations des auditeurs). Ainsi les auditeurs auront à leur disposition via ce produit une hiérarchie de guides d’audit cohérents, complémentaires, œuvrant dans une même logique, basés sur une même approche, couvrant l’intégralité de la fonction des SI, alignés sur les besoins des métiers et sur les bonnes pratiques des différents standards informatiques. 86
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Reste que dans ce cas de stage on s’est focalisé seulement sur le volet audit de cadre de référence Cobit4.1, ce qui ne reflète pas ses autres incarnations. En réalité Cobit4.1 offre un système global de contrôle, de management et de gouvernance des SI. Il considère les exigences des métiers au niveau le plus général en alignant les objectifs informatiques sur les objectifs métiers dans le cadre d’une gouvernance des SI qui s’harmonise avec la gouvernance générale de l’entreprise. C’est encore au moyen des objectifs de contrôle que cet ajustement prendra sa forme entre les cinq domaines de gouvernance des SI et les activités de contrôle définis par le cadre générale de contrôle interne COSO. Cobit permettra aussi via un langage commun et ses multiple éléments de management, de gouvernance et d’audit, d’établir une plateforme de communication entre les différents intervenants : dirigeants, managers, opérationnels et auditeurs … afin de mieux maîtriser les SI et d’accentuer leur rôle émergeant en tant que « créateur de valeur ». Sur ce, une recommandation que je propose aux responsable de la STEG, c’est d’essayer d’implémenter ce cadre fédérateur de contrôle et d’audit afin de mieux gouverner leurs SI en raison de précédents avantages cités et aussi pour que le produit de ce présent travail œuvrera dans un contexte approprié.
87
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Bibliographie
Renard, J. (2010). Théorie et pratique de l’audit interne. Eyrolles. Garnier, F., Moisand D. (2009). Cobit pour une meilleure gouvernance des SI. Eyrolles. Champlain J. (2003). Auditing Information Systems. John Wiley, Sons Inc. Gigref. (2009). Les référentiel de la DSI – Etats de l’art usage et bonnes pratiques. Afai. (2008). Contrôle interne et système d'information. 2ème édition. Afai. (2007). Cobit 4.1 Cadre de référence. Afai. (2007). Guide d’audit des systèmes d’information – Utilisation de Cobit. Itgi. (2007). Cobit security baseline. 2nd edition. Isaca. (2010). IT Standards, Guidelines, Tools and Techniques for Audit, Assurance and Control Professionals. Rapports annuels de la STEG des années 2007, 2008, 2009, 2010, 2011. Leblanc, N., Rochier, D. (2005). Impact des référentiels SOX et LSF sur les systèmes d’information. Échanges d’expérience 217 : 46-47.
88
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Annexes
89
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Annexe 1 : Tables et illustrations de cadre de référence Cobit4.1
Table des relations « Objectifs métier - Objectifs informatiques »
90
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Table des relations « Objectifs informatiques - Processus informatiques »
91
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Table des liens entre les activités de l’audit des SI et les composants Cobit4.1
92
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Correspondances entre les phases d’audit Cobit 4.1 et ceux de l’ « IAASB Assurance Framework »
93
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Alignement des processus Cobit4.1 avec les principaux standards et normes informatiques
94
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Annexe 2 : Tableau descriptif des sous-missions de la mission générale « Audit de la sécurité globale des SI » Type de mission d’audit Audit du management de la sécurité des SI
Audit des risques informatiques
Audit des risques associés au personnel en matière de la sécurité des SI
Description Objectifs de contrôle Cette mission consiste à vérifier : La stratégie de sécurité et l’architecture de l’information, c.-à-d. : que les données, les services et les transactions critiques (en se basant sur les exigences et les risques métiers) sont bien identifiés et PO1 : 1.2, 1.4, considérées dans la stratégie de sécurité de l’entreprise 1.6 que les exigences de sécurité (telles que : l’authenticité, la PO2 : 2.2, 2.3 confidentialité, la disponibilité, la limitation d’accès, la validité, le PO3 : 3.4 sauvegarde et la récupération) des données sont prises en compte PO4 : 4.9 dans l’établissement de la stratégie globale de sécurité des SI DS5 : 5.1, 5.2 que des investissements de sécurité (matériels et logiciels) sont étudiés et pris en compte L’organisation des SI et les responsabilités en matière de sécurité c.-à-d. : que les responsabilités sont assignées, communiquées et bien PO4 : 4.8, 4.10, appréhendées 4.11, 4.15 le niveau de risque PO7 : 7.3 que les responsabilités ne sont pas attribuer à une seule personne que les ressources nécessaires pour exercer les responsabilités sont disponibles et efficaces La communication des objectifs et les orientations de gestion en matière de sécurité c.-à-d. : que les règles de base répondant aux exigences et aux incidents de PO6 : 6.2, 6.3, sécurité sont bien communiquées aux employés et que ces derniers 6.4, 6.5 adhérent aussi bien aux politiques de l’entreprise en ce qui concerne DS5 : 5.2 la sécurité des SI que les directives de sécurité sont en ligne avec les objectifs de l'entreprise La sécurité des différents niveaux de service : c.-à-d. : AI5: 5.2 que des exigences de sécurité et des revus réguliers de la conformité DS1 : 1.3, 1.5, des niveaux de services internes et les services fournis par des tiers 1.6 sont établis et respectés DS2 : 2.4 Cette mission consiste à vérifier : le processus de gestion des risques informatiques de l’entreprise et les mesures envisagées par la direction de l’entreprise l’existence d’un plan d’action afin de répondre aux risques potentiels le niveau d’implication du personnel dans le processus de gestion des risques des SI Cette mission consiste à vérifier : le degré d’implication du personnel aux politiques de sécurité établies par la direction les compétences du personnel en matière de sécurité générale des SI qu’aucune tache clé de sécurité ne soit attribuée à une seule personne
Audit de la sécurité des applications et infrastructures
que les membres du personnel savent intégrer la sécurité dans les procédures quotidiennes qu’une documentation et des formations sont fournies aux membres du personnel en matière de la sécurité Cette mission a pour but de vérifier : l’existence des évaluations de sécurité lors de l’acquisition des nouvelles applications
que les développeurs et les fournisseurs d’applications ou infrastructures prennent en compte les exigences de l’entreprise en matière de sécurité, et que l’entreprise à déployer tous les moyens pour les faire adhérer à ses politiques de sécurité que les solutions informatiques acquises sont fonctionnels et que les exigences de sécurité sont spécifiées et compatibles avec les systèmes
PO2 : 2.3 PO7 : 7.4 PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6 AI1 : 1.1, 1.2 PO4 : 4.13 PO7 : 7.1, 7.2, 7.5, 7.6, 7.7 AI4 : 4.1, 4.2, 4.3, 4.4 AI7 : 7.1
AI1: 1.1, 1.2, 1.3 AI5: 5.2, 5.3 AI1: 1.1, 1.2 AI2: 2.2, 2.4 AI4: 4.1, 4.4 AI5: 5.3, 5.4 PO8: 8.3 AI2: 2.3, 2.4, 2.5, 2.6, 2.8 AI3: 3.1, 3.4
95
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Audit de la sécurité des installations et des changements
l’existence et l’efficacité des patchs de sécurité pour l’infrastructure que des mesures additionnelles nécessaires pour maintenir la sécurité de l’infrastructure sont documentées que des mises à jour régulières et des inventaires complets des configurations des applications et du matériel sont exécutés que tous les logiciels installés sont légales, autorisés (possèdent des licences d’utilisation) Cette mission consiste à vérifier : les impacts des changements (correctifs inclus) sur l’intégrité des données (perte des données), la disponibilité des services et la validité des transactions
Audit de la sécurité des services internes
AI3: 3.2, 3.3 AI6: 6.1 DS5: 5.9
DS9: 9.1, 9, 9.3
que tous les changements, y compris les correctifs et les modifications d'urgence sont documentés et autorisés
AI2: 2.8 AI3: 3.4 AI6: 6.1, 6.2 AI7: 7.2, 7.4, 7.6 AI6: 6.2, 6.3, 6.4, 6.5
que les systèmes nouvellement installés et les différents changements ont été objet des tests de sécurité
PO8: 8.3 AI3: 3.4 AI7: 7.2, 7.4, 7.6, 7.8
Audit de la sécurité des services fournis par des tiers
que les résultats des tests faits répondent aux exigences métiers et aux politiques et procédures de l’entreprise en matière de sécurité des SI Cette mission consiste à vérifier : que les fournisseurs de services tiers respectent les politiques de sécurité de l’entreprise et emploient des personnes qualifiés la dépendance aux fournisseurs des services tiers est bien gérée par les politiques et les procédures de sécurité de l’entreprise que les contrats avec les fournisseurs de services tiers permettent d’exécuter des missions d’audit et des revues (SysTrust, SAS70, ISA402) Cette mission consiste à vérifier :
AI7: 7.7, 7.8, 7.9
AI5 : 5.3 DS2 : 2.3, 2.4 SE2 : 2.6
que des fonctions, des informations et des ressources critiques sont disponible pour maintenir la continuité des services offerts en cas d’un incident de sécurité
l'existence et la fiabilité des mesures d’urgence afin de rétablir le service en échec et de répondre aux besoins des fournisseurs et clients que les éléments de récupération des services (informations, documentation et ressources critiques) sont bien sauvegarder dans des sites de sauvegarde et sont bien sécurisés, utilisables et recouvrables que les accès et les privilèges d’accès (pour afficher, ajouter, modifier ou supprimer les informations et les transactions) sont basés sur les besoins particuliers des utilisateurs que les droits d'accès des prestataires de services, fournisseurs et clients sont contrôlés que les responsabilités pour gérer les comptes utilisateurs et les jetons de sécurité (tel que : mots de passe, cartes d’accès …) et que ces mesures sont bien identifiées, documentées et révisées périodiquement que les violations de sécurité des services (tel que : accès non permis des réseaux et systèmes, virus, logiciels malveillants ….) sont toujours enregistrées et reportées immédiatement aux responsables de l’entreprise que les consignes de sécurité avec les partenaires commerciaux sont adéquates et conforme aux obligations contractuelles afin de garantir l’authenticité des transactions électroniques que des mesures de protection contre les virus et les logiciels espions sont établis et efficaces et mises à jour que les mesures de sécurité des réseaux se conforment aux politiques de l’entreprise en matière d’échange des informations que les supports électroniques permettant cet échange sont bien sécurisés et les incidents sont détectés et suivis
PO2: 2.3 PO9: 9.3, 9.4 DS4: 4.1, 4.3 DS5: 5.6 DS10: 10.1, 10.2, 10.3 DS12: 12.5
DS4: 4.2, 4.4, 4.8
DS4: 4.5, 4.9 DS11: 11.5, 11.6
DS5: 5.3, 5.4
DS5: 5.4, 5.7, 5.8 DS13: 13.4
DS5: 5.5, 5.6, 5.9 DS10: 10.1
DS5: 5.11 AC6
DS5: 5.9
DS5: 5.2, 5.10, 5.11 DS12: 12.3
96
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Audit des données et des transactions
Cette consiste à vérifier : que les contrôles mis en place pour assurer l’intégrité des données (exactitude, l'exhaustivité et la validité) lors des opérations de saisie, de traitement, de sauvegarde ou de la distribution existent et sont efficaces que les contrôles mis en place pour assurer l’authenticité et le non rejet des transactions existent et sont efficaces que les données sensibles ne sont pas communiquées aux personnes non autorisées
DS5: 5.11 DS11: 11.6 AC1, AC2 AC3, AC4 AC5, AC6
DS11: 11.6 AC5 AC6
DS11: 11.2, 11.4
DS4: 4.9 DS11: 11.2
DS12: 12.1, 12.2, 12.3, 12.4, 12.5
DS12: 12.2,
SE1: 1.2, 1.4, 1.5, 1.6 SE2: 2.1, 2.4
SE2: 2.5 SE4: 4.7
PO3: 3.3 SE3: 3.1, 3.2, 3.3, 3.4
Audit de la sécurité physique
Audit de la gouvernance des dispositifs de sécurité
que les périodes de rétention, les mesures d’archivage et les conditions de stockage de la documentation, données et applications se conforment aux exigences des utilisateurs et des réglementations en vigueur que l'intégrité, l'accessibilité et la lisibilité des données sont assurées lors de l’opération de sauvegarde Cette mission consiste à vérifier : que les installations et des biens informatiques (salles des serveurs ou de stockage des données) exposés à des risques élevés sont bien sécurisés contres des dommages physiques que les ordinateurs, équipements informatiques sont bien protégés contre les dommages physiques et la perte des données Cette mission consiste à vérifier : La performance des dispositifs de sécurité mises en place c.-à-d. : à quel point les contrôles de sécurité répondent aux exigences définis et remédient aux vulnérabilités des SI en matière de sécurité que les mécanismes de sécurité fonctionnent efficacement et que des mesures de détection des faiblesses de ces mécanismes sont prévues et exécutées (telles que la détection d'intrusion, les tests de pénétration et le stress, et l'essai des plans d'urgence) que toutes les violations et les exceptions sont documentées et suivies conformément aux politiques de sécurité de l’entreprise que contrôles clés de sécurité sont toujours surveillés aux exigences et politiques L’existence d’une assurance indépendante c.-à-d. : que des évaluations indépendantes (de la part des experts en la matière) sont prévues pour vérifier les mesures de sécurité établies et le niveau de l’adéquation de ceux-ci avec les lois, règlementations et les obligations contractuelles La conformité réglementaire des politiques et dispositifs de sécurité avec les normes et lois en vigueur c.-à-d. : que des tâches et des activités sont établies pour garantir la conformité des dispositifs de sécurité avec les réglementations en vigueur que le personnel adhère aux politiques de l’entreprise en matière de la sécurité et est sensibles aux obligations sécuritaires
97
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Annexe 3 : Tutoriel de l’application « Générateur des guides d’audit »
Présentation : Ce produit (le générateur de guide d’audit) présente une implémentation de l’approche Cobit4.1 en matière d’audit des SI. C’est un outil qui permet d’automatiser certains des travaux et tâches des auditeurs des SI en leur proposant des modèles de cadrage des missions et la possibilité de générer des guides (questionnaires) d’audit spécifiques basées sur les conseils et les procédures d’évaluation Cobit. Il offre aussi des tables de mappages permettant d’élargir les champs des investigations par référence à un ensemble de standards informatiques et normes internationales.
Barre de navigation :
Cette barre permet de naviguer entre les différents composants de générateur de guides d’audit :
La carte des correspondances « Missions – Objectifs de contrôle » (élément 1) Le guide générique ou la plateforme des questionnaires d’audit groupés par domaine : PO, AI, DS, SE et CA (élément 2)
Le questionnaire (guide) généré (élément 3) Les tables de mappage sous forme d’annexes (élément 4)
98
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Mode d'emploi : Le point d’entrée afin de généré un guide d’audit (un questionnaire) spécifique à une mission bien déterminée c’est la carté clé ou la carte des correspondances « Missions - Objectifs de contrôle ». Cette carte présente l’ensemble des objectifs de contrôles Cobit groupés par processus et domaine (en reproduction au modèle processus de Cobit4.1).
Cette carte offre au moyen d’une liste déroulante un ensemble de missions organisées hiérarchiquement (des missions traitant la sécurité des SI, un thème choisi lors de ce stage à titre d’exemple afin d’élaborer ce générateur de guides d’audit). Dans cette première version, cette liste comporte cet ensemble réduit de missions, cependant elle peut être élargie ultérieurement suite à des travaux de cadrage portant sur d’autres thèmes ou éléments des SI.
99
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Cette carte clé offre des modèles de cadrage, comme pour le cas de l’exemple choisi « Sous-mission : Audit de la sécurité des applications et infrastructures ». Le processus de cadrage selon l’approche d’audit du cadre de référence Cobit4.1 consiste à déterminer pour chaque mission les objectifs de contrôles Cobit les plus critiques, dont les évaluations vont permettre de décerner les faiblesses des dispositifs de contrôle mis en place et associées au élément d’étude ainsi que les risques potentiels correspondant. Ces modèles offrent aux auditeurs des SI des pistes à suivre, néanmoins ceux-ci peuvent les affiner en fonction de leurs besoins en audit et les ressources de l’entreprise déployées.
L’avantage de cette application, ne s’arrête pas au fait d’offrir des modèles de cadrage des missions d’audit, mais aussi de générer des guides d’audit sous forme de questionnaires spécifiques selon la mission sélectionnée. Ces questionnaires vont être générer à partir du guide générique (la plateforme décrite auparavant).
100
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Les questionnaires ainsi générés vont présenter aux auditeurs un ensemble des évaluations sous forme de questions inspirés des différents conseils et procédures d’évaluation de guide d’audit Cobit4.1 et qui ont été établis par des experts en matière des SI. Ces questionnaires vont assister les auditeurs lors de leurs activités d’investigation tout en leur offrant plusieurs indices et conseils issus des différents éléments de cadre de référence Cobit4.1 et ses divers publications, tels que : les descriptions des processus et des leurs objectifs de contrôle correspondant, les responsables clés des processus concernés par la mission en cours, des conseils et des méthodes d’audit (à titre indicatif) …
En plus des questionnaires générés sur la base des modèles de cadrage prédéfinis, un ensemble de tables de mappage seront aussi présentés afin de donner aux auditeurs la possibilité d’approfondir leurs investigations en se référant à des standards et normes plus détaillés. En fait le cadre de référence Cobit est un cadre fédérateur qui harmonie et unie un ensemble de bonnes pratiques d’autres référentiels au moyen de ses objectifs de contrôle.
101
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Table des matières
Remerciements
1
Sommaire
2
Table des figures
3
Liste des tableaux
4
Introduction
5
Partie 1 : Fondements théoriques
8
Chapitre 1 : L’audit des systèmes d’information au cœur de la fonction d’audit interne
9
I. Le système d’information 1) Notion de système d’information
9 9
2) Périmètre du système d’information
10
3) La mutation de la fonction informatique
11
4) Système d’information et contrôle interne
12
II. Le métier d’audit interne.
14
1) Notion de l’audit interne
14
2) Conduite d’une mission d’audit : démarche générale
16
3) La boîte à outils de l’auditeur
20
a) Les outils d’investigation
20
b) Les outils de description
22
III. L’audit des systèmes d’information.
24
1) Portée de l’audit des systèmes d’information
24
2) Types de missions d’audit des systèmes d’information
25
3) Référentiels d’audit des systèmes d’information
26
Chapitre 2 : Cobit 4.1 un cadre fédérateur d’audit des systèmes d’information . I. L’ISACA et ses principales contributions en matière d’audit des systèmes d’information
30 30
1) Présentation de l’ISACA
30
2) Chronologie des variantes Cobit
30
II. Présentation du cadre de référence Cobit 4.1
32
1) Description générale
32
2) Les principaux éléments de Cobit 4.1
35
3) Documentation et publications de Cobit 4.1
37
III. L’approche Cobit 4.1 en matière d’audit des systèmes d’information
39
1) Les objectifs de contrôle : un élément axial dans l’approche Cobit 4.1
39
2) La conduite d’une mission d’audit selon l’approche Cobit 4.1
42
a) La phase de planification
43
b) La phase de cadrage
44
c) La phase d’exécution
47
102
Mémoire de stage pour l’obtention du diplôme de Mastère Professionnel « Audit Interne et Audit des Systèmes d’Information »
Partie 2 : Partie pratique
51
Chapitre 3 : Contexte du stage - Présentation de la STEG et de sa direction d’audit interne
52
I. Présentation de la STEG
52
1) Historique et évolution
52
2) Chiffres clés
53
3) Organigramme
55
II. La direction d’audit interne de la STEG
55
1) Historique et évolution de la fonction d’audit interne de la STEG
55
2) Activités de la direction d’audit interne
57
3) Problématique et mission du stage
58
Chapitre4 : Élaboration d’un générateur de guides d’audit sur la base de l’approche Cobit 4.1
59
I. États des lieux de la STEG en matière de management et d’audit des systèmes d’information
59
1) Activités de la direction des systèmes d’information de la STEG
59
2) L’approche de la direction d’audit interne de la STEG en matière d’audit des systèmes d’information
61
II. Élaboration du générateur des guides d’audit : démarche et résultats
63
1) Présentation générale
63
2) Le guide générique (la plateforme de questionnaires d’audit)
64
3) La carte de correspondance « Missions - Objectifs de contrôle »
68
a) Etude de cas : « Audit de la sécurité globale des SI »
68
Approche Cobit4.1 en matière de la sécurité des systèmes d’information
68
Cadrage de la mission « Audit de la sécurité globale des SI »
70
Découpage de la mission « Audit de la sécurité globale des SI » en sous-missions spécifiques 75 b) Implémentation de la carte de correspondance « Missions - Objectifs de contrôle» 4) Les tables de mappage
78 82
Conclusion
85
Bibliographie
88
Annexes
89
Annexe 1 : Tables et illustrations de cadre de référence Cobit4.1
90
Annexe 2 : Tableau descriptif des sous-missions de la mission générale « Audit de la sécurité globale des SI »
95
Annexe 3 : Tutoriel de l’application « Générateur des guides d’audit »
98
Table des matières.
102
103