UNIVERSITE DE LA MANOUBA

Institut Supérieur de Comptabilité et d’Administration des Entreprises

Commission d’Expertise Comptable

MEMOIRE EN VUE DE L’OBTENTION DU DIPLOME D’EXPERTISE COMPTABLE

LA SECURITE DU SYSTEME D’INFORMATION : LES ENJEUX DE L’EXPERT COMPTABLE

PRESENTE PAR : M. Bilel Errahmouni

ENCADRE PAR : M. Chiheb Ghanmi

Janvier 2011

DEDICACES

A mes chers parents pour leur soutien;

A ma femme pour ses encouragements, pour son soutien
et son amour envers moi et envers ses enfants;

A A

mes chers enfants;

ma belle famille pour son aide précieuse;

Remerciements Je tiens à exprimer toute ma gratitude et mes sincères remerciements à Monsieur CHIHEB GHANMI d’avoir aimablement accepté d’encadrer ce travail de recherche. qu’ils trouvent ici. Je remercie également tout le personnel de l’Agence Nationale de Sécurité Informatique pour l’aide qui m’a été fournie et qui m’a permis de réaliser ce travail. . l’expression de ma reconnaissance. ainsi que pour les précieux conseils qu’il a bien voulu me prodiguer. Mes remerciements s’adressent aussi à chacun des membres du jury pour la confiance dont ils m’ont honorée.

......... 46 Section 5: Expression des Besoins et Identification des Objectifs de Sécurité : EBIOS . rôle........ 43 Section 4: La Méthode Harmonisée d'Analyse de Risques : MEHARI .................38 Introduction: ......................................... Intégrité et disponibilité.......................................... 54 Section 5: La sécurité de l’information : une responsabilité du management............................................................................................................................................................................................................................ 50 Section 1: Définition....................................................53 Section 4: la normalisation internationale en matière de sécurité................................................11 PREMIERE PARTIE : SECURITE DU SYSTEME D’INFORMATION .......................................................20 Introduction: ........................ 51 Section 3: Les besoins en sécurité : ... objectif.... 24 Section 3 : Les types des attaques et des agressions : ......49 Chapitre 3 : La sécurité du système d’information ...... .......... ........................ CONCEPTS ET ENJEUX ..................................................................................... 20 Section 2: Les menaces et les vulnérabilités des systèmes d’information : ...............17 Introduction à la Première Partie .............................................................................................................................................................................................................30 Section 4 : Les systèmes de détection des intrusions ........................... 50 Section 2 : Les caractéristiques de la sécurité : Confidentialité..................... concepts et objectifs de la sécurité du système d’information : ...................................................................................................................................................................................................................................................................................................................................33 Conclusion: ..................18 Chapitre 1: Les risques du système d’information.................................................................37 Chapitre 2 : Les méthodes d’évaluation du risque. 20 Section 1 : Définition........................................................50 Introduction: .............................................................................................. fonctions et organisation d’un système d’information : .......................... 38 Section 2: Control Objectives for Information and Technology: COBIT ....... 49 Conclusion: .......................... 59 5 ........ 38 Section 1: Le management du risque:... 47 Section 6: Critères de choix entre les différentes méthodes ............................................................................................................................................La sécurité du système d’information : Les enjeux de l’expert comptable Sommaire Introduction Générale ............................................................ 41 Section 3: La méthode d’analyse des risques informatiques orientée par niveau « MARION » : .............................

............... 63 Section 1 : Définition d’un SMSI : ..................................................................77 Section 3 : Cadre comptable............................................................................ 112 Section 5 : Elaboration du rapport et des recommandations : ................ 100 Section 1: Définitions et objectifs de l’audit de la sécurité du système d’information: .................................................................................................72 Chapitre 1 : L’expert comptable et les missions d’audit de la sécurité du système d’information ..................102 Section 3: Planification de la mission: ......................................................................65 Section 4 : La norme ISO 27001 et le SMSI : ......74 Section 1 : La sécurité du système d’information dans le cadre d’une mission d’audit légal: ................................................................................. 100 Section 2 : Prise de connaissance générale : .............................................................................74 Introduction : .................................................................................................................................................................................................... juridique et règlementaire : ...................... 121 6 ......................................................... 78 Section 4 : Les compétences requises par l’expert comptable: ......................68 Conclusion de la Première Partie .......................................................................................................... 117 Conclusion: ....................................................................................La sécurité du système d’information : Les enjeux de l’expert comptable Conclusion: .....................................................................................................................120 Chapitre 3 : Démarche d’audit de la sécurité du système d’information basée sur ISO 27002 .......................................................................................................99 Chapitre 2 : Les étapes d’audit de la sécurité du système d’information ............................................................................................................................... 67 Conclusion: .................................... 121 Introduction: ...............................................................................................................................71 Introduction à la Deuxième Partie ..........................................................................63 Section 2 : La mise en place d’un SMSI : .69 DEUXIEME PARTIE : AUDIT DE LA SECURITE DU SYSTEME D’INFORMATION ......................................................................................................... 74 Section 2 : La sécurité du système d’information dans le cadre des autres missions de l’expert comptable : .........................................................91 Conclusion: ............................................................................100 Introduction: .........................................................................109 Section 4 : Mise en plan du plan de mission : ...............................63 Introduction: .......................................................................................................................62 Chapitre 4 : Le management de la sécurité du système d’information (SMSI) .............................................................................................................64 Section 3 : Le SMSI et Le PDCA d’Edward Deming: ................................................. fiscal...............................................

............................................................................... 123 Section 3 : Audit technique ......................................................................................................................................................... 143 Conclusion: ................................La sécurité du système d’information : Les enjeux de l’expert comptable Section 1: Présentation de la norme «les bonnes pratiques de sécurité» ISO 27002 : ............................149 7 ................................................................................................149 BIBLIOGRAPHIE .............................................................................................................................................................................................133 Section 1 : La relation entre les risques de la sécurité de l’information et le risque d’audit: ........................................................................................................148 ANNEXES .......................................................................................................................................................130 Conclusion : ................132 Chapitre 4 : L’audit de la sécurité du système d’information et les normes d’audit financier ................133 Introduction : ............................................ 121 Section 2: Audit organisationnel et physique:......................................................................................................147 Conclusion Générale ................................................................................................................................................................................................142 Section 4: L’audit externe et le respect de la réglementation en matière de sécurité: .............. 133 Section 2: La sécurité du système d’information et l’évaluation du système de contrôle interne : .........................................................................146 Conclusion de la deuxième partie ..........................................................................137 Section 3 : La sécurité de l’information et l’hypothèse sous jacente de la continuité d’exploitation : ............................

La sécurité du système d’information : Les enjeux de l’expert comptable LISTE DES ABREVIATIONS AFAI ANSI ANSSI BS BSI Cert-TCC CISA CLUSIF CNCC COBIT COSO CPU DCSSI DDOS DESS DNS EBIOS ECR EDI GED GMITS HIDS HTTP HTTPS IAA IAASB IAPC IDS IDSH IFAC IFACI IP IPS IPsec ISA ISACA ISO ITSEC MARION MEHARI NIDS Association Française d’Audit et de Conseil Informatique Agence Nationale de la Sécurité Informatique Agence nationale de la sécurité du système d’information British Standard «Code of practice for information security management » British Standards Institution Computer Emergency Response Team-Tunisian Coordination Center Certified Information System Auditor Club de la Sécurité des Systèmes d’Information Compagnie Nationale des Commissaires aux Comptes Control Objectives for Information and Technology Committee of Sponsoring Organizations Central Processing Unit Direction Centrale de la Sécurité des Systèmes d'Information Distributed Denial of Service Diplôme d’Etudes Supérieures Spécialisées Domain Name System Expression des Besoins et Identification des Objectifs de Sécurité Efficiency Consumer Response Echange de Données Informatisées Gestion Electronique de Documents Guidelines for the management of IT Security Host Based Instruction Detection System HyperText Transfer Protocol Hypertext Transfer Protocol Secured Institut of Internal Auditors International auditing and assurance standards board International Auditing Practices Committee Intrusion Detection Systems (Systèmes de Détection d’Intrusions) Systèmes de Détection d’Intrusions Hybrides International Federation of Automatic Control Institut Français de l’Audit et de Contrôle Internes Internet Protocol Intrusion Prevention System (Systèmes de Prévention d’Intrusions) Internet Protocol Security International Standards on Auditing Information Systems Audit and Control Association International Standard Organisation Information Technology Security Evaluation Criteria Méthode d’Analyse des Risques Informatiques Orientée par Niveau Méthode Harmonisée d'Analyse de Risques Network Base Instruction Detection System 8 .

La sécurité du système d’information : Les enjeux de l’expert comptable NIS OSI PDCA PME POE POS PSS QSSI RSSI SAC Report SAO SGDT SI SIG SIM SIS SMSI SNMP SOX SSI TEMPEST TIC TPE Network Information Service Interconnexion de Systèmes Ouverts (Open Systems Interconnection) Plan-Do-Check-Act Petites et Moyennes Entreprises Plan Opérationnel d'Entreprise Plans Opérationnels de Sécurité Plan Stratégique de Sécurité Questionnaire Sécurité Système d’Information Responsable Sécurité Système d'Information Systems Auditability and Control Report Statement of applicability Système de Gestion des Données Techniques Système d'Information Système Information de Gestion Système d’Information Mercatique Système d’Information Stratégique Management de la Sécurité du Système d’Information Simple Network Management Protocol Sarbanes-Oxley Sécurité du Système d’Information Telecommunications Electronic Material Protected from Emanating Spurious Transmissions Technologies de l’Information et de la Communication Très Petite Entreprise 9 .

La sécurité du système d’information : Les enjeux de l’expert comptable LISTE DES FIGURES FIGURE 1: Système d'information FIGURE 2: Organisation du référentiel Cobit FIGURE 3: Exemple de rosace Marion FIGURE 4: Exemple d'histogramme différentiel Marion FIGURE 5: Schéma général de la méthode Mehari FIGURE 6: Démarche EBIOS globale FIGURE 7: Cartographie des principales méthodes SSI dans le monde FIGURE 8: Evolution de la norme BS 7799 FIGURE 9: Relation ISO 27001 et ISO 27002 FIGURE 10: Système de management de la sécurité de l’information FIGURE 11: Les phases où l’expert comptable aborde la SSI FIGURE 12: Objectifs de la sécurité du système d’information FIGURE 13: Appréciation de la complexité du système d’information FIGURE 14: Planification et mise de place du plan de mission FIGURE 15: Calendrier de la mission d’audit de sécurité informatique FIGURE 16: Structure de la norme ISO 27002 FIGURE 17: Les composants du risque d’audit FIGURE 18: Les risques d’anomalies significatives FIGURE 19: Les composantes du contrôle interne FIGURE 20: La sécurité du système d’information et l’évaluation du système de contrôle interne 10 .

L’économie moderne devient de plus en plus immatérielle. à sa conformité aux normes et aux critères de qualité et de sécurité qui doivent le caractériser. est considéré désormais. le système d’information des entreprises. cette évolution a augmenté considérablement la dépendance des entreprises envers leurs systèmes d’information et a affecté leurs procédures de contrôle interne. l’émergence de nouvelles technologies et le développement des moyens de communication ayant conduit à la définition de nouveaux contextes pour l’organisation des entreprises. par l’ouverture des marchés. En effet. la dématérialisation tendant à devenir totale « zéro papier » de la transaction 11 . notamment dans les petites et moyennes entreprises. Corrélativement aux améliorations apportées aux entreprises en termes de rapidité de traitement de l’information et d’allègement des charges de travail. le développement intensif du système d’information a généré lieu à une nouvelle catégorie de risques. notamment. le besoin des utilisateurs est devenu de plus en plus croissant pour obtenir une information fiable. le développement des réseaux. L’utilisation accrue de l’Internet a accéléré considérablement l’évolution des systèmes d’information. ces systèmes ont connu des évolutions exponentielles grâce au développement technologique. parallèlement à son rôle déterminant dans la conduite des affaires. de veiller à sa cohérence d’ensemble. durant les vingt dernières années. de nos jours. Il est de plus en plus indispensable pour les entreprises de mesurer la performance de leur système d’information. L’environnement actuel de l’entreprise est caractérisé par une globalisation des économies qui s’est rapidement concrétisée grâce au développement accéléré des systèmes d’information.La sécurité du système d’information : Les enjeux de l’expert comptable Introduction Générale Le monde des affaires est caractérisé. comme un élément stratégique pour les entités soucieuses de se doter d’avantages concurrentiels durables. à savoir la perte de contrôle de la cohérence et de la fiabilité de ce système. Nous citons. nous avons pu observer. Cette évolution vers la Société de l’Information ne saurait être facilitée que par le développement spectaculaire des technologies de l’information. l’intégration des systèmes et l’ouverture des systèmes sur les partenaires de l’entreprise. Devant le développement des technologies de l’information et l’utilisation sans cesse croissante de l’outil informatique dans le traitement et la production de l’information financière et comptable. l’explosion des micro-processeurs. Ainsi. Toutefois. puisque son coût réduit et son utilisation relativement simple ont favorisé sa pénétration. la dématérialisation des pièces comptables et la perte des contrôles manuels. Dans ce cadre. essentiellement.

. évaluer et tester le contrôle interne relatif à l’environnement de la fonction informatique et aux applications traitant des principaux processus des activités de l’entreprise. modulaires. Ceci implique que le traitement de l’information doit être rapide et pertinent. Ainsi. les auditeurs financiers ne peuvent plus négliger l’aspect de la sécurité du système d’information des entreprises dont l’examen est devenu de plus en plus complexe. ont fortement influencé la démarche de l’audit comptable et financier. Les évolutions significatives de la réglementation. absence de documents de sortie visibles. absence de documents d’entrée. au départ.) imposent à celles-ci la performance et la réactivité. Aujourd’hui. Dans ce cadre. C’est ainsi que les dirigeants des entreprises s’orientent de plus en plus vers des systèmes ouverts. de la preuve. Ces nouvelles approches imposent aux auditeurs de comprendre. d’adapter en permanence sa structure aux exigences de son marché et. axés sur les besoins des clients et à même de couvrir l’ensemble des préoccupations de leurs entités. que l’étude de cette sécurité 12 . clients. la vulnérabilité du système d'information s’est accrue. concurrence. d’autre part. Afin de répondre aux nouvelles exigences imposées par cet environnement. l’ouverture des systèmes et leur complexité ont engendré des risques ayant eu des conséquences graves sur le fonctionnement adéquat de l’entreprise. les grands cabinets d’audit et de conseil ont adopté de nouvelles démarches d’audit qui reposent largement sur l’évaluation des risques et des contrôles de la sécurité du système d’information. etc. absence de systèmes de références visibles. En effet.La sécurité du système d’information : Les enjeux de l’expert comptable et par la suite. qu'il fallait traiter la sécurité du système d’information dans le cadre d’une mission particulière. des référentiels comptables et des modes de fonctionnement des entreprises auxquelles nous avons assistées au cours de ces dernières années. aujourd'hui. En effet.. à cette évolution. les systèmes d’information revêtent un caractère stratégique dans le monde des entreprises. Parallèlement. il est primordial que les systèmes d’information permettent à l’entreprise d’une part. ce qui a engendré pour l'entreprise de nouveaux risques inhérents à la sécurité du système d’information qu'elle est appelée à maîtriser. S’ils ont estimé. ils sont convaincus. l’auditeur devra revoir sa méthodologie d’audit et compléter sa formation dans le domaine de l’audit de la sécurité du système d’information de façon à prendre en considération les risques induits par ces systèmes et leur impact sur le dispositif du contrôle interne. d’être en mesure d’augmenter continuellement sa productivité. les exigences de l’environnement (marchés financiers. Pour faire face à ce nouveau contexte.

Parallèlement à ces nouveaux mécanismes mis en place.La sécurité du système d’information : Les enjeux de l’expert comptable devrait être intégrée dans leur démarche professionnelle et doit faire partie. L’expert comptable. la législation. les réglementations nationales et internationales ont pris conscience de ce souci majeur de préserver la sécurité de l’information et de ce fait. il s’agit de savoir: quels sont les enjeux auxquels est confronté l’expert comptable dans le cadre de l’audit de la sécurité du système d’information? La problématique. à l’amélioration de la visibilité des entreprises. peut contribuer. nous incite à apporter des éléments de réponse aux questions suivantes : Quels sont les menaces et les risques du système d’information ? Qu’en est-il du développement d’une politique de sécurité du système d’information ? 13 . Cette mise à niveau de l’approche d’audit est devenue une préoccupation majeure et d’actualité des organismes professionnels et des cabinets d’expertise internationaux. C’est ainsi que les organismes professionnels n'ont pas tardé de concevoir et de mettre à jour les lignes directrices et les diligences adéquates dans le cadre d’un audit de la sécurité du système d’information. apporte une aide principalement en termes de sensibilisation aux risques et menaces qui pèsent sur le système d’information. Il en est de même des cabinets internationaux qui ont vite développé des méthodologies appropriées et ont réalisé des investissements importants pour adapter les approches d’audit à un environnement devenu de plus en plus complexe. devrait s’adapter à ce nouveau contexte et aux risques liés. à l’intégrité et à la disponibilité de l’information. Ainsi. dans le cadre de ses missions de consulting. Dans ce contexte. dans le cadre de l’audit de la sécurité du système d’information. que nous avions l’habitude d’adopter dans nos entreprises tunisiennes. Face aux multiples risques qui peuvent engendrer des pertes financières considérables et qui menacent la pérennité de l’exploitation suite à l’atteinte à la confidentialité. l’approche d’audit. désormais. Egalement. nous assistons à l’émergence de lois et de normes ayant pour principal objectif la protection de l’information. à travers sa mission de commissariat aux comptes ou de consulting. ainsi présentée. et disposant de certains atouts. l’expert comptable. de leurs préoccupations majeures. la jurisprudence et la doctrine à l’échelle internationale se sont enrichies de règles nouvelles destinées à réglementer et à contrôler certains aspects des systèmes d’information. des règles d’organisation à respecter et des dispositifs de sécurité qui permettent de remédier à ces risques.

En effet. inconcevable de certifier les comptes sans auditer la sécurité du système d’information. suite à la mise en place de nouveaux systèmes d’information. seulement. à adapter sa démarche d’audit comptable et financier en fonction du degré d’efficacité du contrôle interne de l’entreprise. L’absence de politiques et de procédures relatives à la sécurité du système d’information . Les nouvelles réglementations exigent des auditeurs d’évaluer et de tester les procédures de contrôle interne y compris celles liées aux systèmes information. le recours aux technologies de l’information s’accompagne inéluctablement de nouveaux risques. L’absence de procédures de gestion et de maîtrise des risques liés à l’introduction des nouvelles technologies de l’information peut avoir des conséquences financières préjudiciables pour l’entreprise. quelle est la méthodologie à développer par l’expert comptable pour l’audit de la sécurité du système d’information? La problématique réside dans le fait que : L’information comptable et financière est souvent issue des processus hautement informatisés et qu’il est. La refonte des processus. La dépendance vis-à-vis des fournisseurs de technologie . Il n’est donc plus appelé. 1 Les systèmes d’information induisent des risques spécifiques que l’auditeur doit prendre en considération dans sa démarche d’audit. peut affecter l’architecture des contrôles et réduire la capacité de l’entreprise à couvrir ses risques. parmi lesquels nous pouvons citer : L’ouverture des systèmes d’information aussi bien en interne. qu’en externe. 1 ISA 315 : « Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives » 14 . à travers l’Internet .La sécurité du système d’information : Les enjeux de l’expert comptable Quel est l’intérêt de l’audit de la sécurité du système d’information pour l’expert comptable? Quelles seront les contributions de l’expert comptable pour l’amélioration de la sécurité du système d’information ? Enfin. mais aussi à conseiller les clients en matière de gestion des risques pouvant affecter l’ensemble de leurs procédures. par conséquent. à travers les outils d’Intranet. L’expert comptable sera confronté à la complexité des systèmes d’information et aux risques qui leur sont liés.

caractéristiques et présentation de la normalisation internationale de la sécurité du système d’information et présentation de la sécurité en tant que responsabilité relevant du management. La méthodologie adoptée s’articule sur : Une démarche pragmatique. l’attention sera portée sur : Les risques inhérents au système d’information. La présentation du management du risque du système d’information et des différentes méthodes de son évaluation: COBIT.La sécurité du système d’information : Les enjeux de l’expert comptable Les objectifs escomptés par ce mémoire sont les suivants : Présenter une méthodologie claire permettant d’aider les professionnels à effectuer des missions d’audit de la sécurité du système d’information en se basant sur les bonnes pratiques issues de la norme ISO 27002 . Elargir davantage les missions de l’expert comptable. qui consiste à présenter une méthodologie pour la conduite des missions d’audit de la sécurité du système d’information. celui-ci est amené. les types des attaques et agressions auxquelles il est exposé et un aperçu sur les systèmes de détection des intrusions . en présentant la définition du système. ce travail nous a permis d’approfondir nos connaissances dans un domaine stratégique qui implique nécessairement une mise à niveau du métier de l’expert comptable. Concepts et enjeux: Dans cette partie. Présenter les bonnes pratiques en matière d’organisation et de management du système d’information. en mettant en évidence les bonnes pratiques en matière de contrôle de ces systèmes issues de la norme ISO 27002. La présentation du management de la sécurité du système d’information (SMSI) 15 . les menaces et vulnérabilités qui peuvent l’affecter. EBIOS… La sécurité du système d’information: définition. Sur le plan personnel. MARION. En effet. MEHARI. de nos jours. à développer une expertise dans ce domaine afin d’élargir le champ d’intervention de ses missions à l’audit et au conseil en système d’information et d’être en mesure de certifier les états de synthèse de manière à atteindre les objectifs énoncés ci-dessus avec le maximum d’efficacité et une valeur ajoutée plus importante. Cette démarche est développée dans le présent mémoire suivant un plan arrêté comme suit: 1ère Partie: Sécurité du système d’information. qui peuvent être utilisées comme un guide par les professionnels dans leurs missions de conseils en gestion des risques ou de mise en place des procédures de contrôle interne .

la sécurité de ce système. Les étapes d’audit de la sécurité du système d’information . 16 . L’objectif de cette partie est d’exposer la manière selon laquelle l’audit de la sécurité du système d’information s’intègre dans les différentes étapes de l’audit financier et de développer un guide de méthodologie d’audit en la matière. l’accent sera mis sur : Le rôle de l’expert comptable dans le cadre des missions d’audit de la sécurité du système d’information .La sécurité du système d’information : Les enjeux de l’expert comptable L’objectif de cette partie est de mettre en exergue les menaces et vulnérabilités du système d’information et de montrer l’importance que revêt. La démarche d’audit de la sécurité du système d’information basée sur les bonnes pratiques issues de la norme ISO 27002 . 2ème Partie: Audit de la sécurité des systèmes d’information : Dans cette partie. désormais. Présentation de la relation entre l’audit de la sécurité du système d’information et les normes d’audit financier.

CONCEPTS ET ENJEUX .PREMIERE PARTIE : SECURITE DU SYSTEME D’INFORMATION .

alors. ces investissements envahissent aussi bien notre vie professionnelle que privée. la mise en place des nouveaux systèmes informatiques intégrés et complexes s’accompagne par une refonte des processus de gestion des activités et des procédures de contrôle interne des entreprises. c’est bien de l’intérieur même de l’entreprise que peuvent surgir les attaques les plus dangereuses et les plus répandues. ce qui augmente la vulnérabilité des systèmes d’information. amène les entreprises à maîtriser. L’évolution des systèmes et leur ouverture sur les partenaires de l’entreprise conduisent à de nouveaux enjeux et entrainent des risques multiples. aux modes d’organisation. et en plus des dégâts causés par les intrusions externes. Pour l’essentiel. D’autre part. Il est ainsi admis que la cause principale de ces multiples atteintes au système d’information est fermement liée au facteur humain qui constitue souvent le maillon vulnérable du système de sécurité mis en place. Le degré de sophistication de telles attaques est très variable. mais elle concerne aussi le système d’information dans sa globalité. à l’intégration dans les objectifs et modes de management. se manifestant particulièrement par la permanence des violations et des agressions virales qui font de gros dégâts et affectent lourdement le fonctionnement des systèmes. De ce fait. il est impératif que le fonctionnement de ces systèmes soit sécurisé.La sécurité du système d’information : Les enjeux de l’expert comptable Introduction à la Première Partie Le processus de libéralisation et de mondialisation des marchés entraîne une concurrence féroce sur les marchés. Les ordinateurs et les réseaux font désormais partie de la vie quotidienne. Cette ouverture croissante du système n’est pas sans risques pour l’entreprise qui devient. Ceci. notamment leur système d’information afin d’être réactives et à même de jouer un rôle prédominant dans leurs marchés. la multiplication des moyens d’accès et l’ouverture des réseaux vers l’extérieur de l’entreprise fragilisent le système d’information de cette dernière. des cycles de vie des systèmes et des principaux risques qui y sont liés 18 . Il est évident que la compréhension de l’organisation et de l’environnement légal de la fonction informatique. la cible d’attaques visant non seulement à prendre connaissance ou à modifier l’information mais aussi à paralyser ce système. Cependant. et bien sur. Des faits d’actualité démontrent chaque jour la vulnérabilité des systèmes en l’absence de protections efficaces. la sécurité n’est plus aujourd’hui réservée à la technologie et au domaine informatique. Cela tient particulièrement à la sensibilisation. au choix de l’investissement. Par ailleurs.

La sécurité du système d’information : Les enjeux de l’expert comptable constituent un préalable nécessaire à l’accomplissement des missions d’audit informatique aussi bien dans le cadre des missions d’audit financier que des missions d’audit spécifique. Comme indiqué au niveau de l’introduction générale. 19 . cette première partie présente les multiples menaces et vulnérabilités du système d’information. ainsi que les concepts fondamentaux relatifs à la sécurité du système d’information et le management de cette sécurité. les différentes méthodes de leur évaluation et de leur analyse des risques.

traiter.4 2 3 Panorama général des normes et outils d’audit.La sécurité du système d’information : Les enjeux de l’expert comptable Chapitre 1: Les risques du système d’information Introduction: L’étude de la sécurité du système d’information. François VERGEZ – AFAI ESIL année 2010. Section 1 : Définition. p 4 www. et des vulnérabilités des systèmes. et de productivité. En utilisant l’outil informatique. pour aborder. logiciels. organisationnels et humains visant à acquérir. ensuite. rôle. l’entreprise s’expose à une multitude de risques qui peuvent se traduire par des pannes.www. agir.org/resources/afai. fonctions et organisation d’un système d’information : Sous section 1: Définition: Un système d’information peut être défini comme étant l’ensemble des moyens matériels. les types des attaques et des agressions et enfin les systèmes de détection des intrusions.fr Mickael PLANTEC . d’où la nécessité d’identifier pour chaque entreprise les risques propres auxquels elle s’expose pour pouvoir mettre en place les mesures de sécurité appropriées. vols de matériels. passe inévitablement par l’examen du système informatique et l’évaluation de sa sécurité.pd 20 . voir même l’atteinte à la continuité de son exploitation.2 Le risque informatique est défini comme étant « la situation constituée d’un ensemble d’évènements simultanés ou consécutifs dont l’occurrence est incertaine et dont la réalisation affecte les objectifs de l’entreprise qui la subit »3. prévoir. objectif.com 4 www. stocker. diffuser de l’information.clusir-est. En effet.« les risques informatiques » . Pour étudier les différents types de risques du système d’information.afai. nous allons commencer par une identification des menaces. Ces risques varient en fonction de la structure de l’entreprise et de son environnement informatique. pertes de données. Cette information est nécessaire pour décider.XiTi. contrôler et effectuer les activités d’une organisation. le système informatique est défini comme étant l’un des principaux moyens techniques pour faire fonctionner un système d’information.

5 6 Panorama général des normes et outils d’audit. essentielle et primordiale au processus de prise de décision. il est primordial que les systèmes d’information permettent à l’entreprise d’une part.) imposent à celles-ci d’être performantes et réactivités. l'information est devenue ainsi de plus en plus une variable stratégique. d’être en mesure.fr Mr Diemer Arnaud.afai.. Sous section 2: Rôle stratégique des systèmes d’information:6 Aujourd’hui. 2009. Le système d'information est aujourd'hui au cœur de la création de valeurs au sein des entreprises et peut constituer un avantage comparatif par rapport à la concurrence. les systèmes d’information revêtent un caractère stratégique dans le monde des entreprises. p 20 21 . d’augmenter continuellement sa productivité. Ceci implique que le traitement de l’information soit rapide et pertinent. Ainsi. Dans une économie qui se mondialise.La sécurité du système d’information : Les enjeux de l’expert comptable Figure 1: Système d’information5 L'amélioration de l'efficacité et de l'efficience des organisations est la préoccupation permanente des dirigeants des entreprises. les organisations cherchent à offrir davantage de services aux clients. les exigences de l’environnement (marchés financiers. p 4 www. où la concurrence devient de plus en plus vive. d’adapter en permanence sa structure aux exigences de son marché et. Partie I : Définition et analyse des entreprises: Approche systémique de l’entreprise. etc.. François VERGEZ – AFAI ESIL année 2010. clients. concurrence. d’autre part. En effet.

sans se déplacer. L’échange de données informatisées (EDI) permet un transfert de données commerciales entre clients et fournisseurs se développe. Les finalités essentielles d’un système s’articulent autour du contrôle. de communiquer sans souci de prix d’heure ou de distance. La mémorisation de l’information : le système d’information est une mémoire collective que forgent les différents acteurs de l’entreprise. Partie I : Définition et analyse des entreprises: Approche systémique de l’entreprise. contrôle et décision).La sécurité du système d’information : Les enjeux de l’expert comptable Sous section 3: Objectif du système d’information: 7 Le système d’information a pour objectif de fournir en permanence à chacun des membres de l’entreprise. Sous section 4: Les fonctions du système d’information:8 Pour remplir ces trois objectifs (coordination. La diffusion de l’information : le système d’information doit faire circuler l’information tout en préservant la qualité et la sécurité. le système d’information devra assurer différentes fonctions : La collecte de l’information : l’entreprise doit recueillir de nombreuses données en vue d’une utilisation ultérieure. p16 Mr Diemer Arnaud. de rechercher des partenaires. La gestion électronique de documents (GED) permet une informatisation de l’ensemble de la documentation de l’entreprise. Celles-ci doivent être classées. la coordination et la décision. Partie I : Définition et analyse des entreprises: Approche systémique de l’entreprise. Il doit donc stocker en sécurité et durablement les données. codifiées et condensées afin d’en faciliter le stockage et l’utilisation.…) afin de faciliter le partage d’informations et le travail de groupe. 2009. classement. de même que l’ECR (Efficiency Consumer Response). 7 8 Mr Diemer Arnaud. le suivi des actions mises en place et le contrôle de l’organisation. La diffusion informatique par les réseaux internes et externes à l’entreprise est de plus en plus développée (réseau internet et intranet). les renseignements dont il a besoin pour la prise de décisions. Internet permet d’effectuer des recherches documentaires. de créer une vitrine commerciale pour diffuser ses produits… Intranet utilise des outils d’internet pour des applications d’entreprises (annuaire interne. Le traitement se fera par tri. il est nécessaire qu’elle soit transformée en donnes utilisables par le décideur. 2009. Deux procédures principales permettent d’assurer la mémorisation des données : les fichiers et les bases de données. calcul… afin de fournir une base de données synthétique. même à l’étranger. documents de travail. courrier interne. saisie des feuilles de temps. Le traitement de l’information : la donnée étant un élément brut (on parle d’information de base). p 17 22 .

de déceler les changements et de les anticiper. Le système d’information stratégique (SIS): Il permet à l’entreprise d’être à l’écoute des changements de surveiller les menaces (arrivée de concurrents. complexes. Il est opérationnel en permettant la gestion courante de l’entreprise (Soldes Intermédiaires de Gestion). Le SIS pourra prendre la forme d’un système d’information technique (SGDT: système de gestion des données techniques) ou d’un système d’information mercatique (SIM). Le système d’information de gestion (SIG) n’est cependant pas suffisant. Le SIM traite des informations de type commercial (études de marché. 2009 p 19 Camille Rosenthal-Sabroux. Les informations qu’il traite. L’entreprise étant un système ouvert. L’élaboration d’un SIG comporte plusieurs étapes : collecte des informations de base provenant du système opérationnel (état des stocks. Americo Carvalho. Les informations contenues dans le SIS sont nombreuses. et Collectif _ Management et gouvernance des SI _ Edition Lavoisier _ 2009 p 40 23 . Ce système d’information est devenu la cible des agresseurs et des attaquants. L’entreprise doit disposer d’un système qui lui fournisse des informations à la fois sur son fonctionnement et son environnement. il est également important pour elle. …) et de détecter les opportunités tout en favorisant une approche prospective (élaboration de scénarii).La sécurité du système d’information : Les enjeux de l’expert comptable Sous section 5: L’organisation du système d’information: 9 Le domaine d’un système d’information peut être opérationnel ou stratégique. Partie I : Définition et analyse des entreprises: Approche systémique de l’entreprise. Le SGDT aide à fournir à tous les services concernés des données fiables et pertinentes sur les produits.…) en vue de faciliter la prise de décision commerciale. panels. 9 10 Mr Diemer Arnaud. ainsi les menaces et les vulnérabilités sont diversifiées et la sécurité du système d’information est devenue primordiale afin de sauvegarder et préserver la pérennité et la continuité de la société. portent sur son passé. On distingue ainsi deux sous-systèmes 10: Le système d’information de gestion (SIG): Il permet de renseigner sur le fonctionnement de l’entreprise et sur ses résultats. prise de décisions à partir des synthèses. traitement des informations collectées afin d’établir des synthèses destinées aux dirigeants (tableaux de bord). quantitatives et qualitatives. concernent l’intérieur de l’entreprise. nouveaux besoins des clients. factures…). diverses.

Il en résulte une divulgation. une modification ou une destruction des données ou encore une impossibilité d’obtenir une information ou un service. il y a toujours les vols de matériel. La situation est aujourd’hui bien différente. force est de constater que la menace interne représente plus de 70 à 80%12 des cas connus. la protection pouvait se résumer en quelques mesures de contrôle d’accès : grosses serrures.La sécurité du système d’information : Les enjeux de l’expert comptable Section 2: Les menaces et les vulnérabilités des systèmes d’information : Sous section 1: Les menaces: 1. les effets induits et non directement mesurables peuvent s’avérer catastrophiques pour l’entreprise ou l’organisme victime : atteinte à l’image de marque ou suppression d’emplois si le sinistre touche l’outil de production ou le produit vendu dans le cas d’un service par exemple. en abusant de ses privilèges ou en les accroissant. la menace externe est le fait d’individus qui n’ont pas un accès légitime au système d’information et qui essayent de briser les barrières de sécurité lorsqu’elles existent. le danger de ce type de menaces. nous pouvons citer : 11 12 FILIOL Eric. sas et gardiens étaient la panoplie usuelle. qui se réalisent sans la présence physique de l’agresseur. Ces agressions via le réseau ont maintenant atteint un seuil critique et on ne sait pas toujours quelle parade leur opposer. tente d’obtenir ou de falsifier des informations. de perturber le fonctionnement du système d’information. Certes. Mais globalement. l’utilisateur. dont les remèdes sont connus et éprouvés. qui possède un accès légitime au système d’information et des services qu’il offre. Par ailleurs.Origine: Du temps où l’informatique était centralisée. vandalisme. Au-delà de cette évidence. l’utilisation de console maîtresse pour pénétrer un système ou le piégeage d’un réseau pour le mettre « sur écoute »... 2.) représentaient des dangers majeurs. Réciproquement. les menaces « physiques » (pénétration dans les locaux informatiques sans autorisation. est sans commune mesure avec les agressions sur le réseau. l’information et les services fournis par le système d’information peuvent subir des préjudices qui se traduiront par une perte de confidentialité. d’intégrité ou de disponibilité. vol.Catégories: Dans le palmarès de cette « nouvelle délinquance ». RICHARD Phillipe _ Cybercriminalité _ Edition DUNOD _ 2007 p 35 CLUSIF _ Menaces informatiques et pratiques de sécurité en France _ Edition CLUSIF _ 2010 p 41 24 . Que la menace soit interne ou externe. Lorsque ce type de menace se concrétise par des attaques ou des fraudes.11 Les menaces qui pèsent sur les systèmes d’information sont de deux natures: interne et externe. En ces temps bénis.

le vol. Tout ce qui porte atteinte à la disponibilité des services La paralysie du système (considéré ensuite comme un exploit par les pirates qui l’ont réalisé). l’intention. imprimante. données financières avant publications. La modification des informations afin de porter atteinte à l’image de la société (exemple : modification de page Web). cheval de troie. Ce point est alors complice involontaire du piratage. Il n’est pas possible de dresser une liste exhaustive des motivations des criminels en col blanc mais quelques exemples permettront de saisir la personnalité de quelques uns d’entre eux. des données. mais il apparaît que les problèmes personnels ainsi que l’ego jouent un rôle primordial en influant sur le comportement social. le piratage. la fraude. l’incompétence. L’usurpation d’identité. des répertoires. des ressources réseaux. L’avidité et l’appât du gain sont les motifs principaux de leurs actes. Bien qu’il n’y ait pas de portrait robot de l’attaquant. Les actes intentionnels. l’extorsion de fonds. 13 CLUSIF _ Menaces informatiques et pratiques de sécurité en France _ Edition CLUSIF _ 2010 p 45 25 . …) Les virus et vers informatiques 3-Attaquants:13 Les motifs de l’agresseur sont nombreux et variés . qui nous intéressent ici. l’ignorance. comprennent : l’espionnage. l’ennui. Cette liste peut être complétée par celles inhérentes aux actes non intentionnels mais qui constituent une menace pour le système d’information à savoir la curiosité. ver. la vengeance. Tout ce qui porte atteinte à la confidentialité des informations : La récupération d’informations sensibles (mot de passe. le chantage. le système servant de « point de passage ». quelques enquêtes ont montré que les criminels en informatique étaient majoritairement des hommes ayant un travail peu gratifiant mais avec d’importantes responsabilités et un accès à des informations sensibles.La sécurité du système d’information : Les enjeux de l’expert comptable Tout ce qui porte atteinte à l’intégrité du système : Le piégeage des systèmes (bombes logiques. données personnelles. la paresse. La saturation d’une ressource (serveur. …) afin de nuire à la structure ou de se donner les moyens de revenir plus tard.…). l’appât du gain. ils évoluent dans le temps. le défi intellectuel. La fouille de messages. Une intrusion en vue « d’attaque par rebond » c'est-à-dire qu’une autre cible est visée.

surcharge des files d’attente dans le serveur et nuit à l’image de l’entreprise. les agresseurs doivent commencer par s’y introduire. _ 2008. Il faut donc que quelqu’un (ou « quelque chose ») leur ouvre la porte : Un identificateur (mot de passe) a été « prêté » ou « récupéré » (vol. Les pirates recherchent systématiquement les sites mal administrés en procédant à un balayage de l’internet avec des programmes appelés « scan ». Ces programmes découvrent à distance toutes les stations du réseau local et testent la présence de « vielles versions » des logiciels réseau sur ces stations avec des trous de sécurité connus.La sécurité du système d’information : Les enjeux de l’expert comptable 4-Technique d’attaques: Tout logiciel comporte des bogues dont certains sont des trous de sécurité. Un compte a été laissé à l’abandon (sans mot de passe par exemple). Cela engendre des centaines de messages de protestation provenant des victimes de ces publicités et peut provoquer la mise en cause de la responsabilité de l’entreprise. ces trous peuvent être exploités à distance via Internet. Si c’est un programme d’application réseau. RICHARD Phillipe _ Cybercriminalité _ Edition DUNOD _ 2007 p 54 26 . du fait de la facilité de sa mise en œuvre et de l’anonymat qu’elle assure. Les vielles versions de « sendmail ». Surcharger la liaison d’accès à l’Internet d’un site (jusqu’à le bloquer) en envoyant des messages (echo broadcast) auxquels toutes les stations locales répondent engendrant ainsi un surcroît de trafic très volumineux. 15 Pour prendre le contrôle d’un système. p 39 FILIOL Eric. « pings longs »). 14 Des méthodes essentiellement des programmes sont très connues pour perturber fortement les systèmes et les réseaux pour: Bloquer un système (par exemple en ouvrant à distance un grand nombre de connexions en émettant certains messages.…). Ce site sert alors de « relais » et sans avoir donné son nom apparaît dans l’origine des messages. 14 15 David Autissier. Cette attaque bloque la messagerie du site utilisé à son insu. des anomalies qui permettent de violer le système sur lequel tourne le programme. et Valérie Delaye _ Mesurer la performance du système d'information _ Edition EYROLLES. Cette utilisation détournée est en très forte hausse ces derniers temps. en cachant son identité. Un autre type de délit consiste à utiliser le serveur de messagerie d’un site pour envoyer des messages souvent publicitaires à un grand nombre de destinataires. Une fois le site mal administré est repéré. l’exploitation des vulnérabilités est à la portée de n’importe quel malfrat : on trouve sur internet des sites proposant des programmes tout prêts accompagnés de toutes les explications détaillées pour pénétrer les systèmes utilisant les trous de sécurité connus. le serveur de courriers électroniques sont les plus testés.

effectuant des traitements donnés sur les informations. Chacune de ces composantes possède intrinsèquement des vulnérabilités. Incendie. par exemple. tirer parti d’une faille de l’organisation du système avant de pouvoir utiliser les vulnérabilités des traitements. inondation. 16 27 . Piégeage. Une ancienne version d’un logiciel dont les failles de sécurité ont été publiées est encore en service sur une machine. y compris les ordinateurs. les vulnérabilités du système sont bien évidemment accrues. Il est à noter que le succès d’une nécessite souvent l’exploitation en série de plusieurs vulnérabilités : l’attaquant devra. radio. de la climatisation. ce mode ouvre béant un trou de sécurité. Perturbations dues à la présence d’ondes électromagnétiques dans le milieu ambiant (radars. selon des règles d’organisation prédéfinies. destruction mécanique. Il désigne les techniques et les contre-mesures de sécurité ainsi que les standards visant à protéger ou masquer les signaux et ayonnements électromagnétiques émis par les appareils électriques. Des matériels (dispositifs d’enregistrement ou de réémission des données). Modification ou substitution des composants du système.…) Emission de signaux parasites compromettants par des matériels ne respectant par les normes dites « TEMPEST17 ».La sécurité du système d’information : Les enjeux de l’expert comptable Une application réseaux installée a été mal maîtrisée (configuration mauvaise ou trop ouverte). Arturo Hernandez _ Sécurité des systèmes d'information des PME/PMI .respect du cahier des charges. parmi les traitements appliqués aux informations. Défaillances de l’alimentation électrique. Un utilisateur interne a aidé volontairement l’agresseur. 1-Logiciels et matériels: Les matériels utilisés par le système sont techniquement vulnérables à certains événements. dont la connaissance est indispensable pour imaginer les parades nécessaires à la réduction du risque qu’elles engendrent. non. Un logiciel installé « en mode debug ». Lorsque. Sous section 2: Les vulnérabilités:16 Un système d’informations est composé de manière indissociable de personnels et de matériels. des transferts ont lieu à travers des lignes de télécommunications. parmi lesquels il convient de citer : Mauvaise conception ou industrialisation des composants du système.Guide de réalisation d'un diagnostic stratégique _ Edition Arttesia _ 2009 p 61 17 TEMPEST est l’acronyme officiel de Telecommunications Electronic Material Protected from Emanating Spurious Transmissions.

Des déficiences en ce domaine peuvent entrainer des 18 Arturo Hernandez _ Sécurité des systèmes d'information des PME/PMI . l’utiliser.…). 2-Personnels :18 Les matériels et logiciels de sécurité aussi sophistiqués soient-ils. par idéologie politique ou volonté de nuire. Brouillage ou saturation de la ligne de télécommunication. Ces erreurs peuvent intervenir lors de la conception du système ou pendant sa phase opérationnelle. ils présentent tous un risque potentiel élevé. On peut. bien souvent concentrées dans quelques silos d’informations mal protégés. elles peuvent être quelque peu différentes. au cours de réunions professionnelles. citer : Les erreurs commises par excès de routine. chantage. le laxisme. et Patrick Gillet _ SIRH : Système d'information des ressources humaines _ Edition DUNOD _ 2010 p 43 28 . mais certaines sont constantes et existent encore: Ecoute sur la ligne de télécommunication. soit suite à une incitation extérieure. permettre son exploitation. provocation.…). Les perturbations diverses en cas de mouvements sociaux … 3-Structurels: La structure et les procédures de tous ordres qui existent dans l’organisme abritant le système ont une influence directe sur celui-ci. soit de leur propre fait. Outre les erreurs involontaires qu’ils peuvent également se prêter à des actions de malveillance.19 Un système d’information est toujours servi par des hommes et pour des hommes. sous l’effet de produits divers (alcool.Guide de réalisation d'un diagnostic stratégique _ Edition Arttesia _ 2009 p 81 19 Michelle Gillet. ne font qu’écarter la menace extérieure. leurs faiblesses naturelles pouvant être mises à profit par un agresseur éventuel.La sécurité du système d’information : Les enjeux de l’expert comptable Suivant le type de support utilisé. la fatigue. les manipuler. …. vantardise. Car ce sont bien des employés ou partenaires peu scrupuleux qu’émane le danger le plus sérieux pour les ressources stratégiques de l’entreprise. La divulgation d’informations sensibles ou de renseignements sur le système par bavardage inconsidéré. les détruire. Intrusion active par usurpation d’identité du destinataire ou de l’expéditeur d’informations. mais nullement les malveillances internes. drogues. familiales. Les actions diverses entreprises sous la pression (menaces. Que ceuxci aient accès aux informations pour les créer. ou au système pour le concevoir. Destruction physique ou logique de la ligne de transmission. dans ce cadre. le manque de conscience professionnelle ou de formation. ou par des personnels licenciés ou démissionnaires. Rejeu d’informations déjà transmises.

climatisation. Médéric Morel. J-C Grosjean. Sous section 3: Les conséquences en résultant: La dernière phase du scénario de sinistre est celle où l’entreprise va. L’extension abusive des privilèges.… Arrêts de l’activité provisoire ou définitive. par laxisme ou complaisance. entreprendre des actions pour revenir à son état d’origine et retrouver un fonctionnement habituel. L’absence de références hiérarchiques définies. et Guillaume Plouin _ Le poste de travail Web : Portail d'entreprise et accès au système d'information _ Edition DUNOD _ 2010 p 81 21 Arnaud Deslandes. Nous pouvons citer néanmoins :21 La perte d’image de marque due à la notoriété du sinistre. Les pertes de valeurs liées aux supports et à leur contenu : bandes. Les pertes de valeurs liées aux petits matériels. les pertes humaines. disquettes.La sécurité du système d’information : Les enjeux de l’expert comptable défauts de fonctionnement du système et des fautes exploitables par un agresseur éventuel. Les pertes de compétences ou de savoir-faire.Impacts internes: Les impacts internes sont souvent faciles à identifier et à évaluer. Médéric Morel. et Guillaume Plouin _ Le poste de travail Web : Portail d'entreprise et accès au système d'information _ Edition DUNOD _ 2010 p 87 29 . Nous pouvons citer : Les pertes de fonds. 1-Impacts externes : Les impacts externes sont souvent plus difficiles à identifier et à évaluer. énergie. La perte de confiance des partenaires. micros et équipements de bureaux et les fournitures diverses. matériels informatiques et péri-informatiques. listings. télécommunications. suite au départ de personnels cumulant diverses fonctions « stratégiques ». y compris immatérielles.20 1. d’une part constater le sinistre et les dégâts correspondants. allant au-delà du besoin d’en connaitre Les procédures inefficaces ou inapplicables. Les pertes de valeurs liées à des immobilisations: bâtiment et locaux. Le cas échéant. et d’autre part. Tout ceci va entraîner des impacts de différentes natures. 20 Arnaud Deslandes. armoires gaines et câbles. J-C Grosjean. stocks et autres immobilisations. nous citerons: La mauvaise connaissance des textes légaux ou règlementaire en vigueur.

Personne ayant de bonnes connaissances informatiques dont l’objectif est de concevoir des virus ou de pénétrer dans les systèmes d’information des entreprises. Il s’agit donc de réparer ou de reconstruire les ressources matérielles. de frais de transport et de convoyage. Les pertes d’exploitation induites (paiement d’heures supplémentaires. de locaux. en en recourant éventuellement à l’assurance ou l’agresseur. d’intérimaires). Section 3 : Les types des attaques et des agressions : Sous section 1: Les familles des attaques:22 Les hackers23 utilisent plusieurs techniques d'attaques.com/attaques/hacking/typesattaques. occasionnés par le mode d’activité dégradée. 22 23 http://www. s’ils ne sont pas couverts par un contrat de maintenance. Les coûts extraordinaires (location de matériels. il reste encore une action à faire pour minimiser le préjudice subi : il s’agit en effet de récupérer une partie des pertes sur des tiers. d’intérimaires.…). Les pertes sont les suivants : Les frais de ressaisie ou de reconstitution d’informations perdues. Les pertes d’exploitation dues à des décalages de chiffre d’affaires ou de dépenses. des administrations. de sous-traitance. Les coûts directs de réparation.La sécurité du système d’information : Les enjeux de l’expert comptable La perte de parts de marchés avec les clients pendant le temps du sinistre.securiteinfo. 2-Répercussions financières : Il s’agit là des frais de toute nature que l’entreprise va devoir engager pour remédier aux détériorations subies par ses ressources . Ces attaques peuvent être regroupées en trois familles différentes : Les attaques directes.shtml Hacker: Synonyme de Cyber-terroriste ou pirate. Les frais supplémentaires pour restaurer la situation antérieure ou une situation stable acceptable. Avant de clore le bilan du sinistre. Les pertes d’exploitation dues à des pertes d’affaires. Les frais supplémentaires liés à la poursuite de l’activité. Les frais directs après sinistre (délaiement. La perte de compétitivité. les fichiers de données ou les informations. action pénale. Le bilan final que l’on pourra alors faire du sinistre donnera les pertes résiduelles. ou de corriger les programmes. pertes ou surcoûts causés à des tiers du fait d’un sinistre dans l’entreprise. ou le passage en fonctionnement de secours : paiement d’heures supplémentaires. Les préjudices. de sous-traitance. coûts d’usage d’autres matériels ou logiciels (secours). de reconstituer les bases de données. frais d’expertises). détruites ou dégradées. de clientèles ou de parts de marché.… 30 .

en limitant l’accès aux seules personnes autorisées. les programmes de hack qu'ils utilisent ne sont que faiblement paramétrables. a. « Unité centrale de traitement »). 31 . En effet. bande passante. Notons. le rebond a deux avantages : Masquer l'identité (l'adresse IP25) du hacker. IP est le protocole d'Internet. du point de vue du hacker.La sécurité du système d’information : Les enjeux de l’expert comptable Les attaques indirectes par rebond. utiliser les ressources de l'ordinateur intermédiaire car il est plus puissant (CPU26. avec un chiffre à la fin. Ces clés doivent être protégées contre les tentatives de détection des mots de passe. etc. b. l'attaquant va lui envoyer une requête. 24 25 Script kiddies : ce sont des pirates informatiques L’Internet Protocol. et un grand nombre de ces logiciels envoient directement les packets à la victime. est le composant de l'ordinateur qui exécute les programmes informatiques.Les attaques directes: C'est la plus simple des attaques.Les attaques indirectes par réponse : Cette attaque est un dérivé de l'attaque par rebond. Sous section 2: Attaques sur les mots de passe: Les mots de passe constituent des éléments clés de l’utilisation des systèmes informatiques. les deux méthodes suivantes: L'attaque par dictionnaire : le mot de passe est testé dans une liste prédéfinie contenant les mots de passe les plus courants et aussi des variantes de ceux-ci (à l’envers. qui répercute l'attaque vers la victime. Et c'est cette réponse à la requête qui va être envoyée à l’ordinateur victime.. à cet effet. Avec la mémoire notamment. généralement abrégé IP. 26 Le processeur. elles contiennent des mots existants ou des diminutifs….). c. Les attaques indirectes par réponse. ou CPU (de l'anglais Central Processing Unit. En effet. Eventuellement.. Elle offre les mêmes avantages. Mais au lieu d'envoyer une attaque à l'ordinateur intermédiaire pour qu'il la répercute. Un processeur construit en un seul circuit intégré est un microprocesseur.Les attaques indirectes par rebond: Cette attaque est très prisée des hackers. Le principe en lui même. La plupart des "script kiddies24" utilisent cette technique. est simple : Les packets d'attaque sont envoyés à l'ordinateur intermédiaire. D'où le terme de rebond. Le hacker attaque directement sa victime à partir de son ordinateur. c'est l'un des composants qui existent depuis les premiers ordinateurs et qui sont présents dans tous les ordinateurs. est un protocole de communication de réseaux informatiques. Ces listes sont généralement dans les langues les plus utilisées.) pour attaquer.

pour un mot de passe composé strictement de six caractères alphabétiques. et faisant perdre du temps à ses destinataires . il permet de créer artificiellement une faille de sécurité dans les systèmes facilitant l’intrusion de pirates ou de virus. encombrant le réseau. L'hameçonnage (phishing en anglais) : un courrier électronique dont l'expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de lui fournir des informations confidentielles . Le logiciel espion (spyware en anglais) : logiciel ou partie de logiciel dont le but est de collecter des informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation. Sous section 3: Programmes malveillants: Un programme malveillant (malware en anglais) est un logiciel développé dans le but de nuire à un système informatique27.La sécurité du système d’information : Les enjeux de l’expert comptable L’attaque par force brute : toutes les possibilités sont exploitées dans l’ordre jusqu’à trouver la bonne solution. Le canular informatique (hoax en anglais) : un courrier électronique qui incite l'utilisateur à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple). La porte dérobée (Backdoor en anglais) : programme visant à détourner les fonctionnalités d’un service ou d’un système en ouvrant des canaux d’accès masqués. WOLFHUGEL Christophe _ Sécurité informatique. principe et méthode _ Edition EYROLLES. Le cheval de Troie (Trojan en anglais) : programme à apparence légitime qui exécute des routines nuisibles sans l'autorisation de l'utilisateur. La propagation du virus se fait par l’utilisation d’un support physique infecté ou à travers les réseaux informatiques. Le ver (Worm en anglais) : programme qui se duplique lui-même en installant des copies de lui-même sur d’autres machines à travers un réseau. 27 28 Patrick Boulet _ Plan de continuité d'activité : Secours du système d'information _ Edition Lavoisier _ 2008 p 52 BLOCH Laurent. et de les envoyer à son insu à l’éditeur du logiciel. Il en est ainsi des programmes suivants: Le virus: programme capable de s’incruster dans d’autres programmes. il existe des attaques spécifiques à celle-ci. Nous pouvons citer dans ce cadre:28 Le pourriel (spam en anglais) : un courrier électronique non sollicité. toute utilisation des programmes « infectés » déclenche la recopie de virus. la plupart du temps de la publicité. Sous section 4 : Attaques par messagerie: En dehors des nombreux programmes malveillants qui se propagent par la messagerie électronique. _ 2007 p 48 32 . par exemple de “AAAAAA” jusqu'à “ZZZZZZ”.

developpez.org/wiki/Syst%C3%A8me_de_d%C3%A9tection_d'intrusion 33 . les systèmes de détection d’intrusions conviennent parfaitement à la réalisation de cette tâche. Section 4 : Les systèmes de détection des intrusions29 Afin de détecter les attaques que peut subir un système. puis par des entreprises. La mystification (en Anglais spoofing) : technique consistant à prendre l'identité d'une autre personne ou d'une autre machine pour récupérer des informations sensibles. Symantec. http://krierjon. http://dbprog.developpez. Nous pouvons donc facilement comprendre que la détection d’intrusions doit se faire à plusieurs niveaux. on retrouve les produits des entreprises spécialisées en sécurité informatique telles qu’Internet Security Systems. … Sous section 1: Les différents types d'IDS31: Comme nous l’avons vu. il est nécessaire d’avoir un logiciel spécialisé dont le rôle serait de surveiller les données qui transitent sur ce système et qui serait capable de réagir si des données semblent suspectes. Le déni de service : Le "Distributed Denial of Service" (DDoS) consiste à rendre une ressource inaccessible par saturation ou par destruction. Plus tard. Certaines utilisent des failles réseaux et d’autres des failles de programmation. Ainsi. 29 30 Les systèmes de détection d'intrusions.com Claudine CHASSAGNE _ Manager un systeme d'information .La sécurité du système d’information : Les enjeux de l’expert comptable Sous section 5: Les attaques sur le réseau: Sont présentés dans ce paragraphe les principales techniques d'attaques qui visent à nuire à la sécurité de tout le réseau informatique et non seulement à celle d’un poste de travail isolé: Le sniffing : un logiciel sniffer permet de récupérer toutes les informations transitant sur un réseau tels que les mots de passe des applications. l’identification des machines qui communiquent sur un réseau… . Plus communément appelés IDS (Intrusion Detection Systems). Cette attaque est souvent réalisée par un envoi massif de requêtes. il existe différents types d’IDS dont nous détaillons ci-dessous les caractéristiques principales. les attaques utilisées par les pirates sont très variées. il s’agit d’une technique qui vise à générer des arrêts de service et d’empêcher ainsi le bon fonctionnement d’un système. que l'on ne pourrait pas avoir autrement . les premiers systèmes de détection d’intrusions ont été initiés par l’armée américaine. Cisco Systems.guide pratique du dsi _ Edition Territorial _ 2009 p 31 31 http://fr.30 A l’origine.wikipedia. des projets open-source ont été lancés et certains furent couronnés de succès. comme par exemple Snort et Prelude que nous détaillerons ultérieurement.com. Parmi les solutions commerciales.

Ces types d’IDS sont décrits un peu plus loin. Un HIDS a besoin d’un système sain pour vérifier l’intégrité des données.Les systèmes de détection d’intrusions de type hôte (HIDS): Un HIDS se base sur une machine unique. Il analyse en temps réel les flux relatifs à une machine ainsi que les journaux. Pour parer à ces attaques. mais sur l’activité se passant sur cette machine. Fonctions : Détection des techniques de sondage (balayages de ports.com _ 2006 p 12 34 . d’activités suspectes internes. des activités virales ou encore audit des fichiers de journaux (logs).La sécurité du système d’information : Les enjeux de l’expert comptable 1-Les systèmes de détection d’intrusions (IDS):32 Définition : Ensemble de composants logiciels et matériels dont la fonction principale est de détecter et d’analyser toute tentative d’effraction. Faux négatif: une intrusion réelle qui n’a pas été détectée par l’IDS. 1. Leur appellation « hybride » provient du fait qu’ils sont capables de réunir aussi bien des informations provenant d’un système HIDS que d’un NIDS. 32 David Burgermeister. ils permettent de réunir les informations de diverses sondes placées sur le réseau. Il s’agit d’un système capable de détecter tout type d’attaque. Ce document se concentrera essentiellement sur ce type d’IDS.Les systèmes de détection d’intrusions « réseaux » (NIDS): Objectif : Analyser de manière passive les flux en transit sur le réseau et détecter les intrusions en temps réel.1. Certains termes sont souvent employés quand on parle d’IDS : Faux positif: une alerte provenant d’un IDS mais qui ne correspond pas à une attaque réelle. 1. Jonathan Krier _ Les systèmes de détection d'intrusions _ Edition Developpez.2. Les NIDS étant les IDS les plus intéressants et les plus utiles du fait de l’omniprésence des réseaux dans notre vie quotidienne. le HIDS ne sera plus efficace. Si le système a été compromis par un pirate. fingerprinting). L’analyse ne porte plus cette fois sur le trafic réseau.3.Les systèmes de détection d’intrusions « hybrides »: Généralement utilisés dans un environnement décentralisé. des tentatives de compromission de systèmes. il existe des KIDS (Kernel Intrusion Detection System) et KIPS (Kernel Intrusion Prevention System) qui sont fortement liés au noyau. 1.

org/wiki/Noyau_de_syst%C3%A8me_d'exploitation 35 Les systèmes de détection d'intrusions . Les firewalls sont basés sur des règles statiques afin de contrôler l’accès des flux. il détecte un balayage automatisé.com) p 15 36 Le modèle OSI (de l'anglais Open Systems Interconnection. C'est un IDS actif. David Burgermeister. permettant de prendre des mesures afin de diminuer les impacts d'une attaque. Ces firewalls peuvent cependant être outrepassés en faisant croire que les paquets appartiennent à une session déjà établie. 1. Comme les IDS. est la partie fondamentale de certains systèmes d’exploitation. Jonathan Krier 2006 (Dvelopper.Les firewalls:35 Les firewalls ne sont pas des IDS à proprement parler. http://fr.5. 1. littéralement le « protocole de transfert hypertexte ».Les systèmes de prévention d’intrusions (IPS 33): Ensemble de composants logiciels et matériels dont la fonction principale est d’empêcher toute activité suspecte détectée au sein d’un système. Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information. ce qui permet au firewall de prendre des décisions adaptées à la situation. Il gère les ressources de l’ordinateur et permet aux différents composants — matériels et logiciels — de communiquer entre eux. est un protocole de communicationclient-serveur développé pour le World Wide Web. 37 L'HyperText Transfer Protocol. ce qui est insuffisant pour stopper une intrusion.La sécurité du système d’information : Les enjeux de l’expert comptable 1. Par exemple. Un système de prévention d'intrusion (ou IPS. lors de l’exploitation d’une faille d’un serveur Web. soit « sécurisé ») est la variante du HTTP sécurisée par l'usage desprotocoles SSL ou TLS. Nous ne pouvions donc pas les ignorer. similaire aux IDS. Il décrit les fonctionnalités nécessaires à la communication et l'organisation de ces fonctions. Ce type de firewall possède une table d’états où est stocké un suivi de chaque connexion établie. 34 Un noyau de système d’exploitation. plus connu sous l'abréviation HTTP. Ils travaillent en général au niveau des couches basses du modèle OSI 36 (jusqu’au niveau 4). similaire aux IDS. Il existe trois types de firewalls : Les systèmes à filtrage de paquets sans état : analyse les paquets les uns après les autres.6. 33 35 . mais ils permettent également de stopper des attaques. ou kernel (de l'anglais). Intrusion Prevention System) est un outil des spécialistes en sécurité des systèmes d'information.wikipedia. les IPS peuvent bloquer les ports automatiquement. HTTPS (avec S pour secured. « Interconnexion de systèmes ouverts ») d'interconnexion en réseau des systèmes ouverts est un modèle de communications entre ordinateurs proposé par l'ISO (Organisation internationale de normalisation). de manière totalement indépendante. le flux HTTP37 sera autorisé par le firewall puisqu’il n’est pas capable de vérifier ce que contiennent les paquets.4. Les systèmes à maintien d’état (stateful) : vérifient que les paquets appartiennent à une session régulière. ou simplement noyau. Ils peuvent donc parer les attaques connues et inconnues. ils ne sont pas fiables à 100% et risquent même en cas de faux positif de bloquer du trafic légitime.Les systèmes de prévention et d’intrusions « Kernel34 » (KIDS/KIPS): Un système de prévention d'intrusion (ou IPS. permettant de prendre des mesures afin de diminuer les impacts d'une attaque.

Les systèmes de corrélation et de gestion des intrusions (SIM – Security Information Manager) : centralisent et corrèlent les informations de sécurité provenant de plusieurs sources (IDS. consiste quant à elle. Les systèmes de leurre : le but est de ralentir la progression d’un attaquant.7. nous en avons déduit deux techniques mises en place dans la détection d’attaques.38 38 Chantal Morley _ Management d'un Projet Systeme d'Information . Les systèmes distribués à tolérance d’intrusion : l’information sensible est répartie à plusieurs endroits géographiques mais des copies de fragments sont archivées sur différents sites pour assurer la disponibilité de l’information. Sous section 2: Les méthodes de détection: Pour bien gérer un système de détection d’intrusions. Les alertes sont ainsi plus faciles à analyser. Elles seront ensuite étudiées afin de connaître les mécanismes d’intrusion utilisés par le hacker.La sécurité du système d’information : Les enjeux de l’expert comptable Les firewalls de type proxy : Le firewall s’intercale dans la session et analyse l’information afin de vérifier que les échanges protocolaires sont conformes aux normes. De là. applications. mais en plus. Ces programmes utilisent une base de vulnérabilités connues (exemple : Nessus). mise en oeuvre et outils _ Edition DUNOD _ 2008 p 131 36 . techniques. routeurs. …). La seconde. en générant des fausses réponses telle que renvoyer une fausse bannière du serveur Web utilisé. Il sera ainsi plus facile d’offrir des protections par la suite. 1. il est important de comprendre comment celui-ci fonctionne. Une question simple se pose alors : comment une intrusion est-elle détectée par un tel système ? Quel critère différencie un flux contenant une attaque d’un flux normal ? Ces questions nous ont amenés à étudier le fonctionnement interne d’un IDS. il n’aura qu’une petite partie de l’information et celle-ci lui sera inutile. à détecter une activité suspecte dans le comportement de l’utilisateur. firewalls. Cependant.Les technologies complémentaires Les scanners de vulnérabilités : systèmes dont la fonction est d’énumérer les vulnérabilités présentes sur un système. La première consiste à détecter des signatures d’attaques connues dans les paquets circulant sur le réseau. si un pirate arrive à s’introduire sur le système. toutes ses actions sont enregistrées. Les systèmes de leurre et d’étude (Honeypots) : le pirate est également leurré.Principes.

Conclusion: Pour un système d’information donné. de mettre en place les parades nécessaires à la protection de ses informations. peuvent être combinées au sein d’un même système afin d’accroître la sécurité. De son côté. une analyse de risque lui permettra d’identifier les scénarios d’attaques réalistes et par conséquent. aussi différentes soient-elles. 37 .La sécurité du système d’information : Les enjeux de l’expert comptable Ces deux techniques. ou des combinaisons. Connaissant ses propres vulnérabilités. la menace n’est unique mais le plus souvent composite du fait de la diversité des systèmes et des informations gérées. le défenseur doit être capable de déterminer ce qu’il veut protéger et contre qui. Un agresseur utilisera généralement plusieurs techniques. pour arriver à ses fins en exploitant les vulnérabilités d’un système d’information. Il en va de même pour les attaques.

Dans ce qui suit. le concept de risque peut être exprimé ainsi: Menaces*Vulnérabilités Risque = * impact. Section 1: Le management du risque: Sous section 1: Définition du Risque: En fait. nous allons exposer cinq méthodes d’évaluation de risques les plus utilisées. Elles peuvent être intentionnelles ou accidentelles. D’autre part. Les contre-mesures : se sont les mesures et les dispositifs de sécurité mises en place afin d’atténuer le niveau de risque à un niveau résiduel. 39 40 Thierry RAMARAD _ Quelle méthode d’analyse des risques ? Panorama des solutions et méthodes _ Edition DUNOD _ 2005 p 89 Jean-Philipe Jouas et Albert Harari _ Le Risque Informatique » 2SI-sécurité des systèmes d’information _ Edition Arttesia _ 1999 p 73 38 .. De point de vue quantitatif.La sécurité du système d’information : Les enjeux de l’expert comptable Chapitre 2 : Les méthodes d’évaluation du risque Introduction: Plusieurs sont les méthodes qui permettent de fournir une évaluation globale de la sécurité et des risques informatiques au sein de l’entreprise.. affectation de l'image de marque. qui permet notamment de mesurer l'impact financier et la probabilité de survenance d'un évènement indésirable40. il existe une équation reine qui définit la notion de risque comme suit : Risque = Vulnérabilité * Menace * Impact. Qualitative : cette méthode exprime le risque en termes d’impact potentiel et de probabilité de survenance.etc. Les vulnérabilités expriment toutes les faiblesses des ressources qui pourraient être exploitées par des menaces. L'impact est le résultat de l'exploitation d'une vulnérabilité par une menace et peut prendre différentes formes : perte financière. Contres mesures Les menaces désignent l'ensemble des éléments pouvant atteindre les ressources d'une organisation. la notion de risque peut être exprimée par une évaluation probabiliste 41: Risque = Pa*(1-Pi)*C. il y a deux approches d’estimation du niveau de risque39: Quantitative : cette méthode exprime le risque en termes financiers et de fréquence. En ce qui concerne l’approche qualitative. perte de crédibilité. La combinaison des ces éléments fonde la notion de risque. dans le but de les compromettre.

quels types et niveaux de contrôles de sécurité faut-il appliquer. c’est être capable de recenser avec une manière aussi exhaustive que possible les risques associés à un système d’information42. Évaluation des risques : C’est un processus qui combine l’identification des ressources ou des biens vitaux de l’entreprise. Ebios. 2002. il y a eu l’émergence des méthodes actuelles comme (Mehari. à ce niveau. Cramm) qui font la distinction entre la notion d’actifs informationnels de l’organisation et les vulnérabilités techniques. 1. Évaluation et Management de risque : En effet. de savoir comment résoudre les problèmes de sécurité. Identification des risques : L’identification des risques.Pratiques et évolutions _ Edition ENI _ 2010 P 78 45 Frédéric Georgel.Pratiques et évolutions _ Edition ENI _ 2010 p 73 43 Jean-François Carpentier _ La gouvernance du Système d'Information dans les PME .Pratiques et évolutions _ Edition ENI _ 2010 p 75 44 Jean-François Carpentier _ La gouvernance du Système d'Information dans les PME .Genèse des méthodes de management de risque: Dans les années 80 à 90. Sous section 2: Identification. Pi : efficacité des contre-mesures C : conséquences de la perte de la ressource considérée. d’évaluer l’impact et de gérer d’une manière convenable les risques auxquels elle est exposée. la plupart reste orientée aux grandes entreprises 46. Octave. Cobit. de faire un aperçu historique et de présenter les principales méthodes d’évaluation et de management de risque. en fait. ce qui nécessite une préparation adéquate et minutieuse44 Sous section 3: Les méthodes de management de risque : Il convient. Management de risque: C’est une approche systémique permettant de déterminer les mesures de sécurité appropriées pour l’entreprise. et Thierry Chamfrault _ IT gouvernance : Management stratégique d'un système d'information _ Edition DUNOD _ 2009 p 98 46 Yosecure « Sécurité de l’information et gestion des risques informatique ». 39 . à quel endroit les résoudre. toute unité doit être en mesure d’identifier. la sécurité était réservée aux très grandes entreprises et administrations. Il s’agit. En raison du fait que les réseaux étaient basés sur des protocoles propriétaires.La sécurité du système d’information : Les enjeux de l’expert comptable Pa : probabilité de l’attaque. Cependant. 41 42 Nicolas Dubée _ Analyse des risques sécurité SI _ Edition Economica _ 2001 p 42 Jean-François Carpentier _ La gouvernance du Système d'Information dans les PME . leur valorisation et la détermination des risques de violation de sécurité43. 45 Par la suite. il y a eu l’apparition des méthodes « Marion » issues du Clusif et « Melisa » destinées à l’évaluation des risques des centraux (mainframes) et de leur environnement.

L’état du marché Méthode COBIT Control Objectives for Information and related Technology Angleterre (ISACA) Aperçu -Développée depuis 1996 . Paris. 47 48 Olivier.Compatible avec ISO 27 002 gouvernementales des Objectifs de Sécurité France ou d’Etats . Janvier 2004. Thierry RAMARAD « Quelle méthode d’analyse des risques ? Panorama des solutions et méthodes » D’Ageris Consulting. Le tableau ci-dessous présente un aperçu historique sur les méthodes les plus connues48. D’autre part. du monde associatif . propose une évaluation de risques.Logiciel EBIOS disponible gratuitement Expression des Besoins et Identification Méthodes .Développée depuis 1995 EBIOS . De ce fait.Développée depuis 1995 . gérer et réduire les risques.Langue Française Angleterre Méthodes issues (CLUSIF) . avec le déploiement des systèmes d’information sophistiqués et l’ouverture croissante des réseaux.Cible : Grandes entreprises & PME-PMI.Développée depuis 1980 MARION .Cible : Grandes entreprises. la norme ISO 27 002 qui peut intéresser toutes les entités.Compatible avec ISO 27 002 .Cible : Grandes entreprises. . et ce quelque soit la taille ou l’activité.Langue Française (DCSSI) .Langue Française .Cible : Grandes entreprises & PME-PMI . sans pour autant imposer une méthode concrète pour identifier. En effet.Compatible avec ISO 27 002 (CLUSIF) . Luxereau « ISO 17799/IEC la sécurité et la norme » l’informatique professionnelle n 220.les bases de connaissances a 500$ MEHARI .Langue Anglaise . Mai 2005 40 . quelque soit leur secteur. les entreprises sont exposées aux multiples dangers. tous les organismes sont concernés par l’évaluation de risques et la mise en place des dispositifs de sécurité47.La sécurité du système d’information : Les enjeux de l’expert comptable La méthode Octave existe dans une déclinaison pour petites entreprises (inférieur à 100 personnes).Logiciel RISICARE (Société BUC SA)Méthode Harmonisée d'Analyse de Risques 9200$ France .

La sécurité du système d’information : Les enjeux de l’expert comptable

2- Présentation des méthodes de management de risque : En effet, il y a un panorama de techniques, une panoplie de solutions et une variété de méthodes permettant de mettre en évidence les risques relatifs à la sécurité du système d’information. Chaque méthode d’analyse des risques est un outil de management, de sensibilisation et de pilotage, qui a pour objectif de « cartographier l’ensemble des risques pesant sur l’entreprise afin de prendre les décisions stratégiques adaptées » 49. Par abus de marketing, ces méthodes sont communément appelées «méthodes d’audit, Cependant, il s’agit des méthodes d’évaluation des risques qui peuvent soutenir la démarche d’audit en tant qu’indicateur de gestion rigoureuse de risque. Plusieurs sont les méthodes qui permettent de fournir une évaluation globale de la sécurité des systèmes d’information au sein de l’entreprise. Dans ce qui suit, nous allons exposer cinq méthodes d’évaluation de risques, tout en signalant que l’évaluation numérique du risque informatique ne relève pas des diligences requises au cours d’une mission d’audit de la sécurité informatique. Section 2: Control Objectives for Information and Technology: COBIT50 Le COBIT est une méthode publiée par l'ISACA51 aux Etats-Unis et traduite par l’association française d’audit et de conseil informatique (AFAI). Le COBIT permet de comprendre et de gérer les risques liés aux technologies de l’information. Pour ce faire, il retient quatre domaines fonctionnels : la planification et l’organisation, l’acquisition, la distribution, le support et la surveillance. Il découpe ces domaines en 34 processus; pour chaque processus, il fournit un modèle de maturité permettant d'apprécier le niveau sur une échelle de 0 (inexistant) à 5 (optimisé) et des facteurs clés de succès correspondant aux actions à déployer pour l’améliorer. Le guide de management ainsi constitué est orienté vers l’action pour : 1. Déterminer les contrôles informatiques : qu’est ce qui est important ? 2. Sensibiliser: où est le risque ? 3. Comparer : que font les autres ? Cette méthode ne permet pas de quantifier les risques, mais elle présente à partir de l’évaluation des 34 processus liés aux technologies de l'information par rapport aux meilleures pratiques, les éléments et la démarche nécessaires à la mise en œuvre de tableaux de bord

49 50

Thierry RAMARAD _ Quelle méthode d’analyse des risques ? Panorama des solutions et méthodes _ Edition Economica _ 2005 p 61 Dominique Moisand, Fabrice Garnier de Labareyre, et Bruno Ménard Broché _ CobiT : Pour une meilleure gouvernance des systèmes d'information _ Edition EYROLLES. _ 2010 p 83 51 ISACA: Information Systems Audit and Control Association www.isaca.org

41

La sécurité du système d’information : Les enjeux de l’expert comptable

équilibrés. Cette méthode est d’avantage assimilée à une méthode de gouvernance des systèmes d’information. COBIT concourt à la gouvernance des SI en aidant à s’assurer que: Les SI sont alignés sur le métier de l'entreprise, Les SI apportent un plus au métier, et maximisent ses résultats, Les ressources des SI sont utilisées de façon responsable, Les risques liés aux SI sont gérés comme il convient.

Figure 2 : Organisation du référentiel Cobit52

52

DOMINIQUE MOISAND FABRICE GARNIERDEL ABAREYRE Préface de Didier Lambert Avec la collaboration de J.-M. Chabbal, T. Gasiorowski, F. Legger et L. Vakil _ Cobit, Pour une meilleure gouvernance des systèmes d’information _ Edition DUNOD _ 2009.

42

La sécurité du système d’information : Les enjeux de l’expert comptable

COBIT retient 34 processus regroupés en 4 domaines qui correspondent au cycle de vie des SI et à leur maîtrise : Planifier et Organiser (10 processus), Acquérir et Implémenter (7 processus), Délivrer et Supporter (13 processus), Surveiller et Evaluer (4 processus). Chaque processus met en œuvre des ressources informatiques (applications, informations, infrastructures et personnes au sens compétences), fournit une information destinée à satisfaire les besoins métiers exprimés sous forme de critères (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité) et concerne un ou plusieurs domaines de la gouvernance des systèmes d’information (alignement stratégique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance). Section 3: La méthode d’analyse des risques informatiques orientée par niveau « MARION » :53 Marion « Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux» a été développée par le CLUSIF dans les années 1980 mais a été abandonnée en 1998 au profit de la méthode Mehari. C'est une méthode d'audit de la sécurité d'une entreprise, elle ne permet pas de mettre en œuvre une politique de sécurité en tant que telle. A base d'un questionnaire, elle donne une évaluation chiffrée du risque informatique. Marion repose sur l'évaluation des aspects organisationnels et techniques de la sécurité de l'entreprise à auditer. Elle utilise 27 indicateurs classés en 6 thématiques. Chaque indicateur se voit attribuer une note entre 0 (insécurité) et 4 (excellent), la valeur 3 indiquant une sécurité correcte. Sous section 1: Thématiques des indicateurs de la méthode Marion: Sécurité organisationnelle Sécurité physique Continuité Organisation informatique Sécurité logique et exploitation Sécurité des applications Sous section 2: Phases de la méthode Marion: La méthode se déroule en 4 phases : 1. Préparation 2. Audit des vulnérabilités

53

Frantz Rowe, et Rolande Marciniak _ Systèmes d'information, dynamique et organisation _ Edition Economica _ 2008 p 119

43

Figure 4 : Exemple d'histogramme différentiel Marion55 54 55 http://cyberzoide.developpez.com/securite/methodes-analyse-risques/ 44 .com/securite/methodes-analyse-risques/ http://cyberzoide. Figure 3 : Exemple de rosace Marion54 La rosace présente dans un cercle la valeur de chacun des 27 indicateurs. Ces réponses données vont permettre de recenser les risques du système d’information et les contraintes de l'entreprise. Analyse des risques 4. A l'issu de cet audit. L'audit des vulnérabilités consiste à répondre aux questionnaires.La sécurité du système d’information : Les enjeux de l’expert comptable 3. Elle est un moyen de visualiser rapidement les points vulnérables du système d’information qui doivent être mieux protégés. Plan d'action La phase de préparation permet de définir les objectifs de sécurité à atteindre ainsi que le champ d'action de l'audit et le découpage fonctionnel du système d’information à adopter pour simplifier la réalisation de l'étude. sont construits une rosace et un diagramme différentiel représentant respectivement la note attribuée à chacun des indicateurs et les facteurs de risques particulièrement importants.developpez.

Les indicateurs de valeur égale ou supérieure à 3 ne sont pas représentés. 56 Frantz Rowe. L'analyse des risques permet de classer les risques selon leurs criticités (en classes : Risques Majeurs et Risques Simples). de leur impact respectif et de leur probabilité.La sécurité du système d’information : Les enjeux de l’expert comptable L'histogramme différentiel est construit avec des barres représentant l'éloignement de chaque valeur d'indicateur à la valeur de référence 3. Le coût de la mise à niveau est évalué et les tâches à réaliser pour y parvenir sont ordonnancées. On visualise ainsi les vulnérabilités du SI en fonction de leurs criticités relatives. Cet éloignement est pondéré avec l'importance donnée au facteur mesuré. et Rolande Marciniak _ Systèmes d'information. Son pouvoir de comparaison des entreprises auditées est un plus indéniable. Cette méthode par questionnaire est assez simple à mettre œuvre et est bien rodée du fait de son âge. dynamique et organisation _ Edition Economica _ 2008 p 142 45 . Elle procède au découpage fonctionnel du système d’information pour une analyse détaillée des menaces. La méthode Marion définit 17 types de menaces : Sous section 3: Types de menaces Marion:56 Accidents physiques Malveillance physique Carence du personnel Carence du prestataire Panne du SI Interruption de fonctionnement du réseau Erreur de saisie Erreur de transmission Erreur d'exploitation Erreur de conception / développement Détournement de fonds Détournement de biens Vice caché d'un progiciel Copie illicite de logiciels Indiscrétion / détournement d'information Sabotage immatériel Attaque logique du réseau Le plan d'action propose les solutions à mettre en œuvre pour élever la valeur des 27 indicateurs à la valeur 3 (niveau de sécurité satisfaisant) de l'audit des vulnérabilités et atteindre les objectifs fixés en préparation.

et en la classification préalable des entités du système d’information en fonction de trois critères de sécurité de base: confidentialité.developpez. Puis. elle est dérivée des méthodes Melisa et Marion. intégrité. Les Plans Opérationnels de Sécurité (POS) 3. Le Plan Opérationnel d'Entreprise (POE) 57 François-Xavier de Vaujany _ Les grandes approches théoriques du système d'information de François-Xavier _ Edition Lavoisier _ 2009 p 93 58 http://cyberzoide.com/securite/methodes-analyse-risques/ 46 .La sécurité du système d’information : Les enjeux de l’expert comptable La méthode Mehari qui lui succède va plus loin en proposant la création complète de la politique de sécurité. elle est utilisée par de nombreuses entreprises publiques ainsi que par le secteur privé. disponibilité. Figure 5 : Schéma général de la méthode Mehari58 Mehari s'articule autour de 3 types de livrables : 1. Le Plan Stratégique de Sécurité (PSS) 2. Existant en langue française et en anglais. Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activité de l'entreprise. 57 La démarche générale de Mehari consiste en l'analyse des enjeux de sécurité : quels sont les scénarios redoutés ?. des audits identifient les vulnérabilités du système d’information. Le logiciel RISICARE développé par la société BUC SA est un outil de gestion des risques basé sur la méthode Mehari. Et enfin. l'analyse des risques proprement dite est réalisée. Section 4: La Méthode Harmonisée d'Analyse de Risques : MEHARI Mehari (MEthode Harmonisée d'Analyse de RIsques) est développée par le CLUSIF depuis 1995.

une planification de la mise à niveau de la sécurité du système d’information est faite. La DCSSI 59 60 http://cyberzoide. une évaluation de chaque risque (probabilité. proposent des liens entre menaces et parades. Techniques.developpez. Démarche. Les audits qu'elle propose permettent la création de plans d'actions concrètes. Outillages) et d'un logiciel permettant de simplifier l'application de la méthodologie explicitée dans ces guides. Section 5: Expression des Besoins et Identification des Objectifs de Sécurité : EBIOS59 EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'identifier les risques d'un SI et de proposer une politique de sécurité adaptée aux besoins de l'entreprise (ou d'une administration). Des bases de connaissances permettent d'automatiser certains calculs de gravité des scénarios de risques. de construire une politique de sécurité destinée à pallier les vulnérabilités constatées lors des audits du Plan Opérationnel de Sécurité et d'atteindre le niveau de sécurité correspondant aux objectifs fixés dans le Plan Stratégique de Sécurité. Sur la base de cet audit.. Pour cela. ils élaborent des scénarios de compromission et auditent les services du système d’information. et par la même les mesures de protection nécessaires. Elle a été créée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information). Elle est destinée avant tout aux administrations françaises et aux entreprises. Mehari apporte une démarche centrée sur les besoins de continuité d'activité de l'entreprise et fournit des livrables types aidés d'un guide méthodologie.La sécurité du système d’information : Les enjeux de l’expert comptable Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir. Cette méthode permet donc. Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en œuvre. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs. du Ministrère de la Défence (France). Enfin.com/securite/methodes-analyse-risques/ François-Xavier de Vaujany _ Les grandes approches théoriques du système d'information de François-Xavier _ Edition Lavoisier _ 2009 p 132 47 ..60 La méthode EBIOS se compose de cinq guides (Introduction. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité. Le logiciel libre est gratuit (les sources sont disponibles) permet de simplifier l'application de la méthode et d'automatiser la création des documents de synthèse.

Détermination des exigences de sécurité Figure 6 : Démarche EBIOS globale62 L'étude du contexte permet d'identifier le système d'information cible par l'étude. Etude du contexte 2. la liste des vulnérabilités et des types d'attaques est dressée en fonction des matériels. Une base de connaissances à laquelle se connecte le logiciel EBIOS permet d'avoir un accès à la description d'un ensemble de vulnérabilités spécifiques.La sécurité du système d’information : Les enjeux de l’expert comptable possède un centre de formation où sont organisés des stages à destination des organismes publics français.developpez. L'étude des menaces permet d'identifier les risques en fonction non plus des besoins des utilisateurs mais en fonction de l'architecture technique du système d'information. Un club d'utilisateurs EBIOS a été créé en 2003 et constitue une communauté d’experts permettant le partage des expériences. Les équipements. de 61 62 Robert Reix _ Systèmes d'information et management des organisations _ Edition Vuibert _ 2004 p 74 http://cyberzoide. architecture du système d'information. contraintes techniques et réglementaires. La méthode EBIOS est découpée en cinq étapes :61 1. L'expression des besoins de sécurité permet d'estimer les risques et de définir leurs critères. Identification des objectifs de sécurité 5. Ainsi. de contraintes de sécurité. enjeux commerciaux.com/securite/methodes-analyse-risques/ 48 . Expression des besoins de sécurité 3. Les utilisateurs du système d’information expriment durant cette étape leurs besoins de sécurité en fonction des impacts qu'ils jugent inacceptables. de méthodes d'attaques. les logiciels et l'organisation humaine de l'entreprise sont également étudiés. Etude des menaces 4. Cette étape délimite le périmètre de l'étude : présentation de l'entreprise. Elle peut être enrichie via le logiciel.

une identification claire des risques est nécessaire pour asseoir une politique de protection adéquate et mettre en place en conséquence les mesures qui s’imposent. Ces objectifs vont former un cahier des charges de sécurité qui traduira le choix fait sur le niveau de résistance aux menaces en fonction des exigences de sécurité. réduire ou refuser un risque. La justification argumentée de ces exigences donne l'assurance d'une juste évaluation. Section 6: Critères de choix entre les différentes méthodes Il existe de nombreuses méthodes d'analyse des risques. EBIOS fournit donc. D'autres sont réservées à des grands comptes du fait de leur complexité et des ressources humaines impliquées. Il reste à choisir la méthode qui s'applique le mieux à chaque entreprise ou organisme public. quelles que soient leurs origines (humaine.La sécurité du système d’information : Les enjeux de l’expert comptable l'architecture réseau et des logiciels employés et ce. L'identification des objectifs de sécurité confronte les besoins de sécurité exprimés et les menaces identifiées afin de mettre en évidence les risques contre lesquels le système d’information doit être protégé. Cette stratégie est décidée en fonction du coût des conséquences du risque et de sa probabilité de survenance. certains doivent être acceptés afin que le coût de la protection ne soit pas exorbitant. certaines sont simples à utiliser. délibérée). C'est notamment la stratégie de gestion du risque tel que cela est défini dans un plan de risque qui sera déterminé ici : accepter. 49 . matérielle. Conclusion: Les méthodes d’évaluation du risque du système d’information sont nombreuses. la méthode permettant de construire une politique de sécurité en fonction d'une analyse des risques qui repose sur le contexte de l'entreprise et des vulnérabilités liées à son système d’information. La détermination des exigences de sécurité permet de déterminer jusqu'où on devra aller dans les exigences de sécurité. Il est évident qu'une entreprise ne peut faire face à tout type de risques. environnementale) et leur cause (accidentelle.

D’autres y verront une notion abstraite amalgamant tous les mécanismes de gestion d’une organisation»63. Cependant. proprement dite. d’ordinateurs. la distinction n’est pas aussi nette et le responsable de la sécurité du système d’information (RSSI) est souvent confronté aux deux aspects à la fois66. Section 1: Définition. vers une approche de e-management _ Centre de Publication Universitaire _ 2004 Servin Claud _ Réseaux et télécoms _ Edition DUNOD _ 2003 65 Servin Claud _ Réseaux et télécoms _ Edition DUNOD _ 2003 66 Longeon Robert _ Sécurité des systèmes d’information. alors que la sûreté permet de faire face aux incidents. Brièvement.La sécurité du système d’information : Les enjeux de l’expert comptable Chapitre 3 : La sécurité du système d’information Introduction: La revue de la littérature relative au système d’information fait apparaître une certaine confusion qui s’accentue davantage par l’aspect sécuritaire. la sûreté est une combinaison de méthodes et de moyens mis en œuvre pour éviter les défaillances « naturelles » dont les effets ont un caractère catastrophique. 63 64 Ziadi jameledine _ SI. concepts et objectifs de la sécurité du système d’information : Sous section 1 : Définition de la sécurité : La sécurité regroupe deux domaines fondamentaux qu’il convient de dissocier l’un de l’autre: La sûreté de fonctionnement (safety) : « concerne l’ensemble des mesures prises et des moyens utilisés pour se prémunir contre les dysfonctionnements du système »64. La sécurité (security). ce qui est du au fait que le concept de sécurité du système d’information se prête à la fois aux volets pratique. De ce fait. le vocable sécurité du système d’information « peut éveiller dans nos esprits deux types de réaction fortement opposées. Il s’agit donc de l’ensemble des méthodes et moyens mis en œuvre pour se protéger contre les défaillances résultant d’une action intentionnelle. il sera synonyme de sécurité du système informatique. au niveau de notre démarche d’audit. technique et organisationnel. théorique. en pratique. Pour certains. Sûreté de fonctionnement : Convergence et Divergence _ Atelier ssi _ 2004 p 33 50 . la sécurité permet de se protéger des malveillances. ERP. De ce fait. le concept de sécurité est primordial. En effet. « regroupe tous les moyens et les mesures prises pour mettre le système d’information à l’abri de toute agression » 65. TIC.

d’authenticité. Il s’agit de garantir la continuité et la permanence du service d’un ordinateur ou d’un réseau. au préalable. l’intégrité et la confidentialité d’un système d’information par la mise en place des mécanismes de prévention. Dunod. la sécurité ne permet pas directement de gagner de l’argent mais évite d’en perdre. à la fois au plan technique et organisationnel. Stratégies et technologies». Stratégies et technologies _ Edition DUNOD _ 2000 69 ISO 27002 « Technologies de l’information. Intégrité et disponibilité. au sens large. Section 2 : Les caractéristiques de la sécurité : Confidentialité. Selon la norme ISO 2700269 « la sécurité du système d’information est l’état qui permet d’assurer la disponibilité. code pratique pour la gestion de sécurité de l’information » 51 . octobre 2000 _ Sécurité Internet . en vue de faire face aux menaces que l’on aura pris soin. Sous section 1: La disponibilité: La disponibilité est l’aptitude des systèmes à remplir une fonction dans des conditions prédéfinies d’horaires. il convient d’ajouter celui du non répudiation qui a vu le jour essentiellement avec les échanges de données informatisées. La sécurité du système d’information « c’est l’art de combiner un ensemble de mesures préventives et curatives. Cela consiste à diminuer la probabilité de voir des menaces se concrétiser. d’identifier et de hiérarchiser »67. assurer les objectifs de performance. à en limiter les atteintes ou dysfonctionnements induits en agissant sur les vulnérabilités des systèmes. respecter les dates et heures limites de traitement. de la SSI née au milieu des années 80. désigne l’ensemble des techniques propres à garantir les informations traitées ou transmises par un système d’information. Ce n’est rien qu’une stratégie préventive qui s’inscrit dans une approche globale de la sécurité de système d’information68. et à autoriser le retour à un fonctionnement normal en cas de sinistre à des coûts et dans des délais acceptables. en termes de confidentialité. de protection et de détection des incidents ». d’intégrité et de disponibilité. En fait. et permettre ainsi de garantir la continuité 67 68 GDI Jeans-Louis Desvignes _ GDI Jeans-Louis Desvignes « les enjeux de la sécurité des systèmes d’information _ SSTIC _ 2003 Solange Ghernaouti-Hélie Claud « sécurité Internet . L’objectif central de la sécurité des systèmes d’information est de garantir qu’aucun préjudice ne puisse mettre en péril la pérennité de l’entreprise. A ces objectifs. La sécurité informatique peut être définie comme étant l’ensemble de moyens de prévention et de détection mis en place par une société pour garantir un niveau de risque acceptable.La sécurité du système d’information : Les enjeux de l’expert comptable Sous section 2 : La sécurité du système d’information (SSI) : La première expression. de délais et de performances.

La protection des informations peut se faire également au moyen de mots de passe associés à chaque objet. c'est à dire réserver l’accès aux données aux seuls utilisateurs habilités en fonction de la classification des données et des niveaux d’habilitation de chacun d’eux. assurer la confidentialité revient à assurer qu’une information n’est ni disponible. c’est à dire de pouvoir disposer des ressources en matériels et logiciels nécessaires à l’ensemble des services et utilisateurs des traitements.La sécurité du système d’information : Les enjeux de l’expert comptable des échanges d’information c’est à dire de pouvoir disposer. Le terme information doit être pris au sens le plus large. Cela revient à empêcher un utilisateur de consulter directement une information qu'il n'est pas autorisé à connaître. L'intégrité peut être définie comme étant la capacité du système à 70 Yves Chevalier _ Système d'information et gouvernance _ Edition DUNOD _ 2008 p 58 52 . à garantir la continuité de service des traitements. D’une manière générale. il recouvre aussi bien les données elles mêmes que les flux d'informations et la connaissance de l'existence des données ou des communications. chaque fois que le besoin se fait sentir. Sous section 2: La confidentialité: La confidentialité est la propriété de garder secrètes les informations avec accès aux seules entités autorisées. ni altérées. Sous section 3: L’intégrité: L’intégrité est la qualité qui assure que les données ne sont ni créées. une fois interceptées par une personne autre que le récepteur dédié. quant à elle. La sécurité de la confidentialité des systèmes d’information contre les risques de divulgation non autorisée nécessite la mise en place des actions suivantes :70 Mettre en place un système d’authentification des utilisateurs. La disponibilité des traitements vise. Garantir le secret des données échangées par deux correspondants sous forme de messages ou de fichiers. entités ou processus non autorisés. ni divulguée aux personnes. par la mise en place de moyens de prévention contre la divulgation non autorisée de l'information. Assurer la disponibilité de l’information. Cet objectif est en général plus recherché en cas d’échange d’informations sensibles et qui. des possibilités de réception et de transfert. pourraient nuire aux intérêts de la société. ni détruites de manière non autorisée. nécessite des procédures appropriées de couverture contre les accidents ainsi que des contrôles de sécurité afin de se protéger contre les suppressions inattendues ou intentionnelles des fichiers.

si la valeur pécuniaire est évidente. d’autant plus que le spectre des dommages possibles s’étend de la simple perte de données à la disparition de l’avantage concurrentiel à la suppression ou la falsification des données personnelles et à la ruine de l’entreprise73. consiste à établir des contrôles aussi bien sur les entrées que sur les traitements des transactions et à sécuriser les fichiers des données cumulées de toute modification non autorisée. des informations. l’intégrité est la propriété de non altération ou de non destruction de tout ou partie du système d’information de façon non autorisée. l’exactitude et la validité des informations et d’éviter les modifications. Il s’agit de garantir l’exhaustivité. et à garantir leur mise à jour correcte.71 Selon la norme ISO 13-335-172. Dans le cas de la sécurité des systèmes de télécommunication. Cependant. 53 . Assurer l’intégrité des données. notamment avec l’émergence des sociétés d’information. de traitement et de conservation. faites par erreur. les menaces à l’intégrité peuvent entraîner les anomalies suivantes : L’inintelligibilité des messages émis suite à des opérations de brouillage . L’inexistence ou la non exhaustivité des messages transmis (en plus ou en moins). Section 3: Les besoins en sécurité : L’importance du patrimoine matériel ou informationnel pour l’organisation justifie une protection adéquate. L’intégrité est destinée à garantir la fiabilité et l’exhaustivité des échanges d’informations. La perte de l’ordre d’une suite de messages . en faisant en sorte que les données soient reçues comme elles ont été émises et d’avoir les moyens de les vérifier. de saisie. L’altération du sens du message . Février 1993. c'est à dire garantir que les données ne subissent aucune altération ou destruction volontaire ou accidentelle durant tout le processus de transport par voie électronique. les informations stockées ou traitées sont encore plus précieuses pour les raisons suivantes : Sous section 1: Importance stratégique de l’information: L’information est la ressource la plus importante qui est devenue le facteur décisif de succès et susceptible de renforcer la compétitivité de l’organisation. 71 72 Yves Chevalier _ Système d'information et gouvernance _ Edition DUNOD _ 2008 p 93 ISO 13-335-1 « concepts et modèles pour le management de la sécurité des TIC » 73 L’Institut Français des Auditeurs Consultants Internes en collaboration avec IBM et Price Waterhouse « Module 8 : Sécurité » SAC Report.La sécurité du système d’information : Les enjeux de l’expert comptable empêcher la corruption d'informations par les fautes accidentelles ou intentionnelles.

Le décret n° 2004-1248 du 25 mai 2004. en se manifestant par la publication des travaux Américains « Orange Book » publié en 1983 et utilisé par le Département de la Défense Américain qui a établi des critères permettant de classer les 74 75 O’Brien J « Introduction aux systèmes d’information : un outil essentiel pour l’entreprise branchée » Cheneliere/Mc Graw-Hill 2001 Jackson. NJ: Datapro Research. A l’heure actuelle. Concernant la genèse du concept de sécurité. fixant l’organisation administrative et financière et les modalités de fonctionnement de l’Agence Nationale de la Sécurité Informatique.La sécurité du système d’information : Les enjeux de l’expert comptable Sous section 2: Dépendance de la prise de décision par rapport aux informations: Tout le processus décisionnel est alimenté par les informations qui sont censées guider et orienter les décideurs tout au long de ce processus74. les principaux textes sont : La loi n° 2004-5 février 2004. fixant les systèmes informatiques et les réseaux des organismes soumis à l’audit périodique obligatoire de la sécurité informatique et les critères relatifs à la nature de l’audit et à sa périodicité et aux procédures de suivi de l’application des recommandations contenues dans le rapport d’audit. Sous section 4: Les enjeux juridiques: Parmi les trois dossiers juridiques jugés prioritaires par les responsables de la sécurité. la gestion des données personnelles des clients. Le décret n° 2004-1250 du 25 mai 2004. October 1990. 77 Buffart P. “The Need for Security” Datapro Reports on Information Security: Concepts and Issues. la responsabilité des hébergeurs et des prestataires techniques. la signature électronique77. Sous section 3: Exigences formulées par des tiers: Les partenaires de l’entreprise. Carl B. _ Sécurité des systèmes d’information : Quelle politique globale de gestion des risques ? _ Edition CIGREF _ 2002 54 . 76 Dominique George _ Etude mondiale Ernest&Young sur la sécurité des systèmes d’information en 2004 _ Ernest&Young _ 2004. Amilhat.Notamment avec l’apparition des entreprises étendues marquées par la dépendance accrue de l’entreprise vis-à-vis de ses partenaires76. les clients. le personnel. B. il y a lieu de citer l’archivage et la conservation des données. la réglementation en vigueur en Tunisie concernant la sécurité de l’information est en perpétuelle évolution. Le décret n° 2004-1249 du 25 mai 2004. D’autres dossiers sont jugés également importants : le cyber surveillance des salariés. relative à la sécurité informatique. Section 4: la normalisation internationale en matière de sécurité. il faut remonter au début des années 80 lorsque la sécurité a concerné en premier lieu le domaine informatique. le public sont en droit d’exiger d’une organisation le respect de la confidentialité des informations75. fixant les conditions et les procédures de certification des experts auditeurs dans le domaine de la sécurité informatique. Delran. les fournisseurs.

78 79 Bauknecht.Catalogues SSI: Le terme « catalogue SSI » est employé pour tous les recueils de mesures. de vulnérabilités ou autres éléments sans démarche méthodologique.La sécurité du système d’information : Les enjeux de l’expert comptable systèmes informatiques selon le niveau de confiance qui leur est accordé78. ACSI 33 (DSD australien). ISPME (CSE canadien). K _ Information Security Mnangement _ Solms & Eloff _ 2000 ITSEC «Information Technology Security Evaluation Criteria». Juin 1991. Parmi ceux-ci. CM 5515 (Otan) .. ISO 17799. Les catalogues pour l’évaluation de produits : TCSEC (DoD américain). les « méthodes SSI ». nous citerons la classification construite par la DCSSI (Direction centrale de la sécurité des systèmes d’information). Sous section 1: Direction centrale de la sécurité des systèmes d’information (DCCI): Plusieurs typologies des normes et méthodes de sécurité des systèmes d’information peuvent être dressées. sécurité des interconnexions : AC35-D/1027 (OTAN). ISO 13335. La politique de sécurité : PSI (DCSSI). nous pouvons citer: Les bonnes pratiques et mesures de sécurité : IT Baseline Protection Manual (BSI allemand). et largement utilisée à travers le monde81. des « critères communs » furent publiés en 1999 et un accord de reconnaissance mutuelle fut alors signé entre six pays : ces critères allaient ensuite être adoptés en tant que une norme ISO 15408 »80. Code de bonne pratiques pour la sécurité de l’information _ Yosecure _ 2003 55 . ITSEC (CEE). Par la suite.. sécurité des sites: RFC 2196 (IEFT). À titre d’exemple. ISO 15408… Les catalogues spécifiques : sécurité des réseaux : MG-1 (CSE canadien). la norme BS 7799 / ISO 27002 a été publiée depuis l’année 2000 pour servir de référence en tant que norme internationale reconnue dans le domaine de la sécurité des systèmes d’information. RFC 1244 (IETF). 80 GDI Jeans-Louis Desvignes _ Les enjeux de la sécurité des systèmes d’information _ Edition SSTIC _ 2003 81 Yosecure _ Norme de sécurité internationale ISO/IEC 17799 : V 2000. quatre pays européens ont décidé d’harmoniser leurs critères par la publication des ITSEC79. 1. Pour mettre en œuvre de bonnes pratiques de gestion de la sécurité de l’information dans le sens le plus large et mettre sur pied une politique de sécurité. d’exigences. La DCSSI distingue d’un côté les « catalogues SSI » et de l’autre. modèle de maturité SSI : SSE-CMM (ISSEA) . Pour aboutir à la convergence américano-européenne dans ce domaine.

Marion. Incas (Clusif). ISO 27002 . Les normes internationales techniques : la norme ISO/IEC 15408 (Evaluation criteria for IT security) (cette norme est tirée des « common criteria »). Le schéma ci-dessous dresse le panorama des méthodes développées et normalisées à travers le monde en matière de sécurité soit par les gouvernements et les associations. Les normes internationales de diagnostic et de qualité : ISO/IEC 19011 (Audit).. IAM (NSA). Les méthodes d’intégration de la SSI dans les projets : DSIS (DCSSI). Risk Management Guide. Ninah (XP CONSEIL).. portant sur le cadre des détections d’intrusions) . ISO/IEC WD 15947 (norme en cours de discussion. Guidelines for the management of IT Security. MV3 (CF6). Muse… Sous section 2: Les normes de sécurité du système d’information : Parmi les normes.. Les normes nationales organisationnelles : BS 7799-1 (Code of practice for information security management. ISO 9004 (Qualité) . IPAK (CSI). SSRS.Méthodes SSI: Le terme de « méthode SSI » désigne quant à lui les démarches de sécurité reposant sur une méthode.. Cramm (CCTA anglais). Orion (Cersiat). élaborée par le British Standard Institute.). SP800-26 (NIST). (ISO/IEC TR 13335) la norme ISO 27002 (Code of practice for information security management) en phase de révision. SP800-30 (NIST).La sécurité du système d’information : Les enjeux de l’expert comptable 2. nous pouvons citer :82 Les méthodes contribuant à la gestion du risque SSI : Ebios (DCSSI). Les méthodes globales incluant des aspects SSI : Cobit… Les guides de rédaction : Feros. Mehari (Clusif). Buddy System (Countermeasures Corp. Parmi celles-ci. MG-2 (CSE canadien). ou les entreprises: 82 Patrick Boulet _ Plan de continuité d'activité : Secours du système d'information _ Edition Lavoisier _ 2008 56 . ERSI (Forum des compétences).. Les méthodes d’audit ou contrôle interne SSI : Massia (DGA). élaborée par le British Standard Institute). Les normes nationales d’évaluation : BS 7799-2 (Specification for information security management systems.. nous pouvons distinguer : Les normes internationales organisationnelles : les GMITS. SP800-18… Les autres méthodes : Domaines spécifiques : Messedi. issu de la norme britannique BS 7799 Part 1 – 1999 . à l’origine de la norme) .

BS 7799-2 :2002 Système de management de la sécurité de l’information ISO 17799/IEC : 2000 ISO 27001/IEC : 2005 ISO 17799/IEC : 2005 ISO 27002 : 2007 Figure 8: Evolution de la norme BS 7799 83 84 www. BS 7799.fr . Code de bonnes pratiques relatif à la gestion de la sécurité d’information.La sécurité du système d’information : Les enjeux de l’expert comptable Figure 7:Cartographie des principales méthodes SSI dans le monde83 Sous section 3 : Présentation de la BS 7799 et ISO 27002 : La norme BS 7799 se présente en deux parties84: ISO 27002. Janvier 2004.cigref.Part 2: Spécifications relatives au Système de management de la Sécurité de l’Information SMSI. Quelle politique globale de gestion des risques ? Olivier. 57 . Luxereau « ISO 17799/IEC la sécurité et la norme » l’informatique professionnelle n 220. BS 7799 BS 7799-1 Code de bonnes pratiques pour la gestion de la sécurité d’information. Sécurité des systèmes d’information.

Complémentarité d’ISO 27002: « Le succès de la norme ISO 27002 s’explique en partie par sa flexibilité et sa complémentarité avec les autres normes existantes en sécurité de l’information et des technologies de l’information »85. 3. dans une acception très large du terme.La sécurité du système d’information : Les enjeux de l’expert comptable 1.ISO 27002 « Gestion de la sécurité d'information . Il est d’ailleurs recommandé d’utiliser le quatrième guide (Part 4 : Selection of safeguards) proposé dans ISO 13335 pour enrichir les contrôles suggérés dans l’ISO 2700286. il existe une forte complémentarité avec la norme ISO 15408. finalisée en 1999 et élaborée par l’organe de normalisation britannique le BSI (British Standards Institution). D’autre part. Elle recommande une analyse des risques et l’identification des principales règles à contrôler. aborde les aspects technologiques liés au traitement de l’information et apporte une valeur ajoutée à l’approche d’évaluation des risques. mieux connue sous le nom « critères communs ». Frangopoulos _ A Comparative Study of Standards and Practices Related to Information Security Management _ Department of computer science and Information Systems UNISA _ 2003 58 . 87 Daniel Marc _ Sécurité du système d’information _ Ecole Supérieur d’ingénieurs de Luminy _ 2004 88 Eloff. Le schéma de certification autour de cette norme (BS 7799-2) a été mis en place en 1998. ISO 15408 peut aider à respecter ISO 2700287. 2. appelé aussi GMITS (Guidelines for the management of IT Security). qui permet de durcir la technique. D’autres liens de complémentarité existent entre l’ISO 27002 et les autres normes telles que:88 ISO 15947 : Cadre de détection des intrusions.Code Pratique pour la gestion de la sécurité d'information »: Il s’agit de la première partie de la norme BS 7799-1: ISO 27002 est une émanation de la norme BS 7799-1 apparue en 1995. C’est un guide de bonnes pratiques de sécurité. tandis qu’ISO 27002 couvre davantage les aspects organisationnels de la sécurité de l’information. En résumé. 85 Jean-Damien RUBAL _ Mise en œuvre d’un SMSI et déploiement de politique de sécurité BS 7799/ ISO 27002 _ Callio Technologies Europe _ 2004 86 Bauknecht. La norme ISO 27002 est un ensemble de règles ou de recommandations décrivant les meilleures pratiques en matière de sécurité d’information.La seconde partie : BS 7799-2: BS 7799-2 fournit les exigences portant sur la mise en œuvre d’un système de management de la sécurité de l’information et sert ainsi de cadre à la mise en œuvre de la BS 7799-1. K _ Information Security Mnangement _ Solms & Eloff _ 2000. La norme ISO 13335.

90 En fait. Section 5: La sécurité de l’information : une responsabilité du management La sécurité des systèmes d’information est une discipline transversale qui couvre des aspects très variés. et Archimbaud J _ Guide de la sécurité des systèmes d’information à l’usage des directeurs _ CNRS _ 1999 59 . 1996 relative au système de management de l’environnement. Elle est donc la responsabilité des généralistes qui sont polyvalents et ont su acquérir plusieurs spécialités adaptées concrètement au domaine dont ils ont la responsabilité. Il est difficile de quantifier le coût d'un sinistre sur des éléments intangibles tels que la perte d'image ou la réputation. ou encore de valoriser les informations 89 90 Longean R. ISO 18028 : Gestion des communications. ISO 14516 : Sécurité dans le e-commerce. la sécurité coûte cher si l’entreprise choisit des mesures de sécurité (technologie très sophistiquée) sans se poser la question de leur efficacité vis-à-vis des scénarios de risques réels. définir la politique de sécurité»89. ISO 19791 : Evaluation de la sécurité des systèmes d’exploitation. s’appuyer sur des normes et des méthodes. l’évaluation du retour sur investissement des dépenses consacrées à la sécurité n’est pas une chose aisée. La sécurité des systèmes d’information est une fonction de direction. la sécurité ne coûte pas cher quand elle est corrélée à des risques réels et spécifiques à l’entreprise qui ont des impacts financiers. ISO 17944 : Systèmes financiers. exploitation et gestion de système détection des intrusions ISO 18044 : Gestion des incidents. « le directeur doit être informé des risques et des vulnérabilités de son système d’information. le responsable de la sécurité doit être en mesure d’apprécier les risques et de les gérer. Certes. ISO 19790 : Exigences de la sécurité pour les modules cryptographiques. d’organiser la mise en œuvre des dispositifs de sécurité. et Archimbaud J _ Guide de la sécurité des systèmes d’information à l’usage des directeurs _ CNRS _ 1999 Longean R. Ces généralistes spécialisés ne peuvent mener à bien leur mission qu’avec le soutien sans faille et l’engagement de leur directeur. avec l’aide de ces hommes de l’art. En effet. En effet. ISO 27002 propose une harmonisation avec d’autres normes. Il doit être conscient des enjeux pour qu’il puisse. Par contre. comme ISO 9000 :2000 concernant le système de management de la qualité et ISO 14001. identifier les coûts et prévoir le retour en investissement. ISO 19792 : Cadre pour l’évaluation et l’essai de la technologie biométrique. les aspects techniques ne venant qu’en second lieu. de De surcroît.La sécurité du système d’information : Les enjeux de l’expert comptable ISO 18043 : directives pour l’implémentation.

97 La sécurité est un concept plus large et concerne tout le système du contrôle interne. la gestion des mots de passe. Mais l’inconvénient réside dans le fait qu’elles agissent dans le sens de dimension outils et techniques.fr 60 . Cependant. M _ Audit de la sécurité du système d’information et de communication : sécurité informatique. Donc. La sécurité de l'information est un concept à 80% d'ordre organisationnel et à 20% technologique. que le problème de sécurité est d’autant plus organisationnel que technique. qui doit soutenir toutes les activités. l’absence d’enregistrement des incidents de sécurité. 91 92 Geyres Stéphane _ La sécurité des systèmes d’information dans les entreprises Française en 2003 : un zoom _ Ernest&Young _ 2003 Daniel Marc _ Sécurité du système d’information _ Ecole Supérieur d’ingénieurs de Luminy _ 2004 93 Geyres Stéphane _ La sécurité des systèmes d’information dans les entreprises Française en 2003 : un zoom _ Ernest&Young _ 2003 94 Kamoun. la sécurité est une problématique technique. L’aspect potentiel de l’insécurité rend les prises de décision difficiles. Code de bonne pratiques pour la sécurité de l’information _ Yosecure _ 2003 96 Geyres Stéphane _ La sécurité des systèmes d’information dans les entreprises Française en 2003 : un zoom _ Ernest&Young _ 2003 97 AFAI «Enquête : le management de la sécurité informatique» www. s'appuyer sur des normes et des méthodes. l’anti-virus…. la justification des mesures de sécurité. Il en résulte. organiser un projet sécurité. globales pour devenir des préoccupations techniques. la sécurité relève de la responsabilité du directeur des systèmes d’information ou encore le directeur informatique.91 Ainsi. 94 la sécurité est un processus métier transverse. appelant en réponse un produit ou un service. Il faut savoir comprendre et gérer les risques spécifiques.93 Alors que les questions sécuritaires sont d'abord -et avant tout. à maîtriser et à accepter. notamment les activités stratégiques de l’entreprise. Les perceptions restrictives de la sécurité informatique ont conduit certains à imaginer qu'il s'agit là d'une "affaire" strictement placée sous le contrôle des seuls spécialistes informatiques.La sécurité du système d’information : Les enjeux de l’expert comptable perdues pour estimer le coût des sinistres. restent encore compliquées. stratégiques.conceptuelles. il faut impliquer et responsabiliser tout le personnel dans le processus de sécurité. De ce fait. opérationnelles et analytiques. le coût de la sécurité doit être inférieur au coût potentiel de l’insécurité.92 Certains pensent ainsi que la sécurité de l’information est assurée par la protection des réseaux et de l’infrastructure informatique et par la mise en œuvre des dernières solutions technologiques. identifier les coûts et les gains. De ce fait. la sécurité a un coût élevé. 96 Certes.95 Pour certains.afai. un nouvel avantage concurrentiel _ Economiste Magrébin _ 2003 95 Yosecure _ Norme de sécurité internationale ISO/IEC 17799 : V 2000. ces directions traitent certains aspects cruciaux de la sécurité tels que le contrôle d’accès.

le fonctionnement. la mise à jour et l’amélioration du SMSI.. la surveillance et le réexamen. Sous section 2: Management des ressources : 1. Assurer que les procédures de sécurité de l’information soutiennent les exigences métier. L’assurance que des audits internes du SMSI sont menés La réalisation de revues de direction du SMSI. La définition des rôles et des responsabilités pour la sécurité de l’information. à ses responsabilités au titre de la loi et à la nécessité d’une amélioration continue. détournement de fonds. La fourniture de ressources suffisantes pour l’établissement. par : L’établissement d’une politique relative au SMSI. La sensibilisation de l’organisme à l’importance de satisfaire aux exigences relatives à la sécurité de l’information et de respecter la politique en matière de sécurité de l’information. sabotage. la surveillance et le réexamen.. dénigrement d'image de l'entreprise.).98 En effet.Mise à disposition des ressources : L’organisme doit déterminer et fournir les ressources nécessaires pour : Etablir. mettre en œuvre. 98 Dominique George «Etude mondiale Ernest&Young sur la sécurité des systèmes d’information en 2004» Ernest&Young. exploiter. les attaques venant de l'intérieur peuvent représenter le danger le plus important aux entreprises (vol d'informations critiques. Ce constat découle du fait qu’il est plus facile pour une entreprise d’avouer qu’elle s’est faite piratée de l’extérieur plutôt que de l’intérieur. la mise à jour et l’amélioration du SMSI La détermination des critères d’acceptation des risques et des niveaux de risque acceptables. tenir à jour et améliorer un SMSI. Novembre 2004 61 . Mais les enquêtes approfondies ont démontré que plus de 70% des attaquants faisaient partie de l’entreprise. réexaminer. Sous section 1: Implication de la direction : La direction doit fournir la preuve de son implication dans l’établissement. certains mythes autour de la sécurité laissent penser que les menaces venant de l’extérieur sont la plus large source de risques. . L’assurance que des objectifs et des plans pour le SMSI sont établis. Pour assurer la sécurité. surveiller. la mise en œuvre. la mise en œuvre. le fonctionnement.La sécurité du système d’information : Les enjeux de l’expert comptable D’autre part. il convient donc de procéder périodiquement à des tests d’intrusions et à la mise en place des firewalls.

Evaluant l’efficacité des actions entreprises. le cas échéant. Conservant les enregistrements concernant la formation initiale et professionnelle. Conclusion: De plus en plus le Système d'Information (SI) devient «la pierre angulaire» de tout organisme. d’en organiser sa protection. Améliorer. l’efficacité du SMSI. de part le fait que l’information en elle-même est une des ressources stratégiques. 2. ainsi que les obligations de sécurité contractuelles. en : Déterminant les compétences nécessaires pour le personnel effectuant un travail ayant une incidence sur le SMSI Fournissant la formation ou en entreprenant d’autres actions pour satisfaire ces besoins. sensibilisation et compétence : L’organisme doit s’assurer que le personnel à qui a été affecté les responsabilités définies dans le SMSI. 62 . Il est alors plus aisé d’en admettre l’importance. et réagir de manière appropriée aux résultats de ces réexamens. L’organisme doit également s’assurer que tout le personnel approprié a conscience de la pertinence et de l’importance de ses activités liées à la sécurité de l’information et de la façon dont ces dernières contribuent à l’atteinte des objectifs du SMSI. Ainsi. la sécurité du système d’information est devenue une responsabilité de management. le savoir-faire l’expérience et les qualifications. Maintenir une sécurité adéquate par une application correcte de toutes les mesures mises en œuvre.La sécurité du système d’information : Les enjeux de l’expert comptable Identifier et traiter les exigences légales et réglementaires. Effectuer des réexamens si nécessaire.Formation. a les compétences nécessaires pour exécuter les tâches requises.

Ernest&Young 2004 102 Carlson Tom. 2004 101 Huynh. le traitement et la diffusion de l’information. Le SMSI doit être établi. Frédéric « La certification sécurité des entreprises : enjeux des normes ISO 17799 et BS 7799-2» Colloque EPF. Paris. Une approche normative : BS7799-2 ». De surcroît. d’une charte.La sécurité du système d’information : Les enjeux de l’expert comptable Chapitre 4 : Le management de la sécurité du système d’information (SMSI) Introduction: Le système d’information est un ensemble de moyens humains. Basé sur une approche de risque d’affaires.101 Le SMSI comporte essentiellement:102 La documentation et les références en matière de sécurité telles que l’élaboration d’une politique. et cette mesure permet d’améliorer en permanence le SMSI. ou une cartographie des processus. notamment avec le système de management de la qualité. Rendre véritable de façon formelle cette sécurité . le SMSI est un ensemble de mesures organisationnelles et techniques qui sert à:100 Assurer la sécurité d’une manière permanente et régulière . mis en œuvre et entretenu. etc…. la description des objectifs. son efficacité et son efficience sont mesurées par rapport aux objectifs de l’entité. Fournir la confiance aux parties prenantes et partenaires économiques. De ce fait. documenté. il est devenu la cible de ceux qui convoitent l’information. il est nécessaire de mettre en place les dispositifs permettant la protection de l’information. de la sécurité des conditions de travail. September 2001 100 63 .99 En effet. logiciels et matériels permettant d’assurer la saisie. le stockage. et de l’environnement. Ainsi est-il considéré comme étant la préoccupation majeure de l’entreprise? Cependant. Décembre 2004 Fernandez Alexandre «Pourquoi et Comment lancer un projet 7799» HSC Hervé Schauer Consultants. Section 1 : Définition d’un SMSI : « Un SMSI est un ensemble d’éléments interactifs permettant à un organisme d’établir une politique et des objectifs en matière de sécurité de l’information. et les mesures adéquates se matérialisant par un Système de Management de la Sécurité de l’Information SMSI. d’appliquer la politique. 99 CLUSIF « Management de la sécurité d’information. « Information Security Management: Understanding ISO 17799 » Lucent Technologies Worldwide Services. la détermination des activités et des mesures de sécurité. le SMSI est en cohérence et compatible avec les autres systèmes de management de l’entité. d’atteindre ces objectifs et de contrôler l’atteinte des objectifs ».

La mise à disposition des ressources et moyens requis .) . Les processus impliqués dans la mise en œuvre de la sécurité d’information . Déterminer les exigences (objectifs. Identifier parmi les processus de ce périmètre. 103 104 CLUSIF « Management de la sécurité d’information.La sécurité du système d’information : Les enjeux de l’expert comptable La description de la méthode d’évaluation et de management de risque adoptée par l’organisme . géographique. University of South Africa 64 . sa conception et son organisation. Ces besoins sont eux-mêmes fonction du métier de l’organisme et des exigences de sécurité qui en résultent. et leurs risques associés . Une approche normative : BS7799-2 ». Les activités relatives à la sécurité de l’information . méthodes. référentiels. Paris.) nécessaires pour assurer la sécurité des processus . Les actions relatives à l’amélioration continue de la sécurité de l’information. Cependant. l’instauration d’un SMSI dans l’organisme offre une assurance raisonnable et renforce la confiance dans le mode de gestion de la sécurité de l’information. etc. sa mise en place dépendent des spécificités et des besoins propres de chaque organisme. En fait. etc.104 Les activités de management . Les responsabilités et l’attribution des devoirs et obligations relatifs à la sécurité de l’information .A New Paradigm” 2003. Section 2 : La mise en place d’un SMSI : La décision de mise en place d’un SMSI est stratégique pour chaque entité. Les mesures et l’amélioration continue. Décembre 2004 Eloff Jan. La réalisation des produits et des services . Définir les mesures de sécurité nécessaires pour se conformer aux exigences exprimées. En effet. L’allocation adéquate des ressources et des moyens nécessaires à sa mise en œuvre . Les enregistrements et les comptes rendus issus des activités relatives à la sécurité de l’information . ceux qui sont concernés par la sécurité de l’information. Eloff Mariki “Information Security Management. organisationnel. Il en résulte que le processus nécessaire pour l’instauration d’un SMSI doit comporter essentiellement. il y a une démarche normative pour initialiser le SMSI au sein de toute organisation qui consiste à:103 Déterminer le périmètre concerné (fonctionnel.

il doit prévoir dans le SMSI les moyens de maîtrise nécessaires Toutefois. Dans ce sens. déployer. mettre en fonction. et Thierry Rivat _ Manager la sécurité du SI : Planifier. si l’organisme en question recourt à l’externalisation d’un processus ayant des répercussions sur la sécurité. Alain Champenois. P. mais une sensibilisation à la sécurité est fondamentale. L’ISO 27001 s’appuie sur une approche processus.La sécurité du système d’information : Les enjeux de l’expert comptable Eventuellement. Lorino « Le déploiement de la valeur par processus » Revue Française de Gestion. Lorino définit « le processus comme un ensemble d’activités reliées entre elles par des flux d’informations ou de matières significatives et qui se combinent pour fournir un produit matériel ou immatériel important et bien défini »106. Figure 9: Relation ISO 27001 et ISO 27002 107 Cette approche est basée sur une version transversale pour « définir. 1995 Cours Mme Olya Bahloul université TIME 65 . Section 3 : Le SMSI et Le PDCA d’Edward Deming:105 L’ISO 27001 « Exigences pour les systèmes de gestion de la sécurité de l’information » a été établie afin d’assister les managers et l’ensemble de personnel. implémenter. Finalement. s’il n’y a pas préalablement une forte culture de sécurité.108 105 Matthieu Bennasar. Patrick Arnould. améliorer _ Edition DUNOD _ 2007 106 107 Philippo. en proposant un modèle pour une mise en œuvre permettant de gérer d’une manière efficace et efficiente le système de management de la sécurité d’information. concertation et donc efficacité du SMSI. contrôler. Il serait illusoire de chercher à mettre en place un SMSI. Juin-Juiellet-Août. maîtriser et améliorer l’efficacité de l’organisation d’un SMSI». Il y aura collaboration. il n’est pas permis de parler de SMSI sans évoquer le BS7799-2 ou encore ISO 27001. il est admis que le SMSI varie d’une organisation à l’autre. qui se traduit par une assistance permanente entre les managers et le personnel pour l’adaptation et l’amélioration du SMSI.

traitement de risque (acceptation. 2010 Menaces Informatiques et Pratiques de Sécurité en France Edition 2010 www. L’établissement d’un document obligatoire en vue d’une certification . transfert. 2004 66 . connu aussi sous le nom de « Roue de Deming » . la démarche du British Standard suit le modèle « Plan. cette étape comporte essentiellement:110 Identification du périmètre de SMSI .asso. Etablissement du plan de gestion des risques . contrôler et améliorer :109 Figure 10: Système de management de la sécurité de l’information Première étape : Planifier « Plan » : Une bonne compréhension en matière de sécurité de l’information au regard du business est nécessaire pour l’élaboration de SMSI qui se traduit par la définition de la politique de sécurité. contrôle mis en place . ACT » (PDCA). Do. des processus et des procédures relevant de la gestion de la sécurité. Check. ainsi que les objectifs de sécurité qui sont en harmonie avec la politique générale de l’organisme. Deuxième étape : Implémenter « Do » : il s’agit de la mise en œuvre et du fonctionnement du SMSI dans un contexte de management de l’ensemble des risques de l’organisation . Identification et évaluation des risques . méthode choisie pour gérer le risque .clusif. implémenter. en 108 109 110 CLUSIF. L’établissement d’une déclaration d’applicabilité (Statement of applicability SAO) .fr Norme ISO 27001 : 2005 Fernandez Alexandre «Pourquoi et Comment lancer un projet 7799» HSC Hervé Schauer Consultants.La sécurité du système d’information : Les enjeux de l’expert comptable En effet. réduction de risque à un niveau acceptable) . l’approche processus met ainsi l’accent sur l’importance des étapes suivantes : Planifier.

2004 67 . Apprendre des autres.111 Pour les risques acceptés : Rien à faire. Il s’agit de la surveillance et de la révision des performances et de l’efficacité du SMSI : Vérification de routine. et des contrôles se traduit par : Une allocation des ressources (personnels. Audits périodiques du SMSI: Conduit à la constatation que les contrôles ne réduisent pas de façon effective les risques pour lesquels ils ont été mis en place. Prendre les mesures résultant des constatations faites lors de la phase de vérification. contrôler et améliorer un SMSI. argent). La rédaction de la documentation. selon des critères de mesure. les performances de la politique de sécurité par rapport aux objectifs et aux bonnes pratiques. La formation du personnel concerné. des mécanismes. L’ISO 27001 définit les exigences pour planifier. Identification de nouveaux risques non traités. Actions correctives et préventives Section 4 : La norme ISO 27001 et le SMSI : A l’instar de la norme BS7799-2. temps. Elle est universelle.Assignation des responsabilités. Pour les risques transférés : Assurances. s’applique à tout 111 Fernandez Alexandre «Pourquoi et Comment lancer un projet 7799» HSC Hervé Schauer Consultants. La gestion du risque. de décrire son champ d’application et sa structure. Tout autre type d’inadaptation de ce qui est mis en place. . des procédures. Quatrième étape : Maintenir et Améliorer « Act » : Réalisation des actions préventives et correctives. Il convient ainsi. partenariats etc. Troisième étape : Contrôler et Réviser « Check » : Evaluer. des processus.Implémenter les contrôles identifiés dans la phase précédente.La sécurité du système d’information : Les enjeux de l’expert comptable d’autres termes. l’ISO 27001 est une référence de base permettant la mise en œuvre du système de management de la sécurité d’information. mettre en place. visant à l’amélioration permanente du système de management de la sécurité de l’information. .Identifier les risques résiduels. la mise en œuvre de la politique de sécurité. Pour les risques à réduire :.

l’implication et le soutien ferme et permanent du management. signifie qu’elle est d’application obligatoire pour se conformer à la norme BS7799-2. Elle présente les objectifs de maîtrise de la sécurité en reprenant les thèmes directeurs de tous les chapitres du document ISO27002.La sécurité du système d’information : Les enjeux de l’expert comptable organisme. Dans cette partie. Enfin. et D. Ernest&Young 2004 68 . La complémentarité entre le SMSI et les autres systèmes de management tels que la qualité. Concernant l’annexe B. BS7799-2 :2002). le modèle de « Plan. toutes divisions au sein d’une entreprise ou tout site géographique. les processus d’affaires. L’amélioration continue du SMSI. Les taches et les jalons de la dynamique d’un SMSI. l’environnement. ainsi. la norme aborde les thèmes suivants : La notion de SMSI au travers de l’approche « processus » et du modèle PDCA. 112 Au sein de l’organisme. La norme est structurée en deux parties distinctes : Sous section 1: La première partie : Concerne le corps du document qui définit les concepts de SMSI. ACT » (PDCA) et insiste sur les tâches. 112 Huynh. Sous section 2: La seconde partie comporte les annexes (ABCD): L’annexe A est normative. Quant aux annexes B. mais aussi à toute unité opérationnelle. elles sont informatives. Pour que le management de la sécurité soit pertinent. Conclusion: L’objectif central du SMSI est précisément de définir un processus qui aboutit à l’amélioration constante de la sécurité de l’entreprise face aux risques. Check. L’annexe C établit respectivement les convergences entre les différents systèmes de management (ISO 9001 :2000. elle présente d’une manière générique les actions à mettre en place à chaque phase du cycle PDCA. Frédéric « La certification sécurité des entreprises : enjeux des normes ISO 17799 et BS 7799-2» Colloque EPF. Do. C. l’annexe D présente les évolutions et les restructurations survenues sur les versions antérieures de la norme dans BS7799-2 :2002. la norme concerne aussi bien le système informatique que les aspects organisationnels (humains et physiques). ISO 14001 :1996. il faut commencer par une véritable gestion de risque qui doit être mise en place par l’entité. Les implications et les responsabilités du management relatives à un SMSI.

ouverts et complexes et permettent de prendre en charge la majorité des processus de l’entreprise ou de l’organisation. l’organisation de la fonction informatique dans les entreprises performantes a été repensée de façon à être réactive et en adéquation avec la stratégie de l’entreprise. En effet. nous avons présenté les normes internationales en matière de sécurité tout en signalant que la sécurité du système d’information est une responsabilité de management. nous avons souligné que l’évolution. nous avons exposé les menaces. Face à ce nouvel environnement contraignant. Ils sont de plus en plus intégrés. Au cours de cette même partie. prendre et véhiculer l’information. ils peuvent engendrer de lourdes conséquences pour les entreprises.La sécurité du système d’information : Les enjeux de l’expert comptable Conclusion de la Première Partie Les systèmes d’information sont composés de plusieurs modules. La mission de l’audit financier. Dans une économie de plus en plus mondialisée et libéralisée. Les facteurs de ces risques ont été synthétisés dans cette première partie du mémoire. Do. Et enfin. nous avons défini la notion de la sécurité du système d’information et énuméré ses caractéristiques. les systèmes d’information sont devenus un levier stratégique pour les entreprises et pourront constituer un avantage concurrentiel s’ils sont gérés d’une manière efficace et efficiente. Egalement. qui repose aujourd’hui largement sur le contrôle interne des entreprises. Par ailleurs. dans un milieu informatisé. Act) d’Edward Deming. la complexité et l’ouverture des systèmes d’information sur les partenaires de l’entreprise s’accompagnent le plus souvent par de nouveaux risques. sous-systèmes ou applications et des infrastructures permettant de recueillir (collecter et saisir). En effet. les attaques et les agressions du système d’information ainsi que les méthodes d’évaluation du risque auquel il est exposé. 69 . qui sont liés à l’environnement et à l’organisation de l’entreprise. s’ils ne sont pas bien encadrés par le dispositif du contrôle interne. traiter. rendent les systèmes d’information vulnérables. il est devenu très difficile de certifier les états de synthèse sans auditer préalablement les systèmes d’information. les vulnérabilités. Au cours de cette partie. nous avons exposé le management de la sécurité du système d’information (SMSI) à partir du modèle de gestion de la qualité Roue de Deming ou le PDCA (Plan. devra être adaptée et complétée de façon à prendre en considération les risques et les contraintes imposés par le nouvel environnement des entreprises. stocker. Check. Ces derniers.

par la dématérialisation des informations et l’automatisation des contrôles. Il en découle que. Ainsi. spécifier l’ensemble des lois. toute organisation doit recourir à un audit de sécurité de son système d’information permettant de mettre en œuvre d’une manière permanente la meilleure stratégie de sécurité. l’audit de la sécurité du système d’information s’avère une nécessite dans le processus de l’audit financier. évaluer. cet audit peut être réalisé par l’expert comptable dans le cadre de ses travaux de conseil et d’organisation auprès des entreprises. Il devient impératif pour l’expert comptable d’examiner la sécurité du système d’information en vue d’émettre une opinion sur la régularité et la sincérité des états financiers. caractérisé entre autres. gérer et maîtriser les risques auxquels elles sont exposées en se basant sur les méthodes de management de risques les plus adéquates. aux normes et aux standards internationaux. Il convient donc de mettre le système d’information à l’abri de toute agression pouvant affecter le fonctionnement normal ou menacer la pérennité de l’organisation. De même. définir le périmètre de sécurité. Ainsi. la deuxième partie de ce mémoire sera-t-elle consacrée à l’examen de l’audit de la sécurité du système d’information dans l’objectif de proposer une démarche d’audit correspondante à mettre à la disposition des experts comptables. En effet.La sécurité du système d’information : Les enjeux de l’expert comptable Les menaces. il est de plus en plus difficile pour l’auditeur financier de forger son opinion sans concevoir une approche approfondie de la sécurité du système d’information. les attaques et les agressions du système d’information sont illimitées. règlements en se référant aux bonnes pratiques. Le souci majeur de chaque organisation est de mettre sur pied les dispositifs et les mesures de sécurité afin de protéger la confidentialité et l’intégrité des informations et assurer leur disponibilité en temps opportun. et sont difficiles à gérer. 70 . Aussi. identifier les menaces à prendre en compte. les vulnérabilités. elles doivent mettre en place une politique de sécurité permettant de déterminer les objets à sécuriser. Face à ce nouveau contexte d’intervention. L’objectif de sécurité ne peut être atteint qu’avec l’instauration d’une véritable stratégie de sécurité du système d’information qui porte sur les aspects organisationnels et techniques. les organisations doivent savoir identifier.

DEUXIEME PARTIE : AUDIT DE LA SECURITE DU SYSTEME D’INFORMATION .

est amené au cours de sa mission d’audit financier. L’objectif privilégié est la recherche de la fiabilité des informations financières produites par les entités. et d’améliorer la qualité de l’audit comptable et financier. IFRS. Loi sur la sécurité financière.La sécurité du système d’information : Les enjeux de l’expert comptable Introduction à la Deuxième Partie Après avoir exposé les menaces qui pèsent sur le système d’information. Dans le contexte actuel. est offerte à l’expert comptable en termes de sensibilisation à l’audit de la sécurité du système d’information. à examiner la sécurité du système d’information au niveau de l’évaluation du système de contrôle interne en vue de s’assurer de la régularité et de la sincérité des états comptables générés par les traitements automatisés et de la continuité d’exploitation de l’entreprise. Dans ce cadre. Ainsi. L’évolution de la réglementation et des référentiels comptables (Sarbanes Oxley. et énuméré les vulnérabilités et les attaques dont il peut faire l’objet et leurs répercussions sur l’entreprise et sur l’audit financier. principal conseiller de l’entreprise. Compte tenu du fait que les entreprises sont devenues hautement informatisées. Les nouvelles démarches d’audit adoptées reposent largement sur la compréhension des risques inhérents au business et à l’organisation des entreprises ainsi que sur la qualité de contrôle interne de ces dernières. l’expert comptable. d’une part.). il apparaît clairement que l’audit de la sécurité du système d’information est devenu un élément nécessaire dans une mission d’audit financier et un nouveau créneau pour l’expert comptable dans le cadre des missions de conseil et d’organisation. l’efficacité et l’efficience du système de contrôle interne exigé par l’audit financier ou par des conventions dans le cadre des autres missions de conseil et d’organisation. l’évaluation des systèmes d’information devient un axe central dans la démarche de l’audit financier. d’autre part. D’autre part. l’environnement de l’audit financier a fortement changé et il se caractérise ainsi par: La complexité des modes de fonctionnement des entreprises qui deviennent de plus en plus dépendantes des nouvelles technologies. L’exigence croissante des marchés financiers en ce qui concerne la qualité de l’information financière produite par les sociétés cotées.…etc. de mise en place d’une politique de sécurité 72 . une nouvelle opportunité de conseil et d’assistance aux entreprises dans le cadre des autres missions spéciales. les cabinets d’audit ont dû revoir leur méthodologie de façon à répondre aux exigences des marchés et de la réglementation.

Le premier chapitre traite de la présentation des cas d’intervention de l’expert comptable dans les missions d’audit de la sécurité du système d’information ainsi que de la définition du cadre juridique règlementaire et des compétences requises pour mener à bien ses missions d’audit de la sécurité de ce système. Le deuxième chapitre traite quant à lui des étapes d’audit de la sécurité du système d’information. de l’évaluation de cette politique et la recommandation des solutions de sécurité à mettre en place.Code de bonne pratique pour la gestion de la sécurité de l’information » 73 . 113 Norme ISO 27002 « Technologies de l’information. inspirée des bonnes pratiques de sécurité selon ISO 27002113 pouvant être exploitées par le professionnel dans le cadre de ses interventions d’audit et de conseil en vue d’accroître aussi bien la valeur ajoutée de sa mission à la conviction des clients. qui peuvent contribuer à la réalisation de telles missions. Le troisième chapitre propose une démarche d’audit de la sécurité du système d’information comme guide pour l’expert comptable. assortie de la présentation d’un ensemble de bonnes pratiques de sécurité. La deuxième partie de ce mémoire est ainsi consacrée à la proposition d’une démarche d’audit de la sécurité du système d’information par l’expert comptable.La sécurité du système d’information : Les enjeux de l’expert comptable pour protéger ce système.Techniques de sécurité. Le quatrième chapitre présente la relation entre l’audit de la sécurité du système d’information et les normes d’audit financier.

etc… Ces domaines d’intervention sont variés et évoluent dans le temps. Section 1 : La sécurité du système d’information dans le cadre d’une mission d’audit légal: L’auditeur doit planifier et réaliser l’audit financier de manière à ramener le Risque d’Audit à un niveau suffisamment faible en concevant et en mettant en œuvre des procédés d’audit lui permettant de réunir des éléments probants. Ce nouveau cadre d’intervention fait l’objet d’une étude détaillée dans les sections qui suivent. La sécurité du système d’information est abordée par le commissaire aux comptes lors des principales étapes de la démarche d’audit. fiscal. sécurité des systèmes d’information. Evaluation du risque. Afin de couvrir correctement les risques d’audit et notamment le risque de sécurité du système d’information. social. non seulement des connaissances continuellement à jour en termes de gestion des entreprises.La sécurité du système d’information : Les enjeux de l’expert comptable Chapitre 1 : L’expert comptable et les missions d’audit de la sécurité du système d’information Introduction : L’expert comptable est considéré comme étant le partenaire principal des chefs d’entreprises dans les domaines de gestion comptable. suffisants et adéquats pour être en mesure de tirer des conclusions sur lesquelles il pourra fonder son opinion. 74 . mais également des nouvelles compétences et de nouveaux savoirs ciblés vers les systèmes d’informations et les mécanismes de sécurité associés. à savoir: Orientation et planification de la mission. Obtention des éléments probants. nous pouvons estimer nécessaire de s’assurer de la sécurité du système d’information pour recueillir certains éléments probants utiles à notre assurance d’audit. exigeant ainsi de la part de l’expert comptable.

L’importance de l’informatique dans l’entreprise. qui est un des moyens techniques pour faire fonctionner un système d’information dans l’entreprise et de son incidence sur la production des informations financières et comptables.1. La fonction informatique de l’entreprise. Niveau de connaissance de la direction concernant le système d’information. 1.Prise de connaissance de l’informatique dans l’entreprise : Cette phase consiste à collecter des informations sur les systèmes et les processus informatiques de l’entreprise et à en déduire leur incidence sur les procédures d’élaboration des comptes. 1. Les domaines à prendre en compte sont : La stratégie informatique. L’identification des principales composantes du système d’information et la détermination niveau de complexité de ce dernier. Satisfaction des besoins courants par le système d’information. CNCC 75 . 114 Prise en compte de l’environnement informatique et incidence sur la démarche d’audit p9. L’appréciation de l’incidence de la sécurité du système d’information nécessite : La prise de connaissance de l’informatique.La stratégie informatique: Le commissaire aux comptes prend en considération les éléments ci-après afin d’apprécier la stratégie informatique : Implication des entités opérationnelles dans la détermination de la stratégie informatique.La sécurité du système d’information : Les enjeux de l’expert comptable Figure 11: Les phases où l’expert comptable aborde la SSI114 Sous section 1: Phase 1 Orientation et planification de la mission : La phase « Orientation et planification de la mission » conduit à l’élaboration du plan de mission et implique la prise en compte du système d’information de l’entreprise.

CNCC 76 . que celles-ci résultent de fraudes ou d'erreurs. l’expert comptable est appelé à auditer la sécurité du système d’information dans le cadre de la mission d’évaluation du système de contrôle interne afin d'identifier et d'évaluer le risque que les états financiers contiennent des anomalies significatives.Prise en compte de l’informatique dans le plan de mission : La prise en compte de l’aspect informatique dans le plan de mission s’effectue sur la base des informations recueillies précédemment. L’importance de l’informatique dans l’entreprise.Importance de l’informatique dans l’entreprise : L’importance de l’informatique dans l’entreprise permet de déterminer le niveau de dépendance de l’entreprise vis-à-vis de son système d’information. Sous section 3: Phase 3 : Obtention d’éléments probants :116 Suite à l’évaluation des risques. La complexité du système d’information. L’intégration de l’audit de la sécurité du système d’information dans l’audit financier est une question centrale qui préoccupe beaucoup les auditeurs. l’expert comptable peut obtenir des éléments probants afin de pouvoir aboutir à des conclusions fondant l’opinion. CNCC Prise en compte de l’environnement informatique et incidence sur la démarche d’audit p78. a. b. la gestion des projets. Identifier les processus à analyser. Les caractéristiques de l’organisation informatique.Description du système d’information : La description du système d’information de l’entreprise consiste à : Formaliser la cartographie des applications Apprécier le degré de complexité du système d’information. la fiabilité des processus informatiques.2. c.La fonction informatique : Le commissaire aux comptes doit prendre en compte la fonction informatique notamment en termes de séparation des fonctions. et qui porte sur : L’existence ou non d’une stratégie informatique. de concevoir et de mettre en œuvre des 115 116 Prise en compte de l’environnement informatique et incidence sur la démarche d’audit p30. lors de la phase « Prise de connaissance de l’informatique dans l’entreprise » et « Description du système d’information ». Le nombre de processus et applications informatiques concernées. En effet.La sécurité du système d’information : Les enjeux de l’expert comptable 1. utiles aux objectifs de l’audit. Sous section 2: Phase 2 : Evaluation des risques :115 L’objectif de l’expert comptable lors de cette phase est la prise en compte de l’environnement informatique sur le risque inhérent et le risque lié au contrôle. la gestion des mouvements de personnel.

Le capital technologique parfois difficile à mettre en place. la sécurité et la confidentialité d’un site Internet. une stratégie peut être développée : la spécialisation. Entre les groupes multidisciplinaires et les structures ayant des activités de niche. Chaque mission contribue à son enrichissement intellectuel. la mise en place de système d’information intégrant les nouvelles technologies. il devra sûrement se spécialiser dans les domaines qu’il maîtrise le mieux. Dans la mesure où il doit maîtriser le secteur d’activité de son client pour mieux l’accompagner. Pour autant. l’informatisation des cabinets et surtout de leurs clients a banalisé cette mission. de connaissances et de pratiques professionnelles. les autres cabinets peuvent être tentés par la voie de la spécialisation. Cette valeur ajoutée ne peut être créée qu’en développant des missions de conseil en particulier dans les nouvelles technologies et la sécurité des systèmes d’information. l’audit de la sécurité du système d’information. Section 2 : La sécurité du système d’information dans le cadre des autres missions de l’expert comptable : Sous section 1: De la mission de tenue des comptes à la mission de conseil : Le marché de la tenue et de surveillance des comptes représente encore une proportion importante des prestations réalisées par les cabinets d’expertise comptable. et de s’assurer de la continuité d’exploitation de la société conformément aux dispositions de la norme ISA 570. la signature électronique. Sous section 3: Les nouvelles missions technologiques : Les innovations technologiques peuvent être pour le cabinet une source de nouvelles missions. 117 Sous section 2: Les stratégies de spécialisation : Avec l’apport des technologies d’information et de communications. mission Web-Trust118…etc Les menaces et vulnérabilités touchant la sécurité du système d’information et l’obligation de conformité aux exigences légales.119 117 118 La revue française de comptabilité n° 316 11/99 La mission Web Trust consiste à certifier la qualité. Cependant.La sécurité du système d’information : Les enjeux de l’expert comptable procédures d'audit complémentaires selon les dispositions de la norme ISA 315. Il est donc nécessaire d’apporter à cette dernière une valeur ajoutée. même s’il a une formation de généraliste. devra servir à assurer au professionnel un développement de ses compétences et ainsi assurer sa spécialisation. l’expert comptable doit apprendre à reconnaître ses limites de compétences. 119 Alexandre Fernandez-Toro _ Mémento audit ISO 27001 : auditer la sécurité du système d'information _ Edition DUNOD _ 2009 77 . En effet. Parmi celles-ci nous pouvons citer sans être exhaustifs : l’e-commerce. ont poussé les sociétés de recourir à la mise en place d’une politique de sécurité du système d’information au sein de leurs structures internes et à des audits périodiques pour assurer la sécurité de leurs systèmes. l’élaboration et la mise en place d’une politique de sécurité du système d’information. Un cabinet est un accumulateur d’expériences. ce n’est que grâce à l’accumulation et à la réalisation régulière de missions similaires qu’une compétence métier pourra être revendiquée.

Article 9 : « Le livre journal et le livre d’inventaire prévus à l’article 8 sont cotés et paraphés. de nouvelles dispositions législatives sont apparues et de nombreuses cellules de réflexion ont été créées. à ce sujet. l’analyse des techniques de sécurité. non abrogées par la loi n° 2000-93 du 3 novembre 2000 portant promulgation du nouveau code des sociétés commerciales. que les commerçants sont obligés de tenir et pour lesquels ils n’auront pas observé les formalités ci-dessus prescrites. Sous section 1: la réglementation comptable: 1. ne pourront être représentés ni 120 Loi 2004-5 du 3 février 2004. sensibiliser les utilisateurs. Article 10 : « les livres sont tenus chronologiquement sans blanc ni altération d’aucune sorte. préserver le patrimoine et sécuriser la création de valeurs. le rôle de l’expert comptable dépend en général de la lettre de mission qui fixe les périmètres et les objectifs de la mission. relative à la sécurité informatique 78 . Ce rôle consiste pour les entreprises soumises aux obligations prévues par la loi 2004-5 du 3 février 2004120. juridique et règlementaire : Cette section est destinée à présenter les principales réactions des législations et des organismes professionnels face aux évolutions du système d’information En regard à l’évolution technologique et informatique et en plus de la réglementation existante. Pour les clients non soumis à cette obligation et principalement les petites et moyennes entreprises. Il y a lieu de signaler que dans tous les cas. Article 11 : « Les livres. mais donne à la direction de l’entreprise qui le mandate une assurance raisonnable concernant les dispositifs de sécurité mis en place pour faire face aux risques encourus. l’expert comptable n’assure pas la sécurité. le rôle de l’expert comptable est d’autant plus important.La sécurité du système d’information : Les enjeux de l’expert comptable Dans le cadre d’une mission spécifique d’audit de sécurité du système d’information. soit par le juge. dans le cadre d’organismes professionnels. Ils seront conservés pendant 10 ans ». et qui se rapporte aux obligations en matière comptable sont les suivantes : Article 8 : « … Conserver. Cette dernière peut porter sur l’appréciation de la politique de sécurité en place. identifier les risques et proposer les solutions de sécurité permettant d’assurer la pérennité de l’entreprise. pendant dix ans tous les documents justificatifs des opérations inscrites sur les livres susvisés ». dans la forme ordinaire et sans frais ». Section 3 : Cadre comptable. le contrôle de la sécurité…. pour convaincre la direction. fiscal.Code de commerce: Les dispositions du Code de Commerce. à les aider à se préparer à l’audit périodique de leurs systèmes d’information institué par cette loi. soit par le Président de la Municipalité ou un adjoint. vu l’absence d’un contrôle légal des sécurités informatiques et ce.

Ces principales dispositions.…. nous devons formuler les remarques suivantes : Les documents informatiques ne peuvent tenir lieu de livre journal et de livre d’inventaire comme c’est le cas en France. Cette possibilité n’a été accordée que pour les livres et journaux auxiliaires. Que faut-il entendre par « des moyens offrant toute garantie en matière de preuve » ? 79 . ». Au niveau du livre journal et du livre d’inventaire. En effet. ces documents doivent être identifiés.La sécurité du système d’information : Les enjeux de l’expert comptable faire foi en justice au profit de ceux qui les auront tenus. En outre. il convient de signaler qu’aucune nouvelle disposition comptable n’a été prévue par le nouveau code des sociétés commerciales promulgué par la loi 2000-93 du 3 novembre 2000. ils doivent être tenus manuellement sur des registres cotés (attestant le nombre des pages) et paraphés (certifiant l’existence du livre obligatoire et lui conférant une date certaine). numérotés et datés dès leur élaboration par des moyens offrant toute garantie en matière de preuve. se résument comme suit : 2. Selon l’article 14 de la loi n° 96-112.Le système comptable des entreprises en Tunisie : La loi N°96-112 du 30 décembre 1996 relative au système comptable des entreprises a apporté de nouvelles dispositions et a aussi confirmé les articles 8. sans préjudice de ce qui sera réglé au livre du concordat préventif et de la faillite. qui se rapprochent de celles du Nouveau Plan Comptable Général Français de 1999. Dans ce cas. Les livres comptables : Les livres comptables comportent le journal général. 2. 9 et 10 du code de commerce. En outre. le grand-livre et le livre d’inventaire. les livres sont établis sans blanc ni altération d’aucune sorte. « les documents écrits issus de l’informatique peuvent tenir lieu de livres et journaux auxiliaires. » Ainsi. Ainsi. Le journal général et le livre d’inventaire sont cotés et paraphés. il n’a pas précisé les conditions de forme pour les pièces justificatives des opérations ni les conditions et les moyens de leur conservation. le code de commerce tunisien n’a pas prévu de dispositions particulières en cas de comptabilité informatisée.1. Les écritures portées sur les livres et journaux auxiliaires ainsi que les totaux des opérations et des soldes doivent être centralisés dans le journal général et le grand livre au moins une fois par mois.

pour l’instant. les paragraphes 49 et 50 de la norme générale stipulent que « la réalisation de tout contrôle du système de traitement automatisé suppose l’accès à la documentation relative aux analyses. « la manière la plus pratique de respecter actuellement l’obligation de la tenue du livre journal sans aucun risque. Elle doit être complète. précise et constamment tenue à jour. la documentation fournie avec le logiciel peut constituer la documentation requise. de saisie. 121 Dispositions prévues par le décret N°83-1020 du 29 novembre 1983 portant promulgation des obligations comptables des commerçants de certaines sociétés et par le Nouveau Plan Comptable Général homologué par l’arrêté du 22 juin 1999 (paragraphe 410-06) 80 . il est établi un document qui prévoit l’organisation comptable et comporte notamment les intitulés et l’objet des documents utilisés pour le traitement des informations et les modalités de liaison entre ces documents et les pièces justificatives y afférentes. claire. Les livres comptables obligatoires et les liens entre ces livres et les autres documents et pièces comptables. il y a lieu de préciser qu’aucune sanction n’est prévue pour le non-respect de cette disposition. à la programmation et à l’exécution des traitements en vue. notamment. » La norme générale a précisé le contenu de ce document. de traitement et de contrôle des informations . En outre. de procéder aux tests nécessaires. Toutefois. Le système de classement et d’archivage . Dans le cas d’acquisition de logiciel standard. ce manuel doit comprendre notamment : La description des procédures de collecte. Plusieurs solutions critiquables ont été avancées. Cette documentation décrivant les procédures et l'organisation comptables est établie en vue de permettre la compréhension et le contrôle du système de traitement. 2. bien que la réglementation française a considéré que les documents informatiques peuvent tenir lieu de journal général et de livre d’inventaire.2. la transcription manuelle des totalisations des écritures mensuelles sur un livre coté et paraphé ». Selon le Mémento Comptable dans son paragraphe 311-2. Elle est conservée aussi longtemps qu'est exigée la présentation des documents comptables auxquels elle se rapporte. En ce qui concerne les traitements informatisés. La documentation des procédures et de l’organisation Comptable : L’article 15 de la loi 96-112 stipule que : « lorsque l’entreprise opte pour la méthode de centralisation mensuelle des livres et journaux auxiliaires ou pour l’usage de l’informatique pour tenir sa comptabilité.La sécurité du système d’information : Les enjeux de l’expert comptable Signalons d’abord que cette disposition est identique à celle prévue en France121. reste et demeure.

page 4 et suivant. Cette disposition est identique à celle du paragraphe 420-3 du Nouveau Plan Comptable Général Français de 1999. sans être accompagnées de l’émission de pièces justificatives classiques. 2. Le paragraphe 52 de la norme générale (partie II : Dispositions relatives à l’organisation comptable) ajoute que : « à tout moment. ou. Le chemin de révision : Le Nouveau Système Comptable Tunisien stipule dans son article 12 que : « Tout enregistrement précise l’origine. par la validation. état et renseignements soumis à la vérification. nous constatons que cette documentation est quasiment absente dans les entreprises ou est dans la majorité des cas obsolète. Disposition identique aux dispositions du paragraphe 420-2 du Nouveau Plan Comptable Général Français 1999 81 . 2. pour les comptabilités tenues au moyen de systèmes informatisés. 122 123 Bulletin N°88 du 3ème trimestre 1991. les éléments des comptes. le contenu et l’imputation de l’opération ainsi que les références des pièces justificatives qui l’appuient »123. la documentation fournie avec le logiciel standard ne concerne généralement que le volet d’utilisation et d’exploitation.5. les résultats de traitement en amont peuvent être intégrés en comptabilité à l’aide d’écritures comptables générées automatiquement par le système. la conservation et la restitution en clair de son contenu pendant les délais requis et comporte la mention de la date ». Par ailleurs.La sécurité du système d’information : Les enjeux de l’expert comptable En pratique.4. de retrouver ces données et les pièces justificatives».3. Cette procédure. 2. qui interdit toute modification ou suppression de l’enregistrement est mise en œuvre au plus tard au terme de chaque mois». Chacune de ces écritures doit comporter une référence permettant l’identification des données correspondantes. il est possible de reconstituer à partir des pièces justificatives appuyant les données entrées. Les pièces justificatives : Selon le paragraphe 53 de la norme générale (partie II : dispositions relatives à l’organisation comptable) : « La pièce justificative est établie sur papier ou sur un support assurant la fiabilité. états et renseignements. C’est ainsi que tout solde de compte doit pouvoir être justifié par un relevé des écritures dont il découle depuis un solde antérieur. à partir de ces comptes. Selon le Conseil National de la Comptabilité Français122. Le caractère définitif des enregistrements : Selon les paragraphes 56 et 57 de la norme générale Partie II : « le caractère définitif des enregistrements est assuré.

Après la validation comptable d’une écriture : Toute modification devrait être impossible. De restituer sur papier sous une forme directement intelligible toute donnée entrée dans le système de traitement ». Il convient de distinguer trois phases pour apprécier la validité d’une comptabilité informatisée : Avant la validation comptable d’une écriture : la modification est. Le paragraphe 48 ajoute que : « l’identification des documents informatiques est obtenue par : Une numérotation des pages. Les procédés et les moyens de traitement de l’information : Selon le paragraphe 47 de la norme comptable générale. Cette étape devrait être réalisée au moins mensuellement. permise. la clôture et l'utilisation d'un support de sauvegarde inaltérable. au plus tard avant l’expiration de la période suivante. les écritures ne font pas partie du système comptable. ». L’utilisation de la date du jour de traitement générée par le système et qui ne peut être modifiée par l’entreprise. 2. En informatique. En effet. tant que la validation n’est pas faite.6.Dispositions en matière de comptabilité informatisée : L’article 62 alinéa II du code de l’impôt sur le revenu des personnes physiques et de l’impôt sur les sociétés stipule que « les personnes qui tiennent leur comptabilité sur ordinateur doivent : 82 . « l’organisation de la comptabilité tenue au moyen de systèmes informatisés doit permettre : De satisfaire les exigences de sécurités et de fiabilité requises en la matière. Cette mesure vise à interdire la modification ou la suppression des données sans laisser de traces.La sécurité du système d’information : Les enjeux de l’expert comptable Une procédure de clôture destinée à figer la chronologie et à garantir l’intangibilité des enregistrements est mise en œuvre et ce. L’utilisation d’un programme interdisant l’annulation ou la modification des opérations validées ». La validation comptable proprement dite : Il s’agit d’une étape qui consiste à figer les différents éléments de l’écriture de façon à ce que toute modification ultérieure soit impossible. Sous section 2: La réglementation fiscale: Les principales dispositions fiscales tunisiennes en la matière se résument dans ce qui suit : 1. dans ce cas. pour dater les documents. elle est en principe assurée par la validation. sous réserve des délais différents fixés par des dispositions légales ou réglementaires.

En outre. toute personne qui refuse de communiquer ou qui a détruit. les programmes. ces derniers peuvent déposer. à condition de faire parvenir aux services du contrôle fiscal la liste de la clientèle utilisant lesdits programmes. » Par ailleurs. aux agents de l’administration fiscale.000 dinars. au bureau de contrôle des impôts dont elles relèvent un exemplaire du programme initial ou modifié sur support magnétique . le grand-livre et le livre d’inventaire. la comptabilité. doivent communiquer. par le moyen de logiciels informatiques destinés à l’usage collectif et élaborés par les entreprises des services informatiques. les personnes qui tiennent leur comptabilité ou établissent leurs déclarations fiscales par les moyens informatiques. les informations et éclaircissements que les agents de l’administration leur demandent dans le cadre de l’exercice de leurs fonctions. Informer ledit bureau de la nature du matériel utilisé. tous documents dont la tenue et la production sont prescrites en exécution du présent code doivent être conservés pendant 10 ans.Dispositions en matière de factures : L’article 18 du code de la TVA stipule dans son alinéa III que : «1) Les assujettis à la TVA sont tenus : d’utiliser des factures numérotées dans une série ininterrompue 124 Note commune 19/98 83 . en cas de contrôle et entre autres. logiciels et applications informatiques utilisés pour l’arrêté des comptes ou pour l’établissement de leurs déclarations fiscales. En outre. les entreprises qui tiennent leur comptabilité sur ordinateur demeurent astreintes à la tenue des documents prescrits par la législation comptable à savoir le journal général. au lieu et place de leurs entreprises clientes. Selon l’article 97 de la loi 2000-82 précitée. doivent communiquer. Ce même article ajoute dans son alinéa IV que « les livres de commerce et autres documents comptables. contre accusé de réception. 2. les personnes soumises à la tenue d’une comptabilité conformément à l’article 62 du code de l’IRPP et de l’IS. avant l’expiration de la durée légale de conservation. une copie du programme initial ou modifié sur supports magnétiques. du lieu de son implantation et de tout changement apporté à ces données». et d’une façon générale.La sécurité du système d’information : Les enjeux de l’expert comptable Déposer. les registres ou répertoires prescrits par la législation fiscale est punie d’une amende allant de 100 dinars à 10. 124 Par ailleurs et selon les dispositions de la loi N° 2000-82 du 09 août 2000 portant promulgation du code des droits et des procédures fiscaux. et dans le cas où la comptabilité est tenue sur ordinateur.

les noms. l’administration fiscale n’a pas encore traité la dématérialisation des factures et leur transmission par voir télématique. à cet organisme employeur . la réglementation juridique spécifique au système d’information se résume. toute production autre que l’établissement d’une copie de sauvegarde par l’utilisateur ainsi que toute utilisation d’un logiciel non expressément autorisée par l’auteur ou des ayants droits. » Par ailleurs. sauf stipulation contraire. essentiellement. Sauf stipulation contraire. En outre. Les droits prévus s’éteignent à l’expiration d’une période de vingt cinq ans à compter de la date de la création du logiciel. 2-Loi 2000-83 du 09 août 2000 relative aux échanges et au commerce électronique : Cette loi a réglementé l’activité du fournisseur de certification électronique. Cette mesure s'applique aux entreprises qui procèdent à l'impression de leurs factures par leurs propres moyens. Sauf stipulation contraire. cette loi a prévu d’autres dispositions régissant les échanges et le commerce électronique dont les principales sont : 2. pour toute opération de livraison. mise à jour Loi 2009-33 : Les grands axes de cette loi se rapportant aux logiciels sont les suivants : Le logiciel crée par un ou plusieurs salariés d’un organisme appartient. 2) Les imprimeurs doivent tenir un registre coté et paraphé par les services du contrôle fiscal sur lequel sont inscrits. adresses et matricules fiscaux des clients.La sécurité du système d’information : Les enjeux de l’expert comptable de déclarer au bureau de contrôle des impôts de leur circonscription les noms et adresses de leurs fournisseurs en factures. l’auteur ne peut s’opposer à l’adaptation du logiciel par des tiers dans la limite des droits qu’il leur a cédés . Sous section 2 : La réglementation juridique: En Tunisie.1. le nombre de carnets de factures livrés ainsi que leur série numérique. Documents et signatures électroniques : Selon l’article 4 de la loi 2000-83 : 84 . dans ce qui suit : 1-Loi 94-36 du 24 février 1994 relative à la propriété littéraire et artistique. est interdite. Elle a prévu aussi la création de l'ANCE (Agence Nationale de Certification Electronique) chargée de chapeauter les fournisseurs privés de services de certification électronique et de définir des normes pour les dispositifs de création et de vérification des signatures électroniques.

3-Loi N° 2001-1 du 15 janvier 2001 portant promulgation du code des télécommunications. La loi énumère les obligations et les droits aussi bien du consommateur que du vendeur. à son exécution et à la préparation et l’émission des factures. à la fixation de son contenu.La sécurité du système d’information : Les enjeux de l’expert comptable La conservation du document électronique fait foi au même titre que la conservation du document écrit (article 4). 2. La consultation de son contenu tout au long de la durée de sa validité 2. La loi admet l’apposition d’une signature électronique sous réserve de l’existence d’un dispositif fiable dont les caractéristiques techniques seront fixées par arrêté125 2. La conservation des informations relatives à son origine et sa destination ainsi que la date et le lieu de son émission ou de sa réception. fixant les caractéristiques techniques du dispositif de création de la signature électronique. le fournisseur de services de certification électronique ou un de ses agents ne peut collecter les informations relatives au titulaire du certificat que dans le cas où ces informations seraient nécessaires à la conclusion du contrat. mise à jour loi n° 2002-46 et loi n° 2008-1 : Le code des télécommunications a pour objet l’organisation du secteur des télécommunications. nous citons : Est puni d’un emprisonnement de 3 mois. Parmi les principales sanctions prévues par ce code. Des transactions commerciales électroniques : Avant la conclusion du contrat. 125 Arrêté du ministre des technologies de la communication du 19 juillet 2001. il doit appliquer des procédures suffisantes pour la protection de ces données. le vendeur est tenu lors des transactions commerciales électroniques de fournir au consommateur de manière claire et compréhensible toutes les informations se rattachant à la transaction et au paiement. quiconque divulgue.3.2. Protection des données personnelles : Le fournisseur de services de certification ne peut traiter les données personnelles qu’après accord du titulaire du certificat concerné. Auquel cas. Le destinataire s’engage à conserver ce document dans la forme de la réception. 85 . L’émetteur s’engage à conserver le document électronique dans la forme de l’émission. Sa conservation dans sa forme définitive de manière à assurer l’intégrité de son contenu 3. incite ou participe à la divulgation du contenu des communications et des échanges transmis à travers les réseaux des télécommunications. Le document électronique est conservé sur un support électronique permettant : 1. Sauf consentement du titulaire du certificat.

2004 du 3 février 2004: Cette loi se rapporte à la sécurité informatique.2.Sont soumis à l’audit obligatoire périodique conformément à l’article 5 de la loi susvisée n°2004-5 du 3 février 2004. les systèmes informatiques et les réseaux relevant des organismes publics et les systèmes informatiques et les réseaux des organismes du secteur privé suivants : Les opérateurs des réseaux publics de télécommunications et les fournisseurs des services de télécommunication et d’Internet. 8-Circulaire n° 19 . exporte.000 à 5. Les entreprises qui procèdent au traitement automatisé des données personnelles de leurs clients dans le cadre de la fourniture de leurs services à travers les réseaux de télécommunications. nomination d’un Responsable de la Sécurité des Systemes d'Information RSSI et mise en place d’un Comité de pilotage. Création d’une Cellule Technique de Sécurité. détient en vue de la vente ou la distribution à titre gratuit ou onéreux ou met en vente ou vend les moyens ou les services de cryptologie en violation de la réglementation en vigueur. Les entreprises dont les réseaux informatiques sont interconnectées à travers des réseaux externes de télécommunications. du 27 juillet 2004: Cette loi porte sur la protection des données à caractère personnel. 4-Loi n° 5 . importe.La sécurité du système d’information : Les enjeux de l’expert comptable Est puni d’un emprisonnement de six mois à cinq ans et d’une amende de 1. celui qui utilise. En cas de rejet du rapport. fabrique. Elle porte sur l’organisation du domaine de la sécurité informatique et fixe les règles générales de protection des systemes informatiques et des réseaux. 5-Décret n°1250-2004 du 25 mai 2004: Fixant les systèmes informatiques et les réseaux des organismes soumis à l’audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l’audit et à sa périodicité et aux procédures de suivi de l’application des recommandations contenues Art. 7-Circulaire n° 22 – 2004: Cette circulaire porte sur la sureté des locaux appartenant aux ministères et aux entreprises publiques. l’organisme concerné est tenu de refaire l’audit et de communiquer le rapport à l’agence dans un délai ne dépassant pas deux mois à partir de la date de la notification du rejet.000 DT ou de l’une de ces deux peines seulement. 6-Loi organique n° 63 – 2004. 86 .du 11 avril 2007: Relative au renforcement des mesures de sécurité informatique dans les établissements publics.

sont : Art 199 bis et Article 199 ter*. La norme ISA 330 : procédures à mettre en œuvre par l’auditeur en fonction de son évaluation des risques . ajouté par la Loi n° 99-89 du 2 août 1999 prévoyant des sanctions pénales suite à l’intrusion aux systèmes informatiques Abus de confiance : Il est prévu par l'article 297 du Code Pénal. L’auteur de l’infraction l’a accepté par contrat et s’est engagé à la restituer ou à en faire un usage déterminé. dont les normes ont été adoptées par plusieurs pays dans le monde entier. La norme ISA 500 : éléments probants. pouvant être appliquées dans un contexte d’environnement informatique. 2. Ces recommandations ne sont pas présentées sous forme de normes.Systems Auditability and Control (SAC) Report Le Systems Auditability and Control Report est un rapport sur l’audit et le contrôle des systèmes d’information publié par l’institut of internal auditors (IAA) aux états unis et traduit par l’institut français de l’audit interne (IFACI). cause un dommage à la propriété immobilière ou mobilière d’autrui. dont la Tunisie. A l'inverse de l'escroquerie. la chose détournée a été remise avec le consentement de la victime.Les réflexions de l’IFAC: L’International Federation of Accountants (IFAC) représente un organisme de normalisation internationale. Il s’agit notamment de : La norme ISA 315 : connaissances de l’entité et de son environnement et évaluation du risque d’anomalies significatives . 87 . mais il s’agit plutôt d’un référentiel portant sur la sécurité des systèmes d’information en général.La sécurité du système d’information : Les enjeux de l’expert comptable 9-Code pénal: Les principales dispositions du code pénal. Il a été conçu dans l’objectif de fournir aux directions générales et aux auditeurs internes et externes des lignes directrices afin de les aider à établir des priorités pour la mise en œuvre des contrôles permettant de réduire les risques. L’IFAC au travers du comité des normes internationales IAPC (international auditing practices committee) a publié plusieurs normes se rapportant à l’approche d’audit par les risques qui prennent en considération les particularités d’un milieu informatisé. Dommages divers à la propriété d’autrui : Prévus par l’article 304 et suivant du code pénal et concernent quiconque. Sous section 3: Les principales réactions des organismes professionnels: 1. Ce document présente essentiellement ce qu’un auditeur doit savoir pour auditer la sécurité du système d’information. volontairement.

en diffusant des guides spécifiques de contrôle dans les entreprises informatisées (exemple : l’audit en milieu EDI. la confidentialité et l’intégrité des données issues des traitements informatiques. sont exposés les contrôles fondamentaux permettant de s’assurer que l’intégrité. Le module sécurité s’articule autour de trois parties : la gestion de la sécurité. puis propose une démarche d’audit à partir de l’identification des zones ou points d’entrées sensibles. Contrôle de sécurité physique . Contrôle d’accès logique. cette commission mène régulièrement des réflexions sur les nouvelles technologies et ce. Elaborant des outils informatiques d’aide à l’audit et à la gestion administrative des missions Contribuant à la mise en place des actions de formation nécessaires et en organisant des manifestations sur les différents thèmes se rattachant à l’informatique.édition CNCC 2003. Ce guide fournit à l’auditeur une grille des contrôles des plus importantes à effectuer dans le cadre d’une mission menée dans un milieu informatique et qui vise à s’assurer des sécurités informatiques mises en place par l’entreprise pour garantir la disponibilité. y compris ceux concernant les accès aux données et aux programmes.Compagnie Nationale des Commissaires aux Comptes (CNCC) : Le CNCC. 88 . en : Formulant des avis. les contrôles de modification. Certains travaux ont déjà abouti à des publications spécifiques tels que les sujets traitant de la sécurité informatique. procédures et directives de sécurité . la confidentialité. Le module sécurité du SAC Report présente une démarche générale d’audit en examinant les contrôles des domaines suivants : Politiques. à travers la commission informatique. de l’échange de données informatisées (EDI). Dans ce cadre. la sécurité physique et la sécurité logique. et aussi à des ouvrages dont par exemple « le diagnostic des systèmes informatisés: guide d’application des recommandations » et « Prise en compte de l’environnement informatique et incidence sur la démarche d’audit » . édition 1997) et en apportant des réponses aux questions techniques posées par les professionnels . etc. les pistes d’audit. d’Internet et des services publics en ligne. du commerce électronique.La sécurité du système d’information : Les enjeux de l’expert comptable A cet effet. les caractéristiques du logiciel et le logiciel de contrôle d’accès. du Webtrust. traite des sujets du système d’information susceptibles d’avoir un impact sur la mission du commissaire aux comptes. des technologies de la communication.. 3. Programmes de sensibilisations et de formation à la sécurité . Gestion et administration de la sécurité . Chacune de ces parties présente les risques liés à la sécurité après en avoir rappelé le contexte. et la disponibilité des ressources et des informations sont garanties.

tn 128 http://www. facteur de pérennité des entreprises et des collectivités publiques. sensibiliser tous les acteurs en intégrant une dimension transversale dans ses groupes de réflexion : management des risques. d'un réseau d'échanges entre les personnes physiques ou morales intéressées par le développement des techniques de maîtrise des systèmes d'information.afai. ouvert à toute entreprise ou collectivité. notamment à l'échelle nationale.ssi. en France où à l'étranger.fr http://www. La finalité du CLUSIF est d'agir pour la sécurité de l'information. intelligence économique Les travaux du CLUSIF portant sur le système d’information comprennent des travaux de recherche et développement. ainsi. De regrouper l'ensemble des professionnels et de susciter la création. De promouvoir la recherche sur l'audit et le conseil informatiques en organisant notamment les conditions favorables à la conduite et à la diffusion des techniques et des travaux de recherche dans ces domaines. l'effet de l’art sur différents types de solutions. constitué en association indépendante.fr 89 . etc… 126 127 http://www.Agence nationale de la sécurité du système d’information (ANSSI) 126 en France et Agence nationale de la sécurité informatique (ANSI)127 en Tunisie : L’ANSSI publie les références juridiques.gouv. droit. Il accueille des utilisateurs et des offreurs issus de tous les secteurs d'activité de l'économie. Il entend. des prises de position sur des sujets d'actualité. 6. les procédures. des guides et recommandations à caractère didactique. au développement. L'AFAI est le chapitre français de L’ISACA et compte environ 600 membres. des méthodes.L’Association Française d’Audit et du conseil en Informatique (AFAI) :128 L'AFAI (Association Française de l'Audit et du Conseil Informatiques) a pour objet : De créer une structure d'accueil ouverte à toute personne physique ou morale qui souhaite contribuer à la maîtrise des systèmes d'information. de la pédagogie et de la formation. 5. des techniques de l'audit et du conseil informatiques dans les domaines de la gestion de l'activité des secteurs privés et publics.Le Club de la Sécurité des Systèmes d’Information (CLUSIF): Le CLUSIF est un club professionnel. des documents techniques relatifs à la sécurité du système d’information.ansi.La sécurité du système d’information : Les enjeux de l’expert comptable 4. des guides méthodologiques. des enquêtes. L'ISACA est l'association internationale de l'Audit et du Conseil informatique et compte environ 70 000 membres. des outils de sensibilisation.

les dirigeants doivent mettre en place : Un système de contrôle interne. Afin de répondre à ces nouvelles obligations. Elle s’applique aux sociétés cotées aux Etats-Unis. de documenter les faiblesses et enfin de mettre en place un plan d’action visant à corriger les faiblesses identifiées et améliorer le dispositif du contrôle interne. L’ISACA a développé et promulgué des Normes Générales ainsi que des directives pour l'Audit des Systèmes d'Information.La sécurité du système d’information : Les enjeux de l’expert comptable 7. Elle impose aux dirigeants de nouvelles obligations relatives au contrôle interne afférent au processus de production du reporting financier. Elle a aussi développé le COBIT130 qui constitue un référentiel international de Gouvernance. 8. Ainsi.org Control Objectives for Information and Related Technology 90 .La loi Sarbanes-Oxley (SOX) : Cette loi vise à rassurer les marchés financiers quant à la sincérité de l’information financière. L'amélioration de l'information financière. mis en place et maintenus. de Contrôle et de l’Audit de l’Information et des technologies associées. et que l'efficacité de ces procédures et de ces contrôles a fait l'objet d'une évaluation.Association Internationale de l'Audit et du Conseil Informatique: ISACA129 L’ISACA est une association fondée en 1969 qui englobe des professionnels de la vérification. l’évaluation du contrôle interne par les dirigeants est effectuée chaque année. de la sécurité et du contrôle des technologies de l’information. Ils doivent également certifier que des procédures et des contrôles relatifs à l'information publiée ont été définis. Cette évaluation doit être revue par les auditeurs qui doivent produire une attestation à ce sujet. et d’évaluer leur efficacité et leur fonctionnement. En cas de non-respect de la loi. des peines sont prévues pouvant aller jusqu'à 20 ans d'emprisonnement et USD 20 millions d'amende.isaca. L'objectif de ces normes et directives est de définir pour les auditeurs un niveau de diligence minimal pour répondre aux responsabilités professionnelles. sous leur responsabilité. 129 130 http://www. Un processus permettant de documenter les procédures de contrôle. Elle comprend 11 thèmes dont : La responsabilité d'entreprise.

D’abord.Limites inhérentes à l’expert comptable: Le développement des nouvelles technologies de l’information et de la communication s’est vite ancré dans la gestion courante des affaires de l’entreprise. La fiabilité des informations financières. L'information et la communication. qu'il s'agit d'optimiser. comporte cinq composantes.La sécurité du système d’information : Les enjeux de l’expert comptable 9. définies comme étant les règles et les procédures mises en œuvre pour traiter les risques. nous constatons l’intéressement que revêt le sujet du système d’information aussi bien pour les instances législatives que pour les organismes professionnels. à l’exception des grands cabinets internationaux. c'est-à-dire le « contrôle du contrôle » interne. sans pour autant qu’il ne soit suivi d’un développement aussi spectaculaire au niveau des cabinets des principaux conseillers de l’entreprise. A travers cette étude sommaire. les petites et 91 . Il s’agit de : L'environnement de contrôle. Ceci dénote de l’importance de l’enjeu pour l’expert comptable dans ce domaine.Committee of Sponsoring Organizations COSO: Le référentiel COSO définit le contrôle interne comme un processus mis en œuvre par les dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants : La réalisation et l'optimisation des opérations. qui correspond. la formation des experts et les budgets temps alloués à l’audit de sécurité. L'évaluation des risques au vu de leur importance et fréquence. Les activités de contrôle. Section 4 : Les compétences requises par l’expert comptable: Sous section 1: Limites à la réalisation d’une mission d’audit de la sécurité du système d’information: 1. composés d’auditeurs spécialisés en sécurité système d’information et d’ingénieurs en informatique. La conformité aux lois et règlements. Le contrôle interne. pour l'essentiel. La supervision. en l’occurrence les experts comptables. aux valeurs diffusées dans l'entreprise. Ce fossé s’est creusé au niveau de trois facteurs clés de succès d’une mission d’assistance. à savoir l’organisation des cabinets. Ces composantes procurent un cadre pour décrire et analyser le contrôle interne mis en place dans une organisation. qui se sont dotés de départements spécialisés dans l’audit de la sécurité du système d’information.

Ensuite. 92 . La démarche d’audit doit prendre en considération. « Faute d’outils et de compétences suffisants. à coté du fait de manque de compétences nécessaires. réduit l’audit des sécurités de la sécurité du système d’information à des contrôles primaires d’audit des sécurités physiques existantes.Limites relatives à la démarche d’audit : Prendre en considération l’aspect de sécurité de la sécurité du système d’information et assurer l’appréciation des risques associés et l’aptitude de la politique de sécurité mise en place y à faire face. Ces compétences spécifiques en matière informatique seront combinées avec les compétences d’audit pour assurer la réussite de la mission. et actualisées dans le domaine de la sécurité.La sécurité du système d’information : Les enjeux de l’expert comptable moyennes structures de cabinets ne disposent pas d’une telle organisation ou tout au moins d’auditeurs spécialisés en informatique. Enfin. Ce manque de compétences prive les cabinets de missions spécifiques d’audit de sécurité du système d’information. nécessitent de la part de l’expert comptable des compétences en matière d’audit d’une manière générale et des sécurités informatiques en particulier. l’audit financier est souvent privilégié au détriment de l’audit de la sécurité informatique »131. approfondies. ce qui constitue une entrave lors d’un audit financier à la réalisation des travaux nécessaires en matière de vérification des sécurités informatiques. du principe d’exclusion à la gestion d’identité ». De même. d’antivirus… . Ainsi. En effet. le niveau de sécurité 131 Sofiene Maxime Kader : « Sécurité des systèmes d’information. les travaux effectués généralement dans le cadre d’une mission d’audit légal se limitent à la validation des outils conduisant à l’arrêté des états financiers et ne portent pas sur l’appréciation des mécanismes de sécurité mis en place par l’entreprise. et les aspects organisationnels et les aspects techniques liés à la sécurité du système d’information. 2. Cette restriction relative au budget temps est d’autant plus importante lorsqu’il s’agit d’une mission de commissariat aux comptes d’une petite et moyenne entreprise (PME). ces structures peuvent présenter un risque au niveau de la sécurité du système d’information important du fait qu’elles utilisent souvent des solutions informatiques et des applications standards achetées sur le marché ou « héritées » d’une société mère de taille très importante et non adaptées à la taille et à l’activité de la PME. de l’utilisation des mots de passe. Or. de par sa formation. on constate dans le cadre de réalisation des missions d’audit financier que le budget temps imparti aux vérifications de la sécurité du système d’information est limité. le domaine d’audit de la sécurité du système d’information requiert en ce qui concerne l’audit technique des compétences étendues. l’auditeur ne dispose pas de ces compétences. ce qui.

PricewaterhouseCoopers –PwC. Dans un premier temps.latribune. Malgré la grande diversité des cabinets comptables133 (d’une toute petite structure à un cabinet de plus de cinquante salariés. encore 132 Parmi les enquêtes les plus récentes disponibles sur le thème. de plus en plus concurrentiel. par voie électronique. un état des lieux des profonds changements auxquels sont confrontés les cabinets comptables permettra d’appréhender le rôle des TIC dans le renouveau de la profession. 132 La question de l’utilisation des TIC se pose au regard des mutations actuelles du secteur et amène une nécessaire réflexion sur la notion d'usages de ces outils TIC par des acteurs dont le cœur de métier repose sur la collecte et le traitement de l'information. Il en ressort qu'un résultat d'audit peut être contredit par le moindre changement sur le système d'information (organisationnel ou technique). a fait l'objet d'une analyse des impacts d'internet sur la relation client et la performance : http://www. des problématiques et des enjeux communs existent en termes d'intégration technologique. rares sont les petites structures qui disposent d’un responsable de sécurité du système d’information ou d’un informaticien.et Ernst & Young). Pour les récentes évolutions de ces réseaux. les stratégies et les marchés étant bien différents).pdf 133 Nous laissons les grosses structures (« Big-Four ») de côté. Sous section 2: Intégrer les TIC pour faire face aux mutations du secteur La profession comptable est actuellement dans une phase de profonde mutation. Or. 3. Nous aborderons ensuite les compétences à développer par l’expert comptable pour réussir les missions d’audit de la sécurité du système d’information. par le Conseil supérieur de l'Ordre des experts-comptables (CSOEC) auprès de 13 000 experts-comptables (sur 16 000 inscrits).La sécurité du système d’information : Les enjeux de l’expert comptable appliquée sur les systèmes d’informations est dynamique.univ-poitiers. accélération des innovations technologiques. voir notamment l’article de La Tribune Du nouveau chez les Big Four : http://www. En l’absence de compétences suffisantes.Limites liées à l’organisation des clients: La réussite de la mission de l’expert comptable dépend dans une grande partie de la structure de ses clients. soulèvent des incertitudes et parfois des inquiétudes sur l'avenir de la profession comptable libérale.fr/info/Audit---du-nouveau-chez-les-Big-Four- 93 .iae. il peut évoluer fortement en fonction d'une simple mise à jour de système d'exploitation ou d'applicatif. la mission peut être difficile à réaliser dans le temps imparti et avec le budget alloué. celle réalisée. L’activité de production comptable s’exerce désormais dans un marché saturé. Plusieurs évolutions de l'environnement. on peut s’interroger sur la manière dont les cabinets comptables ont intégré ces technologies pour l’audit de la sécurité du système d’information. d’où la nécessité de valider les réponses des interlocuteurs par des pièces justificatives. Les « Big Four » sont les quatre réseaux mondiaux qui dominent le marché de l’audit des grandes entreprises (Deloitte et KPMG. concentration des cabinets. communication libérée.fr/afc07/Programme/PDF/p87. S'il semble aujourd'hui évident que les technologies de l’information et de la communication (TIC) ont largement influencé l'exercice de la profession comptable. leurs problématiques étant spécifiques.

135 134 Article Les enjeux actuels des TIC dans les cabinets d’expertise comptable http://www. réalisation de tableaux de bord pour les TPE. organisation… . tout en restant un métier « du chiffre ». un bouleversement supplémentaire ou un tremplin pour la profession ? La profession comptable libérale a été largement secouée depuis plusieurs années par les évolutions technologiques.Les TIC au service de la flexibilité du cabinet: La mission de l'expert-comptable est une mission de conseil au service du développement des PME. avec davantage de conseils et de capacités managériales (accompagnement du créateur d’entreprise – prévisions. Elles devraient permettre de rationaliser les missions centrales . démarches bancaires. il semble que la maîtrise des TIC pour modifier l'organisation du cabinet et gagner en productivité et en souplesse soit un incontournable. fiscales et sociales . constant voire statique. technicien du chiffre.Les TIC. pour anticiper leurs besoins. L'expert-comptable « traditionnel ». Elles ont également conduit à une réorganisation de toutes les activités qui peuvent faire l’objet d’un traitement numérisé et donc transportables et accessibles partout.optimisation du statut et de la rémunération du chef d’entreprise. mais aussi de mieux connaître ces derniers. la recherche d'une convergence internationale des systèmes d'information comptables.pdf 135 François Rivard. Georges Abou Harb. au côté des capacités techniques. Les technologies de l'information et de la communication sont. évaluation d’entreprise…). Celles-ci ont notamment favorisé la concentration en permettant l’apparition progressive de gros cabinets issus de regroupements ou la mise en réseaux de cabinets ayant des compétences sectorielles spécifiques et dotés de puissants moyens de communication. de réels tremplins pour la profession. rigoureux.com/pages/INTERVIEW/ConseilAuditSynthese. en communiquant plus régulièrement et autrement vers les clients. et la capacité à gérer la relation client vient au premier plan. 134 2. doit faire place à un professionnel qui peut moduler son profil et adapter son comportement sans cesse. Par ailleurs.laprofessioncomptable. s'ouvre vers l'extérieur. en valorisant ces activités. en tendance de fond. Parmi les pistes d'évolution dans le sens d'un accompagnement plus important et innovant. l'utilisation des TIC peut permettre aux cabinets de mieux se faire connaître.La sécurité du système d’information : Les enjeux de l’expert comptable très atomisé. 1. la profession. et Philippe Meret _ Le système d'information transverse : Nouvelles solutions du SI et performance métier _ Edition Lavoisier _ 2008 94 . dans ce cadre-là. dans le sens d'un meilleur service client.pour reporter et développer des compétences vers l'accompagnement. et avec.comptables. Les cabinets comptables ont peu d’activités « non numérisables » et sont de plus en plus contraints de changer leur positionnement et leur façon d'exercer leur métier. Actuellement. informatisation du client. vers les autres métiers.

Appliqué aux TIC. Le travail de l’expert-comptable va être. Un certain niveau de compétences informatiques est nécessaire pour appréhender l’ensemble des possibilités offertes par les nouveaux produits et services. Par exemple : la théorie de l'appropriation (Chambat. Proulx). de sa simple utilisation à un ensemble plus complet de comportements. appropriation. Pour un aperçu de ces différentes approches : http://commposite. élaboration de devis…. les « professionnels du chiffre » doivent enrichir leurs compétences et cultiver leur adaptabilité et leur capacité à gérer le changement. Le terme « usage » est utilisé avec des sens différents (utilisation. la socio-politique des usages (Vitalis..136 Sous section 3: Les compétences à développer Afin de choisir et de mettre en œuvre des outils pertinents et à fort potentiel de valeur ajoutée pour le cabinet et pour mener à bien les missions d’audit de la sécurité du système d’information. mais aussi pour en apprécier les limites.Outils et usages TIC en cabinet d’expertise comptable: Si l'usage des technologies en cabinet semble être considéré comme allant de soi. il est important de préciser la notion d' « usages ». De la même façon. Cependant.. pratique. il faut rappeler que les habitudes quotidiennes (hors de la sphère professionnelle) jouent un rôle prépondérant dans l'appropriation des TIC. ces fonctionnalités ne permettent pas de prendre en charge l’ensemble des missions de l’expert-comptable. emploi. application.org/v1/98.). l’outil ne peut se substituer aux pratiques et compétences managériales (relationnelles et organisationnelles) de l’expert-comptable. L'appropriation des technologies exige certaines compétences spécifiques et sûrement une démarche active de prospection. habitude. afin de faire apparaître les critères de choix de tel ou tel outil. Vedel).La sécurité du système d’information : Les enjeux de l’expert comptable 3. Dans l’optique d’une approche métier des outils TIC. notamment celles nécessitant une connaissance fine du client. les organisations d'une certaine taille peuvent mettre en place des équipes combinant compétences techniques informatiques et 136 Les usages des TIC ont fait l'objet de plusieurs recherches et approches sociologiques ou cognitives.htm#surlan 95 . Dans ce cadre. Prenons l’exemple des solutions intégrées qui proposent en un seul système l’ensemble des informations de base – comptables ou sociales – et des modules plus spécifiques de gestion – tableaux de bord.pour faire valoir les nombreux services associés. il décrit une palette large de comportements relatifs à un outil ou à une technologie.imposées par le code de déontologie . Ainsi. l'expert-comptable a tout intérêt à adopter une attitude prospective pour adapter ses pratiques professionnelles.1/articles/ntic_1. par exemple. etc. L’objectif est de savoir ce que permet de faire ou de ne pas faire un outil dans le cadre du modèle d’affaires que souhaite développer le cabinet. associés à des représentations et à des compétences spécifiques. de construire des tableaux de bord adaptés aux besoins de chaque client ou de personnaliser la présentation des honoraires et des lettres de missions .

l'ouverture de capital. outre les disciplines de comptabilité. ces derniers doivent impérativement développer les compétences en matière des TIC afin de proposer. l'expert-comptable doit s'intéresser à la façon dont ses éventuels collaborateurs vont utiliser et s'approprier les outils mis à leur disposition. d’autre part. la mise en place de systèmes d'information. il le conseille et l'assiste dans ses choix stratégiques et dans leur mise en œuvre opérationnelle. Ce choix technologique conduit donc à des usages nouveaux associés à des mutations organisationnelles. développement d’une politique de sécurité d’information…. A cet effet. De même. les technologies de l’information et de la communication. de finances et de management. et de veiller. intègre.La sécurité du système d’information : Les enjeux de l’expert comptable compétences métier.insee. de l'indépendance. 137 En outre. au final.fr/fr/themes/document. élaboration d’un schéma directeur. un service de qualité au client. audit du système d’information. parmi les domaines de formation des commissaires aux comptes exigés par la huitième directive européenne138. Il intervient sur des missions d'audit légal pour certifier les comptes des entreprises et garantir la fiabilité de l'information financière ou pour des missions de conseil et d’organisation. des besoins des utilisateurs et du « projet métier » dans lequel s’inscrit le projet technologique. voir l’enquête TIC Eurostat /Insee L’intégration des TIC est encore incomplète dans les entreprises : http://www. le programme de formation des experts comptables établi par l’IFAC. Ses atouts. l’expert comptable a besoin de renforcer. Pour assurer convenablement sa mission. il y a lieu de citer les technologies de l’information et systèmes informatiques. Véritable coach du chef d'entreprise. L'expert-comptable intervient également dans des missions de conseil définies contractuellement avec le dirigeant dans les domaines aussi divers que la fonction personnel. sa formation académique par des disciplines se rapportant aux technologies de l’information et de la communication et aux mesures de sécurité permettant de réduire le risque global de l’entreprise.asp?ref_id=ip1184&reg_id=0#sommaire 138 Article 8 directive 2006/43/ce du parlement européen et du conseil du 17 mai 2006 concernant les contrôles légaux des comptes annuels et des comptes consolides et modifiant les directives 78/660/CEE et 83/349/CEE du conseil. Il semble évident que la réussite de l’intégration des TIC par tous les acteurs du cabinet repose sur des échanges nombreux à propos des pratiques. de l'aisance sur les techniques d'aide à 137 À propos du degré d’informatisation des clients. Dans les petits cabinets. L'expert-comptable intervient en appui à toutes les étapes de la vie des entreprises et dans tous les secteurs de l'économie. et abrogeant la directive 84/253/CEE du conseil 96 . Les TIC ont pris une telle place dans les cabinets d’expertise comptable. d’une part. à la constante mise à jour de ces connaissances vu les évolutions rapides dans ce domaine. Cela peut éventuellement passer par des échanges avec les éditeurs de solutions (par exemple via des « clubs d’utilisateurs ») afin de participer à leur démarche d’élaboration dans une optique de recherche d’adéquation entre l’outil et les besoins et évolutions du métier. c'est à l'expert-comptable que revient ce rôle.

a développé une expertise de premier plan sur l’ensemble de ces enjeux. Enfin. la formation permanente en séminaires et sur le terrain doit constituer un investissement important . de la communication et du travail en équipe. acteur d’excellence du conseil et d’innovation. l’enjeu essentiel pour l’entreprise est de tirer le meilleur parti de son Système d’Information afin d’en faire un levier majeur de l’atteinte de ses objectifs. Par ailleurs. Ainsi. Elles s’imposent. une approche pragmatique de l'économie. elle doit savoir valoriser les données produites par le Système d’Information et protéger efficacement ces données contre les risques de perte. afin de : Déterminer l’effet de ces technologies sur l’évaluation du risque d’audit global et du risque au niveau du compte et au niveau de la transaction Obtenir une compréhension de la structure du contrôle interne telle qu’affectée par ces technologies et son effet sur les transactions de l’entité Déterminer et exécuter les tests sur les contrôles et les tests substantifs appropriés adaptés à la démarche particulière d’audit Pouvoir mettre en œuvre les techniques d’audit assistées par ordinateur Evaluer les résultats des procédures effectuées. Dans ce contexte. Une recherche permanente des méthodes et techniques nouvelles et mieux adaptées. de vol ou de fraude. Les technologies de l’information et de la communication sont devenues un support incontournable de l’ensemble des activités de l’entreprise. le goût du contact. la disponibilité et l’intégrité du système d’information. Participation dans des concours internationaux tel que le concours du CISA «Certified Information System Auditor ». 97 . désormais. l’entreprise doit définir une stratégie pour son Système d’Information qui doit être cohérente avec sa stratégie « métiers ». Evaluer la confidentialité. une bonne gestion des temps. Elle doit anticiper les besoins relatifs à sa croissance organique et/ou externe. C’est pourquoi. l’audit de la sécurité du système d’information et de la communication exige de l’auditeur : Une compétence et une expérience à la hauteur des difficultés rencontrées et de l'efficacité requise . L’expert comptable. comme un actif stratégique au service des opérations et du pilotage de l’entreprise. Elle doit ensuite mettre en place un responsable de sécurité du système d’information (RSSI) apte à mettre en œuvre une politique de sécurité du système d’information. l’auditeur doit avoir une connaissance suffisante des nouvelles technologies de l’information et de la communication et ce.La sécurité du système d’information : Les enjeux de l’expert comptable la décision.

Ce niveau minimal doit lui permettre de : Détecter la nécessité de faire appel à un spécialiste pour des questions purement techniques Définir le domaine d’intervention du spécialiste Diriger et superviser le déroulement des travaux du spécialiste Intégrer les conclusions des travaux du spécialiste avec celles de l’audit. Dans le cas contraire. Il doit entretenir ces compétences professionnelles en suivant des programmes de formation professionnelle continue. Les membres de l’ISACA non titulaires de la certification CISA ou d’un autre titre d’auditeur professionnel et qui sont impliqués dans l’audit des systèmes d’information doivent posséder une formation et une expérience professionnelles suffisantes. En conséquence. lorsqu’il délègue certains travaux à des assistants ou qu’il a recours à des travaux effectués par d’autres auditeurs ou des experts qualifiés en nouvelles technologies de l’information et de la communication. il doit attester que tous ses membres possèdent le niveau de compétences professionnelles requis pour la tâche à exécuter. c’est-à-dire posséder les aptitudes et connaissances nécessaires pour mener à bien ses missions d’audit. 98 . l’auditeur doit posséder des connaissances suffisantes en la matière pour diriger.La sécurité du système d’information : Les enjeux de l’expert comptable Participation à des formations universitaires spécialisées connues par exemple les DESS (Diplôme d’Etudes Supérieures Spécialisées) en système d’information et autres cycles de formation L’auditeur doit. S’il possède les compétences requises. superviser et examiner les travaux des assistants qualifiés et/ou pour obtenir un degré raisonnable de certitude que les travaux effectués par d’autres auditeurs ou des experts qualifiés répondent bien à ses besoins. l’auditeur des SI doit refuser ou se retirer de la mission. En effet. l’auditeur des SI doit satisfaire aux exigences de formation ou de développement professionnel continus de la CISA. L’auditeur des SI doit attester de compétences professionnelles suffisantes (aptitudes. Si l’auditeur des SI dirige une équipe chargée du contrôle. connaissances et expérience pertinentes pour la mission concernée) avant de commencer son travail. veiller à avoir un minimum de formation et de compétence en matière de nouvelles technologies de l’information et de la communication. il est utile de rappeler que l’auditeur ne peut en aucun cas déléguer la responsabilité de tirer les conclusions finales de l’audit ou celle d’exprimer son opinion sur l’information financière. Compétence professionnelle : L’auditeur des SI doit être professionnellement compétent. ainsi qu’aux autres charges professionnelles liées à l’audit. quand même.

il lui incombe d’adapter sa démarche d’audit en vue de prendre en considération l’effet de l’informatique sur l’appréciation des risques de l’entreprise. l’expert comptable est appelé d’abord à renforcer ses connaissances de gestion par des connaissances techniques se rattachant aux technologies d’information et de communication. la sécurité du système d’information de nos jours reste trop réactive. et de la complexité du système d’information d’autre part. Toutefois. Rares sont les entreprises qui adoptent une véritable attitude proactive pour prévenir les problèmes »139. Ensuite. Pour assurer la réussite d’une mission d’audit de la sécurité du système d’information.La sécurité du système d’information : Les enjeux de l’expert comptable Conclusion: La sécurité du système d’information apparaît donc comme une nécessité pour toutes les entreprises quelque soit leur taille. « Il n'y a actuellement pas de garantie absolue de sécurité.be « sécurité et aspects juridiques des TIC » 99 . on réduit les risques mais on ne peut pas les éliminer complètement. Assurer l’audit de la sécurité du système d’information constitue pour l’expert comptable une phase nécessaire à la réalisation de l’audit financier et un nouveau métier pour l’expert comptable dans les cadres des missions de consulting. et de la nature et du coût des risques informatiques. on assure au mieux la protection. compte tenu d’une part de l’utilisation répandue de l’informatique. 139 www. on réagit pour résoudre un problème plutôt que de chercher à l'éviter.awt. qui permet à la fois de prévenir et de faire face aux menaces et aux vulnérabilités du système d’information. Une attitude proactive met en exergue le besoin de procéder à un audit de la sécurité du système d’information.

elle est à ce titre un élément important de l’organisme et elle nécessite une protection adéquate. mises en œuvre. aucune solution de sécurité n’est immuable. L’information se présente sur des supports variés. Planification de la mission. La sécurité de l’information est assurée par la mise en œuvre des mesures adaptés. La sécurité de l’information vise à protéger l’information contre une large gamme de menaces de manière à garantir la continuité des transactions. et il convient alors de réaliser des audits périodiques en vue de détecter les vulnérabilités nouvelles et de prévoir les plans d’actions correctifs. il convient de protéger toujours l’information de manière adaptée. Du fait du nombre croissant de ces interconnections. des processus. Section 1: Définitions et objectifs de l’audit de la sécurité du système d’information: Sous section 1 : Définition de la sécurité du système d’information: «L’information constitue un bien important pour l’organisme. Prise de connaissance générale. la réalisation d’une mission d’audit de la sécurité du système d’information nécessite une démarche cyclique. stockée électroniquement. Ce point s’avère particulièrement important dans l’environnement actuel qui comporte des interconnections de plus en plus nombreuses. Elaboration du rapport et des recommandations. suivies. des procédures. l’information est de plus en plus exposée et vulnérable. réexaminées et améliorées aussi souvent que nécessaire. diffusée sur des supports audiovisuels ou verbalement. Du fait que les risques sont dynamiques et évolutifs. Les étapes d’audit de la sécurité du système d’information couvrent les étapes suivantes : Définitions et objectifs de l’audit de la sécurité du système d’information. de manière à atteindre les objectifs 100 . à réduire le plus possible le risque et à optimiser le retour sur investissement ainsi que les opportunités en terme d’activité pour l’organisme. Ces mesures doivent être spécifiées. Quelque soit le support ou les moyens utilisés pour la partager ou la stocker. qui regroupent des règles. Elle peut être disponible sur papier.La sécurité du système d’information : Les enjeux de l’expert comptable Chapitre 2 : Les étapes d’audit de la sécurité du système d’information Introduction: Comme toute mission d’audit. transmise par voie postale ou électronique. des structures organisationnelles et des fonctions matériels et logiciels.

et à autoriser le retour à un fonctionnement normal en cas de sinistre à des coûts et dans des délais acceptables. au préalable. La sécurité des systèmes d’information a pour but de garantir la valeur des informations que nous utilisons. à la fois au plan technique et organisationnel. Le concept de sécurité des systèmes d’information recouvre un ensemble d'objectifs permettant de protéger les ressources d’un système d’information afin d’assurer:143 La confidentialité: faire en sorte que l’information n’est accessible qu’aux personnes autorisées à y accéder. intégrité.La sécurité du système d’information : Les enjeux de l’expert comptable spécifiques en matière de sécurité et d’activité d’un organisme. en rendant l'information inintelligible pour tous ceux qui ne sont pas acteurs de la transaction: La technique principalement utilisée à cette fin est la cryptographie. octobre 2000 143 Kane Paul M “Information Security Management BS 7799 now ISO 17799 “Armenia September 2004 101 . Pour ce faire.Techniques de sécurité. La disponibilité: faire en sorte que les utilisateurs autorisés puissent accéder à l’information et aux biens auxquels elle est associée. chaque fois qu’ils en ont besoin.Code de bonne pratique pour la gestion de la sécurité de l’information 141 GDI Jeans-Louis Desvignes « les enjeux de la sécurité des systèmes d’information » SSTIC 2003 142 Solange Ghernaouti-Hélie Claud « sécurité Internet . vérifier si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle). en vue de faire face aux menaces que l’on aura pris soin. la sécurité ne permet pas directement de gagner de l’argent mais évite d’en perdre. en d’autres termes. La trilogie confidentialité. ce qui implique que le système sous-jacent soit opérationnel et fonctionnel. En fait. Ce n’est rien qu’une stratégie préventive qui s’inscrit dans une approche globale de la sécurité de système d’information142. et ce. d’identifier et de hiérarchiser ».141 Sous section 2 : Objectifs de la sécurité du système d’information : L’objectif central de la sécurité des systèmes d’information est de garantir qu’aucun préjudice ne puisse mettre en péril la pérennité de l’entreprise.140 La sécurité du système d’information «c’est l’art de combiner un ensemble de mesures préventives et curatives. il convient d’agir de manière concertée avec les autres processus de gestion de l’organisme». La fonction de hachage est généralement utilisée. Cela consiste à diminuer la probabilité de voir des menaces se concrétiser. Dunod. disponibilité détermine la valeur d’une information. 140 La norme ISO 27002 Technologies de l’information. à en limiter les atteintes ou dysfonctionnements induits en agissant sur les vulnérabilités des systèmes. Stratégies et technologies». L’intégrité: protéger l’exactitude de l’intégrité de l’information et des méthodes de traitement.

144 La prise de connaissance de l'entité est un processus itératif qui se poursuit durant toute la durée de l'audit. elle représente souvent une part significative du budget d’heures. La phase de prise de connaissance de l’environnement du système d’information est une phase primordiale dans la réussite d’une mission d’audit de la sécurité de ce système. En effet. et de concevoir et de mettre en œuvre des procédures d’audit complémentaires. Elle lui sert également pour établir le plan de mission. le cas échéant. Pour les années suivantes. sous réserve qu’aucune 144 ISA 315 Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives 102 . à partir de ce moment. que celles-ci résultent de fraudes ou d’erreurs. de l’environnement réglementaire et des autres facteurs externes. L’auditeur doit acquérir la connaissance des spécifiés du secteur d’activité concerné. Cette connaissance doit être suffisante pour lui permettre d’identifier et d’évaluer le risque que les états financiers contiennent des anomalies significatives. le besoin de recourir à un spécialiste en informatique pour les cas purement technique La phase prise de connaissance conduit à l’élaboration du plan de mission et implique la prise en compte du système d’information de l’entreprise. Cette phase est particulièrement importante pour le bon déroulement de la mission. notamment au cours de la première année du mandat. l’expert comptable commence à recueillir les éléments lui permettant d’apprécier les risques encourus par l’entreprise.La sécurité du système d’information : Les enjeux de l’expert comptable Figure 12: Objectifs de la sécurité du système d’information Section 2 : Prise de connaissance générale : L’auditeur doit acquérir une connaissance des structures et des activités de l’entité ainsi que de son contrôle interne y compris son système d’information. estimer le budget temps à allouer et l’équipe intervenante en envisageant. le poids relatif à cette phase par rapport à celle d’évaluation des risques et d’obtention des éléments probants pourra diminuer.

AS400..La sécurité du système d’information : Les enjeux de l’expert comptable modification majeure n’intervienne dans l’environnement de l’entreprise et dans son organisation. Pour chaque application. Sous section 2: Cartographie générale des applications: La réalisation d’une cartographie générale des applications permet de comprendre et de documenter les composantes du système d’information. Sous section 1: Description du système d’information de l’entreprise: En l’absence d’une norme traitant des étapes de l’audit de la sécurité du système d’information. et Jacqueline Thédié _ Gestion du système d'information BTS Première année : Assistant de gestion de PME-PMI _ Edition hachette _ 2009 103 . de mettre en évidence les risques potentiels liés à cette architecture. il est nécessaire de connaître les éléments suivants: 1. L’environnement technique : Unix. Identifier les processus à analyser.. Le mode de traitement (différé ou temps réel). Pour chaque application. 145 146 La norme CNCC 2-302 paragraphe 7 Eric Deschaintre. Apprécier le degré de complexité du système d’information. la norme CNCC 2-302 précise dans le paragraphe 07 . Windows. La phase de prise de connaissance passe par l’identification des principales composantes du système d’information et de son niveau de complexité. Le nom de l’éditeur ou du prestataire. L’établissement de la cartographie du système d’information nécessite l’identification des principales applications et interfaces.Identification des principales applications informatiques: L’identification des applications informatiques concerne le recensement des applications qui composent le système d’information de l’entreprise. utiles aux objectifs de l’audit. Elle permet. il est nécessaire de connaître :146 Le type (progiciel avec indication de l’éditeur/développement spécifique). 145 La description du système d’information de l’entreprise consiste à : Formaliser la cartographie des applications. le commissaire aux comptes acquiert également la connaissance de cet environnement et détermine si celui-ci peut influencer l’évaluation du risque inhérent et l’évaluation du risque lié au contrôle ». La date de mise en place. Christian Draux.. en outre.que « Dans un environnement informatique utilisant des systèmes importants et complexes.

Les principales fonctionnalités. La nature des flux : ventes. stocks. manuel. culture informatique) dans l’identification des risques potentiels. il est nécessaire de connaître : Le type d’interface : automatique. Pour chaque interface identifiée. l’intervention d’un expert informatique peut s’avérer nécessaire. Elle permet de visualiser de façon synthétique un système d’information complexe et sert. semi-automatique. alors que pour les systèmes d’information très complexes. de support de communication pluridisciplinaire (culture comptable. La fréquence : quotidienne. hebdomadaire.Identification des principales interfaces: L’identification des principales interfaces concerne les liens qui existent entre les différentes applications. La représentation graphique des différentes applications et des liens existant entre elles constitue la cartographie générale des applications. en outre. 104 . clients…. 2.La sécurité du système d’information : Les enjeux de l’expert comptable La date de la dernière modification. Les applications en amont / en aval. Pour les systèmes très simples de deux à trois applications. mensuelle…. Une estimation du volume traite. La nature des sorties. la cartographie pourra se limiter à la formalisation de tableaux d’inventaire établis par le commissaire aux comptes. Ces liens peuvent être automatiques. semi-automatiques ou manuels. La cartographie des applications peut être complétée avec une description de l’infrastructure technique : matériels et réseaux. Les états d’anomalies.

La sécurité du système d’information : Les enjeux de l’expert comptable Cartographie des applications Exemple d’un système d’information simple : 147 Exemple d’un système d’information complexe : 148 147 148 Congrès de l’ordre des experts comptables « L’expert comptable & l’entreprise à l’ère numérique » p 18 Congrès de l’ordre des experts comptables « L’expert comptable & l’entreprise à l’ère numérique » p 19 105 .

L’appréciation de la complexité du système d’information concerne l’ensemble des applications et s’effectue au travers de l’analyse de la cartographie en prenant en compte les critères suivants : Existence de progiciel intégré ou de nombreuses applications spécifiques. Internet…. Cette étude peut être complétée par un entretien avec le responsable informatique pour couvrir les points suivants : Existence ou non d’une documentation. Nombre d’interfaces. Technologie utilisée : système central.La sécurité du système d’information : Les enjeux de l’expert comptable Cartographie technique:149 Sous section 3: Appréciation de la complexité du système d’information: La complexité du système d’information est un élément important à prendre en compte lors de l’établissement du plan de mission. étendue. Existence d’interfaces manuelles entre les systèmes. Paramétrage : complexité. Dépendance des traitements entre les systèmes. client serveur. La complexité du système d’information de l’entreprise va pouvoir être appréciée à partir de la cartographie réalisée précédemment et de la documentation fournie. 149 Congrès de l’ordre des experts comptables « L’expert comptable & l’entreprise à l’ère numérique » p 20 106 . paramètres standards ou définis par l’entreprise. Son appréciation permet de décider si des compétences informatiques particulières sont nécessaires pour réaliser la mission et s’il convient que le commissaire aux comptes se fasse assister par un expert.

Il conviendra donc de s’assurer que ces systèmes sont maîtrisés par le service informatique et les utilisateurs. l’expert pourra éventuellement apporter une assurance complémentaire sur : La fiabilité des informations gérées au travers du système d’information. Dans le cas d’un système très complexe faisant appel aux nouvelles technologies. Dépendance des traitements entre les systèmes. Figure 13: Appréciation de la complexité du système d’information150 Les risques potentiels liés aux systèmes fortement intégrés sont à nuancer avec les connaissances que le commissaire aux comptes aura acquises sur l’organisation informatique et les compétences du personnel informatique. 150 Prise en compte de l’environnement informatique et incidence sur la démarche d’audit. l’intégrité des informations est fortement soumise notamment aux corrects paramétrage. L’analyse de la complexité du système d’information dans le plan de mission conduit à déterminer des situations où le risque sur la fiabilité du système d’information sera plus ou moins important. bien qu’une telle architecture minimise les risques compte tenu de l’utilisation de bases de données homogènes et d’interfaces inter-modules. En effet. Par la suite. le commissaire aux comptes pourra faire appel à un expert afin d’identifier les zones de risques majeures. CNCC 107 . Le respect des procédures de contrôle interne sur les flux opérationnels. avant de considérer que les résultats des traitements sont fiables.La sécurité du système d’information : Les enjeux de l’expert comptable Degré de mise à jour de la documentation en fonction des évolutions du système d’information. La prise en compte des éléments ci-dessus permet d’apprécier la complexité du système d’information.

Exemples : processus de gestion des ventes. l’incidence de l’environnement informatique sur le risque inhérent et le risque lié au contrôle ne peut être appréciée sans prendre en compte la notion de flux d’information ou processus. lorsqu’une même application intervient dans plusieurs processus. mais uniquement à ceux contribuant directement ou indirectement à la production des comptes. à la production ou au traitement d’informations. semiautomatiques. Selon l’importance du rôle joué par les applications et les interfaces dans chaque processus. le commissaire aux comptes sélectionne le ou les processus à analyser dans le cadre de son évaluation des risques. il est nécessaire de déterminer les applications qui participent aux traitements des données. Ainsi. Les processus étudiés sont dans la majorité des cas. Le commissaire aux comptes ne s’intéresse pas à l’ensemble des processus existant au sein de l’entreprise. on peut conclure que les processus 1 et 2 devront faire l’objet d’une analyse approfondie afin de pouvoir réduire le risque d’audit à un niveau faible acceptable. processus d’inventaire permanent. stocks. Pour chacun des processus concourant directement ou indirectement à la production des comptes. etc. Cette détermination s’effectue à partir de la cartographie réalisée précédemment. Un processus peut être défini comme « un enchaînement de tâches. processus d’établissement des comptes. manuelles. règlements. paie. 108 .». les suivants : achats. concourant à l’élaboration. Le résultat peut être formalisé sous forme du tableau suivant : Si l’application 5 présente par exemple des risques potentiels importants compte tenu de son obsolescence. En effet. du nombre de fonctionnalités et de l’importance des données gérées. de produits ou de services. l’étude d’une application peut nécessiter l’analyse de plusieurs processus. automatiques.La sécurité du système d’information : Les enjeux de l’expert comptable Sous section 4: Identification des processus à analyser : L’évaluation des risques n’est pas seulement influencée par les seules applications informatiques. processus de gestion des impayés. processus de fabrication. Seules les applications et leurs inter-relations qui interviennent dans ces processus méritent de faire l’objet d’une étude dans le cadre de la démarche d’audit. ventes.

151 ISA 300 « Planification d'une mission d'audit d’états financiers » §6 109 . l'auditeur prend en compte le calendrier de certaines phases de la planification et les procédures d'audit qui nécessitent d'être réalisées et complétées avant la mise en œuvre d'autres procédures d'audit. Evaluer le respect des règles d'éthique. un processus continu et itératif qui commence souvent avec. au contraire. au commencement d'une mission d'audit: 151 Mettre en œuvre des procédures concernant le maintien de la relation client et de la mission d'audit individuelle. enfin. Sous section 1: Travaux préliminaires à la planification de la mission: L'auditeur doit. mais. le cas échéant. Cependant. y compris celles relatives à l’indépendance . l'achèvement de l'audit précédent ou peu de temps après et se poursuit tout au long de la mission jusqu'à l'achèvement de la mission d'audit en cours. la coordination des travaux avec les auditeurs des composants ou les experts. lors de la planification d'un audit. Planifier un audit implique d’établir un plan de mission décrivant la stratégie générale d’audit adoptée pour la mission et de développer un programme de travail dans le but de réduire le risque d'audit à un niveau faible acceptable. ainsi que des changements de situations qui peuvent intervenir au cours de la mission d'audit. facilite. de l'expérience passée de l'auditeur dans l'entité. La nature et l'étendue du processus de planification variera en fonction de la taille et de la complexité de l'entité.La sécurité du système d’information : Les enjeux de l’expert comptable Section 3: Planification de la mission: L'auditeur doit planifier l'audit de la sécurité du système d’information afin que la mission soit réalisée de manière efficace. La planification n'est pas une phase isolée d'un audit. Une planification adéquate permet de s'assurer qu'une attention particulière est portée aux aspects essentiels de l'audit. facilite la direction et la supervision de ceux-ci ainsi que la revue de leurs travaux et. Une planification adéquate permet également l'attribution des travaux aux membres de l'équipe affectée à la mission. que les problèmes potentiels sont identifiés et résolus en temps voulu et que la mission d'audit est correctement organisée et administrée afin qu'elle soit menée d'une manière efficace et efficiente. La planification nécessite la participation de l'associé responsable de la mission et des autres membres clés de l'équipe affectée à la mission afin de bénéficier de leur expérience et de leur apport personnel et de rendre le processus de planification plus efficace et plus efficient. S'assurer qu'il a connaissance des termes de la mission.

La documentation du programme de travail sert également à garder la trace de la planification et de la réalisation des procédures d'audit qui peuvent être revues et approuvées avant la mise en œuvre de procédures d'audit additionnelles. l'auditeur est alors en mesure de développer un programme de travail plus détaillé répondant aux différentes questions identifiées lors de l'établissement du plan de mission. L'objectif poursuivi en procédant à ces tâches préliminaires est d'aider l'auditeur à s'assurer qu'il a pris en considération tous évènements ou circonstances qui peuvent affecter négativement la possibilité de planifier et de réaliser la mission d'audit en ayant réduit le risque d'audit à un niveau faible acceptable. reste permanente tout au long du déroulement de la mission. y compris les règles d'indépendance. En procédant ainsi.153 Sous section 3: Le programme de travail : Le programme de travail est plus détaillé que le plan de mission et définit la nature.154 Le programme de travail comporte: Une description de la nature. 152 Lorsque le plan de mission a été arrêté. N'y a pas de problèmes relatifs à l'intégrité de la direction qui peuvent affecter son souhait de poursuivre la mission . qui fixe l'étendue. l’expert comptable en planifiant la mission d’audit s'assure qu’il: Conserve son indépendance et les capacités nécessaires pour mener la mission . prenant en compte le besoin d'atteindre les objectifs de l'audit en utilisant de façon efficiente les ressources de l'auditeur. Sous section 2: Le plan de mission : L'auditeur doit établir un plan de mission décrivant la stratégie globale adoptée pour la mission.La sécurité du système d’information : Les enjeux de l’expert comptable La prise en considération par l'auditeur du maintien de la relation client et des règles d'éthique. N'y a pas de malentendus avec le client quant aux termes de la mission. le calendrier et la démarche d’audit. le calendrier et l'étendue des procédures d'audit à mettre en œuvre par les membres de l'équipe affectée à la mission afin de recueillir des éléments probants suffisants et appropriés pour réduire le risque d'audit à un niveau faible acceptable. du calendrier et de l'étendue des procédures 152 153 ISA 300 « Planification d'une mission d'audit d’états financiers » § 9 et § 10 ISA 300 « Planification d'une mission d'audit d’états financiers » §11 154 ISA 300 « Planification d'une mission d'audit d’états financiers » §14 110 . et donne des lignes directrices pour la préparation d'un programme de travail plus détaillé.

supervision et revue : L'auditeur planifie la nature.La sécurité du système d’information : Les enjeux de l’expert comptable Une description de la nature. le calendrier et l'étendue des procédures d'audit complémentaires. et les aptitudes et la compétence du personnel affectés à la mission.155 Sous section 5: Direction. A la suite de faits inattendus. la nature. varient en fonction de multiples facteurs. l'auditeur peut juger nécessaire de modifier le plan de mission et le programme de travail et. Sous section 4: Modifications au cours du déroulement de l'audit des décisions prises lors de sa planification : Le plan de mission et le programme de travail doivent être mis à jour et modifiés autant de fois qu'il est nécessaire durant le déroulement de l'audit. par voie de conséquence. le calendrier. La nature. la supervision des membres de l'équipe affectée à la mission et la revue de leurs travaux. du calendrier et de l'étendue des procédures d'audit complémentaires. le risque d'anomalies significatives. l'étendue des instructions à donner. le calendrier. La planification de ces procédures d'audit a lieu tout au long de la mission d'audit au fur et à mesure que le programme de travail est mis en œuvre. et Toute autre procédure d'audit qu'il est nécessaire de réaliser devant la mission pour se conformer aux normes d’audit de la sécurité du système d’information. Sous section 7: Communications aux personnes constituant le gouvernement d'entreprise et la direction: L'auditeur peut s'entretenir des questions relatives à la planification avec les personnes constituant le gouvernement d'entreprise et avec la direction de l'entité. le domaine sur lequel porte l’audit. et la supervision des membres de l'équipe affectée à la mission et la revue de leurs travaux. 156 Sous section 6: Documentation : L'auditeur doit documenter dans ses dossiers de travail la stratégie générale d’audit et le programme de travail. La planification d'un audit est un processus continu et itératif tout au long de la mission. y compris des modifications importantes apportées au cours du déroulement de la mission. Ces entretiens peuvent faire partie de la communication d'ensemble prévue à ces personnes ou peuvent avoir lieu 155 156 ISA 300 « Planification d'une mission d'audit d’états financiers » §14 ISA 300 « Planification d'une mission d'audit d’états financiers » §19 et 20 111 . l'étendue des instructions à donner. comprenant la taille et la complexité de l'entité. ou des éléments probants recueillis lors de la réalisation des procédures d'audit. de changements dans les conditions.

Il a pour but de mettre la mission d’audit dans son contexte. La langue de travail et de rapport de l’audit lorsque ce n’est pas celle de l’auditeur et / ou de l’audité. Les entretiens avec les personnes constituant le gouvernement d'entreprise portent sur le plan de mission et le calendrier du déroulement de l'audit. Les rubriques du rapport d’audit.157 Il convient que le plan d’audit couvre les éléments suivants: Les objectifs d’audit.). de définir les étapes à suivre pour le lancement de la mission de l’audit ainsi que toutes les préparations à faire avant la réunion ouverture qui constitue le démarrage officiel de l’audit après les lignes directrices de la norme ISO 19011 « lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental ». le plan d’audit couvre également les éléments suivants : L’identification du représentant de l’audité pour l’audit. l’horaire et la durée prévus des activités d’audit sur site. Les dates et les lieux où seront menées les activités d’audit sur site. etc. y compris l’identification des unités organisationnelles et fonctionnelles et des processus à auditer. Les rôles et responsabilités des membres de l’équipe d’audit et des accompagnateurs. Section 4 : Mise en plan du plan de mission : Sous section 1 : Phase 0 Planification et mise de place du plan de mission : Cette section décrit les différents préparatifs avant de commencer réellement l’audit. La mise à disposition des ressources appropriées pour les domaines critiques se l’audit Si nécessaire. Les critères d’audit et tous documents de référence.La sécurité du système d’information : Les enjeux de l’expert comptable pour améliorer l'efficacité et l'efficience de l'audit. sur les limitations de son étendue. ou sur toute autre question additionnelle. disposition sur site. la planification et la réalisation de la mission d’audit passent par les étapes suivantes : 157 ISA 300 « Planification d'une mission d'audit d’états financiers » § 27 112 . y compris les réunions avec la direction de l’audité et les réunions de l’équipe d’audit. La logistique (déplacements. Les activités de suivi d’audit. Le champ de l’audit.

l’expert comptable est appelé à auditer l’audit de la sécurité du système d’information. Ainsi l’audit aura pour objectif de : Déterminer le degré de conformité du S.Objectifs de la mission :159 Partant du principe que la sécurité est d’abord une question d’organisation.Définition du contexte: Dans le cadre de sa mission de commissariat aux comptes et plus précisément lors de la vérification de la fiabilité du système de contrôle interne dans le cadre d’une mission convenue. Analyser les risques capitaux encourus par le système d’information de l’entité auditée 158 159 Mémento audit ISO 27001 : auditer la sécurité du système d'information d’Alexandre Fernandez-Toro (Broché . l’audit de sécurité du système d’informations devra approfondir cette approche et relever toutes les failles concernant les aspects physiques (sécurité de l’environnement) et organisationnels (procédure d’exploitation. suivi et pilotage interne).19 juin 2009) Voir modèle lettre de mission annexe 113 . Cibler tous les aspects touchant à la sécurité des systèmes d'information et des réseaux de communication. les structures administratives dédiées à la sécurité.I de l’audité par rapport aux normes internationales de sécurité. informationnels (logiciels et équipements spécifiques à la sécurité) et de communications (sécurité des échanges sur le réseau interne et externe). 2.La sécurité du système d’information : Les enjeux de l’expert comptable Figure 14: Planification et mise de place du plan de mission158 1.

de réaction face à des sinistres ou des incidents. Sensibiliser les utilisateurs.Périmètre de la mission: La mission d’audit de la sécurité du système d’information portera notamment sur les aspects suivants : Politique de sécurité Organisation de la sécurité Classification et contrôle des actifs Sécurité des ressources humaines Sécurité physique et sécurité de l’environnement Exploitation et réseaux Contrôle d’accès Développement et maintenance des systèmes Gestion des incidents de sécurité Le plan de secours ou de continuité de service Conformité légale 6. de la hiérarchie aux subordonnés. Valider les processus d’alerte. 3. 5. Indiquer toutes les failles de sécurité et proposer une solution de sécurité tout en indiquant les actions et les mesures à entreprendre en vue d'assurer la sécurisation du système.La sécurité du système d’information : Les enjeux de l’expert comptable Couvrir les aspects de contrôle d'accès à l'information et aux réseaux.Détermination de la faisabilité de l’audit: La faisabilité de l’audit est déterminée en tenant compte de plusieurs facteurs dont : L’existence des informations suffisantes et appropriées pour pouvoir planifier l’audit La possibilité d’une coopération adéquate de la part de l’audité. 4. Permettre de s'assurer de la fiabilité des mécanismes d'authentification des usagers. La disponibilité des ressources nécessaires et l’adéquation du temps imparti. aux risques encourus.Etablissement du premier contact avec l’audité Il faut établir les circuits de communication avec les représentants de l’audité.Revue des documents Avant de débuter l’audit il faut revoir la documentation constitués des procédures suivant : Maitrise des données informatique Administration des bases de données et des applications 114 . demander l’accès aux documents pertinents et collaborer avec la direction afin de réaliser la mission d’audit dans les bonnes conditions.

Elaboration du calendrier de la mission Activités Audit organisationnel et physique Analyse des risques Reconnaissance du réseau Sondage des systèmes Sondage du réseau Audit des applications Audit des vulnérabilités Audit de l’architecture de sécurité existante Durée Audit niveau 1 Audit organisationnel et physique Audit niveau 2 Audit Technique Figure 15: Calendrier de la mission d’audit de sécurité informatique Clôture de l’audit : Suite au bon déroulement de la mission d’audit de la sécurité du système d’information.). les réseaux : matériels (routeurs. L'exploitation et l'administration: sauvegarde et archivage des données. continuité d’activité. 115 . contrôle des accès. sauvegarde et archivage des documents... les systèmes (postes de travail. modems. procédures de tests et de maintenance.... contrôle des accès logiques. La sécurité physique des locaux: lutte anti-incendie.. logiciels de base. Ce rapport comprend:160 L’analyse des différents résultats obtenus suite à l’utilisation des outils de scan....La sécurité du système d’information : Les enjeux de l’expert comptable Manuel de management de la qualité 7. personnel.. Sous section 2 : Phase 1 Audit organisationnel et physique : En se basant sur une batterie de questionnaires inspirés de la norme ISO 27002 161 adressés aux responsables et les interlocuteurs au niveau de la société. solution antivirale.. procédures. journalisation... Les recommandations formulées pour augmenter le niveau de sécurité du site audité... serveurs. L’analyse des failles détectées sur les équipements réseau disponibles. l'audit niveau 1 couvre les activités suivantes : L'organisation générale de la sécurité : réglementations.) 160 161 Voir modèle rapport en annexe Voir annexe Questionnaire ISO 27002 « Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour la gestion de la sécurité de l’information ». un rapport complet doit être fourni.) et les applications (méthodes de développement....

les réponses seront introduites à un logiciel d'évaluation accompagnée des coefficients de pondération par question.Objectif : L’analyse des risques opte à réduire les risques liés aux accidents. 1. nous devons à présent concentrer nos efforts sur l’exécution de l’analyse de risque. 2. établi en respectant la norme ISO27002. aux erreurs et aux malveillances dans les domaines de la confidentialité. Le QSSI renferme toutes les questions de la norme ISO 27002. planifiée ou elle est ni implémentée ni planifiée. par des moyens de sécurité cohérents entre eux et en adéquation avec le couple en jeux-moyens. Formuler un ensemble de recommandations organisationnelles et techniques qui constitue un plan d'action a suivre par la société pour réduire les risques identifies précédemment. Chaque question se présente avec un coefficient de pondération qui dépend de son niveau d'importance en matière de réduction du risque. 2. Quatre niveaux de réponse existent. Déterminer l'ensemble des risques et des menaces pouvant porter préjudice à la pérennité du fonctionnement du système d'information et les analysés minutieusement. soit que l’action est entièrement mise en œuvre. Cette analyse nous permet de relever les insuffisances au niveau organisationnel et physique du système d’information.Méthodologies d’analyse de risques: 116 .La sécurité du système d’information : Les enjeux de l’expert comptable Suivant cette méthode (la norme ISO 27002) choisie. nous allons : Déterminer le niveau de maturité atteint par le système d’information de la société en matière de sécurité. Le traitement consiste à calculer une moyenne pondérée des notes obtenues par principe en fonction des réponses choisies et du coefficient d'efficacité y afférent. Sous section 3 : Phase 2 Analyse des risques : Après avoir effectué les différentes étapes de l’audit organisationnel et physique. 1. soit elle est partiellement mise en œuvre. de l'intégrité et de la disponibilité.Questionnaire sécurité système d’information (QSSI): Cette évaluation est effectuée moyennant un Questionnaire de Sécurité du Système d'Information (QSSI). qui représente une importante étape dans le processus de l’audit de la sécurité du système d’information.Analyse des résultats observés: Après la validation du QSSI auprès de l'équipe de suivi de la mission de la société auditée.

Préparer les recommandations.La sécurité du système d’information : Les enjeux de l’expert comptable De nombreuses méthodes d’analyse de risque ont été développées. si cela est prévu dans le plan d’audit. on commencera dans cette partie l’audit technique qui s’attache à identifier les vulnérabilités techniques présentes sur les systèmes d’information critiques du périmètre audité. Ils peuvent alors signaler une opportunité d’amélioration. EBIOS. Sous section 2: Préparation des conclusions d’audit: Avant la réunion de clôture. il convient que les membres de l’équipe d’audit se concertent pour : Procéder à une revue des constats d’audit et de toute autre information appropriée recueillie pendant l’audit en relation avec les objectifs d’audit. Il est préférable aussi d’enregistrer les points non résolus. Il comprend des analyses et des études de performance pour une sécurisation optimale du périmètre audité. Il en est de même pour les non-conformités et les preuves associées d’audit. si cela est précisé dans les objectifs de l’audit. ou les processus qui ont été audités. Les phases de l’audit techniques sont : -Phase 1 : Audit de l’architecture du système -Phase 2 : Audit de la résistance du système -Phase 3 : Audit de l’architecture de sécurité existante -Phase 4 : Audit de l’opacité du réseau depuis l’extérieur Section 5 : Elaboration du rapport et des recommandations : Sous section 1: Elaboration des constats d’audit: Les preuves d’audit sont à évaluer par rapport aux critères d’audit pour élaborer les constats d’audit. Les constats d’audit individuels de conformité et les preuves associées doivent être enregistrés si cela est prévu dans le plan d’audit. soit une conformité. COBIT. Les membres de l’équipe d’audit se réunissent en cas de besoin pour procéder à une revue des constats d’audit. 117 . Les points de conformité sont identifiés par rapport aux critères d’audit en résumant les lieux. MEHARI. Se mettre d’accord sur les conclusions d’audit en tenant compte de l’incertitude inhérente au processus de l’audit. et Discuter des modalités du suivi d’audit. certaines sont très orientées dans les grandes entreprises : Marion. Les constats d’audit peuvent indiquer. les fonctions. soit une non-conformité aux critères d’audit. … Sous section 4 : Phase 3 Audit technique : Après avoir réalisé l’audit niveau 1 (organisationnel et physique) et l’audit niveau 2 (analyse des risques).

L’identification du commanditaire de l’audit L’identification des membres de l’équipe d’audit et de son responsable Les dates et les lieux où les activités d’audit sur site ont été réalisées Les critères d’audit. précis.Préparation du rapport d’audit: La préparation du rapport d’audit est confiée au responsable de l’équipe de l’audit. notamment l’identification des unités organisationnelles ou fonctionnelles ou des processus audités et le laps de temps couvert. si cela est convenu Une déclaration relative à la confidentialité du contenu La liste de diffusion du rapport d’audit. Un résumé du processus d’audit. si cela est précisé dans les objectifs d’audit. Les plans d’action de suivi d’audit. concis et clair de l’audit et comprendre ou y faire référence les éléments suivants : Les objectifs d’audit.Conduite de la réunion de clôture: La réunion de clôture est composée de : Responsable de l’équipe de l’audit (président de la réunion) : il présente les constats et les conclusions d’audit Membres de l’équipe d’audit : ils appuient leurs responsables L’audité : étudie les conclusions d’audit et arrête un plan d’action Commanditaire et d’autres parties invitées 2. Les conclusions d’audit Si applicable. il est préférable que le rapport d’audit comprenne ou y fasse référence aux éléments suivants : Le plan d’audit. La liste des représentants de l’audité. Ce rapport doit fournir un enregistrement complet. Le champ d’audit. y compris l’incertitude et/ou les obstacles rencontrés susceptibles d’altérer la confiance qui peut être accordée aux conclusions d’audit La confirmation que les objectifs d’audit ont été atteints dans le cadre du champ de l’audit et conformément au plan d’audit Les domaines non couverts bien que compris dans le champ d’audit Les opinions divergentes non résolues entre l’équipe d’audit et l’audité Les recommandations pour l’amélioration. Les constats d’audit.La sécurité du système d’information : Les enjeux de l’expert comptable 1. 118 .

isaca.Approbation et diffusion du rapport d’audit: L’auditeur doit émettre son rapport d’audit dans les délais prévus. il est recommandé de veiller à préserver l’indépendance lors d’activités d’audit ultérieures. Le cas échéant. soumis à une revue et approuvé comme défini dans le programme d’audit.La sécurité du système d’information : Les enjeux de l’expert comptable 3. il doit s’abstenir de conclure que les contrôles internes sont efficaces. Sous section 3: Exigences de l’ISACA sur les rapports:162 La forme et le contenu du rapport varient généralement selon le type de service ou de mission. L’auditeur des SI doit présenter aux dirigeants concernés une version préliminaire de son rapport et discuter avec eux de son contenu avant la finalisation et la diffusion. Cette vérification peut être incluse dans un audit ultérieur. Une fois validé. le motif du retard et une nouvelle date d’émission doivent être communiqués au commanditaire de l’audit.Suivi de l’audit: La réalisation du plan d’action issu du rapport d’audit est du ressort de l’audité. Faute de quoi. Dans ce cas. le rapport final doit faire référence à l’ensemble de ces rapports. Le rapport de l’auditeur des systèmes d’information doit décrire les éléments ne jouissant pas de la pertinence requise et leurs effets sur l’application des critères de contrôle. le rapport d’audit doit être diffusé aux destinataires désignés par le commanditaire de l’audit. Les objectifs du programme d’audit peuvent spécifier que le suivi soit réalisé par les membres de l’équipe d’audit dont l’expertise apporte une valeur ajoutée. 162 ISACA norme d’audit des systèmes d’information rapport documents n°7 www. Ce rapport d’audit doit être daté. 4.org 119 . il doit en faire part au comité d’audit ou aux autorités responsables et signaler dans le rapport que lesdites déficiences importantes ont été décelées. Il convient de vérifier l’achèvement et l’efficacité des actions correctives. Lorsque l’auditeur des SI établit des rapports distincts. Lorsque l’auditeur des SI remarque d’importantes déficiences dans l’environnement de contrôle. L’auditeur des systèmes d’information peut effectuer l’une des opérations suivantes : Audit Contrôle Procédures convenues Lorsque l’auditeur des SI doit formuler une opinion sur l’environnement de contrôle conformément aux termes de sa mission et que des éléments probants indiquent l’insuffisance de certaines informations. les commentaires des dirigeants doivent être inclus dans le rapport final.

La sécurité du système d’information : Les enjeux de l’expert comptable

L’auditeur des SI doit s’interroger sur l’opportunité de communiquer aux dirigeants les déficiences du contrôle interne considérées comme moins importantes. Le cas échéant, l’auditeur des SI doit signaler au comité d’audit ou à l’autorité responsable que lesdites déficiences du contrôle interne ont été communiquées aux dirigeants. L’auditeur des SI doit solliciter et examiner des informations pertinentes sur les conclusions et recommandations des précédents rapports pour déterminer si les mesures appropriées ont été mises en œuvre dans les délais impartis. Conclusion: L’évolution croissante des systèmes d’information élargit de plus en plus le champ et les domaines d’intervention de l’expert comptable. Par ailleurs, la démarche présentée, tout au long de ce chapitre, peut être appliquée dans le cadre d’une mission d’audit de la sécurité du système d’information indépendante non rattachée à une mission d’audit financier ou dans le cadre d’une mission de consulting. Dans ces cas, le champ d’action est généralement plus élargi et la responsabilité et l'autorité de la mission doivent être définies de façon appropriée dans une lettre de mission ou une charte d'audit. Aussi, est-il nécessaire de rappeler que l’expert comptable est tenu de respecter les règles d’éthique d’indépendance, d’intégrité, d’objectivité, de compétence professionnelle, de confidentialité, de professionnalisme et de respect des normes techniques et professionnelles. L’expert comptable doit être indépendant de l'entité auditée en attitude et en apparence. Il doit aussi être suffisamment indépendant du domaine audité pour permettre une réalisation objective de l’audit.

120

La sécurité du système d’information : Les enjeux de l’expert comptable

Chapitre 3 : Démarche d’audit de la sécurité du système d’information basée sur ISO 27002
Introduction: L’audit de la sécurité du système d’information nous permet :163 D’identifier les défaillances d’ordre organisationnel, physique et technique dans ce système d’information. De mettre en place un plan d’action qui permettra au système d’information de la société d’atteindre un niveau de maturité acceptable et d’analyser les déviations par rapport aux normes et aux bonnes pratiques. Notre guide d’audit de la sécurité du système d’information va être en conformité avec ISO 27002 « les bonnes pratiques de sécurité ». L'approche adoptée pour conduire la mission d’audit respecte deux orientations principales : La première est une orientation organisationnelle et physique qui consiste à mesurer la maturité du système d’information et sa conformité à la norme ISO 27002. La deuxième orientation est technique; son objectif est d’identifier les principales faiblesses en conduisant des tests de vulnérabilité. Section 1: Présentation de la norme «les bonnes pratiques de sécurité» ISO 27002 : L’ISO 27002 est un guide de bonnes pratiques pour la gestion de la sécurité de l’information qui peut représenter un intérêt pour tout type d’organisation (entreprise, corps gouvernementaux…) quelque soit sa taille ou son secteur d’activité. Cette norme définit des objectifs et des recommandations en termes de sécurité de l’information et a pour ambition de répondre aux préoccupations globales de sécurisation de l’information des organisations et ce, pour l’ensemble de leurs activités. Selon l’ISO, cette norme a pour objectif de : « Donner des recommandations pour gérer la sécurité de l’information à ’intention de ceux qui sont responsables de définir, d’implémenter ou de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base commune de développement de normes de sécurité organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations interentreprises».

163

Introduction aux systèmes d’information, D. Taouri Mc.Belaid_Novembre 2008 p 70

121

La sécurité du système d’information : Les enjeux de l’expert comptable

Sous section 1: Bref Historique: Dans les années 90, des représentants de grandes entreprises comme Shell, British Telecom, Midland Bank, Marks & Spencer se sont réunis et ont défini un “code de bonnes pratiques” à partir de leurs expériences. Ce document a été publié sous forme de document public en 1993 par le British Stantard Instutute (BSI) En mars 1995, évolution de ce premier «code», la BS7799:1995 est publié sous le titre de «code of practice for information security management ». En 1997, une norme nationale complémentaire intitulée «spécifications for security management» sous la dénomination de BS7799-2:1997 En 1999 : Intégration de plusieurs améliorations à la BS 7799 ; BS 7799:1999 Adoption de la première partie de la Norme BS 7799-1 par l’ISO ; apparition en décembre 2000 : ISO/IEC 17799:V2000 Mise à jour de l’ISO/IEC 17799:2005 en Juin 2005 BS 7799-2 est passé ISO/IEC 27001:2005 en Octobre 2005 qui est le référentiel de certification L’ISO/IEC 17799:2005 est renommée ISO/IEC 27002 en 2007. Sous section 2: Schéma d’architecture: La norme ISO 27002 comporte 11 chapitres. Chaque chapitre présente un thème de sécurité dans lequel sont exposés des objectifs de contrôles et des recommandations sur les mesures de sécurité à mettre en oeuvre et les contrôles à implémenter.

122

164 ISO 27002 « Technologies de l’information – Techniques de sécurité – Code de bonne pratique pour la gestion de la sécurité de l’information » 123 . L’évaluation du niveau de sécurité s’établit à partir des entretiens avec les personnes interviewées et de l’analyse des ressources critiques et des documents fournis.La sécurité du système d’information : Les enjeux de l’expert comptable Le schéma ci-après représente les 11 thèmes d’ISO 27002 et permet de voir si ces thèmes traitent de la sécurité de l’information au niveau organisationnel ou opérationnel: Figure 16:Structure de la norme ISO 27002164 L’ISO 27002 couvre 11 thèmes de sécurité de l’information : 1. La gestion des actifs (biens) 4. L’acquisition. l’auditeur définit le périmètre de l’audit et les personnes interviewées et planifié ses interventions. l’expert comptable peut se référer à la norme ISO 27002 « les bonnes pratiques de sécurité ». La sécurité liée aux ressources humaines 5. La sécurité physique et environnementale 6. La gestion de la communication et de l’exploitation 7. La politique de sécurité 2. La conformité Section 2: Audit organisationnel et physique: Au cours des réunions effectués au sein de l’organisme audité. Les contrôles d’accès 8. L’organisation de la sécurité de l’information 3. Pour mener à bien cette phase. La gestion du plan de continuité des affaires 11. le développement et la maintenance des systèmes d’information 9. La gestion des incidents de sécurité de l’information 10.

communiquées ou gérées par des tiers et des équipements qui la délivrent. Le seul objectif de contrôle cherche à démontrer l’appui de la direction en ce qui concerne la gestion de la sécurité de l’information. Réduire le risque revient soit à agir sur les vulnérabilités. Le premier concerne la création d’un document de politique de sécurité de l’information. ISO 27002 propose deux objectifs de contrôle de sécurité: Le premier objectif de contrôle de sécurité concerne l’organisation interne.Mise en place d'un SMSI et audit de certification de Alexandre Fernandez-Toro. Ceci devra être fait régulièrement. Pour cela ISO 27002 préconise deux contrôles. Sous section 2: Organisation de la sécurité de l’information: En ce qui concerne l’organisation de la sécurité de l’information. En effet. diffusées. Afin d’être parfaitement efficace. La révision régulière de la politique de sécurité assurera sa continuité et son efficacité. Il s’agit de gérer la sécurité de l’information dans l’organisation par le biais d’un cadre de gestion. Sous section 1: Politique de sécurité:165 Le premier thème abordé dans ISO 27002 est la politique de sécurité de l’information. Celui-ci permettra d’initialiser et de contrôler l’implémentation de la sécurité de l’information au sein de l’organisation. objet de l’audit. soit essayer de réduire l’impact qu’aurait l’exploitation d’une vulnérabilité par une menace conformément à la formule: Risque = Menace*Impact*Vulnérabilité L’ISO 27002 traite l’audit organisationnel et physique à partir des 11 thèmes de sécurité. 165 Management de la sécurité de l'information : Implémentation ISO 27001 . Chacun des thèmes présente des objectifs de sécurité comportant un objectif de contrôle et un ou plusieurs contrôles pouvant s’appliquer pour atteindre l’objectif de contrôle.La sécurité du système d’information : Les enjeux de l’expert comptable Les vulnérabilités identifiées seront rapprochées des menaces pouvant survenir dans le contexte technique et fonctionnel. l’introduction de produits ou services en provenance de tiers ne doit pas avoir d’impact sur la sécurité de l’information. ce document sera publié et communiqué aux employés et tiers qui y trouveraient un intérêt. Celui-ci représente un moyen privilégié pour la direction d’établir son appui et de présenter l’approche de l’organisation en termes de sécurité de l’information. que ce soit à des intervalles planifiés ou tout simplement en cas de changements significatifs des exigences en sécurité de l’information. Le second objectif de contrôle concerne les tiers : il s’agit de maintenir la sécurité des informations qui sont accessibles. Le second contrôle concerne la révision de la politique de sécurité.3 décembre 2009) p 47 124 . et Hervé Schauer (Broché .

En ce qui concerne la classification de l’information. tous les actifs de l’organisation doivent être comptabilisés et avoir un propriétaire : celui-ci aura le devoir de maintenir les contrôles adéquats pour l’actif dont il est responsable. Pour cela. l’objectif est de s’assurer que les parties signataires au contrat (futur employé. et un accord d’acceptation des rôles et des responsabilités. La formation permettra de minimiser le risque d’un niveau inadéquat de compréhension des procédures de 166 Manager un systeme d'information . l’objectif est de vérifier et garantir que les signataires du contrat sont non seulement conscients des menaces en termes de sécurité de l’information (et donc de leurs responsabilités en la matière). qui évoque la gestion des actifs. deux documents seront produits : la description d’emploi. qui exposera les responsabilités de chacun. fraude ou de mauvaise utilisation des équipements. tiers) comprennent leurs responsabilités et qu’ils acceptent les rôles qui leurs sont assignés. mais aussi qu’ils appuient la politique de sécurité organisationnelle pendant leur mandat pour réduire le risque d’erreur humaine. mais demeurera le seul responsable de la protection des actifs. En effet. l’information doit être classée afin de mettre en relief les besoins. afin de réduire le risque de vol. priorités et degrés de protection attendus. Définir les responsabilités pour les actifs permet d’atteindre et de maintenir une protection adéquate des actifs de l’organisation.La sécurité du système d’information : Les enjeux de l’expert comptable Une évaluation des risques permettra de mettre en lumière les contrôles à mettre en place pour limiter les incidents de sécurité. Ce dernier devra être signé pour être valide. comporte deux parties : les responsabilités pour les actifs et la classification de l’information. Le développement d’un schéma de classification pourrait alors s’avérer judicieux. un par étape du cycle de vie d’un individu dans une organisation. il pourra déléguer une partie de ses tâches (notamment l’implémentation de contrôles spécifiques) s’il le juge nécessaire. celle-ci permet de s’assurer que l’information reçoit un niveau de protection approprié à ses caractéristiques : certaines peuvent exiger un niveau de protection supplémentaire en raison de leur degré de criticité ou de sensibilité. Lors du mandat de l’individu. notamment en ce qui concerne les informations nécessitant des traitements spéciaux Sous section 4: Sécurité des ressources humaines: Ce thème distingue trois objectifs de contrôle de sécurité.166 Sous section 3: Gestion des actifs: Le troisième thème. Bien entendu. Avant l’embauche.guide pratique du dsi de Claudine CHASSAGNE (Broché .1 janvier 2009) p 52 125 . A cet effet. organisation.

Le deuxième objectif de contrôle. Le changement d’emploi sera quant à lui découpé en deux étapes : la fin d’un mandat et le début d’un nouvel emploi (nouvelles fonctions). vise à implémenter et maintenir un niveau de sécurité de l’information et de prestation de service conforme aux accords de prestation passés avec les tiers. Sous section 6: Gestion de la communication et de l’exploitation: Ce point. les dommages. les dommages et les intrusions dans les bâtiments et informations de l’organisation. et Patrick Gillet (Broché . 167 Sous section 5: Sécurité physique ou environnementale: Deux points sont à prendre en compte lorsque l’on parle de sécurité physique et environnementale : les zones sécurisées et la sécurité des équipements. 167 SIRH : Système d'information des ressources humaines de Michelle Gillet. A cet effet. et les interruptions des activités de l’organisation. Les zones sécurisées ont pour but de prévenir les accès physiques non autorisés. L’objectif de contrôle relatif à la sécurité des équipements cherche à prévenir les pertes. le but est de s’assurer que les signataires concernés quittent l’organisation ou changent d’emploi de manière organisée. barrières de sécurité et codes d’accès. Elles hébergeront les équipements qui délivrent ou stockent des données sensibles ou critiques et seront renforcées par des périmètres de sécurité. comporte 10 objectifs de contrôles de sécurité:168 Le premier évoque l’implémentation de procédures d’exploitation et de définition des responsabilités pour assurer le fonctionnement correct et sécurisé des équipements délivrant et stockant l’information. relatif aux prestations de services en provenance de tiers. un processus disciplinaire formel de gestion des failles de sécurité pourra être établi. les vols ou les compromissions d’actifs. En cas de départ de l’organisation. Il conseille le développement de procédures de fonctionnement appropriées aux caractéristiques des équipements.La sécurité du système d’information : Les enjeux de l’expert comptable sécurité ou de mauvaise utilisation des équipements.21 avril 2010) p 45 168 Norme ISO 27002 « Technologie de l’information_ Techniques de sécurité_ Code de bonne pratique pour la gestion de la sécurité de l’information » 126 . on vérifie que tout l’équipement est retourné et que les droits d’accès ont été effacés. Ici on cherche à protéger physiquement les équipements selon les risques identifiés. dense. La protection de l’équipement face aux menaces physiques et environnementales peut nécessiter des contrôles spéciaux (équipements de fourniture d’électricité…) et devra prendre en compte leur disposition et leur localisation pour être efficace. A la fin du contrat ou en cas de changement d’emploi.

bombes logiques…). Le septième objectif de contrôle. destruction ou déplacement d’actif mais aussi les interruptions des activités de l’organisation. objet du neuvième objectif. la planification du système. les contrôles d’accès à l’information devront non seulement être conformes aux exigences d’affaires. Le contrôle des services de commerce électronique (transactions en ligne…). le contrôle des échanges d’informations garantit le maintien de la sécurité de l’information et des logiciels échangés entre l’organisation et toute entité externe grâce à la création d’une politique d’échange formelle et d’accords d’échange. l’organisation pourra établir un programme d’information des dangers de ces codes sur la sécurité et introduire des contrôles. mais aussi aux politiques et autorisations de divulgation de l’information. Huitième objectif. assure la sécurité des services de commerce en ligne et leur utilisation sécurisée. a pour but de minimiser les risques de pannes du système d’information. A cet effet. relatif à l’utilisation d’accessoires informatiques. chevaux de Troie. l’objectif d’encadrement est de détecter les activités de livraison d’information qui ne seraient pas autorisées en enregistrant les erreurs d’identification. Le quatrième objectif de contrôle est de protéger l’intégrité des logiciels et des informations contre les codes mobiles et malveillants (virus informatiques. vise à prévenir toute modification. garantit la protection de l’information contenue dans le réseau et celle de l’infrastructure de support. ISO 27002 préconise de réaliser des projections afin d’assurer la disponibilité des ressources et des capacités mais aussi d’éviter une surcharge du système.La sécurité du système d’information : Les enjeux de l’expert comptable Le troisième objectif. Pour cela. pour prévenir tout risque. En effet. Sous section 7: Contrôles d’accès: Ce thème présente les sept objectifs de contrôle qui permettent de prévenir tout accès non autorisé: Le premier objectif sert à prendre en compte les exigences d’affaires dans le contrôle d’accès à l’information. Le cinquième point de sécurité concerne les sauvegardes : elles ont pour objectif de maintenir la disponibilité et l’intégrité des informations et des équipements délivrant l’information grâce à la création de politiques de routine. Enfin. Le sixième objectif à savoir. 127 . la gestion de la sécurité du réseau. Il préconise l’utilisation de protections physiques et incite à l’implémentation de contrôles.

La sécurité du système d’information : Les enjeux de l’expert comptable Ensuite il faut gérer les accès aux utilisateurs grâce à des procédures d’allocation des droits d’accès aux systèmes d’information et aux services. aux contrôles d’accès aux systèmes d’exploitation et aux contrôles d’accès à l’information et aux applications. En effet. ISO 27002 définit un objectif de contrôle relatif aux exigences de sécurité pour les systèmes d’information pour assurer que la sécurité de l’information fait partie intégrante du système d’information. Médéric Morel. développement et maintenance des systèmes d’information: Dans un premier temps. les équipements de sécurité contrôleront les accès. il convient de choisir les contrôles appropriés pour valider les données entrantes et sortantes des applications. Ici la coopération entre utilisateurs est essentielle pour qu’ils soient conscients de leurs rôles et assurer ainsi le maintien d’un système de contrôle d’accès efficace. qui permet de prévenir les erreurs. Enfin. Ce type de travail spécifique fera l’objet d’une évaluation des risques à part. une mauvaise gestion de ces accès serait fortement préjudiciable à la sécurité de l’organisation. les contrôles et procédures devront être renforcés.10 mars 2010) p 58 128 . Ensuite. Il s’agit dans les 169 Le poste de travail Web : Portail d'entreprise et accès au système d'information de Arnaud Deslandes. la confidentialité et/ou l’intégrité de l’information de l’organisation. Une politique spécifique d’utilisation de ces contrôles devra être établie et l’aide d’une équipe qualifiée pour gérer les techniques de cryptographie. étant donné que les protections concerneront le site de télétravail lui-même. Pour cela. la norme développe des objectifs de contrôle à propos de la sécurité des fichiers systèmes et de la sécurité des processus de développement et de support.169 Le dernier objectif de contrôle concerne le télétravail et les équipements informatiques mobiles. L’ISO 27002 recommande quant à elle les contrôles cryptographiques afin de protéger l’authenticité. modifications non autorisées ou mauvaises utilisations de l’information contenue dans les applications. la détermination des responsabilités des utilisateurs permet de prévenir les compromissions et les vols d’informations et d’équipements délivrant l’information. J-C Grosjean. Sous section 8: Acquisition. et Guillaume Plouin (Broché . pertes. Autre objectif de contrôle. Le but est de fournir une protection supplémentaire tout en ne compromettant pas le système de contrôle d’accès déjà en place. L’ISO 27002 accorde une place particulière aux contrôles d’accès au réseau. Nous apporterons une attention spéciale à l’allocation d’accès privilégiés dans la mesure où ceux-ci permettent aux utilisateurs d’outrepasser les contrôles du système. Afin d’éviter tout risque. la norme évoque le déroulement correct des applications.

171 Sous section 11: Conformité: Ce dernier thème développe la conformité avec les exigences légales.La sécurité du système d’information : Les enjeux de l’expert comptable deux cas de maintenir la sécurité de l’information par l’implémentation de contrôles adaptés. Sous section 9: Gestion des incidents de sécurité de l’information: Pour ce thème. Ces rapports doivent être communiqués de manière à permettre des actions correctives rapides. qu’un processus d’amélioration continue soit développé et que l’organisation prenne garde aux exigences légales dans sa récolte de preuves d’incidents de sécurité de l’information. des obligations contractuelles. statutaires ou de régulation. en outre. Les échelles de procédures définissent les priorités de traitement entre les incidents. qui a pour but de réduire les risques résultant de l’exploitation des vulnérabilités techniques publiées. et Paul Théron (Broché . et des exigences de sécurité. L’objectif de contrôle cherche à contrer les interruptions d’activité et à protéger les processus d’affaires critiques des effets de catastrophes ou de failles majeures dans le système d’information. d’assurer la reprise rapide des activités de l’organisation grâce à l’implémentation d’un processus d’amélioration continue. Sous section 10: Gestion de la continuité d’affaires:170 Ce point développe les aspects de sécurité de l’information dans la gestion de continuité d’affaires. Le second concerne la gestion des incidents et des améliorations de la sécurité de l’information et garantit qu’une approche consistante et efficace est implémentée. 170 Plan de continuité d'activité et système d'information : Vers l'entreprise résiliente de Matthieu Bennasar. Il permet.4 juillet 2008) p 64 129 . Il préconise des rapports formels d’événements et la création d’échelles de procédures connues de tous. la conformité technique et la conformité avec les normes et politiques de sécurité et enfin expose des considérations sur les audits des systèmes d’information. la définition de responsabilités et la gestion des changements.24 février 2010) p 73 171 Plan de continuité d'activité : Secours du système d'information de Patrick Boulet (Broché . ISO 27002 définit deux objectifs de contrôle: Le premier est relatif aux rapports des événements et faiblesses de la sécurité de l’information. L’implémentation de contrôles et de mesures d’efficacité qui s’inscrivent dans un processus d’amélioration continue permettra de minimiser les vulnérabilités techniques auxquelles l’organisation pourrait faire face. La norme mentionne aussi la gestion des vulnérabilités techniques. Il faut notamment que les responsabilités et les procédures soient définies et mises en place. La conformité avec les exigences légales a pour but d’éviter d’aller à l’encontre des lois.

Et de recenser toutes les vulnérabilités et toutes les erreurs possibles pouvant représenter un risque. traceroute et tcptraceroute. Le deuxième type de conformité explicité dans ce chapitre assure la conformité des systèmes avec les politiques et les normes de sécurité organisationnelles. Enfin. Il utilise ensuite de multiples outils de traçage du réseau et des passerelles. les considérations sur les audits de systèmes d’information permettent de maximiser l’efficacité du processus d’audit des systèmes. de superviser et de diagnostiquer des problèmes réseaux et matériels à distance. ISO 27002 évoque la possibilité de demander l’avis de conseillers afin de mieux appréhender la loi et ses exigences.173 Sous section 1: Phase d'approche : Pour évaluer le niveau de sécurité d'un réseau.172 Section 3 : Audit technique L’audit technique suit une étude organisationnelle & physique permettant d’avoir une vue globale de l’état de sécurité du système d’information et d’identifier les risques potentiels.1 septembre 2008) p 92 173 174 Mémento audit ISO 27001 : auditer la sécurité du système d'information d’Alexandre Fernandez-Toro (Broché . 172 Systèmes d'information. Multiples outils de l'open source sont utilisés pour l'identification de la topologie réseau comme Cheops. L’objectif de l’audit technique est de vérifier que l’intégration des éléments de l’infrastructure a été réalisée avec un niveau de sécurité optimum en fonction de la politique de management de la sécurité du système d’information de l’entreprise. et Rolande Marciniak (Broché . pour être efficiente sur le long terme. De plus. elle doit être révisée régulièrement. routeurs et firewalls du réseau et des outils de traçages des frontières externes du réseau : passerelles externes (routeurs et firewalls) et connexions modems pour déterminer les périmètres extérieurs du réseau. est un protocole de communication qui permet aux administrateurs réseau de gérer les équipements du réseau.19 juin 2009) Simple Network Management Protocol (abrégé SNMP). dynamique et organisation de Frantz Rowe.La sécurité du système d’information : Les enjeux de l’expert comptable A cet effet. Elles préconisent une protection spécifique garantissant l’intégrité du processus et prévenant une mauvaise utilisation des outils d’audit. Elle nécessite un audit et doit être correctement documentée. L'audit technique s'effectue en trois phases. l'auditeur reçoit des informations inventoriées par l'équipe informatique locale afin de vérifier le plan d'adressage IP et éventuellement la stratégie de mise en œuvre de DHCP et de NAT. 130 . Il utilise également les informations disponibles à partir des éventuels services SNMP174 et des serveurs de noms locaux ou Internet. afin de détecter les stations. Pour la reconnaissance de l'architecture du système. en français « protocole simple de gestion de réseau ». il faut d'abord le connaître.

de backup. Whisker. Les tests d'intrusion sont réalisés après autorisation explicite du client et reposent sur un ensemble de scénarios d'attaques expertes (pénétration. Les tests d'intrusion commencent par une phase de collecte des informations disponibles publiquement. Sous section 3: Phase de tests intrusifs : L'objectif des tests intrusifs est d'expertiser l'architecture technique déployée et de mesurer la conformité des configurations équipements réseaux. Blaster Scan. sondes. Sara. Réalisés de manière récurrente. NIS175. et autres serveurs d'applications et de données importants puis utilise un ensemble d'outils afin de suivre leur état. l'auditeur détermine.) mis en œuvre pour compromettre un système d'information. commutateurs. 131 .pl sont d'autres exemples d'outils d'analyse de vulnérabilités des serveurs de données et d'applications. à l'aide des résultats obtenus lors de l'étape précédente. l'auditeur identifie les serveurs . Il effectue également des tests de sondage des flux réseaux pour analyser le trafic. les tests d'intrusion permettent de valider périodiquement le niveau de sécurité du système d'information et d'en mesurer les variations. identifier les protocoles et les services prédominant au niveau du réseau audité. leur activité et leur performances et inspecter les moyens de contrôle d'accès et de leur stratégie d'administration. il établit pour chacune le type des applications et des services concernés. intrusion. Nessus est un exemple d'outil de test automatique de vulnérabilités. l'auditeur teste la résistance du système face aux failles connues. Webserver. via une analyse automatisée des vulnérabilités. le taux d'utilisation ainsi que les flux inter-stations. Iptraf et Network Probe. Les outils open source utilisés sont : Ntop. les vulnérabilités potentielles et les outils nécessaires à leur exploitation. Nsat. knocker. serveurs de fichiers.. fingerprinting. karma et Tnscmd. les types d'applications associées et de leur mises à jour. Sous section 2: Phase d'analyse des vulnérabilités : Au cours de cette phase. il s'agit de localiser et caractériser les composants cibles (systèmes d'exploitation et services applicatifs. Il offre des rapports évolués sur les degrés des vulnérabilités et les risques qu'imposent des failles détectées sur le système audité. l'auditeur effectue des tests de sondage réseau et système pour déterminer les services réseau. sans interagir avec l'environnement cible. firewall. les partages réseau et les mesures de sécurité mises en ouvre. de logs. etc. Puis.La sécurité du système d’information : Les enjeux de l’expert comptable Au cours de cette phase. avec la politique de sécurité définie et les règles de l'art en la matière. Les outils de scan de l'open source les plus utilisés sont Nmap. etc. Avant d'aborder la phase d'analyse des vulnérabilités des systèmes. Bing. 175 Network Information Service (NIS) nommé aussi Yellow Pages est un protocole client serveur développé par Sun permettant la centralisation d'informations sur un réseau UNIX. ainsi. En pratique.

c'est la phase de cartographie de l'environnement cible. l’auditeur propose les recommandations pour la mise en place des mesures organisationnelles et d'une politique sécuritaire adéquate.). Enfin. etc. il s'agit d'exploiter les vulnérabilités mises en évidence pendant les phases précédentes de façon a obtenir un accès " non autorisé " aux ressources. En définitive. une évaluation des risques sera établie. dans laquelle les catégories de toutes les faiblesses de l’infrastructure seront énumérées et associées à des correctifs adaptés. types de dispositifs de sécurité mis en ouvre. 132 .La sécurité du système d’information : Les enjeux de l’expert comptable positionnement des équipements les uns par rapport aux autres. Conclusion : A l’issue de cette phase. il peut également présenter une présentation de la synthèse de la mission avec pour objectif de sensibiliser sur les risques potentiels et les mesures à mettre en œuvre.

La sécurité du système d’information : Les enjeux de l’expert comptable

Chapitre 4 : L’audit de la sécurité du système d’information et les normes d’audit financier
Introduction : Il convient de rappeler dans ce chapitre la relation entre la sécurité du système d’information et les normes d’audit financier. Section 1 : La relation entre les risques de la sécurité de l’information et le risque d’audit: L’objectif de l’auditeur dans l’approche d’audit par les risques est d'obtenir l’assurance raisonnable que les états financiers ne contiennent pas d’anomalies significatives, que cellesci résultent de fraudes ou d’erreurs. Cela implique trois étapes essentielles : L’évaluation des risques d’anomalies significatives dans les états financiers ; La conception et la mise en œuvre de procédures d'audit complémentaires, qui répondent aux risques évalués et réduisent les risques d'anomalies significatives dans les états financiers à un niveau faible acceptable ; L’émission d’un rapport approprié basé sur les conclusions d’audit. La norme ISA 200 stipule que. « L’auditeur doit planifier et effectuer l’audit pour réduire le risque d’audit à un niveau faible, acceptable, répondant aux objectifs d’un audit ». Sous section 1: Le risque d’audit: Le risque d'audit contient deux éléments clés : Le risque que les états financiers contiennent des anomalies significatives (risque inhérent et risque lié au contrôle) ; Le risque que l'auditeur ne détecte pas de telles anomalies (risque de non-détection ou risque d’audit). Pour réduire le risque d'audit à un niveau faible acceptable, l'auditeur doit : Évaluer le risque d’anomalie significative ; Limiter le risque de non-détection. Ceci peut être réalisé au moyen de la mise en œuvre de procédures d’audit en réponse aux risques évalués au niveau des états financiers, des flux de transactions, des soldes de comptes, et au niveau des assertions. Sous section 2: Les composants du risque d’audit : Les composants majeurs du risque d’audit sont décrits dans le tableau ci-dessous :

133

La sécurité du système d’information : Les enjeux de l’expert comptable

Figure 17: Les composants du risque d’audit176
176

Guide pour l’utilisation des Normes Internationales d’Audit dans l’Audit des Petites et Moyennes Entreprises

134

La sécurité du système d’information : Les enjeux de l’expert comptable

Les interdépendances entre les composants des risques d’audit177

Figure 18: Les risques d’anomalies significatives178

Le terme « niveau de contrôle de l’entité» intègre de nombreux éléments de l'environnement de contrôle, de l’évaluation des risques et de suivi des composants du contrôle interne et notamment le système d’information. L’expert comptable doit acquérir la connaissance du système d’information et des processus opérationnels afférents qui ont un rapport avec l’élaboration de l’information financière, y compris en ce qui concerne :179 Les flux d’opérations dans les activités de l’entité ayant un caractère significatif pour les états financiers, Les procédures du système informatique et des systèmes manuels, par lesquelles ces opérations sont initiées, enregistrées, traitées et présentées dans les états financiers, Les enregistrements comptables y afférents, aussi bien électroniques que manuels, étayant l’information et les postes spécifiques des états financiers, pour ce qui concerne le lancement, l’enregistrement, le traitement et la présentation des opérations, La façon dont le système d’information saisit des événements, autres que des flux d’opérations, ayant un caractère significatif pour les états financiers.

177 178

Guide pour l’utilisation des Normes Internationales d’Audit dans l’audit des PME, page 30 Guide pour l’utilisation des Normes Internationales d’Audit dans l’Audit des Petites et Moyennes Entreprises 179 ISA 315 Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives

135

Cette prise de connaissance permet à l’expert comptable d’évaluer le risque inhérent afférent à la sécurité du système d’information. Ainsi. L’évaluation du risque d’audit peut être présentée comme suit : RA= RILSSI* RINLSSI *RLCSSI* RLCNSSI *RND RA: Risque d’Audit RILSSI: Risque Inhérent Lie Au Sécurité Du Système D’information RINLSSI: Risque Inhérent Non lié Au Sécurité Du Système D’information RLCSSI: Risque Lie Au Contrôle Sécurité Système D’information RLCNSSI: Risque Lie Au Contrôle RND: Risque De Non Détection L’incidence du système d’information sur le risque inhérent : La conception et l’acquisition des solutions informatiques. permet à l’auditeur de déterminer sa stratégie d’audit afin de réduire le risque d’anomalie significative. L’incidence du système d’information sur le risque lié au contrôle : Etude des processus et des applications Eviter l’effet « boite noire » La fiabilité des contrôles applicatifs mis en place permet d’alléger les contrôles sur les comptes Deux types de contrôles : Programmés Manuels Peuvent être : Préventifs ou défectifs L’évaluation du risque inhérent et du risque lié au contrôle relatif à la sécurité du système d’information. y compris les estimations comptables significatives et les informations fournies. 136 .La sécurité du système d’information : Les enjeux de l’expert comptable Le processus d’élaboration de l’information financière utilisé pour l’établissement des états financiers de l’entité. La gestion des projets informatiques. La distribution et le support informatique. une évaluation du système de contrôle interne permet à l’auditeur d’évaluer le risque lié au contrôle portant sur la sécurité du système d’information. La gestion de la sécurité.

La sécurité du système d’information : Les enjeux de l’expert comptable

Section 2: La sécurité du système d’information et l’évaluation du système de contrôle interne : L'auditeur doit acquérir une connaissance de l'entité et de son environnement, y compris de son contrôle interne, qui soit suffisante pour lui permettre d'identifier et d'évaluer le risque que les états financiers contiennent des anomalies significatives, que celles-ci résultent de fraudes ou d'erreurs, et de concevoir et de mettre en œuvre des procédures d'audit complémentaires. Le contrôle interne est un processus, conçu et mis en place par les personnes constituant le gouvernement d’entreprise, la direction et d’autres membres du personnel, pour fournir une assurance raisonnable quant à la réalisation des objectifs de l'entité en ce qui concerne la fiabilité de l’information financière, l'efficacité et l'efficience des opérations, ainsi que leur conformité avec les textes législatifs et réglementaires applicables. Il en résulte que le contrôle interne est conçu et mis en œuvre pour répondre aux risques identifiés liés à l’activité qui menacent la réalisation de l’un de ces objectifs. Sous section 1: Les composantes du contrôle interne: Selon l’ISA 315, le terme “contrôle interne” comprend cinq composantes qui sont : 1- L’environnement de contrôle ; 2- Le processus d’évaluation des risques de l’entité ; 3- Le système d’information afférent à l’information financière et à la communication, y compris les processus opérationnels qui s’y rapportent ; 4- Les activités de contrôle ; 5- Le suivi des contrôles internes.

137

La sécurité du système d’information : Les enjeux de l’expert comptable

Ces composants ont trait essentiellement aux objectifs de l’entité, relatifs à l'information financière, comme illustrée ci-dessous.

Figure 19: Les composantes du contrôle interne

180

La division du contrôle interne en cinq composants fournit aux auditeurs un cadre utile pour comprendre les différents aspects du système de contrôle interne d'une entité. Toutefois, il convient de noter que : La façon dont le système de contrôle interne est conçu et mis en oeuvre varie selon la taille de l'entité et selon sa complexité. Les petites entités ont souvent recours à des moyens peu formels et à la simplification des processus et des procédures pour réaliser leurs objectifs. Les cinq composants du contrôle interne peuvent ne pas être clairement distingués, mais leurs objectifs sous-jacents restent tous aussi valables. Des terminologies ou des cadres différents de ceux utilisés dans la norme ISA 315 peuvent être employés pour décrire les différents aspects du contrôle interne et leurs effets sur l’audit, mais les cinq éléments doivent tous être traités dans l’audit. La préoccupation primordiale de l’auditeur consisterait de savoir si, et comment, un contrôle spécifique empêche ou détecte et corrige des anomalies significatives dans les flux de transactions, les soldes de comptes et les informations fournies dans les états financiers, ainsi que dans les assertions qui s’y rapportent, plutôt que son classement dans tel ou tel composant de contrôle interne. Sous section 2: Le système d’information: La norme ISA 315 stipule que : L’auditeur doit acquérir la connaissance du système d’information et des processus opérationnels afférents qui ont un rapport avec l’élaboration de l’information financière, y compris en ce qui concerne :
180

Guide pour l’utilisation des Normes Internationales d’Audit dans l’audit des Petites et Moyennes Entreprises page 38

138

La sécurité du système d’information : Les enjeux de l’expert comptable

Les flux d’opérations dans les activités de l’entité ayant un caractère significatif pour les états financiers Les procédures du système informatique et des systèmes manuels, par lesquelles ces opérations sont initiées, enregistrées, traitées et présentées dans les états financiers. Les enregistrements comptables y afférents, aussi bien électroniques que manuels, étayant l’information et les postes spécifiques des états financiers, pour ce qui concerne le lancement, l’enregistrement, le traitement et la présentation des opérations. La façon dont le système d’information saisit des événements, autres que des flux d’opérations, ayant un caractère significatif pour les états financiers ; Le processus d’élaboration de l’information financière utilisé pour l’établissement des états financiers de l’entité, y compris les estimations comptables significatives et les informations fournies.

Le système d'information qui inclut le système comptable est constitué des procédures et méthodes d'enregistrements mises en place pour initier, enregistrer, traiter, et rendre compte des opérations réalisées par l'entité (ainsi que des événements et conditions), et d'assurer l'obligation de présenter les situations probantes en ce qui concerne les actifs, les passifs, et les capitaux propres.

139

en ce qui concerne l’initialisation. et présentées dans les états financiers de manière appropriée. ayant un caractère significatif pour les états financiers. Transférer des informations des systèmes de traitement des opérations au grand livre et au système d’information financier. incluant les estimations comptables significatives et les informations fournies. et présenter les opérations significatives et inhabituelles dans les états financiers (telles que les transactions avec des parties liées et les notes de frais) . afférentes aux événements et aux conditions qui se rapportent aux états financiers (tels que les dépréciations/amortissements des actifs et les changements d’estimations relatives aux chances de recouvrement des créances) .La sécurité du système d’information : Les enjeux de l’expert comptable Points à prendre en considération · Les flux de transactions dans les opérations de l'entité. résumées. Cet aspect peut être automatisé ou requérir des interventions manuelles. · La façon dont l'entité communique sur le rôle de l’information financière. qui doivent être communiquées par le référentiel comptable applicable. · La manière dont les opérations sont générées dans le processus d’affaires de l’entité. · La façon dont le système d'information saisit les événements et les conditions. autres que les opérations. · Le processus d’élaboration des informations financières utilisé pour préparer les états financiers de l'entité. · Les contrôles automatisés peuvent-ils être suspendus en toutes circonstances ? Et que se passe-t-il s’ils n’arrivent pas à fonctionner ? · Comment les exceptions sont-elles signalées et réglées ? · Quels sont les rapports produits régulièrement par le système d'information et comment sont-ils utilisés pour gérer l'entité ? · Quelles sont les informations fournies par la direction et par les personnes qui constituent le gouvernement d’entreprise aux parties externes telles que les autorités de régulation ? Sources d’information Traitement des informations Utilisation des informations produites Figure 20: La sécurité du système d’information et l’évaluation du système de contrôle interne 181 181 Guide pour l’utilisation des Normes Internationales d’Audit dans l’audit des Petites et Moyennes Entreprises page 43 140 . enregistrer. · Les écritures comptables (électroniques ou manuelles) étayant les informations et les postes spécifiques des états financiers. traitées. l'enregistrement. soient recueillies. Veiller à ce que les informations requises. le traitement et la présentation des opérations. autres que les flux de transactions. les responsabilités et les questions ayant un caractère significatif. · Les risques d'anomalies significatives associés aux dépassements inappropriés des contrôles relatifs aux écritures comptables. Saisir les informations. traiter. · La manière de résoudre les traitements incorrects des opérations. qui ont un caractère significatif pour les états financiers. Enregistrer et contrôler la passation des écritures comptables courantes et non courantes . enregistrées. · Les procédures utilisées pour : Initier. relatives à l’information financière.

La sécurité du système d’information : Les enjeux de l’expert comptable Un système d'information se compose de l'infrastructure physique et matérielle. Beaucoup de systèmes d'information s’appuient sur la technologie de l'information Le système d'information lié aux objectifs de l'élaboration de l’information financière qui inclut le système d'établissement des états financiers. le calcul. L'infrastructure et le logiciel n’existeront pas ou bien auront moins d’importance dans les systèmes qui sont exclusivement ou principalement manuels. la totalisation et le rapprochement. qu’ils soient réalisés par des procédures automatisées ou manuelles. Par conséquent. La présentation est liée à l’établissement des états financiers mais également d’autres informations sous un format électronique ou papier que l’entité utilise en particulier pour mesurer et revoir ses performances financières. Il en résulte que la sécurité du système d’information constitue le noyau dur pour le jugement de la fiabilité du contrôle interne. la mesure. Présentent correctement les opérations et assurent leur présentation correcte dans les états financiers. du logiciel. La qualité des informations générées par le système affecte la capacité de la direction à prendre les décisions appropriées pour gérer et contrôler les activités de l’entité et pour préparer des informations financières fiables. traiter et présenter les opérations de l’entité (aussi bien des événements que des conditions) et pour justifier des actifs. Mesurent la valeur de l’opération de façon à permettre son enregistrement dans les comptes à la valeur monétaire appropriée . enregistrer. Décrivent de façon appropriée les opérations avec suffisamment de détails pour en permettre une bonne classification . des personnels. L'enregistrement inclut l’identification et la saisie d'informations appropriées aux opérations ou aux événements. Déterminent quand les opérations ont eu lieu afin de pouvoir les enregistrer dans la période comptable appropriée . un système d'information englobe des méthodes et des enregistrements qui: Identifient et enregistrent toutes les opérations valides . des procédures et des données. 141 . des passifs et des fonds propres. la valorisation. regroupe des procédures et des documents destinés à initier. Des opérations peuvent être générées manuellement ou automatiquement par des procédures automatisées. Le traitement inclut des fonctions telles que l’édition et la validation.

les états financiers doivent être préparés sur une base différente. de pannes de matériels et d’actes délibérés. Dans le cas contraire. Des mesures préventives et correctives sont prises dans le but d’atteindre un niveau de récupération suffisant. Sous section 2: Responsabilité de l’expert comptable selon l’ISA 570 Continuité d’exploitation: La responsabilité de l'auditeur est d'apprécier le caractère approprié de l'application par la direction du principe de continuité d'exploitation dans l'établissement des états financiers. Elle établit que l'entreprise est en mesure de réaliser les opérations envisagées et d’honorer ses engagements dans un avenir prévisible. et de prendre en considération l’existence d’incertitudes significatives quant à la capacité de l'entité à poursuivre son activité pour lesquelles des informations sont à fournir dans les états financiers. De ce fait. Il en résulte que l’expert comptable doit s’assurer que la société a adopté et mis en œuvre un processus de gestion du plan de continuité de l’activité visant à réduire le plus possible l’impact sur l’organisme et à récupérer les actifs informationnels perdus notamment à la suite de catastrophes naturelles. L'auditeur apprécie le caractère approprié de l'application par la direction du principe de continuité d'exploitation même dans les cas où le référentiel comptable utilisé pour l'établissement des états financiers ne prévoit aucune obligation explicite pour la direction d'avoir à évaluer la capacité de l'entité à poursuivre son activité. l'absence d’une quelconque référence dans le rapport d'audit à une incertitude sur la continuité d'exploitation ne peut être considérée comme une garantie de la capacité de l'entité à poursuivre son activité. ni l'obligation de mettre fin à ses activités ou de réduire sensiblement leur étendue. Hypothèses sous-jacentes et conventions comptables relatives la continuité de l'exploitation : La continuité de l'exploitation suppose que l'entreprise poursuit normalement ses activités dans un avenir prévisible et qu'elle n'a ni l'intention.182 Lors de la planification de l'audit et de la mise en œuvre des procédures d'audit ainsi que de l'évaluation des résultats qui en découlent. 142 .La sécurité du système d’information : Les enjeux de l’expert comptable Section 3 : La sécurité de l’information et l’hypothèse sous jacente de la continuité d’exploitation : Sous section 1: Cadre conceptuel. L'auditeur ne peut prédire les événements ou conditions futurs qui pourraient conduire l'entité à cesser son activité. d’accidents. l'auditeur doit apprécier le caractère approprié de l'application par la direction du principe de continuité d'exploitation pour l'établissement des états financiers. Il convient d’identifier les processus métier cruciaux et d’associer les 182 Paragraphe 35 Cadre conceptuel Hypothèses sous-jacentes et conventions comptables.

des défaillances de sécurité. Il convient d’élaborer et de mettre en œuvre des plans de continuité de l’activité visant à garantir une reprise des opérations essentielles dans les meilleurs délais. le transport et les équipements.La sécurité du système d’information : Les enjeux de l’expert comptable exigences de gestion de la sécurité de l’information en matière de continuité de l’activité aux autres exigences liées à la continuité affectant des domaines tels que l’exploitation. l’utilisation et la gestion des systèmes d’information peuvent être soumis à de telles exigences. Il convient de soumettre les conséquences des sinistres. Le contrôle interne est un processus : Conçu et mis en place par les personnes constituant le gouvernement d’entreprise. tels que la fiabilité de l'information financière. réglementaires ou contractuelles et des exigences de sécurité. l’exploitation. Il convient de demander des conseils sur les exigences légales spécifiques auprès des conseillers juridiques de l’organisme ou des juristes qualifiés dans le domaine. des mesures destinées à l’identifier et à réduire les risques. l'efficacité et l'efficience des opérations. Programmé pour fournir une assurance raisonnable quant à la réalisation des objectifs de l'entité en ce qui concerne la fiabilité de l'information financière. Ainsi. statutaires. Il convient que la gestion du plan de continuité de l’activité prévoit. ainsi que la conformité avec les textes législatifs et réglementaires en vigueur. La conception. de la parte de service et de la disponibilité de service à une analyse de l’impact sur l’activité de l’organisme. Section 4: L’audit externe et le respect de la réglementation en matière de sécurité: Le contrôle interne est conçu et mis en œuvre par la direction pour répondre aux risques identifiés liés à l’activité et aux risques de fraudes qui menacent la réalisation des objectifs déclarés. le matériel. Il convient que la sécurité de l’information fasse partie intégrante du processus de continuité de l’activité dans son ensemble et des autres processus de gestion inhérents à l’organisme. l’expert comptable doit assurer le respect de la réglementation en matière de sécurité tout en vérifiant les aspects suivants :183 Sous section 1: Conformité avec les exigences légales : L’objectif est d’éviter toute violation des obligations légales. outre le processus général d’appréciation du risque. l’affectation des effectifs. Les exigences 183 ISA 315 Connaissance de l'entité et de son environnement et évaluation du risque d'anomalies significatives 143 . limite les conséquences d’incidents dommageables et garantisse l’accès aisé à l’information requise dans le cadre du processus métier. la direction et d'autres membres du personnel .

La meilleure façon de mettre en place une telle structure est de désigner un responsable.Pratiques et évolutions de Jean-François Carpentier ( 10 mai 2010) p 39 144 .Etablir un calendrier de conservation identifiant les enregistrements et leur durée de conservation. ainsi que la procédure utilisée par l’organisme pour satisfaire à ces exigences. règlementaires et contractuelles concernant l’utilisation du matériel pouvant être soumis à des droits de propriété intellectuelle et l’utilisation des logiciels propriétaires.Tenir à jour un inventaire des sources des informations clé. par 184 185 Guide pour l’utilisation des Normes Internationales d’Audit dans l’audit des Petites et Moyennes Entreprises page 41 La gouvernance du Système d'Information dans les PME . Sous section 3: Protection des enregistrements de l’organisme : Il convient de protéger les enregistrements importants de la perte. il convient de définir. 2. il convient de définir et de documenter les mesures spécifiques et les responsabilités individuelles mises en place pour répondre à ces exigences. Il convient que cette politique soit connue de toutes les personnes impliquées dans le traitement des informations relatives à la vie privée.Etablir des directives relatives à la conservation. destruction et falsification conformément aux exigences légales. règlementaires et aux exigences métier. il convient que l’organisme suive les étapes suivantes :185 1. 4.La sécurité du système d’information : Les enjeux de l’expert comptable légales diffèrent d’un pays à l’autre notamment en raison de la transmission d’informations entre les pays. la destruction et la falsification. Pour remplir les obligations de sauvegarde des enregistrements. De la même façon. La conformité avec cette politique et avec toutes les législations et réglementations relatives à la protection des données requiert un contrôle et une structure de gestion appropriés. documenter et mettre à jour explicitement toutes les exigences légales. 3. au stockage.184 Il convient de mettre en œuvre des procédures appropriées visant à garantir la conformité avec les exigences légales. règlementaires et contractuelles en vigueur. à la manipulation et à l’élimination des enregistrements et informations.Prendre des mesures appropriées destinées à protéger les enregistrements et les informations contre la perte. Sous section 2: Identification de la législation en vigueur : Pour chaque système d’information et pour l’organisme. Sous section 4: Protection des données et confidentialité des informations relatives à la vie privée: Il convient d’élaborer et de mettre en œuvre la protection des données de l’organisme et une politique de confidentialité.

Si une activité non autorisée est identifiée par le biais de la surveillance ou par d’autres moyens.Les méthodes non discrétionnaires ou discrétionnaires dont disposent les autorités nationales pour accéder aux informations chiffrées par des moyens matériels ou logiciels dans le but de préserver la confidentialité du contenu.Les restrictions en matière d’utilisation du chiffrement. il convient d’en informer le responsable concerné en vue d’envisager l’action judiciaire et/ou la sanction appropriée. autre que celui autorisé. Il convient de considérer comme inappropriée toute utilisation de ces équipements à des fins non professionnelles sans accord de la direction ou à des fins non autorisées. Il convient d’une copie de ce document soit signée par l’utilisateur et conservée de façon sécurisée par l’organisme. et de prendre en compte les éléments suivants : a.Les restrictions en matière d’importation et/ou d’exportation de matériels et de logiciels destinés à l’exécution de fonctions cryptographiques. lois et règlementations applicables.La sécurité du système d’information : Les enjeux de l’expert comptable exemple un administrateur de la sécurité des données. les contractants et les utilisateurs qu’aucun accès. Il convient de prendre les conseils d’un juriste avant de mettre en œuvre les procédures de surveillance. n’est toléré. Sous section 7: Conformité avec les politiques et normes de sécurité: Il convient que les responsables s’assurent de l’exécution correcte de l’ensemble des procédures de sécurité placées sous leur responsabilité en vue de garantir leur conformité avec 145 . il convient que cet administrateur conseille les responsables. b. Sous section 6: Règlementation relative aux mesures cryptographique : Il convient de prendre des mesures cryptographiques conformément aux accords. Sous section 5: Mesure préventive à l’égard du mauvais usage des moyens de traitement de l’information : Il convient que la direction approuve l’utilisation des moyens de traitement de l’information.Les restrictions en matière d’importation et/ou d’exportation de matériels et de logiciels intégrant des fonctions cryptographiques. Il convient d’informer les salariés d’un organisme. utilisateurs et prestataires de services sur leurs responsabilités individuelles et les procédures spécifiques qu’il convient de respecter. Les utilisateurs doivent être en possession d’une autorisation écrite. Il convient également que tous les utilisateurs soient informés du domaine d’application exact de leur accès autorisé et de la surveillance mise en place en vue de détecter toute utilisation non autorisée. c. d.

normes de sécurité applicables et toute autre exigence de sécurité. et d. Il convient de planifier et de documenter ces essais qui doivent être répétables. 186 ISO 27002 « Technologie de l’information_ Technique de sécurité_ Code de bonne pratique pour la gestion de la sécurité de l’information » 146 . Il convient que toute vérification de la conformité technique soit effectuée par des personnes compétentes. Sous section 9: Contrôles de l’audit du système d’information : Il convient que les exigences d’audit et les activités impliquant des contrôles des systèmes en exploitation soient planifiées de manière précise et qu’elles soient le résultat d’un accord afin de réduire le plus possible le risque de perturbations des processus. habilitées ou de manière encadrée. Lors d’essais d’intrusion ou d’appréciations des vulnérabilités. Sous section 8: Vérification de la conformité technique : Il convient qu’un ingénieur système expérimenté lance la vérification de la conformité technique manuellement à l’aide des outils logiciels appropriés.Réexaminent l’action corrective engagée.Déterminent et mettent en œuvre l’action corrective adéquate. l’expert comptable est appelé à s’adapter aux nouvelles missions d’audit de la sécurité du système d’information.La sécurité du système d’information : Les enjeux de l’expert comptable les politiques et normes de sécurité. Conclusion: Face aux menaces et vulnérabilités du système d’information et aux exigences règlementaires et professionnelle. Il convient que les responsables réexaminent régulièrement la conformité du traitement de l’information dont ils sont chargés avec les politiques.Déterminent les causes de la non-conformité b. il convient de procéder avec la plus grande prudence car de telles activités peuvent compromettre la sécurité du système.Evaluent la nécessité d’engager des actions pour ne pas reproduire les causes de cette nonconformité. le cas échéant et/ou à l’aide des outils automatisés générant un rapport technique en vue d’une interprétation ultérieure par un spécialiste. c.186 Si le réexamen détecte une non-conformité. il convient que les responsables : a.

Il constitue également une nécessité en raison de l’évolution du contexte des organisations. Il ne s’agit pas d’un changement de métier. mais plutôt d’une évolution des méthodes et des outils de travail. en tant que conseiller de l’entreprise. évaluation du contrôle interne des établissements de crédit y compris les aspects liés aux systèmes d’information). L’audit de la sécurité du système d’information en tant que support à l’audit financier est axé sur la fiabilité des informations financières produites par les systèmes. elle peut également être adaptée à la conduite d’une mission analogue dans le cadre de consulting. l’expert comptable est appelé d’abord à renforcer ses connaissances de gestion par des connaissances techniques se rattachant aux technologies d’information et de communication. Ainsi. 147 . L’approche d’audit relative à ces deux aspects a été développée dans la deuxième partie de ce mémoire. Il porte sur les aspects organisationnels et physiques beaucoup plus que sur l’aspect technique. chacun ayant une compréhension globale de l’entreprise. L’expert comptable. conduire un audit de la sécurité du système d’information dans le cadre d’une mission d’audit financier ou dans le cadre d’une mission spéciale. ce à quoi l’auditeur doit se préparer. peut être. Il lui incombe ensuite d’adapter sa démarche d’audit en vue de prendre en considération le rôle de l’informatique dans l’appréciation des risques de l’entreprise.La sécurité du système d’information : Les enjeux de l’expert comptable Conclusion de la deuxième partie L’audit de la sécurité du système d’information dans le cadre des missions d’audit financier devient une exigence imposée par les normes professionnelles. non plus des auditeurs financiers et des auditeurs en sécurité du système d’information. Par ailleurs. La démarche proposée dans ce mémoire est spécifique à la réalisation d’audit de la sécurité du système d’information dans le cadre d’une mission d’audit financier . Pour assurer la réussite d’une mission d’audit de la sécurité du système d’information. l’expert comptable en tant que commissaire aux comptes est appelé à effectuer des missions connexes qui impliquent la revue des systèmes d’information (examen du dossier financier. La démarche des auditeurs devra donc être adaptée pour refléter cette nouvelle réalité. En effet. est souvent appelé à assister le management dans la mise en place des procédures et des outils permettant de gérer les risques. il n’est plus possible de certifier les états financiers sans procéder à l’évaluation des systèmes d’information. A terme. dans le contexte actuel où les systèmes d’information sont prépondérants dans la majorité des processus des entreprises. n’a plus rien d’exceptionnel. mais des auditeurs tout simplement. nous parlerons.

ce qui pourrait se traduire par la suppression de certains contrôles clés dans la gestion des risques de l’entité. La dépendance des entreprises envers l’information et envers les systèmes qui la véhiculent s’accroit avec le développement des technologies . Elles sont tenues. nous assistons à une forte intégration des systèmes d’information et à leur ouverture sur les partenaires de l’entreprise. le plus souvent. cette évolution entraîne la modification des modèles de fonctionnement des entreprises. Il est évident que les systèmes d’information permettent à l’entreprise d’être performante et réactive. ce qui conduit. à une refonte totale du système d’information et une redistribution des activités et des tâches entre les différentes structures de l’organisation. Cette culture nouvelle s’est rapidement concrétisée par l’utilisation des réseaux informatiques qui permettent la transmission et la réception des informations d’une manière instantanée. Pour être compétitives dans l’environnement économique actuel. Les entreprises doivent être conscientes des risques liés aux systèmes d’information. Aujourd’hui. par une refonte des processus de l’organisation. de mettre en place les outils et les procédures de contrôle adéquats permettant d’empêcher la survenance de ces risques ou limiter leur impact. le plus souvent.La sécurité du système d’information : Les enjeux de l’expert comptable Conclusion Générale Aujourd’hui. Ceci augmente considérablement la vulnérabilité de ces systèmes et engendre de nouveaux risques. Comme tout changement. par conséquent. incite ces derniers à mieux maîtriser leurs systèmes d’information afin de gagner en performance. Le processus de changement qui est enclenché par suite de ce nouveau contexte. ces dernières ont eu pour effet d’opérer une mutation radicale des organisations et des pratiques des affaires. Il y a lieu de noter que les risques inhérents aux systèmes d’information augmentent avec l’ouverture de ces derniers aussi bien en externe avec l’Internet qu’en interne à travers les outils d’Intranet. le monde économique est caractérisé par la libéralisation et la globalisation. Ceci implique une rapidité et une efficacité dans le traitement de l’information. les systèmes d’information sont devenus des leviers stratégiques qui accompagnent les entreprises dans la phase de leur mise à niveau en leur permettant d’être plus performantes et réactives. les entreprises tunisiennes sont appelées à opérer de profondes mutations tant au niveau de leurs stratégies qu’au niveau de la mise à niveau de leurs modes de gestion. En effet. mais la mise en place de ces systèmes s’accompagne. 148 .

…etc. des référentiels existants et de l’expérience vécue dans les missions d’audit de la sécurité du système d’information réalisées au cours de mon stage. nous avons présenté dans le cadre de ce travail: Une définition du système d’information ainsi que les menaces et les vulnérabilités qui pèsent sur ce système. ouverture. la gestion des actifs (biens). sachant qu’un système d’information performant peut constituer une ressource stratégique permettant d’améliorer la compétitivité de l’entreprise sur le marché. ainsi que les caractéristiques et la normalisation internationale régissant la sécurité de ce système. les systèmes d’information. les organismes professionnels de l’audit comptable et financier ont dû réviser leurs normes et méthodologies d’audit de façon à prendre en compte les enjeux crées par ce nouveau contexte. Une démarche d’audit pragmatique pour la réalisation des missions d’audit du système d’information en tant que support à l’audit comptable et financier. l’organisation de la sécurité de l’information. Face à ce nouveau contexte. l’audit de la sécurité du système d’information couvre deux aspects : Un audit organisationnel et physique portant sur les éléments suivants: la politique de sécurité. Une définition de la sécurité du système d’information. Pour répondre aux nouvelles exigences réglementaires et aux contraintes et risques induits par les systèmes d’information (intégration. il est inconcevable de certifier les comptes sans procéder à un audit de ces systèmes. les cabinets d’expertise comptable ont procédé à une mise à niveau de leur méthodologie d’audit de façon à se conformer aux nouvelles normes professionnelles et dispositions réglementaires. Ils ont également imposé aux auditeurs d’évaluer et de tester les contrôles. sont devenus prépondérants. La démarche d’audit présentée est inspirée des bonnes pratiques de la norme ISO 27002. Dans l’environnement actuel. la 149 . et d’identifier les risques liés aux systèmes d’information d’autre part. La présentation de ces aspects a pour but de présenter l’importance du système d’information dans la société et d’exposer les menaces et vulnérabilités affectant l’information et le contrôle interne de l’entreprise d’une part. Compte tenu que la compréhension du système d’information et de son environnement constitue un préalable pour la réalisation des missions d’audit de la sécurité du système d’information. y compris ceux liés aux systèmes informatiques. En effet. Les nouvelles démarches proposées par les cabinets d’audit reposent largement sur la compréhension et l’évaluation des contrôles liés aux systèmes d’information.La sécurité du système d’information : Les enjeux de l’expert comptable Les législateurs ont émis de nouvelles dispositions visant à se prémunir contre les risques liés à l’utilisation des nouvelles technologies de l’information. automatisation des contrôles.).

Il convient de souligner également qu’il existe de nombreuses autres missions dans le domaine de l’audit et de conseil en matière des procédures de contrôle et de gestion des risques des systèmes d’information. la gestion de la communication et de l’exploitation. la sécurité du système d’information est abordée avec sérénité et professionnalisme par le commissaire aux comptes lors des principales étapes de la démarche d’audit .La sécurité du système d’information : Les enjeux de l’expert comptable sécurité liée aux ressources humaines. Ceci permet à l’expert comptable d’élargir le champ de ses missions et de se positionner en tant que conseiller et interlocuteur privilégié du management de l’entreprise. Des actions de formation dans l’audit de la sécurité du système d’information peuvent être assurées à travers des participations aux concours du CISA en profitant de l’occasion qu’offre l’ATAI par l’ouverture d’un centre d’examen en Tunisie et par la participation à des séminaires et des cycles de formation qui sont organisés essentiellement par l’AFAI. nous avons étudié et évalué les démarches que peut suivre un auditeur afin d’apprécier la pertinence et l’efficacité du système d’information. l’acquisition. 150 . les contrôles d’accès. la gestion des incidents de sécurité de l’information. la sécurité physique et environnementale. Un audit technique permettant d’avoir une vue globale de l’état de sécurité du système d’information et d’identifier les risques potentiels. Obtention des éléments probants. La mise en place d’un plan de continuité des affaires La mise en place d’un plan de reprise des affaires Pour faire face aux nouvelles contraintes et saisir les opportunités offertes par l’utilisation des nouvelles technologies de l’information. ce dernier doit accomplir les diligences suivantes: Orientation et planification de la mission. Ainsi. l’expert comptable devra investir dans l’acquisition des compétences dans ce domaine. Par ailleurs. il y a lieu de souligner que les missions dans le domaine de l’audit et la gestion des risques du système d’information sont nombreuses et variées. le développement et la maintenance des systèmes d’information. Nous avons également présenté la relation entre le risque d’audit financier et le risque d’audit de la sécurité du système d’information. Parmi ces missions nous pouvons citer : La mise en place d’une politique de sécurité du système d’information. Evaluation du risque. la gestion du plan de continuité des affaires et sa conformité. Dans le cadre de ce travail de recherche.

a mis à la charge des établissements publics l’obligation de réaliser l’audit de la sécurité de leurs systèmes d’information et exige la réalisation de cette mission par des cabinets privés en respectant les qualifications professionnelles stipulées dans le décret n°2005-1249 du 25 avril 2004 fixant les conditions et les procédures de certification des experts auditeurs dans le domaine de la sécurité informatique. réalisant actuellement des missions d’audit de la sécurité du système d’information des entreprises tunisiennes acceptent. l’ordre des experts comptables de Tunisie. est appelé à œuvrer pour la mise à jour de la loi n° 88-108 règlementant la profession d’expert comptable par l’extension du champ d’intervention des sociétés d’expertise comptable à d’autres disciplines et par l’organisation des cycles de formation périodiques dans le domaine de l’audit de la sécurité du système d’information. toutes demandes émanant de leur clientèle tendant à développer d’avantage le champ d’investigation de l’audit de la sécurité du système d’information. l’ordre des experts comptables peut jouer un rôle important auprès du Ministère de l’Enseignement Supérieur pour proposer l’enseignement de l’audit de la sécurité du système d’information aux experts comptables. Le tissu économique tunisien actuel se compose essentiellement de PME dont la préoccupation essentielle est d’assurer la continuité d’exploitation compte-tenu de la concurrence qui s’installe suite à l’ouverture des frontières. la mission d’audit de la sécurité du système d’information sera assurée exclusivement par quelques cabinets qui disposent d’un personnel qualifié dans ce domaine. L’Etat. Eu égard à ce qui précède. La question qui mérite d’être posée est de savoir si les chefs d’entreprises vont accepter de supporter des charges supplémentaires pour auditer la sécurité de leurs systèmes d’information ? 151 . en tant qu’organisme à l’écoute des préoccupations de la profession. cette obligation peut accroître le recours à des cabinets internationaux. pour sa part. En outre. De notre point de vue. Ceci peut être réalisé par l’association avec des professionnels dans le domaine et par l’amélioration des compétences de leurs collaborateurs en la matière en leur offrant l’occasion de participer à des cycles de formation à l’étranger ou par l’invitation des compétences extérieures. de plus en plus. Egalement. ce qui alourdirait les charges financières de la mission. nous estimons que ce décret n’est pas appliqué à l’heure actuelle avec l’efficacité qui se doit.La sécurité du système d’information : Les enjeux de l’expert comptable Les cabinets d’expertise comptable. vu le nombre limité de professionnels tunisiens dans le domaine et l’insuffisance constatée dans la formation académique et universitaire de l’expert comptable en matière d’audit de la sécurité du système d’information. En outre.

ANNEXES .

1. CNI. les prestataires de services d'information et les Niveau 3 exploitants des télécommunications? Niveau 4 2.2 . Politique de la Sécurité 1.8 .1. Organisation de la Sécurité 2.2.Groupe de gestion de la sécurité de l'information (comité de gestion) Existe-t-il un groupe de gestion qui a pour mission d'assurer une démarche claire dans la gestion de la sécurité et d’apporter le soutien nécessaire à la direction dans les initiatives concernant la sécurité? Est-ce que ce groupe de gestion encourage la sécurité au sein de l'organisation au moyen d'un engagement approprié et d'une affectation adéquate des 2.2 .6 – Contact avec les autorités Niveau 0 Niveau 1 Est-ce que l'entreprise entretient des contacts appropriés avec les autorités légales.4 .2 .1.Revue indépendante de la sécurité de l'information Niveau 0 Niveau 1 Est-ce que la mise en application de la politique de sécurité fait l'objet d'un examen Niveau 2 indépendant? Niveau 3 Niveau 4 2.1.1.Processus d'autorisation pour les infrastructures de traitement de l'information Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 2.1 .Identification des risques en relation avec des intervenants externes Niveau 0 Niveau 1 Est-ce que les risques associés à l'accès par les tiers aux infrastructures de traitement de Niveau 2 l'information de l'organisation ont été évalués ? et les mesures de contrôle ont-elles été Niveau 3 implantées ? Niveau 4 2.1 .? Niveau 4 2.1.2 – Sécurité adressée au commerce avec les clients Niveau 0 Niveau 1 L’établissement fixe t-il systématiquement ses exigences en matière de sécurité lors de Niveau 2 l’ouverture de son système d’informations pour donner l’accès aux clients potentiels.3 .. les Niveau 2 organismes de réglementation.7 – Contact avec les spécialistes en sécurité de l'information Niveau 0 Niveau 1 Est-ce qu'un conseiller spécialisé en sécurité de l'information a été engagé autant à Niveau 2 l'intérieur qu'à l'extérieur de l'organisation pour coordonner les connaissances et fournir Niveau 3 une assistance pour la prise de décision ayant trait à la sécurité? Niveau 4 2. publiée et communiquée à l'ensemble des employés 1.2.Document de politique de sécurité de l'information Est-ce que la politique de sécurité de l'information a été approuvée par la direction.1.5 .2. et lors de changements pouvant influencer son exactitude? Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Entièrement mise en œuvre Partielement mise en œuvre Planifié Pas implémenté ni planifié Niveau Entièrement mise en œuvre Partielement mise en œuvre Planifié Pas implémenté ni planifié 2.Examen et évaluation Est-ce que la politique de sécurité de l'information est révisée régulièrement.Coordination de la sécurité de l'information (entre les différentes directions) Niveau 1 Est-ce que la coordination de la mise en oeuvre des mesures de sécurité de l'information Niveau 2 est effectuée par un groupe de gestion dont les membres représentent des fonctions Niveau 3 diverses dans les sections concernées de l'organisation? Niveau 4 2.1 . TTN….Accords de confidentialité Niveau 0 Niveau 1 Est-ce que les accords de confidentialité déterminent les conditions de la protection des Niveau 2 informations confidentielles en utilisant les termes législatifs exécutoires nécessaires ? Niveau 3 Niveau 4 2.3 .Attribution des responsabilités de sécurité de l'information Niveau 0 Niveau 1 Est-ce que les responsabilités concernant la protection des actifs individuels et l'exécution Niveau 2 des processus de sécurité spécifiques sont clairement définies? Niveau 3 Niveau 4 2.1.La sécurité du système d’information : Les enjeux de l’expert comptable ANNEXE 1 : Questionnaire d’audit de la sécurité du système d’information 1.Intervenant Externe 2.Sécurité adressée dans les accords de tierces parties Niveau 0 Niveau 1 Est-ce que les contrats avec les tiers impliquant l'accès aux infrastructures de traitement Niveau 2 de l'information de l'organisation mentionnent toutes les exigences de sécurité pour Niveau 3 assurer la conformité aux politiques et aux normes de sécurité de l'organisation? Niveau 4 Est-ce qu'un processus d'autorisation des nouvelles infrastructures de traitement de l'information a été établi? 153 .1.1.1 – Organisation interne 2. Niveau 3 fournisseurs.

Conditions d'emploi Niveau 0 Niveau 1 Est-ce que les responsabilités de l'employé en matière de sécurité de l'information sont Niveau 2 mentionnées dans leurs conditions d'emploi? Niveau 3 Niveau 4 4.3 .2 – Classification de l’information 3.Terminaison des responsabilités Niveau 0 Niveau 1 Est-ce que les responsabilités de l’employé après la terminaison ou le changement de Niveau 2 l’emploi sont clairement définies et assignés ? Niveau 3 Niveau 4 4. les utilisateurs Niveau 2 externes sont supprimés aussitôt que leur contrat est achevé ? Niveau 3 Niveau 4 154 .3.1 .Étiquetage et traitement de l'information Existe-t-il un ensemble de procédures appropriées pour l'étiquetage et le traitement de l'information conformément au système de classification adopté par l'organisation? Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau Entièrement mise en œuvre Partielement mise en œuvre Planifié Pas implémenté ni planifié Niveau Entièrement mise en œuvre Partielement mise en œuvre Planifié Pas implémenté ni planifié 4.Rôles et responsabilités Niveau 0 Niveau 1 Est-ce que la définition des postes inclut tous les détails sur les rôles et responsabilités en Niveau 2 matière de sécurité tels que décrits dans la politique de sécurité de l'organisation? Niveau 3 Niveau 4 4.3 .1. les utilisateurs externes doivent Niveau 2 rendre les actifs de l’organisation qui sont en leur possession aussitôt que leur contrat est Niveau 3 achevé ? Niveau 4 4.2.2. documentées et implémentées ? 3.1 . les utilisateurs externes reçoivent Niveau 2 une éducation et une formation à la sécurité ainsi qu’aux mises à jour régulières sur les Niveau 3 politiques et les procédures de l'organisation? Niveau 4 4.Responsabilités liées aux actifs 3.2 .1 .1 Avant emploi 4.Processus disciplinaire Niveau 0 Niveau 1 Existe-t-il un processus disciplinaire formel pour les employés qui ont violé les politiques et Niveau 2 les procédures de sécurité de l'organisation ? Niveau 3 Niveau 4 4.2 . s'il y a Niveau 2 lieu.Suppression des droits d'accès Niveau 0 Niveau 1 Est-ce que les droits d’accès des employés de l'organisation et.1 .Conscience.2.Retour des actifs Niveau 0 Niveau 1 Est-ce que les employés de l'organisation et.Terminaison ou changement d'emploi 4.Utilisation acceptable des actifs Est-ce que les directives qui établissent les règles de l’utilisation acceptable des informations et des actifs de la société sont identifiées. s'il y a lieu.2 .1 .Propriétaire des Actifs Existe t-il un responsable de chaque ressource inventoriée ? 3.2 .2.1.3.2. s'il y a lieu.3 .1 .1.3 .Inventaire des actifs Existe-t-il un inventaire de tous les actifs importants conservés et intégrés aux systèmes d'information érigés? 3.1.Pendant l'emploi 4. les utilisateurs externes) qu’ils sont tenus d’appliquer les exigences de sécurité Niveau 3 conformément aux politiques et aux procédures de l’organisation ? Niveau 4 4.La sécurité du système d’information : Les enjeux de l’expert comptable 3.2 – Sélection Niveau 0 Est-ce que les contrôles de vérification concernant le personnel permanent. les Niveau 1 fournisseurs et le personnel temporaire sont effectués au moment de la demande Niveau 2 d'emploi conformément aux lois et proportionnellement à la nature et aux exigences de Niveau 3 l’activité de l’entreprise ? Niveau 4 4. s'il y a lieu. éducation et formation à la sécurité de l'information Niveau 0 Niveau 1 Est-ce que les employés de l'organisation et.3 .1.3.Lignes directrices de classification Est-ce que les classifications et les mesures de protection ayant trait à l'information tiennent compte des besoins de l'entreprise de partager ou de restreindre l'information ainsi que des impacts associés à ces besoins sur l'entreprise? 3.2 . Sécurité des ressources humaines 4. Management des Actifs 3.1.Gestion des responsabilités Niveau 0 Niveau 1 Est-ce que l’établissement rappelle au personnel (employés de l'organisation et.

les informations et les logiciels sont transportés en dehors Niveau 2 des locaux de l’établissement uniquement sous une autorisation au préalable ? Niveau 3 Niveau 4 Niveau Entièrement mise en œuvre Partielement mise en œuvre Planifié Pas implémenté ni planifié 155 .2.3 .6 .Sécurité du matériel 5.2.2 .Enlèvement des biens Niveau 0 Niveau 1 Est-ce que les équipements. isolées Niveau 2 des infrastructures de traitement de l'information afin d'éviter tout accès non autorisé? Niveau 3 Niveau 4 5.Mesures physiques à l’entrée Niveau 0 Niveau 1 Est-ce que les zones de sécurité sont protégées à l'entrée par des mesures appropriées Niveau 2 pour faire en sorte que seul le personnel autorisé puisse y avoir accès? Niveau 3 Niveau 4 5.3 .Accès public.2 .Sécurisation des bureaux.2.5 .Sécurité du câblage Niveau 0 Niveau 1 Est-ce que les câblages électriques et de télécommunications transmettant des données Niveau 2 ou supportant des services d'information sont protégés contre les interceptions ou les Niveau 3 dommages? Niveau 4 5. le Niveau 2 feu et d’autres formes de désastres ? Niveau 3 Niveau 4 5.1.La sécurité du système d’information : Les enjeux de l’expert comptable 5.1 .6 . les chambres Niveau 2 et les infrastructures avec des équipements de sécurité spécialisés? Niveau 3 Niveau 4 5.2.1.2.Alimentation électrique Niveau 0 Niveau 1 Est-ce que les équipements sont protégés contre les pannes de courant ou les autres Niveau 2 anomalies électriques? Niveau 3 Niveau 4 5.5 .1.2. des salles et des infrastructures Niveau 0 Niveau 1 Est-ce que des zones de sécurité ont été créées afin de protéger les bureaux.1 Zones de sécurité 5. zone de livraison et de chargement Niveau 0 Niveau 1 Est-ce que les zones de livraison et de chargement sont contrôlées et.Protection contre les menaces externes et environnementales Niveau 0 Niveau 1 Existe-t-il une protection physique des biens de l’établissement contre les incendies.7 .1 .Sécurité du matériel utilisé à l’extérieur des locaux Niveau 0 Niveau 1 Est-ce que les procédures de sécurité sont appliquées sur le matériel utilisé à l’extérieur Niveau 2 en prenant en considération les conditions du travail en dehors des locaux de Niveau 3 l’établissement ? Niveau 4 5. Sécurité Physique et de l'environnement 5.Emplacement et protection du matériel Niveau 0 Niveau 1 Est-ce que le matériel est situé et protégé de façon à réduire les risques présentés par les Niveau 2 menaces et les dangers liés à l'environnement et les occasions d'accès non autorisé? Niveau 3 Niveau 4 5.2 .4 .1.Périmètre de sécurité physique Niveau 0 Niveau 1 Est-ce que des périmètres de sécurité ont été utilisés afin de protéger les zones contenant Niveau 2 des infrastructures de traitement de l'information en fonction de la sensibilité des Niveau 3 informations? Niveau 4 5.2.Travail dans les zones de sécurité Niveau 0 Niveau 1 Est-ce que des mesures de protection et des directives de travail dans les zones de Niveau 2 sécurité ont été implantées afin d'augmenter la sécurité fournie par les contrôles Niveau 3 physiques? Niveau 4 5.Mise au rebut ou réutilisation du matériel en toute sécurité Niveau 0 Niveau 1 Est-ce que les dispositifs de stockage contenant des informations sensibles sont détruits Niveau 2 physiquement ou recouverts de manière sûre plutôt que d'utiliser la fonction de Niveau 3 suppression standard? Niveau 4 5.4 .Maintenance du matériel Niveau 0 Niveau 1 Est-ce que le matériel est entretenu correctement afin d'assurer sa disponibilité et son Niveau 2 intégrité continues? Niveau 3 Niveau 4 5. si possible.1.1.

Contrôle contre les codes pernicieux Niveau 0 Niveau 1 Est-ce que des mesures de détection et de prévention ont été implantées pour fournir une Niveau 2 protection contre les logiciels pernicieux? Est-ce que des procédures ont été établies pour Niveau 3 sensibiliser les usagers à ce problème? Niveau 4 6.3.2.1 . est-ce que les procédures opérationnelles sont identifiées.Mesures de contrôle des réseaux Niveau 0 Niveau 1 Est-ce qu'un ensemble de mesures est mis en oeuvre afin d'obtenir et de maintenir la Niveau 2 sécurité dans les réseaux informatiques? Niveau 3 Niveau 4 6.2 .5 . les rapports et les enregistrements fournis par les tiers externes Niveau 2 sont régulièrement supervisés et revus ? Niveau 3 Niveau 4 6.6.4.Changement de gestion Niveau 0 Niveau 1 Est-ce que les modifications apportées aux infrastructures et aux systèmes de traitement Niveau 2 de l'information sont contrôlées? Niveau 3 Niveau 4 6.1 .1.2 .2 .1 .Contrôle contre les codes mobiles Niveau 0 Niveau 1 Est-ce que les codes mobiles autorisés sont exécutés en respectant clairement une Niveau 2 politique de sécurité définie ? et est-ce que les codes mobiles non autorisés sont interdits Niveau 3 à l’exécution ? Niveau 4 6.2.Gestion de la sécurité des réseaux 6.3 – Gestion des changements apportés aux services livrés par tiers Niveau 0 Niveau 1 Les changements apportés aux services assurés par les tiers externes sont-ils gérés de Niveau 2 façon à assurer la maintenance et l’amélioration des politiques et des procédures de Niveau 3 sécurité en fonction de la criticité du système ? Niveau 4 6.Service délivré Niveau 0 Niveau 1 Est-ce que des contrôles de sécurité sont mis en place pour assurer que les livraisons des Niveau 2 biens ou des services se font selon les exigences contenues dans les accords et les Niveau 3 contrats signés avec tiers ? Niveau 4 6.1 .La sécurité du système d’information : Les enjeux de l’expert comptable 6.2 .4.3 .Sauvegarde des informations Niveau 0 Niveau 1 Est-ce que des copies de sauvegarde des informations et des logiciels essentiels de Niveau 2 l'entreprise sont effectuées à intervalles réguliers? Niveau 3 Niveau 4 6.5.1 .Planification et recette des systèmes 6.1 .Procédures opérationnelles documentées Niveau 0 Niveau 1 Dans la politique de sécurité.Planification des capacités Niveau 0 Niveau 1 Est-ce que les demandes d’augmentation en capacité sont surveillées et est-ce que les Niveau 2 prévisions sur les besoins de capacité futurs ont été évaluées afin d'assurer la Niveau 3 disponibilité d'une puissance de traitement et d'un stockage adéquat? Niveau 4 6.Sauvegarde 6.1 Procédures et responsabilités opérationnelles 6. Gestion des communications et des opérations 6.2 .Séparation des infrastructures de développement et des infrastructures Niveau 0 opérationnelles Niveau 1 Est-ce que les infrastructures de développement et d'essai sont séparées des Niveau 2 infrastructures opérationnelles? Est-ce que des règles sont définies pour le transfert de Niveau 3 logiciels du stade de développement au stade exécutable? Niveau 4 6.6 .Supervision et revue des services des tiers Niveau 0 Niveau 1 Est-ce que les services.6.3.1.1.4 .4 .Protection contre les codes pernicieux et mobiles 6.Division des responsabilités Niveau 0 Niveau 1 Est-ce que les responsabilités ou zones de responsabilités sont séparées de façon à Niveau 2 réduire les possibilités de modifications non autorisées ou d'utilisation abusive de Niveau 3 l'information ou des services? Niveau 4 6. .1.Sécurité des services réseaux Niveau 0 Niveau 1 Est-ce que les caractéristiques et les exigences de sécurité des services réseaux sont Niveau 2 identifiées et pris en considération lors de l’exploitation du réseau ? Niveau 3 Niveau 4 Niveau Entièrement mise en œuvre Partielement mise en œuvre Planifié Pas implémenté ni planifié 156 .2. Niveau 2 documentées et mises à la disposition des utilisateurs? Niveau 3 Niveau 4 6.Gestion des services délivrés par les tiers 6.

1 .Politique et procédure d'échange d'information Niveau 0 Niveau 1 Existe-t-il des procédures et des contrôles formels pour protéger l’échange des Niveau 2 informations à travers les moyens de communications utilisées ? Niveau 3 Niveau 4 6.2 .2 .9.Sécurité des documentations de systèmes Niveau 0 Niveau 1 Niveau 2 Est-ce que la documentation est protégée contre un accès non autorisé? Niveau 3 Niveau 4 6.8.3 .9.Services du commerce électronique 6.8.Supports physique en transit Niveau 0 Niveau 1 Est-ce que les supports en transit sont protégés contre les accès non autorisés.Mise au rebut des supports Niveau 0 Niveau 1 Est-ce que des procédures officielles sur la mise au rebut des supports de manière sûre Niveau 2 ont été établies? Niveau 3 Niveau 4 6.Message électronique Niveau 0 Niveau 1 Est-ce que les informations contenues dans les messages électroniques sont Niveau 2 suffisamment protégées ? Niveau 3 Niveau 4 6.8.La sécurité du système d’information : Les enjeux de l’expert comptable 6. de routage et des altérations ou duplications non autorisés Niveau 3 Niveau 4 6.Transaction On-Line Niveau 0 Niveau 1 Les informations échangées lors des transactions en ligne sont-ils protégés contre les Niveau 2 problèmes de transmission.4 .5 – Systèmes d’informations liés au commerce Niveau 0 Niveau 1 Existe-t-il des procédures implémentées pour la protection des informations ainsi que Niveau 2 l’interconnectivité entre les différents systèmes liés au commerce? Niveau 3 Niveau 4 6.1 .Accord sur les échanges Niveau 0 Niveau 1 Est-ce que des accords ont été établis sur les échanges d'informations et de logiciels entre Niveau 2 l’organisation et d’autres parties externes? Niveau 3 Niveau 4 6.7. Gestion des communications et des opérations 6.1 – Commerce électronique Niveau 0 Niveau 1 Est-ce que le commerce électronique est protégé contre les activités frauduleuses.9 .3 – Information disponible publiquement Niveau 0 Niveau 1 Est-ce que les informations disponibles publiquement sont protégées des modifications Niveau 2 non autorisées ? Niveau 3 Niveau 4 Niveau Entièrement mise en œuvre Partielement Planifié mise en œuvre Pas implémenté ni planifié 157 .7. les Niveau 2 différends contractuels et la divulgation ou la modification de l'information? Niveau 3 Niveau 4 6.8 .4 . les Niveau 2 utilisations abusives ou les altérations lors de leur transport entre les sections Niveau 3 périphériques de l’établissement ? Niveau 4 6.Échanges d’informations 6.8.Procédures de manipulation de l’information Niveau 0 Niveau 1 Est-ce que des procédures pour la manipulation et le stockage des informations ont été Niveau 2 établis afin de protéger ces informations contre toute divulgation non autorisée ou toute Niveau 3 utilisation abusive? Niveau 4 6.9.8. les disques.7.7.7 . les cassettes et les rapports imprimés? Niveau 3 Niveau 4 6.2 .3 .Gestion des supports amovibles Niveau 0 Niveau 1 Existe-t-il des procédures de gestion des supports informatiques amovibles tels que les Niveau 2 bandes.Manipulation des supports 6.

10.Gestion des privilèges Niveau 0 Niveau 1 Niveau 2 Est-ce que l'attribution et l'utilisation de privilèges sont restreintes et contrôlées? Niveau 3 Niveau 4 7. analysées et prises en considération par des actions conséquentes ? 6.10.Politique de contrôle des accès Niveau 0 Niveau 1 Est-ce des exigences d'affaires en matière de contrôle des accès ont été définies et Niveau 2 documentées.Examen des droits d’accès utilisateur Niveau 0 Niveau 1 Est-ce qu'un examen officiel des droits d'accès des utilisateurs est effectué par la Niveau 2 direction à intervalles réguliers? Niveau 3 Niveau 4 7.Gestion des mots de passe utilisateur Niveau 0 Niveau 1 Est-ce que l'attribution de mots de passe est contrôlée par un processus de gestion Niveau 2 officiel? Niveau 3 Niveau 4 7.2.Enregistrement des utilisateurs Niveau 0 Niveau 1 Est-ce qu'une procédure officielle d'enregistrement et d'annulation de l'enregistrement Niveau 2 des utilisateurs a été mise en place pour l'octroi de l'accès à tous les systèmes et les Niveau 3 services d'information multiutilisateurs? Niveau 4 7.3.Supervision des systèmes Les procédures de supervision des systèmes sont-ils établis ? et les résultats des activités de supervision sont-ils régulièrement revus? 6.3.3 – Protection des journaux Est-ce que les fichiers logs sont protégés contre les accès non autorisés ? 6. et est-ce que la restriction des accès correspond à ce qui est définit dans la Niveau 3 politique de contrôle d'accès? Niveau 4 7.Responsabilités des utilisateurs 7.2.5 – Consignation des défauts Est-ce que les fautes commises sont également archivées dans des fichiers logs.La sécurité du système d’information : Les enjeux de l’expert comptable 6.10. de perte d'information et de Niveau 3 dommages? Niveau 4 Niveau Entièrement mise en œuvre Partielement mise en œuvre Planifié Pas implémenté ni planifié 158 .4 .6 .1 Exigences de l’entreprise concernant le contrôle des accès 7.10 – Supervision 6.1 .10.3 .Synchronisation d'horloge Est-ce que les horloges de tous les systèmes au sein de la société sont synchronisées afin d’assurer l’exactitude des journaux d’audit? Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau Entièrement mise en œuvre Partielement mise en œuvre Planifié Pas implémenté ni planifié 7.2 .2.10.Politique de bureaux et d’écrans dégagés Niveau 0 Niveau 1 Est-ce que l'organisation a adopté une politique de bureaux et d'écrans dégagés afin de Niveau 2 protéger les informations contre des accès non autorisés.1 – Audit des journaux Est-ce que les fichiers logs qui enregistrent les activités.10.Matériel utilisateur sans surveillance Niveau 0 Niveau 1 Est-ce que les utilisateurs veillent à ce que le matériel sans surveillance ait une protection Niveau 2 appropriée? Niveau 3 Niveau 4 7.2 .2.1 .Gestion des accès utilisateurs 7. les exceptions et les évènements de sécurité sont audités à des intervalles réguliers ? 6.2 .Les journaux des administrateurs et des opérateurs Est-ce que les activités des administrateurs et des opérateurs du système sont archivées dans des fichiers logs ? 6.Utilisation des mots de passe Niveau 0 Niveau 1 Est-ce que les utilisateurs suivent de bonnes pratiques de sécurité lors de la sélection et Niveau 2 de l'utilisation des mots de passe? Niveau 3 Niveau 4 7.1.3 .4 . Contrôle des accès 7.1 .2 .3 .3. Gestion des communications et des opérations 6.

Informatique mobile et communication Niveau 0 Niveau 1 Est-ce qu'une politique formelle a été adoptée pour tenir compte des risques impliqués Niveau 2 par le travail avec des unités informatiques mobiles.4.4.Procédures de sécurisation de la connexion? Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau Entièrement mise en œuvre Partielement mise en œuvre Planifié Pas implémenté ni planifié Niveau 0 Niveau 1 Est-ce que des procédures de sécurisation de la connexion sont mis en place pour Niveau 2 protéger l’accès au système opérationnel de l’établissement Niveau 3 Niveau 4 7. des procédures et des normes sont en place pour contrôler les Niveau 2 activités de télétravail? Niveau 3 Niveau 4 159 .1 .Identification et authentification des utilisateurs Niveau 0 Est-ce que les utilisateurs ont un identificateur unique (code d'identification utilisateur) Niveau 1 pour leur utilisation personnelle exclusive. de sorte que les activités puissent être Niveau 2 associées rétrospectivement à l'individu responsable? Est-ce qu'une procédure Niveau 3 d'authentification a été choisie afin de corroborer l'identité revendiquée par un Niveau 4 7.Isolation au sein des réseaux Est-ce que des contrôles au sein du réseau sont mis en place afin d'isoler des groupes de services d'information.5.7.Limitation du temps de connexion Niveau 0 Niveau 1 Existe t-il des restrictions sur le temps de connexion qui fournissent un niveau de sécurité Niveau 2 supplémentaire pour les applications à hauts risques? Niveau 3 Niveau 4 7.4.Identification des équipements dans les réseaux Est-ce que l'organisation a adopté une politique de bureaux et d'écrans dégagés afin de protéger les informations contre des accès non autorisés.2 .5 .6. et à travers des infrastructures de Niveau 3 communications différentes ? Niveau 4 7.5.4 .6 – Contrôle de l’accès aux applications 7.Diagnostic à distance et configuration de la protection des ports Est-ce que l'accès aux ports de diagnostic est contrôlé de façon sûre? 7.1 .2 – Télétravail Niveau 0 Niveau 1 Est-ce qu'une politique. de perte d'information et de dommages? 7.1 .5. d'utilisateurs et de systèmes d'information? 7.7 – Informatique mobile et télétravail 7.6 .Système de gestion des mots de passe Niveau 0 Niveau 1 Est-ce que les systèmes de gestion des mots de passe fournissent une fonction interactive Niveau 2 efficace qui assure la qualité des mots de passe? Niveau 3 Niveau 4 7.Fonction d’arrêt à délai d’inactivité de la session Niveau 0 Niveau 1 Niveau 2 Les sessions inactives pendant un certain temps sont-elles fermées? Niveau 3 Niveau 4 7.6 .5 .5.La sécurité du système d’information : Les enjeux de l’expert comptable 7.3 .Isolation des systèmes critiques Niveau 0 Niveau 1 Est-ce que les systèmes critiques fonctionnent dans un environnement informatique Niveau 2 dédié (isolé)? Niveau 3 Niveau 4 7.Contrôle de l’accès aux réseaux 7.4.3 .6.4 – Utilisation des programmes utilitaires Niveau 0 Niveau 1 Est-ce que l'utilisation des programmes utilitaires est restreinte et étroitement Niveau 2 contrôlée? Niveau 3 Niveau 4 7.7.Restriction des accès à l’information Niveau 0 Niveau 1 Est-ce que l'accès à l'information et aux fonctions des systèmes d'applications est limité Niveau 2 conformément à la politique de contrôle des accès? Niveau 3 Niveau 4 7.5.Politique sur l’utilisation des services sur réseaux Est-ce que les utilisateurs n'ont un accès direct qu'aux services spécifiques pour lesquels ils ont été autorisés? 7.4 .2 .Authentification des utilisateurs pour les connexions externes Est-ce que l'accès par des utilisateurs éloignés donne lieu à une authentification? 7.Contrôle des connexions réseaux Est-ce que les capacités de connexion des utilisateurs sont limitées et basées sur la politique de contrôle d'accès? 7.2 .1 .4. Contrôle des accès 7.Contrôle de l’accès aux systèmes d’exploitation 7.4.5 .5.

2 .2 .5.Contrôle des vulnérabilités techniques Niveau 0 Niveau 1 Est-ce que les vulnérabilités techniques sont contrôlées.Restrictions sur les modifications apportées aux progiciels Niveau 0 Niveau 1 Est-il déconseillé d'apporter des modifications aux progiciels? Si des modifications Niveau 2 s'avèrent indispensables. sont-elles strictement contrôlées? Niveau 3 Niveau 4 8.2 .1 .6 .Correction des processus dans les applications 8.4.Validation des données de sortie Est-ce que la validation des données de sortie d'un système d'application assure que le traitement des informations stockées soit correct et approprié aux circonstances? 8.Procédures de contrôle des modifications. évaluées et prises en considération Niveau 2 par les mesures de rémédiation nécessaires ? et est-ce que l’exposition de l’entreprise à ces Niveau 3 vulnérabilités est régulièrement évaluée ? Niveau 4 160 .3.Contrôle des logiciels opérationnels Niveau 0 Niveau 1 Est-ce que des procédures ont été établies afin de contrôler l'implantation de logiciels sur Niveau 2 les systèmes opérationnels? Niveau 3 Niveau 4 8. Développement et acquisition des systèmes d'information 8.2 .6.3 .5. Niveau 2 protégées et contrôlées ? Niveau 3 Niveau 4 8.1.Gestion des vulnérabilités techniques 8.3 .3 .1 .Validation des données d’entrée Est-ce que les données d'entrées des applications sont validées afin qu'elles soient correctes et appropriées? 8.4 .4.3 . Maintenance.2.Fuite d'information Niveau 0 Niveau 1 Niveau 2 Les possibilités des fuites d’informations sont-ils prévenus ? Niveau 3 Niveau 4 8.2.Politique sur l’utilisation de mesures cryptographiques Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau Entièrement mise en œuvre Partielement mise en œuvre Planifié Pas implémenté ni planifié Niveau 0 Niveau 1 Est-ce qu'il existe une politique sur l'utilisation de mesures cryptographiques pour la Niveau 2 protection des informations? Niveau 3 Niveau 4 8.5.2.Analyse et spécification des exigences de sécurité Est-ce que les exigences d'affaires pour de nouveaux systèmes ou pour des améliorations apportées à des systèmes existants spécifient les exigences relatives aux mesures de contrôle? 8.5.1 .Sécurité des fichiers 8.1 Exigences de sécurité des systèmes d'information 8.4 .Contrôle de l’accès aux codes de programmes sources Niveau 0 Niveau 1 Est-ce que l'accès aux codes des programmes sources est strictement contrôlé? Niveau 2 d'information et de dommages? Niveau 3 Niveau 4 8.Examen technique des modifications apportées aux progiciels Niveau 0 Niveau 1 Les modifications apportées aux progiciels subissent-elles un examen Niveau 2 technique régulièrement? Niveau 3 Niveau 4 8. Niveau 0 Niveau 1 Niveau 2 Est-ce que les implémentations des modifications sont examinées et testées? Niveau 3 Niveau 4 8.1 .Mesures cryptographiques 8.4.Gestion des clés Niveau 0 Niveau 1 Est-ce qu'un système de gestion des clés est utilisé afin de soutenir l'utilisation de Niveau 2 techniques cryptographiques basées sur un ensemble convenu de normes.Intégrité des messages Est-ce que les exigences en matière de d’authenticité et d’intégrité des messages sont identifiés et implémentés ? 8.5 – Sécurité des environnements de développement et de soutien 8.Contrôle du traitement interne Est-ce qu'une vérification de validation a été incorporée au système afin de détecter toute altération des données? 8.5.La sécurité du système d’information : Les enjeux de l’expert comptable 8.2.2 .4 .1 .1 . de procédures Niveau 3 et de méthodes sûres? Niveau 4 8.Protection des données d’essai des systèmes Niveau 0 Niveau 1 Est-ce que les données d’essai des systèmes sont minutieusement sélectionnées.5 .Développement sous-traité des logiciels Niveau 0 Niveau 1 Est-ce que des mesures sont appliquées afin de protéger le développement de logiciels Niveau 2 sous-traités? Niveau 3 Niveau 4 8.3.

Gestion des incidents de la sécurité de l'information et améliorations 9.1.Cadre de planification de la continuité des activités de l’entreprise Niveau 0 Niveau 1 Est-ce qu'un seul cadre de planification de continuité des activités de l'entreprise est Niveau 2 maintenu afin d'obtenir une cohérence de tous les plans et d'identifier les priorités en Niveau 3 matière d'essais et de maintenance? Niveau 4 Niveau 0 10. contractuels et les tiers signalent les faiblesses dans les systèmes ou les services ? 9. maintien et réévaluation des plans de continuité des activités de Niveau 1 l’entreprise Niveau 2 Niveau 3 Niveau 4 161 .2 .1.5 .3 .2 .1.1.2.1.1.Introduction de la sécurité de l'information dans le processus de gestion de la Niveau 0 continuité des activités de l’entreprise Niveau 1 Est-ce qu'un processus géré a été établi dans toute l'entreprise pour le développement et Niveau 2 le maintien de la continuité des activités de l'entreprise? Niveau 3 Niveau 4 10.1 .3 .Signalisation des événements de la sécurité de l'information Est-ce que les signalisations des évènements de la sécurité de l’information sont reportées et communiquées le plus rapidement possible ? 9.1 . Gestion de la continuité des activités de l’entreprise Niveau Entièrement Partielement Planifié mise en œuvre mise en œuvre Pas implémenté ni planifié 10.Essai.2.Responsabilité et procédures Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau Entièrement Partielement Planifié mise en œuvre mise en œuvre Pas implémenté ni planifié Niveau 0 Niveau 1 Y a t-il des procédures établies pour répondre rapidement et efficacement aux incidents Niveau 2 de sécurité Niveau 3 Niveau 4 9.Développement et mise en œuvre des plans de continuité incluant la sécurité Niveau 0 de l'information Niveau 1 Y a t-il un plan d’action qui maintient et qui assure la disponibilité de l’information au Niveau 2 seuil exigé et au temps voulu ? Niveau 3 Niveau 4 10.Continuité des activités de l’entreprise et recensement des risques Niveau 0 Niveau 1 Est-ce que les évènements qui causent les interruptions des activités de l’entreprise sont Niveau 2 identifiés avec leur impact et leur probabilité d’occurrences ? Niveau 3 Niveau 4 10.1.4 .1 .Aspects de la sécurité de l'information pour la gestion de la continuité des activités de l’entreprise 10. Management des incidents de la sécurité de l'information 9.2 .1 Signalisation des événements de la sécurité de l'information et ses faiblesses 9.La sécurité du système d’information : Les enjeux de l’expert comptable 9.2.2 – Etude des incidents de sécurité de l’information Niveau 0 Niveau 1 Existent-ils des mécanismes qui surveillent et quantifient les coûts et les volumes des Niveau 2 incidents de sécurité ? Niveau 3 Niveau 4 9.1 .Signalisation des faiblesses de la sécurité Est-ce que les employées.Collecte d’éléments de preuve Niveau 0 Niveau 1 Niveau 2 Y a t-il une collecte des éléments de preuve suite à un incident de sécurité ? Niveau 3 Niveau 4 10.

1.2 Protection des outils d’audit des systèmes d'informations Niveau 0 Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 1 : ni planifié ni implémenté Niveau 2 : planifié mais non implémenté Niveau 3 : planifié mais partiellement implémenté Niveau 4 : planifié et implémenté totalement 162 .1 Conformité aux exigences légales 11.3 .Protection de la pérennité des informations de l’organisation Niveau 0 Niveau 1 Est-ce que les informations importantes de l'organisation sont protégées contre toute Niveau 2 perte.1.1 .Droits de propriété intellectuelle (DPI) Niveau 0 Niveau 1 Est-ce que des procédures appropriées ont été implantées afin d'assurer la conformité Niveau 2 aux exigences légales de l'utilisation de matériel et logiciel faisant droit de propriété Niveau 3 intellectuelle? Niveau 4 11. des lois.1.Prévention de toute utilisation abusive des infrastructures de traitement de l’information Niveau 1 Niveau 2 Niveau 3 Niveau 4 Niveau 0 11.Conformité avec la politique de sécurité et les standards et la conformité technique 11.2 .Considérations sur les audits des systèmes d'informations 11.1 Mesures de contrôle d’audit des systèmes d'informations Niveau 0 Niveau 1 Est-ce que les activités d'audit impliquant la vérification des systèmes opérationnels sont Niveau 2 soigneusement planifiées et approuvées afin de minimiser les risques de perturbations Niveau 3 des processus de l'entreprise? Niveau 4 11.3 .2 .2. Conformité Niveau 0 Niveau 1 Est-ce que toutes les exigences légales. réglementaires et contractuelles sont clairement Niveau 2 définies pour chaque système d'information? Niveau 3 Niveau 4 11.4 .2.Réglementation des mesures cryptographiques Niveau 0 Niveau 1 Est-ce que des mesures de contrôle sont en place pour assurer le respect des conventions Niveau 2 nationales.La sécurité du système d’information : Les enjeux de l’expert comptable 11.2 .Contrôle de conformité technique Niveau 0 Niveau 1 Est-ce que les systèmes d'information sont contrôlés à intervalles réguliers quant à leur Niveau 2 conformité aux normes de mise en oeuvre de la sécurité? Niveau 3 Niveau 4 11.Identification de la législation applicable Niveau Entièrement Partielement Planifié mise en œuvre mise en œuvre Pas implémenté ni planifié Niveau 1 Est-ce que la direction doit autoriser l'utilisation des infrastructures de traitement de Niveau 2 l'information et est-ce que des mesures de contrôles ont été appliquées afin de prévenir Niveau 3 toute utilisation abusive de ces infrastructures? Niveau 4 11.3.5 .3. destruction et falsification? Niveau 3 Niveau 4 11.1.6 .1. des règlements ou d'autres instruments afin de contrôler l'accès aux Niveau 3 mesures cryptographiques ou leur utilisation? Niveau 4 11.1.Protection des données et confidentialité des renseignements personnels Niveau 0 Est-ce que des mesures de contrôles conformes avec la législation sur la protection des données ont été appliquées afin de protéger le traitement et la transmission de renseignements personnels? 11.1 Conformité à la politique de sécurité et les standards Niveau 0 Niveau 1 Est-ce que les gestionnaires veillent à ce que toutes les procédures de sécurité dans leur Niveau 2 secteur de responsabilité soient suivies correctement conformément à la politique de Niveau 3 sécurité et aux standards ? Niveau 4 11.

la mauvaise application de ces évolutions ou leur simple méconnaissance peut entraîner des conséquences préjudiciables pour l’entreprise : risque d’engagement de la responsabilité de l’employeur. l’espionnage industriel. potentiellement vulnérable. Aider au renforcement de la sécurité des systèmes d’informations. essayer de les limiter au mieux de vos intérêts : C’est pourquoi. les actes de malveillances internes ou externes. constituant donc la majeure partie de vos préoccupations. Avec l’ouverture des systèmes d’information vers l’extérieur qui représente une véritable ressource vitale et stratégique pour votre entreprise . l’implémentation et la validation de leur politique de sécurité. Ses objectifs : Assister et accompagner les sociétés dans la définition. Or.….La sécurité du système d’information : Les enjeux de l’expert comptable Annexe 2 : Modèle Lettre destinée à déclencher l’intérêt du client pour une mission d’audit du système d’information Cher (e) Client (e) L’optimisation de la gestion du système d’information de l’entreprise est un impératif pour tout dirigeant.… Il nous a semblé que votre entreprise était particulièrement sensible à ces risques et que nous pourrions avec vous. les failles de sécurité. Maintenir un niveau de sécurité optimal. force est de constater que la sécurité de l’informatique devient donc aujourd’hui une composante incontournable et essentielle à la protection de cet actif. Les virus informatiques. Renforcer la sécurité de leur système d’informations en mettant à leur disposition l’expertise de ses collaborateurs. risque de déclenchement de contrôles. informer et former. 163 . manque à gagner causé par la perte d’informations ou la mauvaise utilisation de logiciels. Sensibiliser. le Cabinet s’est donné 4 grandes missions pour répondre aux exigences vitales et stratégiques qu’impose la Sécurité Informatique : Vérifier et contrôler le niveau de sécurité existant. Malheureusement les obligations quotidiennes du chef d’entreprise ne lui permettent pas toujours de suivre les évolutions technologiques qui donnent lieu à une abondance d’informations et de nouveautés.

Dans cette attente. Parlons en prochainement. Cher(e) Client(e) à l’expression de nos sentiments dévoués Le Cabinet 164 . il serait peut être prudent d’envisager de le faire.La sécurité du système d’information : Les enjeux de l’expert comptable Si ce type d’audit n’a pas été fait depuis longtemps dans votre entreprise. Nous vous prions de croire. nous pourrons ainsi valider ensemble l’utilité de cet audit pour vous et votre propre sécurité.

Vous avez manifesté le désir de faire appel aux services de notre Cabinet en vue de réaliser un diagnostic du système d’information de votre entreprise. 2.La sécurité du système d’information : Les enjeux de l’expert comptable Annexe 3 : Modèle Lettre de mission Cher(e) Client(e). Aide à la spécification et la formulation des besoins et exigences de la Sécurité. Nous vous remercions de la confiance que vous témoignez et souhaitions résumer ci-après. 1. le contexte. 3.Les objectifs: Les objectifs de nos interventions sont : Procéder à un diagnostic de la situation de votre entreprise sur le plan………… Emettre des recommandations concrètes dans un plan d’action. 2. les objectifs. Proposition de solutions. les limites et enfin les modalités de notre collaboration. 4. Corrélation au modèle d’organisation type correspondant au niveau des menaces prises en compte. Cette mission pourrait se traduire : Au niveau de la politique globale : 1. Aide à l’évaluation des biens à protéger.Le contexte: Vous nous avez fait remarquer lors de notre entretien du ………………… les éléments suivants concernant la situation de votre système d’information de votre entreprise : C’est dans ce contexte que vous nous avez demandé de vous soumettre des propositions d’invention. l’approche. Toutes modifications qui pourraient être apportées à la mission définie ci-après seront préalablement arrêtées d’un commun accord. 3. d’un accord commun. Aide à la formulation de la finalisation de la politique. les différentes conversations que nous avons eues afin de préciser. Aide à l’analyse de la menace.Les phrases de la mission: Notre mission comportera les phrases suivantes : Etude de cohérence de l’organisation en place. 165 .

Cher(e) Client(e) à l’assurance de nos sentiments distingués et dévoués. revêtues de votre signature. Le Cabinet Le Client 166 .Délais et coûts: Notre mission pourra débuter le ………………………après votre acceptation. de M ………………………………. 6. Au niveau des règles catégorielles : aide à la définition et à la formalisation des règles utilisateurs. Aide à l’acquisition de l’existant.. exclusifs de toute autre rémunération. La mission qui nous est confiée comporte donc de notre part une obligation de moyens et suppose de votre part une étroite collaboration. Nous vous remercions par avance et vous prions de croire. nous vous serions reconnaissants de bien vouloir nous retourner un exemplaire de la présente lettre et de ses annexes. seront déterminés de la manière suivante : ………….Notre participation /Votre collaboration: La mission sera effectuée par M ………………………………supervisé par M………………………qui en assurera la responsabilité finale. Si cette proposition vous convient.au cours de phrases.Les limites: Les avis qui seront exprimés sur la situation de votre entreprise ne doivent pas être considérés comme une certification au sens comptable du terme. Les procédures qui seront mises en œuvre n’ont pas pour objet de déceler les fraudes éventuelles mais s’assurer que le dispositif de contrôle interne présente les qualités suffisantes et de prévention et de détection réduisant au minimum les risques de survenance de tels événements ou d’erreurs. Aide la formulation des procédures relatives au traitement des besoins et des exigences de sécurité de la politique. Nos honoraires. 2. selon les modalités fixées au calendrier prévisionnel élaboré d’un commun accord et susceptibles de modifications dans les mêmes conditions..La sécurité du système d’information : Les enjeux de l’expert comptable Au niveau des procédures 1. 4. notamment. des règles prestataires.. des règles opérateurs informatiques. des règles personnelles itinérantes. 5. et s’étendra sur environ …………………….

Nous restons à votre entière disposition pour vous fournir tous les compléments d’information que vous pourriez souhaiter et pour vous apporter notre appui pour la mise en œuvre des recommandations suggérées par le présent rapport. Nous tenons à vous remercier de l’excellent accueil et de la parfaite coopération qui nous ont été réservés par l’ensemble du personnel que nous avons été amenés à rencontrer.La sécurité du système d’information : Les enjeux de l’expert comptable Annexe 3 : Modèle Type de Rapport Cher(e) Client(e). et conformément à notre lettre de mission du …/…/… vous voudrez bien trouver ci-joint. Le Cabinet 167 . le compta rendu de notre étude. Dans le cadre de la mission d’audit de votre système d’information de votre entreprise que vous nous avez confiée. nous vous incitons à prendre connaissance de la suite du rapport qui reprend l’analyse détaillée de l’ensemble de faiblesses relevées ainsi que l’ensemble de nos recommandations. L’évaluation de la fiabilité et de la sécurité du système d’information de votre entreprise amène les observations suivantes : Nous avons toutefois pu mettre en évidence un certain nombre de faiblesse dont voici la liste : Nos principales recommandations sont les suivantes : Pour vous permettre d’apprécier précisément ces différentes informations.

documents publics.Présentation de l’entreprise : Forme juridique : Activité principale : Capital social : RC : 2.La sécurité du système d’information : Les enjeux de l’expert comptable 1. l’information et la coordination sont assurées essentiellement par courrier électronique. Ils stockent les documents et les données de projet sur le serveur abritant les données projets. Ils rédigent des offres. Ils ont entendu accès à leur courrier électronique sur le serveur de courrier. 1 serveur de fichiers abritant des données générales (répertoires personnels « Home ». Voici comment se présente l’infrastructure informatique centrale : 1 serveur abritant les données du personnel et les données administratives.Présentation de l’entreprise : Votre système d’information présente les caractéristiques suivantes : L’entreprise propose des prestations dans le domaine de………………………………………. aux systèmes centraux. En principe. l’impression de tous les documents est centralisée. Ils ne travaillent que sur des portables. Dans le cadre des projets. qu’ils stockent dans les répertoires contenant les données administratives. Le réseau de votre entreprise peut être représenté suivant le schéma suivant : 168 . Les télétravailleurs bénéficient d’un accès intégral à tous les serveurs.…) 1 serveur de courrier 1 serveur abritant les données des clients et les données des projets. de là. Voici comment se présente l’infrastructure des télétravailleurs : Accès Internet : les télétravailleurs disposent d’une liaison ADSL qui leur permet d’accéder à Internet et.

BIBLIOGRAPHIE .

principe et méthode _ Edition EYROLLES. mise en oeuvre et outils _ Edition DUNOD _ 2008 Claudine CHASSAGNE _ Manager un systeme d'information .Guide de réalisation d'un diagnostic stratégique _ Edition Arttesia _ 2009 Association Française de l’Audit et du Conseil Informatique _ COBIT : gouvernance.-M. Jonathan Krier _ Les systèmes de détection d'intrusions _ Edition Developpez. K _ Information Security Mnangement _ Solms & Eloff _ 2000 Bauknecht. et Valérie Delaye _ Mesurer la performance du système d'information _ Edition EYROLLES. T. K _ Information Security Mnangement _ Solms & Eloff _ 2000 BLOCH Laurent. F.Principes. techniques. J-C Grosjean.guide pratique du dsi _ Edition Territorial _ 2009 CLUSIF _ Menaces informatiques et pratiques de sécurité en France _ Edition CLUSIF _ 2010 CNCC _ Prise en compte de l’environnement informatique et incidence sur la démarche d’audit _ Edition CNCC _ 2003 Daniel Marc _ Sécurité du système d’information _ Ecole Supérieur d’ingénieurs de Luminy _ 2004 Daniel Marc _ Sécurité du système d’information _ Ecole Supérieur d’ingénieurs de Luminy _ 2004 David Autissier. et Collectif _ Management et gouvernance des SI _ Edition Lavoisier _ 2009 Chantal Morley _ Management d'un Projet Systeme d'Information . _ 2007 Buffart P. Pour une meilleure gouvernance des systèmes d’information _ Edition DUNOD _ 2009 170 . _ Sécurité des systèmes d’information : Quelle politique globale de gestion des risques ? _ Edition CIGREF _ 2002 Camille Rosenthal-Sabroux. et Guillaume Plouin _ Le poste de travail Web : Portail d'entreprise et accès au système d'information _ Edition DUNOD _ 2010 Arturo Hernandez _ Sécurité des systèmes d'information des PME/PMI . _ 2008 David Burgermeister. B. Médéric Morel. et Hervé Schauer _ Management de la sécurité de l'information : Implémentation ISO 27001 .com _ 2006 Dominique George _ Etude mondiale Ernest&Young sur la sécurité des systèmes d’information en 2004 _ Ernest&Young _ 2004 DOMINIQUE MOISAND FABRICE GARNIERDEL ABAREYRE Préface de Didier Lambert Avec la collaboration de J.DCG Manuel et applications _ Edition NATHAN _ 2007 Arnaud Deslandes. Vakil _ Cobit. Americo Carvalho. Chabbal.Mise en place d'un SMSI et audit de certification _ Edition DUNOD _ 2009 Annelise Couleau-Dupont _ Systèmes d'Information de gestion Epreuve 8 . Gasiorowski. Amilhat. contrôle et audit de l’information et des technologies associées _ Edition DUNOD _ 2000 Bauknecht. Legger et L.La sécurité du système d’information : Les enjeux de l’expert comptable Bibliographie Ouvrage : Alexandre Fernandez-Toro _ Mémento audit ISO 27001 : auditer la sécurité du système d'information _ Edition DUNOD _ 2009 Alexandre Fernandez-Toro. WOLFHUGEL Christophe _ Sécurité informatique.

La sécurité du système d’information : Les enjeux de l’expert comptable Dominique Moisand. et Rolande Marciniak _ Systèmes d'information. 3. 2. et Philippe Meret _ Le système d'information transverse : Nouvelles solutions du SI et performance métier _ Edition Lavoisier _ 2008 François-Xavier de Vaujany _ Les grandes approches théoriques du système d'information de François-Xavier _ Edition Lavoisier _ 2009 Frantz Rowe. dynamique et organisation _ Edition Economica _ 2008 Frédéric Georgel.0 _ Edition EYROLLES. Georges Abou Harb. Renaud Cornu-Emieux. Sûreté de fonctionnement : Convergence et Divergence _ Atelier ssi _ 2004 171 . Jean-Pierre Verjus.. Frangopoulos _ A Comparative Study of Standards and Practices Related to Information Security Management _ Department of computer science and Information Systems UNISA _ 2003 Eric Deschaintre. et Jacqueline Thédié _ Gestion du système d'information BTS Première année : Assistant de gestion de PME-PMI _ Edition hachette _ 2009 FILIOL Eric.Pratiques et évolutions _ Edition ENI _ 2010 Jean-François Pillou _ Tout sur les Systèmes d'information _ Edition DUNOD _ 2006 Jean-Louis Lequeux. et Collectif _ Stratégie et pilotage des systèmes d'information _ Edition DUNOD _ 2009 Jean-Damien RUBAL _ Mise en œuvre d’un SMSI et déploiement de politique de sécurité BS 7799/ ISO 27002 _ Callio Technologies Europe _ 2004 Jean-François Carpentier _ La gouvernance du Système d'Information dans les PME . Christian Draux. RICHARD Phillipe _ Cybercriminalité _ Edition DUNOD _ 2007 François Rivard. et Jean-François Challande _ Le grand livre du DSI : Mettre en oeuvre la direction des systèmes d'information 2. partez ! _ Edition ENSP _ 2004 Jean-Philipe Jouas et Albert Harari _ Le Risque Informatique » 2SI-sécurité des systèmes d’information _ Edition Arttesia _ 1999 Kamoun. M _ Audit de la sécurité du système d’information et de communication : sécurité informatique. et Thierry Chamfrault _ IT gouvernance : Management stratégique d'un système d'information _ Edition DUNOD _ 2009 GDI Jeans-Louis Desvignes _ GDI Jeans-Louis Desvignes « les enjeux de la sécurité des systèmes d’information _ SSTIC _ 2003 GDI Jeans-Louis Desvignes _ Les enjeux de la sécurité des systèmes d’information _ Edition SSTIC _ 2003 Gérard Balantzian _ Le plan de gouvernance du SI : Etat de l'art. _ 2009 Jean-Marc Tourreilles _ Le système d'information hospitalier : 1. Fabrice Garnier de Labareyre. et Archimbaud J _ Guide de la sécurité des systèmes d’information à l’usage des directeurs _ CNRS _ 1999 Longeon Robert _ Sécurité des systèmes d’information.. méthode et cas concrets _ Edition DUNOD _ 2006 Geyres Stéphane _ La sécurité des systèmes d’information dans les entreprises Française en 2003 : un zoom _ Ernest&Young _ 2003 Hugues Poissonnier. et Bruno Ménard Broché _ CobiT : Pour une meilleure gouvernance des systèmes d'information _ Edition EYROLLES. un nouvel avantage concurrentiel _ Economiste Magrébin _ 2003 Longean R. _ 2010 Eloff.

Code de bonne pratiques pour la sécurité de l’information _ Yosecure _ 2003 Yves Chevalier _ Système d'information et gouvernance _ Edition DUNOD _ 2008 Ziadi jameledine _ SI.La sécurité du système d’information : Les enjeux de l’expert comptable Ludovic Mé _ Sécurité des systèmes d'information. déployer. et Thierry Rivat _ Manager la sécurité du SI : Planifier. et Paul Théron _ Plan de continuité d'activité et système d'information : Vers l'entreprise résiliente _ Edition DUNOD _ 2010 Michelle Gillet. améliorer _ Edition DUNOD _ 2007 Matthieu Bennasar. vers une approche de e-management _ Centre de Publication Universitaire _ 2004 Normes. Patrick Arnould. La norme 2-300 du la CNCC « appréciation du contrôle interne» . Dunod. d’audit assistées par ordinateurs ». recommandations et référentiels La norme ISA 315 « connaissances de l’entité et de son environnement et évaluation du risque d’anomalies significatives » . La norme ISA 500 «éléments probants » . : 2 _ Edition Lavoisier _ 2006 Matthieu Bennasar. La norme 2-302 du la CNCC « audit réalisé dans un environnement informatique » . ERP. code pratique pour la gestion de sécurité de l’information » 172 . La norme 2-301 du la CNCC « évaluation du risque et contrôle interne » . La norme ISA 330 « Audit réalisé dans un environnement informatique» . TIC. Alain Champenois. octobre 2000 _ Sécurité Internet . IS0 27002 « Technologies de l’information. contrôler. et Marc Pasquet _ Management des systèmes d'information UE 5 du DSCG : Enoncé _ Edition CORROY _ 2009 Thierry RAMARAD _ Quelle méthode d’analyse des risques ? Panorama des solutions et méthodes _ Edition DUNOD _ 2005 Thierry RAMARAD _ Quelle méthode d’analyse des risques ? Panorama des solutions et méthodes _ Edition Economica _ 2005 Yosecure _ Norme de sécurité internationale ISO/IEC 17799 : V 2000. Stratégies et technologies _ Edition DUNOD _ 2000 Sylvie Gerbaix. et Patrick Gillet _ SIRH : Système d'information des ressources humaines _ Edition DUNOD _ 2010 Nicolas Dubée _ Analyse des risques sécurité SI _ Edition Economica _ 2001 Pascal Vidal _ Systèmes d'information organisationnels de Pascal Vidal _ Edition Pearson Education _ 2009 Patrick Boulet _ Plan de continuité d'activité : Secours du système d'information _ Edition Lavoisier _ 2008 PLANS J _ La pratique d’audit informatique _ Edition Eyrolles _ 2000 Robert Reix _ Systèmes d'information et management des organisations _ Edition Vuibert _ 2004 Servin Claud _ Réseaux et télécoms _ Edition DUNOD _ 2003 Solange Ghernaouti-Hélie Claud « sécurité Internet . Stratégies et technologies».

Lois et règlements Loi n°2004-5 du 3 février 2004. CLEUET Fabien (CISA). octobre 2005 . Loi n°94-36 du 24 février 1994. BOUCHET Xavier. 173 . Loi organique n° 2004-63 du 27 juillet 2004. le monde informatique n°1068. avril 2005 . Décret n° 2004-1249 du 25 mai 2004. DESCAMPS Olivier et ROGNON jean luc « sécurité : maîtriser les risques internes ». relative au code des télécommunications . le monde informatique n°1071. « Sécuriser la production et l’exploitation informatique » revue AFAI n°62/2000 . fixant les systèmes informatiques et les réseaux des organismes soumis à l’audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l’audit et à sa périodicité et aux procédures de suivi de l’application des recommandations contenues dans le rapport d’audit . Loi n°96-112 du 30 décembre 1996. relative à la propriété littéraire et artistique . Décret n° 2004-1250 du 25 mai 2004.La sécurité du système d’information : Les enjeux de l’expert comptable Articles de base EGILIA « Introduction à la sécurité informatique » du 20 avril 2009 BARDY Christophe. fixant les conditions et les procédures de certification des experts dans le domaine de la sécurité informatique . Décret n° 2004-1248 du 25 mai 2004. Loi n°2001-1 du 15 juin 2000. Loi n°2000-83 du 9 août 200à. portant promulgation du système comptable des entreprises. « Transformer l’e-mail en système critique ». « ne pas s’empêtrer dans le sans-fil ». Code de l’impôt sur le revenu des personnes physiques et de l’impôt sur les sociétés . relative à la sécurité informatique . relative aux échanges et au commerce électronique . le monde informatique n°1086. Code des droits et procédures fiscaux. mai 2005 . fixant l’organisation administrative et financière et les modalités de fonctionnement de l’agence nationale de la sécurité informatique . portant sur la protection des données à caractère personnel .

plaidoyer pour l’innovation technologique ou comment se préparer à l’audit du XXIème siècle ». « la sécurité de l’information face au risque informatique : approche méthodologique de diagnostic ». mémoire d’expertise comptable.fr. 174 . GUYARD Alain. www. mémoire d’expertise comptable.juristetunisie. BEN SALAH Atef.tn. « l’informatique au service de l’expert comptable ».certification. juin 1999 . mémoire d’expertise comptable.org. novembre 1998. « Audit. MARAKCHI Iskander. ZANOTTI William.afai.hsc. BORGI Mohamed lassaad. GOBBI Laurent. ISCAE. juin 2002 . mémoire d’expertise comptable. ISCAE. « Sécurité de la micro informatique dans les PME. « l’évolution des technologies de l’information et de la communication : impact sur l’audit financier ».isaca. décembre 1997 . DJEMEL Abdelhédi.com . France.tn. www. France.ansi.La sécurité du système d’information : Les enjeux de l’expert comptable Mémoires ANGELONI Pascal. mai 2000 .fr. www.tn. France. ISCAE. novembre 2004 . France. « La valeur ajoutée de l’audit informatique dans le cadre de commissariat aux comptes ». ISCAE. mémoire d’expertise comptable. mémoire d’expertise comptable.asso. www. « sécurité informatique en milieu TPE-PME : rôle du professionnel du chiffre ». mémoire d’expertise comptable. www. mémoire d’expertise comptable. Sites Internet www. novembre 1999. www. les techniques adaptées et leur audit par l’expert comptable ».infocom. « l’audit des comptes au vu de l’évolution des technologies de l’informatique ».secuser. novembre 1995 . www.com.

cnrs.gov:80/ciac/ ftp://info.fr/Securite/index.fr/Securite/index.ifac.fr/ 175 .win. www.ifaci. www. http://www.html http://www.html www.referencielcoso. www.fr ftp://ftp.html http://www.org/pubWindows NT.cru.sg.org.asso.fr/ http://www.gouv.fr/Infosecu/accueil.nl/pub/security/ http://ciac.urec.yahoo www.cnrs.cru.clusif.La sécurité du système d’information : Les enjeux de l’expert comptable www.ssi.fr/internet/legislation.tue.fr.cert.cnil.org.llnl.htm http://www.

.......................................................................... 33 Section 4 : Les systèmes de détection des intrusions ............................................................. 24 Sous section 2: Les vulnérabilités: ................................................................................ CONCEPTS ET ENJEUX ......................................................................................20 Sous section 2: Rôle stratégique des systèmes d’information: ................... 33 Sous section 2: Les méthodes de détection: .....................30 Sous section 1: Les familles des attaques:................................................................17 Introduction à la Première Partie ................................................................ objectif...............................38 ........................................................................18 Chapitre 1: Les risques du système d’information.......................................................................................................................................... 23 Section 2: Les menaces et les vulnérabilités des systèmes d’information : .................................................................................................11 PREMIERE PARTIE : SECURITE DU SYSTEME D’INFORMATION .......................22 Sous section 4: Les fonctions du système d’information: ......20 Introduction: ................................33 Sous section 1: Les différents types d'IDS: ........................ fonctions et organisation d’un système d’information : .............................. 22 Sous section 5: L’organisation du système d’information:... 27 Sous section 3: Les conséquences en résultant: ........................................31 Sous section 3: Programmes malveillants: .......................................................................................................................................................................................................................... 20 Sous section 1: Définition: ......................36 Conclusion: ............................................................................................................. 30 Sous section 2: Attaques sur les mots de passe: ....................................................................................................................................37 Chapitre 2 : Les méthodes d’évaluation du risque....................................... 20 Section 1 : Définition................................................................ 29 Section 3 : Les types des attaques et des agressions : ........................................................................................................................................................ 24 Sous section 1: Les menaces: ....................... 32 Sous section 5: Les attaques sur le réseau: ......................... rôle...........................................................................La sécurité du système d’information : Les enjeux de l’expert comptable Table des matières Introduction Générale ....................................................................... 21 Sous section 3: Objectif du système d’information: ...................................... 32 Sous section 4 : Attaques par messagerie: ....................................................................

........................... 45 Section 4: La Méthode Harmonisée d'Analyse de Risques : MEHARI .............................................................................. 51 Section 2 : Les caractéristiques de la sécurité : Confidentialité.......................................................... ............................38 Sous section 2: Identification...................................................................................................................................................................................... Évaluation et Management de risque :................................. 50 Sous section 2 : La sécurité du système d’information (SSI) : ........49 Chapitre 3 : La sécurité du système d’information ........ 43 Sous section 1: Thématiques des indicateurs de la méthode Marion: .............................................................. 51 Sous section 1: La disponibilité: ............................................... Intégrité et disponibilité............................................ 38 Sous section 1: Définition du Risque: ............................................... 39 Sous section 3: Les méthodes de management de risque : .......................... 41 Section 3: La méthode d’analyse des risques informatiques orientée par niveau « MARION » : ...........................................................51 Sous section 2: La confidentialité: .................................................................................................................53 Sous section 1: Importance stratégique de l’information: ... ......................................................................................... 52 Sous section 3: L’intégrité: .............................La sécurité du système d’information : Les enjeux de l’expert comptable Introduction: .................................................................................................. 54 ..............50 Introduction: ................... 43 Sous section 2: Phases de la méthode Marion: ................................................................... 38 Section 1: Le management du risque:........................................................ 49 Conclusion: ..................................................43 Sous section 3: Types de menaces Marion: ..................................................................... 54 Sous section 3: Exigences formulées par des tiers:............... 47 Section 6: Critères de choix entre les différentes méthodes ..............53 Sous section 2: Dépendance de la prise de décision par rapport aux informations:................................................................................. concepts et objectifs de la sécurité du système d’information : ............................................................................................... 46 Section 5: Expression des Besoins et Identification des Objectifs de Sécurité : EBIOS .............54 Sous section 4: Les enjeux juridiques: ..................................................................................................................................................................... 54 Section 4: la normalisation internationale en matière de sécurité......... 50 Section 1: Définition......................................................................52 Section 3: Les besoins en sécurité : ..................................................... 39 Section 2: Control Objectives for Information and Technology: COBIT .................... 50 Sous section 1 : Définition de la sécurité :.......................................................................................................

........ 77 Sous section 2: Les stratégies de spécialisation : ......................................................................................................64 Section 3 : Le SMSI et Le PDCA d’Edward Deming: .............................................................................................................................................................. 75 Sous section 2: Phase 2 : Evaluation des risques : ....................77 Sous section 3: Les nouvelles missions technologiques : ........................................................................................................................................................................................................................................... 76 Sous section 3: Phase 3 : Obtention d’éléments probants : .................................. 59 Sous section 1: Implication de la direction : ......................................................72 Chapitre 1 : L’expert comptable et les missions d’audit de la sécurité du système d’information .......................71 Introduction à la Deuxième Partie ................68 Conclusion de la Première Partie .................................................................................................................................................... 68 Conclusion: .............................................................................................................................................................................................................................................................................. 76 Section 2 : La sécurité du système d’information dans le cadre des autres missions de l’expert comptable : .................. 61 Sous section 2: Management des ressources : ................................ 74 Sous section 1: Phase 1 Orientation et planification de la mission : .... 61 Conclusion: ....................................................................................... 56 Sous section 3 : Présentation de la BS 7799 et ISO 27002 : ........................................................74 Section 1 : La sécurité du système d’information dans le cadre d’une mission d’audit légal: .........................77 Sous section 1: De la mission de tenue des comptes à la mission de conseil : ....................................................................................................................................................65 Section 4 : La norme ISO 27001 et le SMSI : ...................................................................62 Chapitre 4 : Le management de la sécurité du système d’information (SMSI) .................57 Section 5: La sécurité de l’information : une responsabilité du management................................................................................................................................................................................................................................ 63 Section 1 : Définition d’un SMSI : ................... 68 Sous section 2: La seconde partie comporte les annexes (ABCD): ................. 55 Sous section 2: Les normes de sécurité du système d’information : . 77 ....................La sécurité du système d’information : Les enjeux de l’expert comptable Sous section 1: Direction centrale de la sécurité des systèmes d’information (DCCI): .........................................69 DEUXIEME PARTIE : AUDIT DE LA SECURITE DU SYSTEME D’INFORMATION ...........................................................................63 Section 2 : La mise en place d’un SMSI : .............................63 Introduction: .......74 Introduction : .......................................................................... 67 Sous section 1: La première partie : ..............

.............99 Chapitre 2 : Les étapes d’audit de la sécurité du système d’information .......................................... 111 ........................................................................................................................................................................................................................................................ supervision et revue : ..................... 100 Sous section 1 : Définition de la sécurité du système d’information:........................................................................................... 100 Sous section 2 : Objectifs de la sécurité du système d’information : ................................................................................................84 Sous section 3: Les principales réactions des organismes professionnels: ..........................................110 Sous section 4: Modifications au cours du déroulement de l'audit des décisions prises lors de sa planification : ............................ 82 Sous section 2 : La réglementation juridique: ..................... 78 Sous section 2: La réglementation fiscale: .. juridique et règlementaire : ....................................................................................................................................................................................................................................................................... 108 Section 3: Planification de la mission: ............................ 78 Sous section 1: la réglementation comptable: ..........100 Introduction: ............................................................................................................................................................ 106 Sous section 4: Identification des processus à analyser : ............................................................................................102 Sous section 1: Description du système d’information de l’entreprise: ............................................ 95 Conclusion: ........................................ 111 Sous section 5: Direction..................................................................................................110 Sous section 3: Le programme de travail : ................................................................91 Sous section 2: Intégrer les TIC pour faire face aux mutations du secteur ... 93 Sous section 3: Les compétences à développer ......................................... fiscal..................................................................................................................109 Sous section 1: Travaux préliminaires à la planification de la mission: ........................... 87 Section 4 : Les compétences requises par l’expert comptable: .................................91 Sous section 1: Limites à la réalisation d’une mission d’audit de la sécurité du système d’information: .............. 111 Sous section 6: Documentation : ................................ 100 Section 1: Définitions et objectifs de l’audit de la sécurité du système d’information: .................109 Sous section 2: Le plan de mission : ..101 Section 2 : Prise de connaissance générale : ...............................La sécurité du système d’information : Les enjeux de l’expert comptable Section 3 : Cadre comptable..... 103 Sous section 2: Cartographie générale des applications: ................................................103 Sous section 3: Appréciation de la complexité du système d’information: ............................................................................

........... 123 Sous section 1: Politique de sécurité: .................................................................................................................................................................................La sécurité du système d’information : Les enjeux de l’expert comptable Sous section 7: Communications aux personnes constituant le gouvernement d'entreprise et la direction: .................................................. 129 Section 3 : Audit technique .......................................................................................117 Section 5 : Elaboration du rapport et des recommandations : ............................................................................... 112 Sous section 1 : Phase 0 Planification et mise de place du plan de mission : ............................ 122 Section 2: Audit organisationnel et physique:............... 117 Sous section 1: Elaboration des constats d’audit: ............................................................... 124 Sous section 2: Organisation de la sécurité de l’information: ..................... 125 Sous section 5: Sécurité physique ou environnementale: ....................111 Section 4 : Mise en plan du plan de mission : ........................................................................... 117 Sous section 2: Préparation des conclusions d’audit: ......................................................................................................... 129 Sous section 10: Gestion de la continuité d’affaires: ............................................124 Sous section 3: Gestion des actifs: .............................................................................................................................................................................................. 121 Section 1: Présentation de la norme «les bonnes pratiques de sécurité» ISO 27002 : .................. 126 Sous section 7: Contrôles d’accès: .......................................................................................................................... 121 Sous section 1: Bref Historique: ..............................................130 .............................................................................................................................................................. 112 Sous section 2 : Phase 1 Audit organisationnel et physique : ............ 129 Sous section 11: Conformité:.......... 126 Sous section 6: Gestion de la communication et de l’exploitation: ...................................115 Sous section 3 : Phase 2 Analyse des risques : ........................ 116 Sous section 4 : Phase 3 Audit technique : .......... développement et maintenance des systèmes d’information: .................................................... 127 Sous section 8: Acquisition............................................................................................................................................................ 119 Conclusion: ........................................... 117 Sous section 3: Exigences de l’ISACA sur les rapports:........................................................................................................................................................120 Chapitre 3 : Démarche d’audit de la sécurité du système d’information basée sur ISO 27002 ................... 121 Introduction: ..........125 Sous section 4: Sécurité des ressources humaines: ..................................................................................................................... 128 Sous section 9: Gestion des incidents de sécurité de l’information: ............................ 122 Sous section 2: Schéma d’architecture: ............................................

........................................................................................133 Introduction : .......... 143 Sous section 2: Identification de la législation en vigueur : ............................................................................................................................................................................................................................................. 144 Sous section 3: Protection des enregistrements de l’organisme : .............................................................................................................................................................................................................................................................................................. 131 Sous section 3: Phase de tests intrusifs : .............................................. 131 Conclusion : ..........................142 Section 4: L’audit externe et le respect de la réglementation en matière de sécurité: .....................................................................................................................................................142 Sous section 2: Responsabilité de l’expert comptable selon l’ISA 570 Continuité d’exploitation: ........... 146 Sous section 9: Contrôles de l’audit du système d’information : ................142 Sous section 1: Cadre conceptuel................................................................................................................................. 145 Sous section 6: Règlementation relative aux mesures cryptographique : .................. 133 Section 2: La sécurité du système d’information et l’évaluation du système de contrôle interne : ................. 144 Sous section 5: Mesure préventive à l’égard du mauvais usage des moyens de traitement de l’information : ................................................................................................................................132 Chapitre 4 : L’audit de la sécurité du système d’information et les normes d’audit financier .....................................................................................133 Sous section 2: Les composants du risque d’audit :....137 Sous section 1: Les composantes du contrôle interne: .............................. Hypothèses sous-jacentes et conventions comptables relatives la continuité de l'exploitation : ............................................................................................................................................................................................................................................................................................................................................................................................................................................................133 Section 1 : La relation entre les risques de la sécurité de l’information et le risque d’audit: ..........146 ......................................... 143 Sous section 1: Conformité avec les exigences légales : ..................138 Section 3 : La sécurité de l’information et l’hypothèse sous jacente de la continuité d’exploitation : .........La sécurité du système d’information : Les enjeux de l’expert comptable Sous section 1: Phase d'approche : ..................... 146 Conclusion: ......................................... 145 Sous section 7: Conformité avec les politiques et normes de sécurité:........... 144 Sous section 4: Protection des données et confidentialité des informations relatives à la vie privée:..... 133 Sous section 1: Le risque d’audit: ............................................130 Sous section 2: Phase d'analyse des vulnérabilités : ...... 145 Sous section 8: Vérification de la conformité technique :... 137 Sous section 2: Le système d’information: .............................................................................................................................

.........................149 BIBLIOGRAPHIE ....................................................................149 ......................................................148 ANNEXES ..................................................................La sécurité du système d’information : Les enjeux de l’expert comptable Conclusion de la deuxième partie .................................................................147 Conclusion Générale .........................................................................................................................................................................................................

Sign up to vote on this title
UsefulNot useful