Professional Documents
Culture Documents
I.S.C.A.E
PAR
M. Omar SEKKAT
MEMBRES DU JURY
Novembre 2002
REMERCIEMENTS
Qui nous a fait l’honneur d’accepter la présidence de notre jury du mémoire d’expertise
comptable. Qu’il trouve ici l’expression de nos hommages les plus respectueux.
Qui ont bien voulu accepter de juger notre travail. Qu’ils trouvent ici l’expression de notre
haute gratitude et de notre profond respect.
Qui nous fait l’honneur de diriger ce travail avec un grand intérêt et de l’enrichir avec ses
précieux conseils. Qu’il trouve ici l’expression de nos hommages les plus respectueux.
REMERCIEMENTS
Remerciements
Enfin je tiens à remercier mes parents et surtout mon épouse pour leur soutien moral, ainsi que
l’ensemble des amis qui ont contribué de près ou de loin à la réalisation de ce travail.
SOMMAIRE
Sommaire
Pages
INTRODUCTION GENERALE 1
PREMIERE PARTIE : 7
Les risques informatiques et techniques de protection
Pages
Chapitre 2 : Méthodologie d’audit de la sécurité micro-informatique dans les PME 74
1 Déroulement de la mission 74
2 Formulation des recommandations 81
3 Particularités d’une mission d’audit de la sécurité micro-informatique 87
Chapitre 3 : Programme de travail et conduite de la mission par thème 93
1 Organisation micro-informatique et environnement de contrôle 93
2 Efficacité de l’environnement micro-informatique 97
3 Disponibilité de l’information 100
4 Sécurité des études et développements d’applications informatiques 103
CONCLUSION GENERALE 108
BIBLIOGRAPHIE 111
ANNEXES 116
LEXIQUE EN ARABE 186
TABLES DES MATIERES 190
SIGLES ET ABREVIATIONS
INTRODUCTION GENERALE
L’informatique, contraction des mots information et automatique, est définie comme étant :
"La science du traitement rationnel de l’information considéré comme support des connaissances
et communications dans les domaines technique, économique et social",
"Ensemble des applications de cette science, mettant en œuvre des matériels, des logiciels et
différents éléments qui lui sont rattachés"1,
L’informatique s’était fixée comme mission d’automatiser les tâches lourdes et répétitives dans la
gestion des entreprises jusque-là effectuées par l’homme. Cependant en présence de l’outil
informatique, les entreprises se sont vues dans l’obligation de reconsidérer leur organisation
générale, d’une part en vue d’optimiser l’usage de cet outil, et d’autre part, dans le sens d’une
vision globale de l’entreprise. Sur le plan matériel, le développement de la technologie des
microprocesseurs a donné lieu à des machines miniaturisées, de capacités plus grande, et de
moins en moins coûteuses. Cette miniaturisation des composants électroniques a permis
l’apparition au cours des années 1970 de la micro-informatique. Celle-ci a connu une évolution
ininterrompue de ses performances technologiques, entraînant rapidement son implantation dans
les entreprises. Nous avons reporté en annexe n° 2 une description de l’évolution de la micro-
informatique.
Avec le développement des réseaux locaux, la micro-informatique est devenue, outre un outil de
travail, un outil d’échange et de partage de données. Le micro-ordinateur a quitté son espace
strictement individuel (PC : personnal computer) pour se transformer progressivement en un outil
totalement intégré dans le système d’information de l’entreprise.
Cette mise en liaison d’unités séparées géographiquement, a permis à travers les réseaux
d’augmenter l’efficacité de communication entre les micro-ordinateurs à des coûts raisonnables.
Cet outil de traitement de l’information a pris une place importante dans l’entreprise, a
bouleversé les habitudes de travail de chacun d’entre nous. Il est considéré par beaucoup comme
possédant un haut niveau de fiabilité minimisant les risques d’erreurs et les tâches fastidieuses de
contrôle, calcul ou traitements pris en charge par cet outil.
• Au respect des lois, règlements et obligations contractuelles auxquels elle est soumise.
Pour maintenir cet avantage compétitif de manière durable et pour rester en conformité avec les
lois, règlements et obligations contractuelles, l'entreprise doit assurer la disponibilité constante de
l'ensemble de ses outils, et notamment l'outil informatique dont elle est de nos jours de plus en
plus dépendante.
Au-delà des ces enjeux, le concept de sécurité a évolué aux rythmes des innovations
technologiques comme en témoigne l'évolution même de sa définition.
3 INTRODUCTION GENERALE
Définie à l'origine comme "la confiance, tranquillité d'esprit, résultant de la pensée qu'il n’y a pas
de péril à redouter"2, la sécurité est définie aujourd'hui comme "la situation dans laquelle
quelqu'un, quelque chose, n'est exposée à aucun danger, à aucun risque d'agression physique,
d'accident, de vol, de détérioration"3.
La sécurité informatique étant définie comme "la propriété d'un système d'information de
présenter pour son environnement comme pour lui-même des risques directs ou indirects
acceptables, déterminés en fonction des dangers potentiels inhérents à sa réalisation et à sa mise
en œuvre".4
La notion de sécurité repose donc sur l’existence de menaces potentielles. La dépendance des
entreprises à l’égard de leur système d’information et de l’outil informatique fait que l’absence de
mesures de sécurité favorise l’apparition d’une vulnérabilité qui peut engendrer des préjudices
entraînant des pertes potentielles pour l’entreprise. L’entreprise et les utilisateurs de manière
générale ont une méconnaissance des risques informatiques liés à l’utilisation de la micro-
informatique. La sauvegarde des actifs de l’entreprise et la fiabilité des informations produites
par le système d’information n’est pas assurée par un cadre de contrôle interne et une
organisation efficiente de l’entreprise.
La mise en place de ces solutions ne doit pas exclure leur contrôle par un organe indépendant tel
que l’expert-comptable ou le commissaire aux comptes qui de par leur position d’interlocuteur et
de conseiller de l’entreprise, peuvent porter un avis en toute impartialité et objectivité.
• Quelles sont les techniques de protection à mettre en œuvre pour améliorer la sécurité
micro-informatique au sein de l’entreprise ?
• Quel pourrait être le rôle de l’expert-comptable face aux risques de sécurité micro-
informatique dans les PME ? et quelle serait sa démarche de travail ?
Les objectifs recherchés par le choix d’un tel sujet sont les suivants :
• Faire ressortir l’importance d’une bonne connaissance et maîtrise des risques réels et leurs
conséquences qui pèsent sur l’entreprise, l’expert-comptable paraissant le mieux placé
pour jouer auprès de la Direction Générale le rôle de sensibilisation,
• Sensibiliser les professionnels sur la nécessité d’adopter une démarche par les risques lors
de leurs travaux de contrôle de la sécurité micro-informatique d’une PME,
Le commissaire aux comptes est lui mandaté par l’assemblée générale de toute entreprise et a
pour mission de certifier ses comptes. L’objectif principal serait d’obtenir l’assurance raisonnable
que les états financiers audités sont réguliers et sincères et donnent une image fidèle du
patrimoine, des résultats et de la situation financière de la société.
Afin d’obtenir cette assurance raisonnable, le commissaire aux comptes devra mettre en œuvre un
ensemble de diligences lui permettant de conforter son opinion. Par l’examen du contrôle interne
et plus précisément l’examen de l’environnement de contrôle informatique, le commissaire aux
comptes jugera nécessaire ou pas d’approfondir ses travaux de contrôle. Toutefois, l’examen de
l’environnement de contrôle informatique ne se focalise pas sur l’aspect risques informatiques
liés à l’utilisation de l’outil micro-informatique et sécurité micro-informatique.
Le présent mémoire sera structuré en deux parties. La première partie traitera des risques
informatiques et techniques de protection. Dans un premier chapitre, nous essaierons d’identifier
les risques informatiques et moyens de maîtrise. Dans un second chapitre, nous analyserons les
techniques de protection adaptées à la micro-informatique. Dans un troisième chapitre nous
aborderons l’impact réel et la perception des risques chez les PME avec comme base de travail
une enquête sur la sécurité informatique.
Au niveau de la seconde partie, nous présenterons une approche d’audit de la sécurité micro-
informatique. Nous ferons ressortir dans un premier chapitre les normes et référentiels en matière
d’audit de la sécurité micro-informatique. Dans un second chapitre, nous présenterons une
méthodologie d’audit de la sécurité micro-informatique depuis la phase de prise de connaissance
à la remise du rapport et lette de recommandations, en insistant sur les points communs et les
particularités de cette méthode par rapport aux missions d’audit classiques. Enfin, dans un
troisième chapitre nous traiterons plus en détail le programme de travail de l’expert-comptable et
la conduite de la mission par thème.
Il est utile de préciser que ce mémoire ne constitue pas un catalogue des outils de sécurité existant
sur le marché. De plus, le domaine d’analyse a été volontairement restreint à la gestion de la
sécurité des micro-ordinateurs autonomes ou interconnectés en réseau local. La présente étude ne
portera par sur la sécurité des réseaux étendus. Nous avons néanmoins consacré un bref passage à
la sécurité Internet, représentant aujourd’hui une menace importante pour les PME mais sans
toutefois développer dans le détail les méthodes et moyens de défenses répertoriés à ce jour.
7 PREMIERE PARTIE
PREMIERE PARTIE :
LES RISQUES INFORMATIQUES ET
TECHNIQUES DE PROTECTION
INTRODUCTION
Le risque représente la probabilité de rencontrer un événement non souhaité, à savoir une erreur,
une omission ou une inexactitude. L’existence de risques ne signifie pas nécessairement leur
concrétisation en anomalies réelles. On distingue néanmoins différents niveaux de risques :
• L’événement réalisé : défini par la survenance de l’anomalie liée à un risque possible non
couvert.
Le professionnel a tendance à orienter ses travaux d’audit en fonction des zones de risques. A
l’intérieur de ces zones de risques, il est d’usage5 de classer le risque de la façon suivante :
Ces risques sont de nature à influencer l’ensemble des opérations de l’entreprise et dépendent de
la spécificité du secteur d’activité de l’entreprise et de son organisation générale. Ils sont
regroupés sous trois rubriques
Ces risques sont en règle générale liés aux objectifs de régularité et de sincérité de l’information
financière produite. Les opérations et transactions peuvent être routinières et répétitives, non
routinières et ponctuelles ou exceptionnelles.
Toute entreprise doit disposer d’un système comptable et de contrôle interne à même de lui
permettre de prévenir les erreurs et de détecter celles qui se produisent afin de les corriger. Mais
tel n’est pas toujours le cas dans des logiciels de gestion complexes où l’erreur n’est pas détectée
ou lorsque les utilisateurs de ces systèmes ne sont pas suffisamment formés. Ces risques sont
regroupés sous deux rubriques :
Il s’agit des risques pouvant amener l’auditeur à tirer des conclusions erronées. Tant pour
l’expert-comptable que le chef d’entreprise, le risque de non détection représente le risque que
des erreurs significatives subsistent en fin de compte.
Il convient de noter que les définitions précédentes sont générales, se rattachent à toute entreprise
quel que soit son secteur d’activité. Néanmoins, en matière informatique, les risques ne sont pas
nécessairement les mêmes que ceux évoqués ci-dessus et nécessitent donc une bonne
compréhension des facteurs d’insécurité qui peuvent peser sur l’entreprise.
L’expert-comptable adoptera une démarche générale afin d’identifier les différents types de
risques informatiques tout en mettant l’accent sur l’impact de ces risques sur le patrimoine et la
pérennité des PME et en proposant des techniques de protection appropriées à la PME.
Nous traiterons dans un premier chapitre des risques informatiques et moyens de maîtrise.
Ensuite, nous étudierons les différentes techniques de protection dont dispose toute entreprise
pour réduire le risque.
9 PREMIERE PARTIE
Enfin dans un troisième chapitre, nous aborderons l’impact réel et la perception de la sécurité
micro-informatique dans les PME sur la base d’un questionnaire remis aux entreprises et dont la
finalité est de déterminer l’appréciation des risques micro-informatiques par les différents acteurs
de l’entreprise et la nécessité de mise en place de techniques de protection dans le cadre d’une
politique de sécurité globale.
10 PREMIERE PARTIE
Les risques pesant sur l’outil micro-informatique sont permanents. Néanmoins, qu’appelle t’on
risques informatiques et quels seraient les risques spécifiques à la micro-informatique ?
L’AFNOR6 définit le risque comme "un danger éventuel, un événement futur, incertain et
indépendant de la volonté des intéressés". Le risque est également défini comme "un danger, un
inconvénient plus ou moins probable auquel on est exposé"7.
Ces définitions mettent surtout l’accent sur le côté éventuel, incertain et par extension peu
probable. En complément à cette définition, nous reproduisons ci-après les définitions suivantes.
Un risque est défini comme "tout événement affectant un système informatique et susceptible
d’entraîner des dommages et des pertes à l’entreprise concernée".8
"Un risque est un péril (si possible) mesurable qui vise des biens (actifs, patrimoine) aux
conséquences économiques dommageables (et si possible) quantifiables."9
Ces deux définitions mettent l’accent sur la notion de danger, en indiquant les conséquences et en
insistant sur la difficulté de mesure du risque.
Le risque existe lorsqu’un système est vulnérable à une menace. La menace étant une donnée sur
laquelle nous n’avons aucune maîtrise, alors qu’il est toujours possible de chercher à diminuer la
vulnérabilité d’un système.
La nature et l’importance des menaces ont beaucoup évolué au fil du temps passant des risques
de pannes matérielles et de cas de force majeure, à des risques apparaissant dans un
environnement économique de plus en plus concurrentiel. Ce sont les informations et les données
(éléments immatériels du système d’information) qu’il y a lieu de protéger.
Mais leur protection ne peut être qu’effectuée au niveau de leur environnement constitué des
éléments logiques, physiques et organisationnels. (Cf. chapitre 2 : les techniques de protection
adaptées à la micro-informatique).
La micro-informatique présente des risques qui lui sont propres et qui peuvent affecter la
disponibilité des applications ainsi que l’intégrité et la confidentialité des données traitées. Les
risques spécifiques à la micro-informatique sont répertoriés ci-dessous10.
La baisse des prix des micro-ordinateurs a engendré un attrait pour leur utilisation, car devenus à
la portée de tout le monde. Toutefois, cette vulgarisation, considérée comme facteur de fiabilité
minimisant les risques d’erreur et réduisant les tâches pénibles de contrôle, calcul ou traitement
pouvant être pris en charge par cet outil, est aussi une source de fragilité pour l’entreprise
lorsqu’il est mal utilisé ou détourné de son objet.
Par ailleurs, si l’introduction du "downsizing"11 (miniaturisation), technique qui concerne plus les
grandes structures que les PME qui consiste à faire migrer un système d’information centralisé
vers un réseau local de micro-ordinateurs en mode clients / serveurs, ou à insérer des micro-
ordinateurs dans les architectures déjà existantes (traitements coopératifs) a été mal préparée ou
mal adaptée, cela peut avoir de graves conséquences pour l’entreprise et mettre en péril sa
sécurité (manque d’expérience des utilisateurs, erreurs, malveillances, etc.)
Les entreprises qui disposent d’une politique informatique centralisée et formalisée sont rares.
Celles qui disposent d’un plan micro-informatique décrivant les évolutions de l’informatique au
sein de l’entreprise le sont encore moins. Néanmoins, un système d’information implique la
cohérence de l’ensemble de ses constituants, à savoir :
Même si ces documents ne sont pas aisés à réaliser en raison de l’évolution permanente de la
technologie, ils restent néanmoins indispensables à la bonne maîtrise de la micro-informatique au
sein de toute entreprise.
d) Les malveillances
e) risques Internet
Les risques sur Internet qui sont de trois ordres : attaque directe, espionnage et e-mail indésirable.
L’attaque directe de l’ordinateur repose au moins sur une faille de sécurité humaine ou une faille
de sécurité logicielle.
Celle-ci peut avoir lieu par le biais d’un virus, ver ou une intrusion qui consiste à se connecter sur
l’ordinateur depuis n’importe qu’elle endroit.
Les dégâts causés par ce type d’attaques sont nombreux empêchant le redémarrage de
l’ordinateur, bloquant ou perturbant le système d’exploitation ou les applications logicielles,
détruisant les fichiers, etc.
L’espionnage Internet est un autre type de risque Internet consistant à divulguer des informations
concernant l’entreprise, pouvant être d’ordre technique ou personnel.
14 PREMIERE PARTIE
Les e-mail indésirérables sont sources de risques non négligeables. Il s’agit généralement des
spams ou e-mail purement commercial, qui consistent à vous inonder de dizaines de publicité par
jour, les mails-bombing purement agressif qui vous noie sous un raz de marée de plusieurs mails.
Ces risques sont la conséquence de failles de sécurité humaine dus essentiellement à l’attitude
inconsciante des utilisateurs ou des failles de sécurité du système d’exploitation, des logiciels
Internet.
L’informatique a entraîné des bouleversements dans les habitudes de travail des entreprises et
plus particulièrement des PME. Aujourd’hui, chaque utilisateur dispose de son propre PC ou
micro-ordinateur portable entraînant inéluctablement de nouveaux risques. L’explosion de
nouvelles applications et logiciels et l’apparition de logiciels de gestion intégrés dont l’interface
avec la comptabilité est automatique laisse présager des menaces et risques importants pour
l’entreprise.
Ainsi, l’entreprise a à sa disposition une multitude d’applications logicielles, telles que la paie, la
comptabilité, la gestion commerciale, la gestion des stocks, etc. et même de nouvelles
applications qui se sont greffées telles que système ERP, etc.
• La dématérialisation des opérations (disparition des opérations manuelles relayées par des
opérations informatisées) marquée par la diminution du support papier et de la séparation des
fonctions,
Cela génère des risques liés au principe de séparation des fonctions. En effet, en l’absence d’un
service informatique structuré ou lorsque le responsable informatique est également responsable
de la sécurité informatique, le principe de séparation des fonctions (règles essentielles d’un bon
contrôle interne) n’est plus respecté. Le responsable informatique se voit chargé :
Cette concentration des fonctions clés entre les mains d’une seule personne est dangereuse et peut
remettre en cause la pérennité de l’entreprise en cas d’absence prolongée ou de départ du
responsable informatique.
Tous ces facteurs d’insécurité qui ont été évoqués ci-dessus interagissent entre eux et peuvent
entraîner une aggravation des risques de sécurité micro-informatique pour les PME. Il résulte de
la convergence de ces divers facteurs :
16 PREMIERE PARTIE
• Une fragilité des systèmes informatiques qui constituent un terrain propice aux risques de
tous genres. Il conviendra alors d’analyser ces différents risques ainsi que les actifs à protéger
afin de pouvoir définir les contre mesures et parades à mettre en œuvre,
Toute mission d’audit est basée sur une approche par les risques. L’expert-comptable recherchera
les points forts sur lesquels il pourra s’appuyer pour limiter ses contrôles. L’entreprise peut faire
appel à un expert-comptable pour la conseiller, l’aider à identifier les risques qui peuvent peser
sur son système informatique. En effet, l’association d’un expert indépendant est intéressant à
plus d’un titre. Celui-ci dispose d’un certain nombre de techniques et d’outils lui permettant
d’avoir une vision globale de l’entreprise et des risques qui menacent son système informatique.
Pour documenter son travail, l’expert-comptable pourra utiliser des questionnaires de contrôle
interne, des aides mémoire qui permettent en règle générale :
L’expert-comptable doit faire ressortir le ou les liens existant entre les risques liés à la sécurité
informatique et la fiabilité des informations comptables et financières produites. L’identification
et la maîtrise des risques par le biais de l’audit de la sécurité informatique permet de conforter
l’opinion du commissaire aux comptes et / ou de l’auditeur financier quant à la régularité des
états de synthèse.
Cette phase de prise de connaissance et d’identification des zones de risques est similaire à toute
mission d’audit. L’identification des risques informatiques donne donc lieu à leur classification.
Il existe différentes typologies des risques informatiques. Toutefois avant de définir les
principales classifications de risques informatiques, il est nécessaire de garder à l’esprit que
l’outil micro-informatique, l’information elle-même ou son traitement peuvent être soit le but de
l’agression (vol de matériel et supports informatiques, escroquerie, fraude informatique, etc.) ou
au contraire le moyen de l’agression (accès non autorisé, vol de temps machine, vol de données,
piratage de logiciels, etc.).
Le terme agression étant défini comme "toute action dommageable qu’elle soit volontaire ou
involontaire"12. L’outil micro-informatique est pris ici dans son sens large regroupant l’unité
centrale, les périphériques d’entrées et sorties, les supports de stockage, les applications et
logiciels, les moyens de communication, etc. Les classifications que l’on retrouve couramment
sont citées ci-dessous :
Les risques informatiques sont regroupés en trois grandes catégories répertoriés ci-dessous :
• La foudre,
• L’inondation,
• Le glissement de terrain,
• L’avalanche.
On notera que la probabilité de survenance d’un de ces événements est faible voire quasiment
nulle.
• L’incendie (court-circuit dans l’installation électrique, feu dans la corbeille à papier, etc.),
Il est certes difficile de définir la frontière entre un acte involontaire et un acte délictueux avec
intention de nuire. Néanmoins, les actes délictueux sont classés en cinq catégories :
• Détournement d’informations,
• Détournement de logiciels,
• Fraude,
Son rôle est également de présenter les polices types en matière de sécurité informatique en
apportant les commentaires et recommandations nécessaires à leur compréhension.
14 APSAIRD (Assemblée Plénière des Sociétés d’Assurances contre l’Incendie et les Risques Divers) – 9, rue d’Enghien 75010 Paris
15 Méthode d’analyse des risques informatiques organisée par niveaux diffusés par le Clusif (Club de la Sécurité Informatique Français)
20 PREMIERE PARTIE
• Erreurs de conception et de réalisation pouvant entraîner des pertes très importantes du fait de
la non-conformité des applications et traitements aux besoins de l’entreprise.
• Détournements de logiciels par copie illicite entraînant des pertes importantes pour les
concepteurs et distributeurs de logiciels,
• Grèves, départs de personnel stratégique, ces derniers représentent également un risque non
négligeable (même si à priori ne s’apparentent pas à la criminalité informatique).
• Contre-mesures : elles doivent être mises en place dans un souci d’équilibre entre risques et
coût de la protection.
Les méthodes d’analyse des risques constituent un auto-diagnostic qui permet une évaluation
actuelle du niveau de sécurité. Elles permettent :
• Contre les risques : identification et classification des risques, ce qui implique l’identification
des actifs vulnérables sur lesquels pèsent des menaces,
Face aux risques informatiques tels que décrits ci-dessus et notamment ceux spécifiques à
l’utilisation de la micro-informatique, la sécurité du système d’information de l’entreprise ne peut
être sérieusement appréhendée sans l’instauration d’une réelle politique de sécurité.
La définition et la mise en œuvre d'un plan de sécurité informatique doivent permettre de montrer
la volonté de la Direction Générale de sensibiliser et d'impliquer les différentes personnes à tous
les niveaux. L’objectif est de mettre en œuvre les différentes mesures préventives nécessaires afin
d'éviter tout préjudice grave au système d'information lorsque la menace s'est réalisée,
garantissant à cet effet la pérennité de l'entreprise.
La politique de sécurité informatique doit définir le niveau des ressources nécessaires, mais
également fixer les priorités dans les domaines de la prévention, protection et mesures de
dissuasion.
Elle doit être diffusée le plus largement possible au sein de l’entreprise, car la sécurité micro-
informatique est l’affaire de tous les membres de l’entreprise et non uniquement le responsable
de sécurité informatique.
b) Le contenu
Elle doit établir les standards et les principes sur lesquels la sécurité de l’environnement
informatique de l’entreprise est basée. Elle doit également inclure la maintenance de la sécurité
en termes de :
Elle doit enfin informer les différents utilisateurs sur leur responsabilité dans l’utilisation du
système d’information de l’entreprise et son environnement micro-informatique.
Nous avons reporté en annexe n° 4.a un exemple de politique de sécurité informatique tiré d’un
document interne à une grande entreprise que nous avons adapté à la PME.
c) Les acteurs
Tous les salariés de l’entreprise doivent être sensibilisés à la politique de sécurité informatique. A
cet effet, un groupe de travail comprenant les principaux responsables de l’entreprise doit œuvrer
à la définition et la conception du plan de sécurité informatique. Appelé communément comité de
sécurité, ce groupe doit comprendre les responsables des directions ou services suivants :
24 PREMIERE PARTIE
• La direction générale,
• Les représentants des divers services utilisateurs : GRH, comptabilité et finances, technique,
commercial, etc.
En dehors des outils internes, contribuant à la maîtrise des risques, l’entreprise dispose également
d’outils externes à la maîtrise des risques par le biais de l’audit, les assurances ou les S.S.I.I en
tant que conseiller externe en terme de sécurité informatique.
3.2.1 L’audit
Face à ces risques liés en général à l’absence d’un contrôle interne efficace au sein de
l’entreprise, nous pensons qu’il devient nécessaire, voire indispensable de sensibiliser la
Direction Générale aux risques informatiques et aux conséquences de la non mise en place de
techniques de protection suffisantes. L’audit de la sécurité informatique doit être systématique à
toute intervention. Néanmoins, la mise en place de l’aproche développée en seconde partie n’est
nécessaire que si l’entreprise est dépendante de l’outil informatique. Dans cette esprit, l’auditeur
doit parfaitement cerner le domaine qu’il analyse en vue de mettre en place les contrôles
généraux appropriés.
En tant que conseiller externe à l’entreprise et son statut d’interlocuteur privilégié de la Direction
Générale, l’expert-comptable a un rôle et un devoir de sensibilisation et d’explication sur ce
domaine. Il y va de la sauvegarde des actifs et du patrimoine de l’entreprise ainsi que de la
fiabilité de l’information produite. L'expert-comptable ne doit pas se désintéresser de ce domaine
et se contenter d'émettre une opinion sur les états financiers de l'entreprise. Son rôle en tant que
conseiller de l'entreprise doit être général.
L’expert-comptable peut assister l’entreprise dans la mise en place d’une politique de sécurité
informatique ou superviser toutes les opérations préalables à la mise en place d’une politique de
sécurité informatique. Bien que son rôle de conseiller soit général, il n’est pas responsable de la
mise en pratique d’un tel plan, l’aspect technique étant laissé aux spécialistes informatiques.
La dépendance de plus en plus forte des entreprises des systèmes d’information induit des risques
qui peuvent générer de lourdes pertes liées aux dommages matériels et immatériels. Ces pertes
peuvent être directes, mais surtout indirectes (pertes d’exploitation, reconstitution de fichiers,
etc.) Les assurances se distinguent des autres types de protection car elles n’interviennent qu’en
terme d’indemnisation financière des préjudices subis, mais ne constituent en aucun cas un
facteur de protection contre les risques de sécurité micro-informatique. Les garanties couvertes
par les polices d’assurances sont généralement :
• Les dommages matériels dus à des événements accidentels y compris les pannes et erreurs de
manipulation,
La couverture par une police d’assurance ne doit pas se substituer à la politique de sécurité
informatique. En effet, comme signalé précédemment au niveau de la démarche d’analyse des
risques informatiques, le transfert à l’assurance n’intervient qu’en dernier ressort après :
• Identification et classification des actifs à protéger : matériel, réseaux & télécoms, données,
etc.
Néanmoins afin de connaître les différents types d’assurance couvrant les risques informatiques
et les statistiques sur la sinistralité au Maroc, nous avons préparé un questionnaire à destination
des compagnies d’assurances. Un exemplaire dudit questionnaire est fournit en annexe n° 5.a.
Par ailleurs, nous avons reporté en annexe n° 5.b le descriptif des différents types de polices
couvrant les risques d’origine informatique existant au Maroc.
Les S.S.I.I proposent des services allant de la conception d’un cahier des charges à la mise en
place des solutions combinant programmes et matériels et au suivi de la clientèle sont assimilées
au même titre que l’audit que les assurances comme des éléments extérieurs d’aide à la maîtrise
des risques.
Cette aide peut être assurée en prodiguant des conseils en terme de sécurité ou en élaborant une
véritable politique de sécurité comprenant aussi bien la charte que la tactique.
Le rôle des S.S.I.I est de protéger le patrimoine des PME face aux nombreux risques menaçant
l’outil micro-informatique.
27 PREMIERE PARTIE
L’entreprise doit élaborer des règles élémentaires de prévention de ces sinistres visant à atténuer
leur probabilité de survenance, règles consignées dans un document mis à jour régulièrement.
Il y a lieu de souligner que ces mesures de protection contre les risques d’incendie et
d’inondation n’ont pas pour vocation d’éradiquer totalement ces risques, et s’appliquent plutôt
aux entreprises disposant d’une salle informatique ou d’ordinateur central et d’un ensemble de
terminaux.
Les atteintes humaines peuvent être accidentelles ou intentionnelles. L’attitude inconsciente des
utilisateurs est souvent à l’origine de multiples pannes, indisponibilité de l’outil micro-
informatique (mise hors tension de l’ordinateur sans sortir des applications, connexion à des sites
non sécurisés d’Internet, téléchargement de jeux, etc.).
Il s’agit de mettre en place des techniques de protection contre les incidents involontaires, mais
qui ne sont pas dus à un fléau naturel.
La sécurité logique consiste en l’ensemble des contrôles inclus dans les logiciels et permettant :
La protection logique vise à garantir l’accès d’une part au système d’exploitation et aux
applications (logiciels) et aux données d’autre part.
L’entreprise ne doit pas permettre la manipulation du code source des applications mises en
service. Les utilisateurs ne doivent disposer que des versions utilisables en lecture seulement,
c’est-à-dire des programmes objet à exécuter par opposition aux programmes sources. Un
programme source étant défini comme "un programme résultant de l’écriture d’un algorithme
dans un langage de programmation".
Par ailleurs, l’entreprise ne doit pas permettre le piratage des logiciels, opération qui consiste à
les copier de façon illicite et / ou les utiliser sans disposer de leur licence d’utilisation. Le
piratage des logiciels constitue un délit aux yeux de la loi sur la propriété intellectuelle et droits
d’auteur. Le piratage des logiciels peut prendre diverses formes :
• A l’intérieur de l’entreprise : utilisation d’un logiciel pour plus de postes que de licences
d’utilisation achetées,
Les moyens de lutte contre ces agissements sont nombreux. Nous pouvons citer parmi l’ensemble
de ces moyens :
30 PREMIERE PARTIE
• Actions de la BSA : il s’agit d’une association d’éditeurs de logiciels qui mène une campagne
de sensibilisation, de mise en garde sur de tels pratiques. Au Maroc, cette association est
présente et mène des actions de sensibilisation, d’éducation sur la protection des droits de la
propriété intellectuelle.
De nombreux articles de presse18 font état d’un taux de piratage des logiciels informatiques de
près de 90%. Les dirigeants d’entreprises préfèrent payer mois cher au départ et de courir le
risque par la suite. Nous avons reporté en annexe n° 6 l’article de presse parue suite à la
conférence organisée par la BSA le 18 juin 2002 ainsi que les statistiques de piratage au Maroc et
à travers le monde.
C’est ainsi que le responsable informatique peut mener des actions de contrôle tels que :
• Contrôle des licences achetées avec les licences installées par poste de travail,
A côté des risques de piratage des logiciels, l’entreprise doit mettre en place des techniques de
protection visant à garantir l’intégrité et la confidentialité des données. Les contrôles d’accès
logiques sont assimilés le plus souvent aux contrôles des mots de passe et constituent l’un des
éléments clés de la sécurité micro-informatique.
L’intégrité et la confidentialité des données sont garanties par des outils basés sur les principes
d’identification et d’authentification et d’habilitation. L’identification et l’authentification
permettent de garantir la protection de l’accès aux traitements, tandis que l’habilitation permet
une protection de l’accès aux données.
Il n’est pas rare de voir au sein des PME des micro-ordinateurs partagés entre plusieurs
utilisateurs ou l’existence d’un serveur central où sont logés les applications et données. Il est à
ce sujet plus recommandé d’opter pour une configuration pour chaque utilisateur définissant les
limites d’accès en fonction des profils, et d’imposer des normes internes en terme de nomination
de répertoires et fichiers rendant difficile leur reconnaissance par un utilisateur curieux ou un
éventuel intrus.
La multiplicité des mots de passe augmente le risque d’oubli ou d’erreur de la part des
utilisateurs, entraînant soit leur communication aux collègues, soit leur notation sur des bouts de
papier à côté du PC, etc. Néanmoins, pour assurer à cette technique de protection une efficacité, il
y a lieu de respecter certaines règles de base19 :
Toutefois ces règles de protection se heurtent à une contrainte pour les PME en raison de la
limitation de leur effectif et le problème posé lors des départs en congé (permanence), et la
distinction entre tentative d’accès illicite et simple oubli de la part de l’utilisateur dû notamment à
la multiplicité des mots de passe.
A ces règles de base, on peut rajouter le principe de révocation des mots de passe par le système
après un certain temps, poussant les utilisateurs à changer leurs mots de passe.
L’efficacité de la protection logique repose sur la confidentialité des mots de passe. A ce sujet, le
responsable de la sécurité informatique a un rôle de sensibilisation auprès des différents
utilisateurs, car il n’est que trop courant de voir l’échange de mots de passe entre les différents
utilisateurs. Le responsable de la sécurité détient l’ensemble des identifiants de chaque utilisateur
et doit imposer les règles élémentaires d’élaboration des authentifiants tel que décrit dans le
paragraphe précédent.
Les données doivent être protégées contre les risques de destruction partielle ou totale car elles
sont en général les plus exposées à ce type de menace.
Avant d’examiner en détail les moyens de protection des données, nous pensons qu’il est
nécessaire d’éclairer le lecteur sur les différentes catégories de virus.
Une infection informatique ou virus est "un programme parasite dont la plupart se chargent en
mémoire afin de perturber, modifier ou détruire tout ou partie des éléments indispensables au
fonctionnement de l’ordinateur et notamment les données présentes sur disque dur"20. Il existe
différentes catégories d’infection par virus, répertoriées néanmoins en deux classes :
• Les programmes auto reproducteurs tels que les virus polymorphes, virus système, virus
macro, etc.
Les programmes simples sont des infections informatiques insérées dans un corps de programme
sain, ou placés dans un logiciel d’aspect anodin (jeux, utilitaires, etc.). La bombe logique comme
le cheval de Troie agissent en fonction d’un critère de déclenchement préalablement déterminé
avec la différence près que l’origine de l’infection provient de l’intérieur pour la bombe logique
et de l’extérieur pour le cheval de Troie.
Les programmes auto reproducteurs infectent les mémoires vives des micro-ordinateurs, et ont la
capacité de se déplacer d’un micro-ordinateur à l’autre s’ils sont connectés entre eux
(configuration réseaux) ou être transportés par le Web à l’aide de programmes tels que Java, Java
Script, Active X, etc.
Les conséquences de ces infections sont redoutables et variables, pouvant aller jusqu’à la
destruction totale des données et mettre en péril la pérennité de l’entreprise.
En raison de la prolifération et de la multiplication des virus, les PME ne sont jamais à l’abri des
risques de perte des données même si elles disposent des dernières mises à jour des logiciels
d’antivirus. En effet, le comportement insouciant des utilisateurs est à l’origine de nombreuses
attaques. Le responsable de la sécurité informatique doit avoir un rôle de sensibilisation et de
contrôle afin de s’assurer que les consignes de sécurité de l’entreprise sont respectées.
Nous avons reporté en annexe n° 7 les différentes méthodes d’éradication des virus.
34 PREMIERE PARTIE
En complément des moyens de protection cités ci-dessus, nous pensons qu’il est utile de mener
des actions d’information et de sensibilisation des utilisateurs. Cette action doit être menée par le
responsable de la sécurité informatique, au même titre que les contrôles inopinés. En effet, nous
pouvons remarquer que les utilisateurs ont tendance à désactiver le logiciel d’antivirus sous
prétexte qu’il ralentit la vitesse de traitement des opérations de leur micro-ordinateur.
La politique d’investissement doit être centralisée par un responsable informatique informé des
évolutions technologiques. Un plan micro-informatique intégrant les périphériques doit être mis
en place, recensant les besoins à satisfaire (capacité et performances, compatibilité du matériel,
etc.) ainsi que son évolutivité.
A cet effet, le responsable informatique doit disposer d’une liste de fournisseurs et fabricants de
matériels à même de satisfaire la demande de l’entreprise. Le choix et la sélection du fournisseur
sont fonction de la politique d’investissement de l’entreprise et de son plan micro-informatique
tels que décrit ci-dessus.
Choisir un seul fournisseur peut poser de sérieux problèmes en cas de défaillance financière, et
disposer d’un parc hétéroclite peut poser des difficultés en terme de maintenance dudit parc.
L’entreprise doit donc opérer un choix entre ces deux solutions, en fonction bien évidemment de
l’importance qu’elle accorde à l’outil micro-informatique dans son système d’information.
L’entreprise doit disposer des ressources nécessaires pour maintenir son parc et ce dans le but
d’éviter les défaillances, les pannes ou conflits entre matériels et composants. Il devient donc
impératif de signer un contrat de maintenance fixant le coût des interventions, délais d’exécution
afin que les micro-ordinateurs puissent être dépannés le plus vite possible.
35 PREMIERE PARTIE
Les matériels sont généralement sous garantie à l’origine. Nous pensons qu’il est préférable
d’opter systématiquement pour l’extension de garantie en vue de se prémunir de la fragilité des
composants notamment en raison de leur miniaturisation.
L’entreprise ne doit pas chercher à détenir systématiquement les dernières technologies, du fait
de l’accroissement ininterrompu des performances et des capacités du matériel. Il est possible
depuis quelques années d’opter pour une politique continue de renouvellement du parc machine.
En effet, le fournisseur ou représentant du fabricant donne la possibilité d’échanger le matériel
vieillissant et obsolète par un matériel récent. Cette technique évite de se préoccuper de la gestion
de machines vieillissantes et difficilement vendables.
• L’année d’acquisition,
• La marque et modèle,
• Le prix d’acquisition,
Enfin, l’entreprise peut posséder des micro-ordinateurs supplémentaires afin de pouvoir pallier
aux risques de pannes ou mises hors service de micro-ordinateurs opérationnels. Néanmoins,
cette méthode, même si elle présente des garanties supplémentaires de disponibilité reste
onéreuse pour l’entreprise où il n’est pas rare de voir un micro-ordinateur partagé par plusieurs
utilisateurs.
Les développements extérieurs peuvent être des progiciels standard ou au contraire des
développements spécifiques à l’entreprise. Généralement, l’entreprise préfère opter pour
l’acquisition d’un logiciel de marché. En effet, les produits proposés sont nombreux et largement
diffusés, ce qui évite tout problème d’installation ou de mise à jour de la version.
En revanche, s’il s’agit d’applications développées en interne, l’entreprise peut s’exposer aux
risques de retard de mise en service pouvant entraîner l’indisponibilité de son outil micro-
informatique.
Il est recommandé d’acquérir des logiciels compatibles entre eux et de veiller à ce que les
versions utilisées soient identiques du moins par groupe d’utilisateurs. De plus, pour éviter tout
risque de bogue ou erreur de programmation, l’entreprise ne doit pas acquérir la première version
d’un logiciel mais plutôt attendre les versions stabilisées.
Il est enfin primordial que le support d’origine des logiciels (sur CD-ROM) soit livré avec le
matériel lorsque les logiciels sont préinstallés sur un micro-ordinateur à son achat.
La pérennité d’un logiciel passe inéluctablement par sa maintenance. Celle-ci doit avoir lieu au
vu d’un contrat de maintenance signé avec une SSII. L’entreprise doit disposer en règle générale
d’une copie de secours du logiciel afin de pouvoir rapidement le réinstaller en cas de panne ou de
dysfonctionnement.
Toutefois, s’il s’agit d’applications logicielles conçues sur mesure, il devient primordial de
disposer d’une documentation complète.
Même si a priori cette méthode permet d’assurer une plus grande sécurité de l’entreprise, les
codes sources des programmes restent la propriété du prestataire de service. Les utilisateurs ne
peuvent effectuer de modifications sur les programmes compilés et exécutables. La gestion des
logiciels est rendue plus efficace si les micro-ordinateurs sont connectés en réseau. Cette
configuration ou plutôt architecture facilite au responsable informatique la mise à jour des
logiciels à partir de son poste de travail.
37 PREMIERE PARTIE
Néanmoins, il y a lieu de souligner que les logiciels sont souvent installés sur le disque dur de
chaque poste et non sur un serveur lorsque le réseau existe. C’est le cas notamment du logiciel de
comptabilité installé sur les micro-ordinateurs du département comptable, du logiciel de la paie
installé sur le micro-ordinateur du département administratif ou ressources humaines, etc.
L’utilisation par l’entreprise d’un système informatique fait naître un risque lié à la concentration
d’une multitude d’informations et de données, toutes accessibles par les mêmes personnes. Face
aux risques de pertes des données pendant les traitements, de production de résultats erronés, de
perte de fichiers, etc. l’entreprise doit mettre en place un certain nombre de mesures visant la
sécurisation des méthodes et procédures d’exploitation de l’outil informatique.
Afin de pouvoir assurer l’intégrité, la confidentialité et la disponibilité des données produites par
l’entreprise, il est impératif d’identifier les données à protéger. Le recensement de ces données
est fondamental dans la mise en place d’un cadre de contrôle interne efficace, ciblé sur les
éléments du patrimoine de l’entreprise, dont la protection doit être assurée avec la plus grande
vigilance. L’identification des données à protéger donne lieu à leur classification en quatre
niveaux, rappelés ci-dessous :
Cette classification des données est fonction de l’analyse des risques et de l’évaluation faite de
ces risques. La détermination de la valeur de ces données permet de mettre en place les
techniques de protection efficace. La classification des données permet enfin :
• D’autre part de définir les données et systèmes ne nécessitant pas d’investissement important
en terme de sécurité.
Chaque utilisateur doit procéder à des enregistrements fréquents de son travail en cours, sur le
disque dur de son micro-ordinateur, afin d’éviter de le perdre en cas d’éventuels incidents.
Toutefois, cette mesure élémentaire de sécurité ne constitue qu’une mesure provisoire qui n’a pas
vocation de protéger durablement l’entreprise contre le risque de perte de disponibilité,
d’intégrité et de confidentialité des données et ressources informatiques.
Le principe de sauvegarde est de pouvoir disposer d’une copie de secours des données à protéger.
Selon les besoins et les moyens de chaque entreprise, une procédure de sauvegarde centralisée et
automatique des données doit être mise en place. Cette procédure doit faire l’objet d’un document
écrit définissant pour chaque fichier à sauvegarder les règles strictes mentionnant le nombre de
générations, la périodicité, le lieu et la durée de stockage. Cette procédure doit également préciser
le rôle à jouer par le responsable de la sécurité informatique et les utilisateurs.
Enfin, le responsable de la sécurité doit être chargé de la gestion et de l’archivage des copies de
sauvegarde, quelle que soit la taille de l’entreprise et l’organisation de sa micro-informatique.
Nous avons reporté en annexe n°8 le rappel de certaines règles relatives à la sauvegarde des
données ainsi qu’un exemple de procédure de sauvegarde applicable aux PME.
L’entreprise a le choix dans la mise en place d’un nouveau système informatique, d’une nouvelle
application, etc. entre le développement interne ou le recours à un prestataire de service extérieur.
Les développements extérieurs peuvent être des progiciels standard ou au contraire des
développements spécifiques à l’entreprise. Les entreprises utilisent généralement un mélange de
ces deux types de développement, dépendant du niveau de spécificité requis.
Le développement d’une application informatique doit être effectué selon une démarche
systématique et rigoureuse ; démarche inspirée de celle publiée par l’IFEC.
Dès le lancement de la phase de développement, des procédures de secours doivent être prévues
en définissant le fonctionnement en "mode dégradé". Ce mode consiste à s’appuyer sur des
procédures non informatiques en vue de réaliser certaines opérations et processus effectués
jusque là par l’outil informatique. Ces procédures, consistent en :
Le tableau ci-dessous fait ressortir de manière synthétique les différentes étapes et documents
nécessaires au développement d’une application informatique.
40 PREMIERE PARTIE
Une documentation non basée sur un certain nombre de standards préétablis peut contenir des
informations inadaptées, sans intérêts, voire dépassées. En parlant de documentation, il y a lieu
de distinguer la documentation technique de la documentation des applications.
Nous avons reporté en annexe n° 9.a un descriptif des différents types de documentation des
applications informatiques et leur contenu.
Après les phases d’étude et de développement, l’application informatique doit être mise en
exploitation.
Une des règles de sécurité en terme d’exploitation des applications informatiques (développées
en interne ou par un prestataire de service) est la séparation des tâches entre le personnel de
développement (études) et le personnel d’exploitation.
Toutefois cette règle ne peut toujours s’appliquer dans les PME où il n’est pas rare de rencontrer
une seule personne cumulant l’ensemble des fonctions traditionnellement distinguées dans un
service informatique. Cette situation ne rend que plus nécessaire le contrôle des résultats par les
utilisateurs et contrôle des données a posteriori (Cf. 3.4 : contrôle des données a posteriori).
Néanmoins, l’objectif de la règle de séparation des tâches vise la prévention de l’utilisation non
autorisée ou frauduleuse des moyens informatiques (micro-ordinateur, logiciel, données, etc.)
ainsi que la prévention de la manipulation et la modification non autorisée des applications
informatiques et des données.
42 PREMIERE PARTIE
La programmation d’une application informatique est une tâche minutieuse et souvent assez
complexe. Les applications mises en exploitation doivent faire l’objet d’une mise au point
attentive, et de tests plus ou moins nombreux selon les procédures suivantes :
• S’assurer que le système fonctionne selon les spécificités prévues lors de l’étude
d’opportunité (définition des besoins).
La réception ou recette donnée par les utilisateurs à l’équipe de développement avant la mise en
exploitation d’une nouvelle application est donnée au vu :
• De jeux d’essais comprenant les jeux d’essais conçus par les informaticiens et les jeux
d’essais utilisateurs,
Nous avons reporté en annexe n° 9.b le mode de passage d’un environnement de test à un
environnement d’exploitation et les risques auxquels s’expose l’entreprise en l’absence de
procédures et normes.
Enfin, la mise en place d’une nouvelle application informatique doit s’accompagner d’une
formation adaptée des utilisateurs.
43 PREMIERE PARTIE
A cet effet, le responsable informatique doit susciter l’intérêt d’une telle formation en soulignant
les avantages d’une telle application et ses répercussions sur les habitudes de travail
préexistantes.
Néanmoins, pour assurer à la formation un succès total, il y a lieu de prendre en considération les
aspects suivants :
• Le rôle de l’animateur est fondamental : c’est son rôle pédagogique qui va permettre
l’adhésion ou au contraire le refus des utilisateurs à leur nouvel environnement de travail.
Les mesures que nous avons analysées dans les paragraphes précédents sont destinées à protéger
l’entreprise des erreurs de conception lors du développement d’applications et leur mise en
exploitation. Toutefois, ces mesures ne peuvent garantir qu’aucune erreur ne subsistera en fin de
chaîne de traitement. Il revient donc aux utilisateurs finaux, destinataires des résultats produits
par l’exploitation de veiller au contrôle de ces résultats.
Le contrôle des données a posteriori est trop souvent négligé par les entreprises en général, car
celles-ci se concentrent plus sur les contrôles a priori (en amont) et les contrôles programmés (en
cours de traitement). Elles ont tendance à se voiler la face quant à l’efficacité des mesures de
protection mises en place, sans vérifier périodiquement cette efficacité.
Le contrôle des données a posteriori est le seul qui puisse garantir que des actions non autorisées
réalisées directement sur les données ont été détectées. Il implique de s’assurer au préalable de
l’exhaustivité et l’intégrité des données prises en compte, la validité et la qualité des informations
fournies et le contrôle de la cohérence des traitements pour se prémunir contre tout risque
d’erreur de programmation, d’exploitation ou de manipulation.
Ce contrôle sera effectué généralement par l’édition périodique d’états d’anomalies, états pouvant
d’ores et déjà être paramétrés sur l’application, même si non prévus au départ.
44 PREMIERE PARTIE
Chaque entreprise doit être en mesure de prévoir la génération d’états d’anomalies pour
l’ensemble de son système d’information ou du moins pour les applications les plus utilisées
telles que :
- La comptabilité,
- La paie,
- La facturation,
- Etc.
Ces états d’anomalies seront générés sur la base d’un ensemble de contrôles programmés,
contrôles visant à s’assurer que les procédures de contrôle interne s’appliquent en permanence et
sont en mesure de détecter tout vice de procédure pouvant entraîner en fin de compte une
anomalie ou erreur.
Le présent chapitre nous a permis de présenter de manière synthétique les différentes techniques
de protection adaptées à la micro-informatique. Le chapitre suivant nous permettra de mesurer
l’impact réel des risques sur le patrimoine et la pérennité des PME et de connaître l’appréciation
de la sécurité informatique dans nos PME avec comme support un questionnaire d’enquête sur la
sécurité informatique dans les PME.
45 PREMIERE PARTIE
Les risques informatiques tels que définis au chapitre 1 sont nombreux et peuvent avoir des
conséquences négatives sur le patrimoine et la pérennité de l’entreprise. En effet, en l’absence ou
l’insuffisance de techniques de protection au vu d’une politique de sécurité globale, l’entreprise
s’expose à des risques de tout genre allant de la simple panne machine à des sinistres entraînant la
destruction totale de son outil informatique.
Les risques informatiques ont, selon le cas, des conséquences directes, indirectes sur le
patrimoine et la pérennité de l’activité de l’entreprise. De même, que ces conséquences peuvent
être financières.
• Les pertes d’exploitation se traduisant par une perte de revenus directs ou la baisse des
marges bénéficiaires,
• La baisse de productivité avec les conséquences que cela peut avoir sur le social
(chômage technique, licenciement pour cause de sureffectif, etc.)
• Les pénalités pour défaut ou retard de livraison d’une commande, non exécution de
clauses d’un marché, etc.
A l’opposé des conséquences directes qui peuvent être évaluées de manière approximative, les
conséquences indirectes sont difficiles à identifier et évaluer. Il peut s’agir selon le cas de :
46 PREMIERE PARTIE
Au-delà des conséquences directes et indirectes tels que ceux énumérées ci-dessus, l’impact
financier des risques informatiques est, selon le cas :
La presse spécialisée européenne fait souvent écho de statistiques sur la sinistralité correspondant
à l’estimation des pertes dues à des sinistres déclarées ou l’estimation des pertes financières
découlant directement au manque de sécurité. Nous avons reporté en annexe n° 11 les statistiques
de sinistralité en France publiées par l’APSAIRD ainsi qu’un article de presse sur "la
sensibilisation des entreprises au problème de sécurité".21
A cet effet, nous avons préparé un questionnaire à destination des entreprises pour connaître leur
perception du niveau de sécurité qui prévaut dans leurs organisations. Ledit questionnaire annexé
au présent mémoire comprend quatre parties :
Nous avons volontairement restreint le champ de notre enquête aux PME qui constituent en fait
plus de 90% du tissu économique marocain. Pour ce type d’entreprise, nous avons voulu savoir le
niveau de perception des risques informatiques aussi bien par la direction générale, le responsable
informatique que les utilisateurs d’une part et de connaître les techniques et outils de sécurité mis
en place d’autre part.
Néanmoins, la principale difficulté que nous avons rencontrée consiste en la sélection d’un
échantillon représentatif de PME en l’absence d’une véritable base de données d’une part et en
raison de la complexité de la définition de la PME telle qu’elle ressort du livre blanc édité par le
Ministère chargé des Affaires Générales du Gouvernement en décembre 2000.
Il ressort du "livre blanc des PME" qu’il n’existait pas jusqu’à une date récente de définition
unifiée de la PME mais une coexistence de plusieurs définitions.
La PMI était désigné comme "toute entreprise dont le programme d’investissement comporte des
équipements de production d’une valeur minimale de 100.000 Dhs et maximale de 5.000.000 Dhs
et dont le coût d’investissement par emploi stable est inférieur à 70.000 Dhs".22
A cette même époque la Banque Mondiale finançait ce secteur en accordant des crédits aux
entreprises dont l’actif net ne dépassait pas 5.000.000 Dhs. Par ailleurs, le Ministère du
Commerce de l’Industrie et de l’Artisanat définissait la PMI dans le cadre de ses opérations de
recensement comme toute entreprise employant au maximum 200 personnes.
Il a fallu attendre l’an 2000 pour voir émerger pour la première fois une définition unifiée de la
PME, définition qui ressort du "livre blanc des PME" tel que susvisé.
a) les critères quantitatifs : ils sont relatifs à l’effectif, le chiffre d’affaires et le total bilan
Très petite entreprise Petite entreprise Moyenne entreprise
Effectif < 25 personnes < 100 personnes < 200 personnes
Chiffre d’affaires < 5.000.000 Dhs < 25.000.000 Dhs < 50.000.000 Dhs
Total Bilan < 5.000.000 Dhs < 15.000.000 Dhs < 30.000.000 Dhs
b) critères qualitatifs : ils sont au nombre de trois
• Le chef d’entreprise est à la fois propriétaire et gestionnaire,
Néanmoins, il ressort des critères, aussi bien quantitatifs que qualitatifs, édictés par le livre blanc,
qu’il devient tout à fait difficile de trouver des entreprises répondant parfaitement à la
juxtaposition de ces critères avec en surprime l’absence d’une base de données fiable.
Nous avons adressé le questionnaire à 200 entreprises susceptibles de répondre à certains des
critères édictés par le livre blanc, en se referant à l’ensemble des bases de données tels que
mentionnées ci-dessus.
A ce questionnaire, nous avons joint une note de présentation à destination des dirigeants des
PME faisant ressortir l’objectif d’une telle enquête ainsi que l’importance de leur contribution
dans la réussite d’une telle entreprise.
Afin d’obtenir des réponses représentatives, nous avons demandé à chaque entreprise de faire
remplir le questionnaire qui lui est destiné soit par le Directeur Général ou un mandataire habilité
et par le responsable informatique.
Seulement 50 questionnaires nous ont été retournés, dont les résultats figurent en annexe n° 12.
A la question "votre entreprise dispose t-elle d’un service informatique ?", la plupart des
entreprises ont répondu oui. Mais ce qui est intéressant de remarquer est le fait que parmi ces
réponses, près de 20% souligne que le service est composé d’une seule personne.
Les entreprises disposant d’un système informatique intégré de type ERP, SAP, etc. sont rares.
Seules les entreprises disposant d’un budget informatique important ont la possibilité à recourir à
de telles applications. Dans la majorité des cas, il s’agit de système de gestion où les données
peuvent être "exportées" par interface vers la comptabilité.
A la question de savoir si l’entreprise a été victime d’un sinistre informatique, les réponses qui se
dégagent des questionnaires reçues ne permettent pas de faire ressortir une conclusion. 45% des
entreprises intérogées afirment que oui, alors que 55% affirment le contraire. Il apparaît
clairement que le premier type d’agression subi par l’entreprise consiste en l’infection par virus
informatiques, suivi par les accidents physiques puis le vol de matériel.
Il est intéressant de remarquer que les personnes interrogées reconnaissent rencontrer des
difficultés dans l’utilisation normale de leur outil micro-informatique, celui-ci étant rendu
inutilisable pour une raison ou une autre tout en estimant être dépannés rapidement. Néanmoins,
ils considèrent que ces avaries et pannes en règle générale n’affectent pas leur travail, ce qui en
notre sens est à nuancer. En effet, nous avons tous fait l’objet d’un endommagement d’un fichier
ou de données.
Il se dégage des réponses reçues que la sécurité micro-informatique au sein des entreprises est
insuffisante même si de l’avis des responsables informatiques, la sécurité des micro-ordinateurs
est correctement appréhendée (67% des responsables informatiques pensent que les micro-
ordinateurs de leur entreprise sont suffisament protégés).
A la question "votre entreprise a t’elle souscrit une police d’assurance contre les risques
spécifiques à l’informatique ?", 36% des entreprises ont répondu par l’affirmative. Ce
pourcentage doit être revu à la baisse, l’assurance multirisque n’étant pas à confondre avec la
tous risques informatiques.
52 PREMIERE PARTIE
Les entreprises semblent conscientes des risques informatiques, puisque la majorité des réponses
reçues sont orientées vers les virus informatiques en premier lieu, les accidents physiques en
secon lieu, l’absence régulière de sauvegarde des données en troisième lieu et le vol de matériel
ou données en dernier lieu.
Toutefois, lorsqu’on aborde les parades possibles pour atténuer ces risques, les réponses reçues
sont quelque peu contradictoires avec la perception des risques. A l’exception des virus
informatiques pour lesquelles les entreprises insistent sur la présence d’un logiciel antivirus, les
autres parades mises en avant ne respecte pas l’ordre d’importance des risques recensés.
Il ressort clairement de notre enquête que le budget alloué à la sécurité informatique est très
faible, car il ne dépasse pas les 5% du budget informatique total, soit moins de 15.000 Dhs pour
la plupart.
Enfin, les entreprises reconnaissent à près de 70% ne pas faire appel à leur expert-comptable pour
les conseiller dans le choix de solutions de sécurité ou la mise en place d’un plan de sécurité.
Il ressort clairement des questionnaires reçus que les entreprises ne disposent pas d’une vision
globale en terme de sécurité micro-informatique. Elles sont conscientes mais de manière confuse
de l’importance de l’outil micro-informatique et des ressources informatiques en général et de
l’intérêt de les protéger contre tout type d’agression.
Mais la vision des agressions qu’elles peuvent subir ne peut être que limitée, se résumant aux
attaques virales, vol de matériel et absence régulière de sauvegarde.
Ainsi, les risques d’accès physiques ou logiques pouvant entraîner une perte d’intégrité ou de
confidentialité des données, les erreurs de manipulation, erreurs de conception des applications,
etc. ne semblent pas constituer aux yeux des entreprises des risques réels pouvant porter atteinte à
leur outil micro-informatique.
La sécurité micro-informatique n’est donc que partiellement perçue, aucune personne interrogée
ne dispose d’une vision globale des risques et de la nécessité de mise en place d’une politique de
sécurité globale.
53 PREMIERE PARTIE
L’importance d’une politique de sécurité dont l’objectif principal est, rappelons le, d’assurer la
pérennité de l’entreprise et de ses ressources informatiques est peu ou pas du tout connue.
Lorsque c’est le cas, les concepts de cette politique sont mal appréhendés.
Il ressort de ce questionnaire que les réponses reçues sont assez disparates, faute de
communication suffisante au sein de l’entreprise et dépendent de la fonction exercée :
• Dirigeants et responsables PME : n'ayant qu'une vague conscience des différents types de
risques informatiques entraînant une confusion dans leur esprit, sont prêts à investir dans
les moyens de sécurité sans être convaincus des résultats attendus,
• Responsables informatiques : ils sont généralement plus conscients des risques de sécurité
informatiques, mais auront tendance à se plaindre de l'insuffisance des moyens mis à leur
disposition (humains, matériels, financiers, etc.),
• Utilisateurs: ne se satisfont pas totalement des mesures de sécurité mises en place se
plaignant de leur contrainte, leur non adéquation à leur utilisation de la micro-
informatique, etc.
En conclusion, même si la sécurité est perçue comme une notion importante, elle reste encore
assez confuse dans l’esprit des dirigeants de nos PME. Dans ce contexte, le niveau de sécurité
reste faible et ne met donc pas toute entreprise à l’abri de risques informatiques.
3.1 L’expert-comptable
Comme signalé précédemment, en tant que conseiller externe à l’entreprise et son statut
d’interlocuteur privilégié de la Direction Générale, l’expert-comptable a un rôle et un devoir de
sensibilisation et d’explication sur ce domaine. Il y va de la sauvegarde des actifs et du
patrimoine de l’entreprise ainsi que de la fiabilité de l’information produite.
54 PREMIERE PARTIE
Les risques informatiques ont des répercussions ou incidences physiques sur les entreprises et
notamment les PME. L’expert-comptable doit focaliser sa sensibilisation sur les aspects
suivants :
Les PME ne disposent pas généralement de procédures donnant l’assurance qu’elles ne risquent
pas de subir une altération physique ou logique du matériel, des logiciels et des données suite à
des dégradations involontaires ou intentionnelles. L’intégrité de l’outil micro-informatique
devant être assurée par une :
o Procédure préservant l’entreprise contre les risques naissant suite à un incident
technique, acte humain ou phénomène naturel,
o Procédure de suivi et gestion des licences des logiciels en vue de se prémunir contre
les risques de piratage,
o Procédure de détection et d’éradication des virus pour assurer l’intégrité des données
du système d’information de l’entreprise.
• Perte de confidentialité consistant en la perte de l’assurance que seuls les utilisateurs
habilités dans des conditions normalement prévus ont accès aux informations. La
confidentialité est définie comme "un élément de la sécurité visant à interdire aux
personnes n’ayant pas la qualité pour le faire l’accès à des informations stockées, traitées
ou communiquées dans un système d’information."29
Les PME ne disposent pas généralement de procédures permettant la maîtrise des accès aux
sauvegardes, aux ressources informatiques, aux programmes et données. La confidentialité de
l’outil micro-informatique devant être assurée par :
o une classification des données à protéger,
o des règles d’autorisation d’accès des différents utilisateurs aux micro-ordinateurs,
données en fonction des habilitations conférées par la Direction Générale.
3.2 Le commissaire aux comptes
Le commissaire aux comptes est rappelons-le mandaté par l’assemblée générale de toute
entreprise et a pour mission de certifier ses comptes. L’objectif principal est d’obtenir l’assurance
raisonnable que les états financiers audités sont réguliers et sincères et donnent une image fidèle
du patrimoine des résultats et de la situation financière de la société. Il a une mission
d’information, de prévention et de protection.
Il est tenu d’apprécier et d’évaluer le cadre de contrôle interne existant au sein de l’entreprise. A
cet effet, il apprécie la fiabilité des contrôles et procédures informatiques mises en place par
l’entreprise lors de l’évaluation des procédures de contrôle interne et l’organisation comptable.
Rappelons que le contrôle interne a été défini par l’OECCA30 comme suit : "le contrôle interne
est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but d’un côté,
d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre
l’application des instructions de la direction et de favoriser l’amélioration des performances". Le
commissaire aux comptes peut formuler des recommandations sur la sécurité informatique qui
prévaut au sein de l’entreprise sur la base de son évaluation du contrôle interne.
Le présent chapitre nous a permis d’identifier de manière explicite l’impact réel des risques ainsi
que leur perception par les différents utilisateurs de l’outil micro-informatique au sein de
l’entreprise, ainsi que le rôle des professionnels en terme de sensibilisation de l’entreprise.
L’identification des risques informatiques qui menacent la sécurité d’une entreprise est un
préalable à toute mission d’audit de la sécurité micro-informatique. Cette identification permet
d’apporter un cadre de référence pour élaborer une approche d’audit globale adaptée aux
spécificités de toute entreprise. L’approche par les risques dans toute mission d’audit conditionne
l’orientation, le déroulement et l’évaluation de l’ensemble des travaux de l’expert-comptable.
Une appréciation insuffisante des risques informatiques et de l’impact de ces risques sur le
patrimoine et la pérennité de l’entreprise peut être dans certains cas lourd de conséquences. C’est
dans ce contexte particulier que l’analyse préalable des risques et des facteurs d’insécurité qui
menacent une entreprise et son environnement micro-informatique trouve toute sa raison d’être.
Néanmoins, l’entreprise ne dispose pas nécessairement des ressources nécessaires pour identifier
les risques qui pèsent sur son outil micro-informatique et mettre en place les techniques de
protection appropriées. Pour cette raison, l’expert-comptable apparaît comme le mieux placé pour
jouer auprès de la direction générale de l’entreprise le rôle de sensibilisation.
En effet, l’association d’un expert indépendant est intéressant à plus d’un titre. Celui-ci dispose
d’un certain nombre de techniques et d’outils lui permettant d’avoir une vision globale de
l’entreprise et des risques qui menacent son système informatique.
Au niveau de la seconde partie, nous présenterons une méthodologie d’audit de la sécurité micro-
informatique dans les PME, en insistant sur le principe qu’une organisation et un cadre de
contrôle interne efficace constituent un facteur déterminant en matière de sécurité.
58 DEUXIEME PARTIE
DEUXIEME PARTIE :
UNE APPROCHE D’AUDIT DE LA SECURITE
MICRO-INFORMATIQUE DANS LES PME
INTRODUCTION
Pour cette raison, nous pensons que l’expert-comptable et / ou commissaire aux comptes voient
leur rôle s’accroître, se positionnant comme révélateurs potentiels des faiblesses du système
informatique.
Néanmoins, pour remplir pleinement cette mission de sensibilisation auprès des entreprises quant
aux risques propres à la micro-informatique et / ou d’assistance dans la mise en place d’un plan
de sécurité informatique, cet organe doit être conscient du risque réel et de l’environnement
micro-informatique des PME marocaines, afin de proposer une approche d’audit de la sécurité
micro-informatique.
Nous traiterons dans un premier chapitre les différentes normes et référentiels en matière d’audit
de la sécurité informatique en nous focalisant sur le fait que ceux-ci ne constituent pas un
référentiel d’audit de la sécurité applicable à la micro-informatique.
59 DEUXIEME PARTIE
Dans un second chapitre nous présenterons une démarche d’audit de la sécurité micro-
informatique depuis la phase de prise de connaissance de l’entreprise et de son environnement
micro-informatique à la remise du rapport d’audit tout en insistant sur les particularités d’une
telle méthodologie par rapport aux autres missions d’audit et sa possibilité d’application par
l’expert-comptable. Dans un troisième chapitre, nous présenterons plus en détail le programme de
travail et la conduite de la mission par thème.
60 DEUXIEME PARTIE
Le législateur s’est efforcé à travers certaines obligations comptables et certains textes fiscaux
d’introduire la notion de comptabilité tenue à l’aide de moyens informatiques et d’obligation de
conservation des documents comptables.
De même que "l’organisation du traitement informatique doit garantir toutes les possibilités de
contrôle et donner droit accès à la documentation relative à l’analyse, à la programmation et aux
procédures de traitement informatique"32.
L’article 4 de la loi 9-8833 stipule que "les personnes … doivent établir un manuel que a pour
objet de décrire l’organisation comptable de leur entreprise", sans préciser son contenu. De même
que l’article 22 stipule que "les documents comptables et les pièces justificatives sont conservées
pendant 10 ans". Cette précision est identique à celle que l’on retrouve en matière de
réglementation fiscale.
La réglementation fiscale fait référence quant à elle au droit de communication sur support papier
ou sur support magnétique des documents et livres comptables lorsqu’une entreprise fait l’objet
de la part de l’administration fiscale d’une procédure de vérification fiscale34.
Cette précision s’apparente à l’obligation d’archivage pour répondre à des obligations légales.
A l’exception de ces quelques références en la matière, nous ne pouvons que déplorer l’absence
de cadre réglementaire en matière de protection de l’entreprise contre les risques informatiques.
La loi n° 2-00 du 15 février 2000 relative aux droits d’auteur et droits voisins constitue en
véritable fait une innovation en matière de protection des logiciels.
En effet, l’article 3 de la loi 2-00 précise que "la présente loi s’applique aux œuvres … telles que
les programmes d’ordinateur". L’article 10 de la loi 2-00 stipule que "sous réserve des
dispositions des articles 11 à 22, l’auteur d’une œuvre a le droit … de faire ou autoriser la
location ou le prêt public de l’original ou de la copie d’un programme d’ordinateur". L’article 21
de la loi 2-00 précise "nonobstant les dispositions de l’article 10, le propriétaire légitime d’un
exemplaire d’un programme d’ordinateur peut…réaliser un exemplaire ou l’adaptation de ce
programme… à condition qu’il soit :
a) nécessaire à l’utilisation du programme d’ordinateur…,
b) nécessaire à des fins d’archivage et pour remplacer l’exemplaire licitement détenu dans le
cas où celui-ci serait perdu, détruit ou rendu inutilisable."
Enfin les articles 62 et 64 de la loi 2-00 font référence aux sanctions civiles auxquelles s’exposent
les contrevenants aux droits d’auteur.
Par ailleurs, la protection des entreprises est assurée par la loi 11-99 du 25 juillet 1993 formant
code pénal. Ci-dessous quelques références à la loi précitée.
En effet, l’article 540 stipule que "quiconque en vue de se procurer…un profit pécuniaire
illégitime, induit en erreur une personne par des affirmations fallacieuses ou par dissimulation de
faits vrais ou exploite astucieusement l’erreur où se trouvait une personne … est coupable
d’escroquerie".
De même que l’article 357 stipule que "toute personne qui des manières prévues à l’article 354
commet ou tente de commettre un faux en écritures… est punie de l’emprisonnement de un à
cinq ans et d’une amende de 250 Dhs à 20.000 Dhs.
62 DEUXIEME PARTIE
Le manuel des normes définit le contrôle interne comme "l’ensemble des mesures de contrôle,
comptable ou autre, que la direction définit, applique et surveille, sous sa responsabilité, afin
d’assurer la protection du patrimoine de l’entreprise et la fiabilité des enregistrements comptables
et des états de synthèse qui en découlent"35.
De même que ledit manuel précise que "l’évaluation du contrôle interne d’un système de
traitement informatisé de l’information financière est effectuée selon la démarche suivante :
Néanmoins, la norme 2102 ainsi que les commentaires proposées par l’OEC ne constituent pas
un référentiel d’audit de la sécurité applicable à la micro-informatique dans le sens où elles ne
présentent que des objectifs de contrôle en terme d’efficacité de la fonction informatique et du
système ou d’une application informatique.
2.1 IFAC
L’IFAC37 est une organisation internationale dont l’objectif principal est de promouvoir les
normes internationales d’audit : ISAs applicables pour l’audit des états financiers. Celles-ci
constituent les principes de base ainsi que les procédures essentielles à mettre en œuvre dans
toute mission d’audit des états financiers. Parmi ces normes, la norme 401 traite notamment de
l’audit réalisé dans un environnement informatique38.
Il ressort de la norme 401 "qu’un ordinateur est utilisé en règle générale pour le traitement, le
stockage et la communication des informations financières et peut affecter :
• Les procédures poursuivies par l’auditeur pour l’obtention des preuves d’audit et la
compréhension du système comptable et système de contrôle interne,
De même que la norme 401 fait référence aux risques d’absence ou d’insuffisance de séparation
de fonctions, d’absence de documentation des applications et aux erreurs dans le développement
et la maintenance des applications ainsi que la possibilité d’accès non autorisé induits par
l’utilisation de l’ordinateur.
A cette norme, l’IFAC a jugé utile d’associer les directives 1001 39(micro-ordinateurs autonomes)
et 100240 (micro-ordinateurs interconnectés) pour assister les auditeurs dans leur mission d’audit
réalisé dans un environnement informatique.
La directive 1001 a été approuvé en juin 2001 pour entrer en application à compter de juillet
2001. Selon celle-ci "certains contrôles et mesures de sécurité utilisés dans de gros systèmes
informatiques ne sont pas réalisables et adaptés aux micro-ordinateurs. A l’opposé, certains types
de contrôle interne sont essentiels en raison des caractéristiques des micro-ordinateurs et des
environnements dans lesquels ils sont utilisés."
Il ressort également de cette directive que "les micro-ordinateurs sont en règle générale utilisés
par une ou plusieurs personnes qui peuvent accéder aux mêmes programmes et aux différentes
applications d’un même ordinateur". Cela implique une organisation interne de l’entreprise
adaptée à une telle utilisation de l’outil micro-informatique.
Enfin la directive 1001 préconise pour le cas des ordinateurs autonomes un certain nombre de
mesures de sécurité tels que :
• La protection des données et programmes contre les risques d’altération, d’accès non
autorisé, d’utilisation de logiciels sans licence,
Ces contrôles doivent être mis en place par une personne indépendante qui en règle générale :
La directive 1002 quant à elle a été approuvé en juin 2001 pour entrer en application à compter
de juillet 2001. Celle-ci définit les micro-ordinateurs interconnectés en réseau comme "tout
système permettant aux utilisateurs d’accéder à des données, programmes et applications à partir
de leur machine ou station de travail. Il peut s’agir selon le cas de gros systèmes, mini-
ordinateurs ou un réseau de micro-ordinateurs interconnectés".
65 DEUXIEME PARTIE
Les principales caractéristiques de ce type de système reposent sur la possibilité d’accès "on-line"
des utilisateurs aux applications, programmes et données à partir de leur station de travail,
l’absence de chemin de révision pour l’ensemble du processus et la possibilité d’accès au système
par des personnes non autorisées. Elle fait état des contrôles à mettre en place au cas où le
système informatique de l’entreprise serait composé d’un réseau de micro-ordinateurs
interconnectés, tels que :
Néanmoins, la norme 401 ainsi que les directives 1001 et 1002 proposées par l’IFAC ne
constituent pas un référentiel d’audit de la sécurité applicable à la micro-informatique dans le
sens où elles présentent des procédures de contrôle portant sur la sécurité de l’information
comptable selon les axes traditionnels de sécurité (disponibilité, intégrité et confidentialité) plutôt
que sur la sécurité de la micro-informatique elle-même.
Le SAC Report est un ouvrage composé de 10 volumes et traitant de l’audit et le contrôle des
systèmes d’information. La version originale a été publié aux Etats-Unis en 1987 par l’IAA et
traduit en français par l’IFACI41 en 1993.
41 IFACI (Institut Français des Auditeurs Consultants internes) - 40 Avenue HOCHE, 75008 Paris
66 DEUXIEME PARTIE
Celui-ci se compose de 10 modules organisés selon une architecture spécifique qui, selon les
professionnels de l’audit sécurité informatique, peut être représenté sous la forme d’un édifice
aux éléments interdépendants :
• Les deux premiers modules forment la toiture de l’édifice dans la mesure où ils traitent
des principes fondamentaux permettant une bonne utilisation de l’outil informatique à
savoir les modules 1 et 2 respectivement "management de l’audit et du contrôle interne"
et "les outils informatiques de l’audit",
• Les cinq modules suivants forment les "poutres" supportant l’édifice à savoir les modules
3, 4, 5, 6 et 10 respectivement "gestion des ressources informatiques", "gestion de
l’information et développement des systèmes", "audit des systèmes applicatifs",
"informatique départementale et individuelle" et "technologies nouvelles",
Parmi les 10 modules que comprend le SAC Report, le module 8 traite spécialement de la
sécurité et représente la synthèse de ce qu’un auditeur doit savoir pour auditer la sécurité des
systèmes d’information. Dans ce module, sont exposés les contrôles fondamentaux à mettre en
œuvre pour assurer l’intégrité, la confidentialité et la disponibilité des données et ressources
informatiques.
42 Yvon Michel LOREAU – spécial SAC Report, revue française de l’Audit Interne - Avril 1993
67 DEUXIEME PARTIE
De même qu’en introduction sont listées les menaces qui pèsent sur les données et ressources du
système d’information.
• Aux accès physiques non autorisés : accès aux zones informatiques et accès aux
télécommunications (câblage réseau, réseau téléphonique, etc.),
• Aux incendies et inondations qui représentent les 2 causes les plus fréquentes des
dommages subis par le matériel et les ressources informatiques.
Le chapitre relatif à la sécurité logique traite de la sécurité des micro-ordinateurs en indiquant que
"les contrôles à mettre en œuvre doivent tenir compte de la valeur relative des informations, au
coût lié à leur protection et de la perte probable et potentielle liée aux risques encourus"43.
Ce chapitre fait également ressortir une distinction en matière de sécurité qu’il s’agisse de micro-
ordinateurs autonomes ou micro-ordinateurs connectés.
• De mettre l’accent sur l’éthique personnelle au sein de l’entreprise pour lutter contre
le piratage des logiciels,
• La lutte contre les virus informatiques en limitant autant que possible le partage des
micro-ordinateurs et l’utilisation de copies de programmes fiables tout en signalant la
difficulté de mise en oeuvre de cette mesure dans un monde communiquant.
Dans le second cas, le module 8 du SAC Report préconise la protection du réseau des risques liés
au transfert d’informations sensibles ou essentielles à l’organisation du fait que les micro-
ordinateurs se transforment en véritable outil de communication (réseaux LAN, WAN ou
connexion via lignes spécialisées, RTC, etc.)
En conclusion, il s’agit au même titre que la norme 401 de l’IFAC d’un référentiel sur la sécurité
des systèmes d’information puisqu’il aborde la sécurité des systèmes d’information selon les axes
traditionnels de confidentialité, d’intégrité et de disponibilité.
Néanmoins, il présente une démarche générale d’audit articulée autour des domaines suivants :
• Contrôle de la sécurité logique y compris les contrôles concernant l’accès aux données
et aux programmes, les contrôles de modification et de maintenance des applications,
les pistes d’audit (chemin de révision) et les caractéristiques des logiciels de contrôle
d’accès.
69 DEUXIEME PARTIE
La deuxième édition de COBIT est parue aux Etats-Unis en 1998. Sa traduction et distribution
dans les pays francophones par l’AFAI a été effectuée en 2000. Elle a apporté de nombreuses
nouveautés par rapport à la première édition et en a corrigé les quelques imperfections.
Ces 7 objectifs peuvent être regroupés selon "les impératifs de l’entreprise en matière
d’information"46 :
44 Fondation de l’ISACA (Information Systems Audit and Control Association) – 3701 Algonquin Road, Rolling Meadows IL 60008 USA
45 AFAI (Association Française d’Audit et de Conseil Informatique) – 88 rue de Courcelles, 75008 Paris
46 AFAI – Présentation 2ème version Cobit
70 DEUXIEME PARTIE
Le COBIT comprend :
• Des objectifs de contrôle par la mise en place de 302 objectifs de contrôle détaillés et
correspondant aux 34 processus informatiques,
• Un guide d’audit qui comprend les points d’audit suggérés pour chacun des 34
processus de façon à faciliter les auditeurs informatiques à réviser les processus
informatiques par rapport aux 302 objectifs de contrôle,
• Des outils de mise en œuvre qui correspondent à des outils d’analyse et d’évaluation
des risques informatiques.
• Les utilisateurs pour obtenir des garanties concernant la sécurité et les contrôles de
leurs services informatiques,
• Les auditeurs informatiques pour justifier leur opinion et/ou donner des conseils au
management sur les contrôles internes.
Maintenant on parle de troisième édition du COBIT dont la traduction en français date de 2002.
Par rapport à la précédente, nous n’avons pas été en mesure de connaître les modifications et
améliorations apportées.
Néanmoins on peut reprocher à ce référentiel le fait qu’il ne corresponde pas parfaitement aux
auditeurs généralistes que nous sommes, et que le modèle a adopté une méthode proactive
(orientée vers l’atteinte des objectifs) plutôt qu’une approche réactive (orientée vers la réduction
des risques).
L’aspect sécurité n’est abordé que dans le domaine support processus sécurité des systèmes qui
aborde 20 objectifs de contrôle en matière d’accès aux ressources, de sauvegarde, de sécurité des
données et programmes et enfin sécurité physique du matériel.
En janvier 1985, l’OECCA a émis la recommandation n° 21-0550 qui précise que "dans le cadre
de la prise de connaissance des procédures de contrôle interne et d’organisation comptable,
l’expert-comptable met à jour son dossier permanent sur le système comptable informatisée."
De même qu’en février 1985, l’OECCA a émis la recommandation n° 22-0751 qui rappelle les
risques d’audit issus du milieu informatique tels que :
48 OECCA (Ordre des Experts Comptables et des Comptables Agréés) Conseil National : 109, Boulevard Malesherbes – 75008 Paris
49 CNCC (Compagnie Nationale des Commissaires aux Comptes)
50 Recommandation 22-05 : Particularités des travaux comptables dans le cadre d’une entreprise informatisée
51 Recommandation 22-07 : La révision en milieu informatisé
72 DEUXIEME PARTIE
En octobre 1985, l’OECCA émet une recommandation sur "le diagnostic des systèmes
informatisées." Celle-ci précise que "l’expert-comptable peut intervenir dans des missions
d’assistance à l’informatisation de ses clients (sécurité, évolution cohérence système, etc.)" tout
en précisant que sa mission ne va pas au-delà d’une mission de conseil, la nature et l’étendue de
ses travaux étant précisées dans la lettre de mission.
52 Recommandation de l’OECCA : Les diligences normales à accomplir pour une mission de révision en milieu informatisé
53 CNCC – Appréciation du contrôle interne – Norme 2102
73 DEUXIEME PARTIE
Les recommandations ci-dessus précisent que la démarche d’audit reste inchangée, mais doit
inclure en raison de la spécificité de l’environnement informatique :
Le présent chapitre nous a permis de présenter en détail les différentes normes et référentiels en
matière d’audit de la sécurité micro-informatique, qui constituent à nos yeux un préalable à la
présentation de la méthodologie d’audit de la sécurité micro-informatique dans les PME.
L’étendue des contrôles sera fonction de l’orientation de la mission et du budget temps alloué à
ladite mission. Pour faciliter la détection des risques et des faiblesses de sécurité, nous utiliserons
un questionnaire de contrôle interne, considéré comme véritable outil d’audit de la sécurité
micro-informatique. Ce questionnaire sera complété par des contrôles subséquents, tels que
ressortant du programme de travail adapté.
1 Déroulement de la mission
Cette phase permet de mieux comprendre les spécificités de l’entreprise et son environnement
micro-informatique. Cette phase est d’une importance capitale pour la suite de l’intervention. Elle
est effectuée généralement au vu d’entretiens. La phase de prise de connaissance doit débuter par
un entretien avec les dirigeants de l’entreprise afin :
L’entretien doit être de courte durée. Afin de sensibiliser davantage la Direction Générale quant
aux risques spécifiques à la micro-informatique, l’expert-comptable devra évoquer les aspects de
stratégie de l’entreprise en terme d’informatique, les notions de plan micro-informatique,
politique de sécurité informatique, etc., en soulignant que leur absence est un facteur de
vulnérabilité et de fragilité.
Lors de cet entretien, l’expert-comptable doit aborder les aspects de configuration matérielle et
logicielle existante, mesures de protection et outils de sécurité mis en place par l’entreprise, etc.
• Le nombre d’utilisateurs, l’attribution des postes, l’utilisation qui en est faite, le niveau de
connaissance en micro-informatique, etc.
• La liste des logiciels installés (comptabilité, gestion commerciale, paie, gestion des
stocks, etc.),
Les mesures de protection et outils de sécurité constitueront le second point à examiner avec le
responsable informatique lors de cette étape de prise de connaissance. L’étude des mesures de
protection et outils de sécurité mis en place par l’entreprise permettra d’avoir une première
perception de la sécurité logique et physique existant au sein de l’entreprise.
76 DEUXIEME PARTIE
• Sécurité physique : quels sont les moyens mis en oeuvre pour la protection des micro-
ordinateurs, des réseaux et de l’ensemble des périphériques contre les agressions en tout
genre ?
• Sécurité logique : quels sont les moyens mis en œuvre pour assurer la protection des
logiciels et des données ?
L’entretien effectué avec la Direction Générale de l’entreprise avait pour objectif de mesurer le
niveau de perception de la sécurité micro-informatique. L’entretien effectué avec le responsable
informatique ou à défaut le prestataire de service (en cas d’externalisation de l’activité
informatique) doit permettre de décrire de manière détaillée la configuration matérielle et
logicielle adoptée et décrire les techniques et outils de protection mis en place.
La mise en place de techniques de protection et outils de sécurité doit être le résultat d’une
analyse exhaustive des risques qui pèsent sur l’entreprise et son outil micro-informatique.
Comme signalé au niveau du sous paragraphe 3.1 du chapitre 1 de la première partie, l’analyse
des risques consiste en l’identification des différents types de menaces pesant sur le système
d’information (menaces tant externes, qu’internes à l’organisation), d’évaluer leur impact et leur
probabilité de survenance, et de définir l’ensemble des scénarios pouvant atténuer ces menaces.
L’expert-comptable doit, lors de cette étape, analyser les risques liés à l’utilisation de l’outil
micro-informatique mais également les risques qui pèsent sur le système d’information en
général. En effet, en l’absence d’une analyse globale, celui-ci peut malencontreusement proposer
des recommandations de sécurité micro-informatique n’apportant en fait aucune amélioration en
raison des faiblesses de sécurité de l’entreprise en général.
77 DEUXIEME PARTIE
L’expert-comptable doit effectuer une analyse critique des facteurs de risques, que ce soit :
• Les risques liés à l’absence d’un plan micro-informatique et d’une politique de sécurité
globale,
• Les risques liés à l’absence de séparation de fonctions au sein de l’entreprise, tant au sein
du département informatique, qu’entre département informatique et utilisateurs,
• Les risques liés à l’absence de maîtrise des accès physiques et logiques à la micro-
informatique,
• Les risques liés à l’absence d’une politique de sauvegarde des programmes et données,
• Les risques liés à l’absence de contrôle de la fiabilité des logiciels lors de leur installation,
Mais aussi :
• Les erreurs lors de la saisie des données, traitements, transmission d’informations, etc.
Pour chaque type de risque que l’expert-comptable aura pu identifier, il est nécessaire de se poser
les questions suivantes :
• Quelles seraient les conséquences de la réalisation d’une telle menace ? (cf. chapitre 3
paragraphe 1 de la première partie),
Cette étape permettra d’une part de donner une orientation sur les besoins de sécurité de
l’entreprise et d’autre part les moyens théoriques développés lors de second chapitre de la
première partie pour garantir une sécurité optimale.
78 DEUXIEME PARTIE
Elle permettra donc au vu des entretiens effectués avec le responsable informatique d’aborder les
concepts de sécurité et la nécessité de mise en œuvre d’une politique de sécurité globale. Elle doit
fournir les renseignements suivants :
• Les mesures de sécurité concrètes mises en pratique par facteur de risque identifié,
L’ensemble des informations collectées lors de cette phase nous permet d’affiner l’identification
des points faibles en terme de sécurité micro-informatique devant faire l’objet de
recommandations, mais permet également d’identifier les points forts en terme de sécurité micro-
informatique. Ces points forts devront faire l’objet de contrôles supplémentaires afin de s’assurer
d’une part de leur réalité et de leur permanence d’application.
Lors de cette troisième étape, l’expert-comptable doit évaluer les mesures de contrôle interne
relatives à la sécurité de la micro-informatique.
Cette évaluation est réalisée au vu des informations et renseignements collectés lors des phases
précédentes, mais également au vu de la documentation recueillie (procédures, notes de service,
etc.).
79 DEUXIEME PARTIE
• Les tests éventuellement réalisés par le responsable informatique ou l’auditeur interne sur
les procédures de sauvegarde, reprise, restauration, accès physique et logique,
56 Inspiré de l’ouvrage de Jean Paul Ravelec – Audit sécurité informatique : approches juridiques et sociales
80 DEUXIEME PARTIE
Mais afin de disposer d’un document de contrôle qui permette à l’expert-comptable de passer en
revue l’ensemble des aspects de la sécurité micro-informatique au sein de l’entreprise et de tester
les points forts et faibles relevés au vu d’un programme de travail adapté, nous avons élaboré un
outil d’audit de la sécurité micro-informatique. Il s’agit d’un questionnaire de contrôle interne
utilisé comme aide mémoire et qui ne peut en aucun cas se substituer à la présente méthodologie.
Ce questionnaire, figurant en annexe n° 14 a été construit volontairement sur tableur Excel afin
de pouvoir trier les réponses collectées.
La présentation du questionnaire (outre le fait qu’il est bâti sur tableur Excel) ne déroge en rien à
la forme des questionnaires de contrôle interne généralement appliqués lors d’une mission
classique d’audit comptable et financier. En effet afin qu’il puisse être facilement utilisé par la
profession, nous n’avons pas voulu déroger à la règle de présentation des questionnaires
d’évaluation du contrôle interne.
Les questions posées sont des questions fermées auxquelles l’interlocuteur peut répondre par oui,
non ou non applicable (N/A). Si la réponse nécessite un développement ou des commentaires
particuliers, celle-ci doit être référencée dans un papier de travail et annexée au présent
questionnaire. De plus, chaque réponse impose une conclusion quant à l’évaluation du risque
(faible, moyen, élevé).
81 DEUXIEME PARTIE
Enfin, nous tenons à signaler que le présent questionnaire recense les questions afférentes à la
sécurité micro-informatique par thème. Néanmoins, pour en faciliter l’usage, l’expert-comptable
doit tenir compte des étapes précédentes de prise de connaissance de l’environnement micro-
informatique et de l’analyse des risques.
Au vu des conclusions auxquelles est parvenu l’expert-comptable, il est vain de poser aux
différents interlocuteurs les questions pour lesquelles la réponse serait à chaque fois N/A.
L’expert-comptable pourra donc décider de réduire sensiblement les questions à poser.
Finalement, il y a lieu de préciser que les forces et faiblesses relevées aussi bien lors de cette
étape que lors des étapes précédentes doivent être validées. L’expert-comptable devra procéder à
des tests ayant pour but de vérifier l’existence et la mise en pratique des mesures de sécurité
présentées au cours des entretiens et du questionnaire de contrôle interne. Ces tests seront
effectués auprès des utilisateurs en présence du responsable informatique.
L’expert-comptable doit, au vu des faiblesses relevées lors de la phase d’analyse des risques et
d’évaluation du contrôle interne de l’environnement micro-informatique et au vu des tests
complémentaires effectués au vu du questionnaire d’audit de la sécurité micro-informatique, faire
le point sur l’ensemble des faiblesses et dysfonctionnements relevés et préparer une note de
synthèse.
Sa structure et sa composition doivent répondre à des règles de présentation tant sur la forme que
sur le fond, mais qui ne dérogent pas des notes de synthèse préparées par l’expert-comptable à
l’issue d’une mission classique d’audit comptable et financier.
Comme signalé précédemment, la note de synthèse diffère selon qu’elle s’adresse à la Direction
Générale de l’entreprise ou le responsable informatique.
Dans le premier cas, elle est très synthétique (2 pages maximum) et rédigée dans des termes
simples, claires et compréhensibles pour attirer l’attention de la Direction Générale sur les
principales faiblesses de la sécurité micro-informatique de l’entreprise et susciter son
intéressement quant à la nécessité de la mise en place de mesures simples et efficaces.
En effet, n’avons nous pas insisté sur le rôle de l’expert-comptable en matière de sensibilisation
de la Direction Générale de l’entreprise sur les risques propres à la micro-informatique et la
nécessité de la mise en place de techniques de protection appropriées.
Dans le second cas, elle consiste en un compte rendu exhaustif employant parfois une
terminologie technique des anomalies rencontrées. De plus, chaque point faible ou risque doit
être étayé par des exemples indiscutables afin que le responsable informatique soit convaincu de
la pertinence des recommandations proposées.
Il y a lieu de souligner que ce document est d’une importance capitale car c’est sur la base des
recommandations proposées que l’entreprise entreprendra les corrections qu’elle jugera
nécessaires. Le temps imparti à sa rédaction ne doit en aucun cas être négligé et peut représenter
jusqu’au tiers du budget temps total alloué à la mission.
Le rapport d’audit formalise les conclusions de la mission. Il est établi sur la base de la note de
synthèse et destiné à la Direction générale de l’entreprise. Le contenu varie en fonction de l’objet
ou le type de mission d’audit. Néanmoins la structure d’un rapport d’audit de la sécurité micro-
informatique comprend en règle générale :
83 DEUXIEME PARTIE
• Les principaux points faibles rencontrés par thème ou objectifs d’audit ainsi que les
risques et conséquences qu’encourent l’entreprise,
L’enjeu d’une lettre de recommandations est que l’entreprise mette en œuvre les consignes de
sécurité qui lui soient adaptées, compte tenu de sa taille, son effectif, l’importance de la place de
l’outil micro-informatique, les risques réels encourus, etc.
Les recommandations proposées par l’expert-comptable doivent également tenir compte des
moyens financiers de l’entreprise. Comme il a été souligné lors du chapitre concernant le principe
de maîtrise des risques, les mesures de sécurité à mettre en place par l’entreprise doivent
répondre à l’équation risque / coût de protection de mise en œuvre.
Peu de sécurité fait courir à l’entreprise de nombreux risques, mais trop de sécurité engendre des
coûts démesurés par rapport aux moyens financiers dont elle dispose. L’amélioration de la
sécurité micro-informatique au sein de l’entreprise consiste généralement en l’amélioration de
son organisation et du cadre de contrôle interne, des méthodes de travail, etc.
Pour que les recommandations soient facilement lisibles et compréhensibles sans être alarmistes,
l’expert-comptable peut opter pour une lettre de recommandations sous forme de tableau
comprenant les colonnes suivantes :
La lettre de recommandations doit comprendre en plus des colonnes ci-dessus, deux autres
colonnes à savoir :
Ces deux colonnes seront généralement remplies par la Direction générale au vu de la réunion de
validation de ladite lettre de recommandations. Les commentaires apportés par la Direction
Générale constituent en fait un véritable plan d’amélioration comprenant les personnes
concernées par les recommandations et le délai d’exécution.
Il pourra toutefois, à l’occasion d’un prochain audit ou à la demande de l’entreprise, faire le point
sur les recommandations mises en place par l’entreprise. Cet aspect constitue l’objet du
paragraphe suivant intitulé le suivi des recommandations.
Le suivi des recommandations d’audit est essentiel. L’expert-comptable ne doit pas occulter cet
aspect à l’occasion d’une prochaine intervention, ou lorsque cette étape constitue en fait la
dernière étape de la mission d’audit de la sécurité micro-informatique, telle qu’elle ressort de la
lettre de mission.
Le suivi des recommandations consiste, en règle générale, à s’assurer que l’entreprise a mis en
place les recommandations formulées par l’expert-comptable sous forme d’un plan d’action.
Le plan d’action doit décrire les mesures de prévention et de protection que l’entreprise aura
retenue en vue d’améliorer la sécurité de son outil micro-informatique. Par thème ou domaine, il
devra indiquer les personnes chargées de la mise en place de telles mesures et le délai
d’exécution.
Le responsable informatique a un rôle majeur à jouer dans la mise en place de ces mesures, mais
il n’est pas le seul, car rappelons-le, la sécurité est l’affaire de tous.
86 DEUXIEME PARTIE
Lorsque les conclusions émanant du rapport d’audit ont conduit à émettre des réserves
significatives, il devient primordial que l’expert-comptable veille le plus rapidement possible à
l’application des recommandations, par exemple lors de sa prochaine intervention.
Dans le premier cas, l’expert-comptable doit s’enquérir sur les raisons qui ont fait que l’entreprise
n’a pas jugé nécessaire de mettre en place lesdites recommandations. Il devra insister encore une
fois auprès de la Direction générale sur les risques qu’elle fait courir à son organisation et
proposer un nouveau délai d’exécution.
Dans le second cas, l’expert-comptable devra focaliser son attention sur les recommandations qui
n’ont pas été mises en place, en demandant à la Direction Générale de préciser les raisons d’un
tel choix.
Dans le troisième cas, l’expert-comptable devra effectuer quelques tests complémentaires afin de
s’assurer de la réalité des mesures de prévention et de protection adoptées par l’entreprise et telles
qu’indiquées par la Direction Générale à l’expert-comptable lors de l’entretien. Cependant, il
pourra également juger ne rien faire et se satisfaire des explications reçues.
L’expert-comptable aura donc tout intérêt à se pencher lors de l’intérim sur l’évolution de la
sécurité micro-informatique de l’entreprise, et de mettre à jour son dossier permanent et dossier
système. Ce travail de suivi et de mise à jour est d’autant plus facilité par le questionnaire de
contrôle interne qui permet de trier les réponses aux questions posées par niveau de risque (faible,
moyen ou élevé).
• La politique de sécurité,
De même qu’il n’existe pas d’outils spécifiques à l’audit de la sécurité micro-informatique. Les
méthodes généralement utilisées sont réalisées sur la base d’entretiens et l’examen de documents,
notamment lors de la phase de prise de connaissance de l’environnement informatique de
l’entreprise.
La sécurité informatique peut faire l’objet d’un audit spécifique ou au contraire s’insérer dans un
audit plus général de la qualité du système d’information. La sécurité ne constituerait qu’un
chapitre ou domaine de l’audit sécurité informatique au même titre que les performances
techniques, l’efficacité fonctionnelle ou l’étude de la fiabilité d’une application informatisée.
Néanmoins, il serait vain d’auditer l’efficacité fonctionnelle d’un système ainsi que ses
performances techniques, si sa sécurité, considérée comme le fondement de la qualité d’un
système d’information n’est pas assurée.
A cet effet, et au même titre qu’une mission d’audit classique et / ou audit sécurité informatique,
toute mission d’audit de la sécurité micro-informatique comprend en règle générale :
• Une lettre de mission faisant ressortir l’objectif de la mission, les intervenants, les
obligations respectives des différentes parties, le champ d’intervention et le programme
général de la mission, le calendrier d’intervention et le budget,
• Une note d’orientation rédigée à la fin de l’étape précédente et permet de mettre en place
le programme détaillé de travail,
a) La lettre de mission qui comprend outre les aspects évoqués ci-dessus, les points suivants :
• Les principaux points faibles rencontrés par thème ou objectifs d’audit ainsi que les
risques et conséquences qu’encourent l’entreprise,
Il est nécessaire de rappeler que les recommandations émises par l’expert-comptable ne doivent
pas consister en un étalage des techniques et outils de sécurité. Elles constituent une proposition
d’un plan d’action pour corriger une anomalie, un dysfonctionnement ou une faiblesse
rencontrée. Pour être pratiques et opérationnelles, elles doivent :
• Intégrer la solution couverture des risques par l’assurance comme technique de protection
complémentaire.
Peu de sécurité constitue un facteur de risque, mais trop de sécurité entraîne également
l’apparition de menaces. L’amélioration de la sécurité micro-informatique passe par la mise en
place d’une meilleure organisation et cadre de contrôle interne.
Afin de connaître l’implication des cabinets d’expertise comptable de petite et moyenne taille
dans l’audit de la sécurité micro-informatique et leur rôle de conseiller qui doit s’étendre
nécessairement à la sécurité micro-informatique, nous avons préparé un questionnaire que nous
avons remis à 60 professionnels membres de l’ordre des experts comptables. Ledit questionnaire
dont un modèle est joint en annexe n° 15 comporte 3 parties :
Seuls 20 questionnaires nous ont été retournés dont les résultats figurent en annexe n° 14. Les
principales conclusions et remarques qui se dégagent de cette étude sont détaillées ci-contre.
91 DEUXIEME PARTIE
En raison de l’informatisation des entreprises, le champ d’audit doit être nécessairement élargi au
contrôle de la fiabilité des procédures informatiques et procédures de sécurité informatique. En
effet 79% des réponses reçues démontrent que les contrôles spécifiques à la fonction
informatique et / ou système informatique sont intégrés au processus d’évaluation du contrôle
interne.
Les grands cabinets d'audit font appel à des spécialistes en audit sécurité informatique. Ces
structures ont créé des départements spécialisés dans l’audit sécurité informatique, composés
généralement d’ingénieurs informatiques.
Pour les petites et moyennes structures, l’insuffisance de l'expérience des auditeurs financiers
pour réaliser ces types de mission d'audit de sécurité de la micro-informatique les amène à
délaisser cet aspect lors de la conduite de leur mission d'audit contractuel ou légal. 64% des
cabinet intérrogés avouent ne jamais avoir effectué de mission d’audit de la sécurité
informatique. De même que 64% des cabinets intérrogés affirment ne pas disposer des
compétences humaines nécessaires pour conduire ce type de mission.
Toute mission d’audit est effectuée selon un budget temps. Celui-ci est généralement arrêté au vu
de la phase de prise de connaissance de l’entreprise et de l’appréciation des risques d’audit. Pour
les petites structures, l’expert-comptable ne dispose pas toujours du budget nécessaire pour
réaliser des travaux de contrôle spécifique à la sécurité micro-informatique.
A la question de savoir si l’entreprise fait appel au service de son expert-comptable pour l’assister
dans la mise en place d’une politique de sécurité informatique ou dans le choix d’outils de
sécurité, 71% ont affirmé par la négative, d’où un travail de sensibilisation à effectuer en la
matière.
L’expert-comptable a tout intérêt à sensibiliser davantage l’entreprise sur son rôle de conseiller
qui est général et qu’il peut apporter son assistance en matière de sécurité informatique.
92 DEUXIEME PARTIE
• Responsables informatiques : seront évoqués les questions relatives aux outils de sécurité
mis en place, les techniques de sécurité pour assurer l’efficacité de l’environnement
informatique, l’exploitation de l’outil informatique, etc.
A la question pensez-vous que les entreprises ont conscience des risques et menaces qui pèsent
sur leur outil informatique, 64% ont affirmé non.
Tous ces points montrent un intérêt certain des professionnels pour ce type de mission.
Néanmoins, l’expert-comptable doit garder dans son esprit que la présente méthodologie ne
déroge en rien des méthodologies existantes en matière d’audit des états financiers et qu’en
raison de l’évolution permanente de l’informatique et des technologies associées, il devient
impératif d’intégrer dans ses missions d’audit des contrôles spécifiques à la sécurité micro-
informatique.
Le présent chapitre nous a permis de présenter en détail une méthodologie d’audit de la sécurité
micro-informatique dans les PME. Le chapitre suivant traitera plus en détail le programme de
travail au vu de l’évaluation du contrôle interne faite à l’aide du questionnaire annexé au présent
mémoire.
93 DEUXIEME PARTIE
Cette étape consiste à tester par thème ou objectif de contrôle interne les points jugés forts lors du
questionnaire de contrôle interne. L’évaluation du contrôle interne de l’environnement micro-
informatique nous a permis de brosser un inventaire détaillé des forces et faiblesses de la sécurité
micro-informatique de l’entreprise, tout en précisant :
Pour répondre à ces divers objectifs, l’expert-comptable doit axer ses contrôles sur les notions de
politique de sécurité, organigramme de la fonction informatique précisant le rôle et tâches du
département informatique, couverture des risques par une assurance, etc.
L’expert-comptable doit contrôler l’existence d’une telle politique précisant les principes sur
lesquels elle s’appuie, les moyens techniques mis en œuvre par l’entreprise pour prévenir,
détecter et limiter l’apparition de risques, les procédures de sécurité physique, logique et
organisationnelle, les actions de sensibilisation à entreprendre auprès des divers utilisateurs et les
procédés à adopter, etc.
94 DEUXIEME PARTIE
L’expert-comptable doit s’assurer que l’entreprise a réalisé une analyse des risques propres à la
micro-informatique avant la mise en place de toute politique de sécurité informatique, qu’elle est
diffusée à l’ensemble du personnel, que les directives sont connues et respectées par l’ensemble
des utilisateurs.
L’expert-comptable doit enfin s’assurer que la politique de sécurité informatique aborde les
moyens de protections mis en œuvre pour assurer la disponibilité, l’intégrité et la confidentialité
des données et de l’outil micro-informatique :
L’absence de séparation précise des tâches incompatibles entraîne l’apparition de risques tels
que :
• L’unicité de compétence,
• Etc.
Celle(s)-ci se voi(en)t chargée(s) d’effectuer l’ensemble des tâches qui sont normalement
séparées au sein d’un département d’informatique centralisé. Il devient de ce fait important que
les utilisateurs puissent contrôler les résultats des différentes applications informatiques dont
dispose l’entreprise.
L’expert-comptable doit enfin porter son attention sur l’existence ou l’inexistence d’une politique
de ressources humaines couvrant au moins les aspects suivants :
• Critères d’embauche,
• Conditions de travail,
• Congés,
• Compensation et reconnaissance,
• Licenciement et mutation,
• Etc.
Le personnel informatique doit posséder un niveau de formation le mettant à même d’assurer les
responsabilités qui lui seront dévolus et doit posséder des qualifications et connaissances
générales en matière de :
• Matériels,
• Logiciels,
• Télécommunications,
• Etc.
• Les utilisateurs disposent d’une formation suffisante sur l’utilisation de l’outil micro-
informatique et des applications logicielles qui y sont associées,
• Etc.
En effet, beau nombre d’entreprises s’exonèrent de mettre en place des mesures de prévention et
de protection arguant que l’assurance risques informatiques couvrira tout sinistre occasionné à
leurs matériels informatiques, supports de stockage, etc. L’expert-comptable a un rôle important à
jouer en matière de sensibilisation et de conseil auprès de ses entreprises clientes quant à
l’importance du respect de leurs obligations vis-à-vis de l’assurance.
Il doit s’assurer en premier lieu que l’ensemble des dispositions ont été prises pour protéger les
biens assurés (micro-ordinateurs, applications logicielles, supports de stockage, etc.) contre le
risque incendie, inondation, incidents techniques, etc. Il doit également s’assurer de la présence
d’onduleurs pouvant suppléer à toute panne de courant, d’un système de climatisation permettant
d’assurer une température ambiante au serveur, etc.
L’expert-comptable doit s’assurer par ailleurs, que l’entreprise effectue des sauvegardes
régulières de ses données, condition suspensive pour l’extension de garantie à la reconstitution
des médias. En effet, la perte des données entre la dernière sauvegarde et le moment de
survenance du sinistre n’est pas couvert par la compagnie d’assurance.
• Les risques de dégâts accidentels ou volontaires ainsi que les risques de vols de matériels et
supports informatiques sont limités,
• Les données et programmes de l’entreprise ne peuvent pas faire l’objet d’accès non autorisés,
Pour répondre à ces divers objectifs, l’expert-comptable doit axer ses contrôles sur les notions de
sécurité physique englobant la protection du matériel et périphériques contre les risques de vol,
d’incendie, d’inondation, d’incidents techniques, etc. et sécurité logique englobant la protection
de l’accès aux différents logiciels, la protection de l’entreprise contre les risques de piratage de
logiciels et la propagation de virus.
• Les postes ne sont éteints qu’une fois que les utilisateurs sont sortis des différentes
applications,
• Les utilisateurs d’ordinateurs portables sont sensibilisés sur les risques de vol qui pèsent sur
ce type de matériel,
• Les utilisateurs ne fument pas et ne prennent pas de boissons à proximité de leurs micro-
ordinateurs,
• Etc.
Il y a lieu de souligner que ces contrôles peuvent être effectués par simple observation des
habitudes de travail des différents utilisateurs, en traversant la salle informatique, etc.
Enfin, le contrôle de l’expert-comptable doit également porter sur les efforts de sensibilisation
des utilisateurs entrepris par l’entreprise par le biais du responsable informatique.
Celui-ci doit s’assurer auprès d’un ou de plusieurs ordinateurs qu’un mot de passe est
systématiquement demandé, qu’il ne s’affiche pas à l’écran lors de sa saisie, qu’il n’est connu
que de son "propriétaire", etc.
L’expert-comptable ne doit négliger le fait qu’un micro-ordinateur puisse être utilisé par
plusieurs personnes. Il devient à cet effet indispensable de s’assurer que l’entreprise a opté pour
une configuration pour chaque utilisateur définissant les limites d’accès en fonction des profils et
règles d’habilitation.
L’expert-comptable doit ainsi s’assurer que le contrôle d’accès logique est régi par des règles
appropriées et appliquées en permanence. Celles-ci englobent :
99 DEUXIEME PARTIE
• La conformité des mots de passe aux règles de l’entreprise (longueur, syntaxe, etc.)
Le deuxième point concernant la sécurité logique sur lequel l’expert-comptable doit s’attarder est
la gestion des licences des logiciels et systèmes d’exploitation.
L’intégrité des logiciels étant menacée par le piratage, il devient primordial de s’assurer que des
campagnes d’information et de sensibilisation sont menées, rappelant la notion de piratage et les
sanctions auxquelles s’expose l’entreprise. Toutefois, nous pensons que l’expert-comptable doit
faire ici preuve de prudence et de tact, surtout lors de la remise de ses constatations à la Direction
Générale.
En effet, la presse58 fait souvent écho que près de 90% des logiciels installés en entreprise au
Maroc sont des logiciels piratés. Face à ce constat, l’expert-comptable a plutôt intérêt à
sensibiliser l’entreprise sur les risques qu’elle court en insistant sur le fait que la régularisation de
la situation est indispensable.
Celle-ci doit être connue de l’ensemble du personnel et doit faire ressortir les mesures de
prévention en termes de gestion des connexions, compte rendu d’attaques virales, et les mesures
de détection et de protection en terme d’antivirus.
Il doit s’assurer que l’entreprise dispose d’un logiciel anti-virus et que sa mise à jour est
systématique, qu’il est activé sur chaque micro-ordinateur, que les disquettes ne sont utilisées
qu’après vérification par le responsable informatique, etc. L’idéal est que l’entreprise désactive
les lecteurs disquettes des différents micro-ordinateurs pour éviter tout risque d’infection. Mais
cette solution risque de ne pas obtenir l’adhésion du personnel.
L’expert-comptable doit enfin s’assurer que l’entreprise dispose d’un fire wall pour se protéger
contre les attaques virales à travers le Web, si elle dispose d’une connexion Internet.
3 Disponibilité de l’information
• L’intégrité et la sécurité des matériels et des logiciels sont assurées de manière satisfaisante,
• Tout risque d’interruption est limité et que l’activité peut être poursuivie dans un délai
acceptable en cas de défaillance de l’outil micro-informatique.
Pour répondre à ces divers objectifs, l’expert-comptable doit axer ses contrôles sur les notions de
plan micro-informatique, de politique d’investissement et de maintenance du parc micro et des
logiciels, besoins de confidentialité de l’entreprise (classification des données à protéger),
sauvegarde des données et programmes, et éventuellement plan de secours.
• Matériels : caractéristiques des unités centrales, des périphériques d’entrée (clavier, souris,
etc.) de sortie (écrans, imprimantes, scanners, etc.) de stockage (disque dur, disquette, CD-
ROM, cartouche, etc.),
• Réseaux : connexion des ordinateurs entre eux, existence d’un serveur central de fichiers,
connexion le cas échéant à Internet, etc.
101 DEUXIEME PARTIE
• Existence ou non d’un politique d’investissement faisant ressortir le recensement des besoins
à satisfaire, le responsable de ladite politique, etc.
• Les critères d’installation (tests de fonctionnement lors de l’installation, fiabilité des logiciels
installés, compatibilité du matériel, etc.),
S’agissant du deuxième point, l’expert-comptable doit axer ses contrôles sur la classification des
données effectuée par l’entreprise et les mesures de protection mises en place. En effet,
l’entreprise doit avoir conscience de l’importance de la confidentialité des données de son
système d’information afin de mettre en place les mesures de protection appropriées.
L’expert-comptable doit s’assurer de la disponibilité des données de l’entreprise assurée par une
gestion appropriée des sauvegardes. Il doit examiner l’existence ou non d’une procédure de
sauvegarde faisant ressortir :
Il doit s’assurer par la suite auprès des utilisateurs de la réalité et de la correcte application de la
procédure de sauvegarde et, le cas échéant, contrôler l’existence ou non de sauvegardes
personnelles directement sur disque dur du micro-ordinateur de l’utilisateur. Il doit contrôler
l’existence de jeux de sauvegarde, leur lieu de rangement, délai de conservation, etc. Il doit
s’assurer que les bandes sont placées dans un lieu sûr comme un coffre ignifugé et non dans les
tiroirs du responsable informatique.
Le dernier point à examiner (éventuellement) par l’expert-comptable est l’existence ou non d’un
plan de secours. Celui-ci est destiné à permettre le redémarrage de l’activité dans un délai de
temps raisonnable lorsque le plan de sécurité a été mis en défaut.
Celui-ci intervient à la suite d’un sinistre grave (risques catastrophiques) rendant indisponible le
système informatique de l’entreprise. Il doit indiquer :
• Des contrôles sur l’intégrité des logiciels ont été mis en place (qu’ils soient développés en
interne ou par recours à une SSII,
Pour répondre à ces divers objectifs, l’expert-comptable doit axer ses contrôles sur les
applications informatiques de l’entreprise, qu’elles soient développées en interne, ou en externe
auprès d’une SSII.
L’expert-comptable doit s’assurer auprès des différents utilisateurs qu’ils ont été convenablement
impliqués et associés au processus de développement de toute nouvelle application. A cet effet, il
doit s’assurer que les besoins ont été correctement pris en compte, que les applications n’ont été
mises en exploitation qu’une fois avoir obtenu la "recette" des utilisateurs au vu de tests, et que la
formation nécessaire a été dispensée. Il arrive parfois que les entreprises imposent aux utilisateurs
une application sans se préoccuper de savoir si celle-ci réponde bien à leurs attentes. Cette
attitude est préjudiciable à l’entreprise car les utilisateurs auront toujours tendance à rejeter ladite
application. L’objectif de fiabilité recherché à travers cette nouvelle application ne sera jamais ou
que partiellement atteint.
La conception d’un nouveau projet informatique doit être conduite par une équipe comprenant
non seulement des informaticiens, mais également un membre de la direction générale, un ou
plusieurs utilisateurs ainsi que des membres des organes de contrôle (audit interne, expert-
comptable, commissaire aux comptes, etc.).
Il est souhaitable que l’expert-comptable s’assure que tout nouvelle application développée les
personnes suivantes ont été impliquées :
• Les utilisateurs car sont les personnes les mieux placés pour vérifier l’adéquation de
l’application à leurs besoins, au vu de jeux d’essais,
• Les membres des organes de contrôle car sont les seuls garants de la prise en compte des
éléments relatifs au contrôle interne. Ces derniers se traduiront à l’intérieur de l’application
par des contrôles programmés exhaustifs, et dans l’exploitation future des applications par
des procédures qui puissent s’assurer en permanence de l’intégrité des données, et de
produire des pistes d’audit.
105 DEUXIEME PARTIE
L’expert-comptable doit s’assurer que les conditions de support et de maintenance des progiciels
sont satisfaisantes. Il doit voir si l’activité de l’entreprise est dépendante des applications
développées et / ou maintenues par un prestataire de service.
• Sécurité,
• Efficacité : application qui répond à son objectif, aux attentes des utilisateurs mesurées en
degré de satisfaction et que le coût de son fonctionnement et de sa maintenance n’est pas
jugé excessif.
L’expert-comptable doit s’assurer de l’existence ou non d’un contrat de maintenance signé avec
un prestataire de service. Il doit examiner, le cas échéant, les clauses du contrat et s’assurer
qu’elles font ressortir :
• L’objet du contrat,
• La durée du contrat,
Il doit s’assurer que les développements fait par les utilisateurs répondent à des besoins réels,
qu’ils ne sont pas redondants avec des programmes préexistants et qu’ils sont du moins
supervisés par le responsable informatique.
107 DEUXIEME PARTIE
L’audit de la sécurité micro-informatique peut représenter des enjeux important aussi bien pour
les dirigeants des PME que les experts comptables. Compte tenu de l’importance de l’outil
micro-informatique au sein de l’entreprise, il appartiendra à tout dirigeant de mettre en place une
organisation et des procédures de contrôle interne fiables.
C’est pourquoi nous pensons que l’expert-comptable et le commissaire aux comptes ont un rôle
important à jouer dans la sensibilisation de la Direction Générale quant aux risques informatiques
qui pèsent sur l’outil micro-informatique de leur entreprise et la nécessité de mise en place d’une
politique de sécurité. Toutefois, la micro-informatique connaît des évolutions technologiques
permanentes à tel point qu’il devient difficile de proposer une méthodologie de contrôle de la
sécurité micro-informatique au sein de l’entreprise.
CONCLUSION GENERALE
Elle consiste à choisir les mesures de prévention et de protection à même de réduire le risque à un
niveau jugé acceptable pour l’entreprise. Celle-ci doit être en mesure de déterminer la valeur des
composantes de son système d’information, le coût de leur protection et les pertes potentielles
qu’elle peut subir au cas où les menaces se réaliseraient.
Nous pensons que l’expert-comptable, de par sa formation, son expérience en tant que conseiller
externe de l’entreprise est en mesure de conduire des travaux d’audit spécifique à la sécurité
micro-informatique existante au sein de l’entreprise. Par ailleurs, celui-ci ne doit pas perdre de
vue qu’une organisation et un cadre de contrôle interne adapté, des procédures écrites, claires et
compréhensibles et le respect d’un minimum de règles de sécurité quant à l’utilisation de
l’ordinateur sont les garants d’une bonne sécurité.
En effet, même si les deux missions ont de nombreux points en commun et des similitudes quant
à l’approche adoptée, l’audit de la sécurité micro-informatique doit être distincte de celle de
l’audit financier afin que la valeur ajoutée d’une telle mission soit correctement perçue par la
Direction Générale. Le service attendu va au-delà d’une simple certification des comptes.
Il est important que l’expert-comptable propose une méthodologie reconnue et éprouvée par la
profession se basant sur un certain nombre d’étapes et aboutissant à des recommandations à
même d’améliorer la sécurité au sein des entreprises et notamment les PME.
Nous avons pensé élaborer le questionnaire de contrôle interne en guise de support d’audit sur
tableur Excel afin de pouvoir trier les réponses reçues en fonction du niveau de risque (faible,
moyen ou élevé) ou en fonction des interlocuteurs (Direction générale, responsable informatique,
utilisateurs). En fonction des réponses reçues, l’expert-comptable jugera nécessaire ou non
d’effectuer des tests pour s’assurer de la réalité et de la permanence des mesures de sécurité
mises en place par l’entreprise.
Nous espérons à travers le choix d’un tel mémoire avoir répondu aux objectifs recherchés en
montrant les aptitudes du professionnel dans la conduite d’une mission d’audit de la sécurité
micro-informatique. Nous espérons également que la profession mettra à profit ce travail,
l’enrichira par ses précieux commentaires et observations et le complètera au fur et à mesure des
évolutions des risques encourus par les entreprises et des techniques de sécurité existantes.
111 BIBLIOGRAPHIE
Bibliographie
1- Ouvrages :
IFACI : "Les principes de la sécurité informatique -guide d'audit" édition Clet 1991.
Yann DERRIEN : "Les techniques de l'audit sécurité informatique" édition Dunod 1992.
Guide ATH : "Audit et informatique – guide pour l’audit financier des entreprises
informatisées" édition Clet 1985.
J.M LAMERE : "La sécurité informatique – approche méthodologique" édition Dunod 1987
H.J HIGHLAND : "Comment protéger votre micro – matériel et logiciel" édition Masset
1985.
Philippe ROSE : "La criminalité informatique" édition que sais-je, PUF 1988
Jean Claude HOFF : "les virus – méthodes et techniques de sécurité" éditions Dunod 1991.
112 BIBLIOGRAPHIE
2- Normes et recommandations :
OECCA : Recommandations 21-05 "particularités des travaux comptables dans le cadre d'une
entreprise informatisée".
SAC Report traduction IFACI 1993 :"Audit et contrôle des systèmes d’information".
3- Lois et décrets :
Loi 2-00 relative aux droits d’auteur et droits voisins – Dahir du 15.02.00
La revue fiduciaire comptable n° 180 nov. 1992- dossier conseil : "Comment assurer la
fiabilité de votre informatique".
Revue française de l’Audit Interne : "Spécial audit et contrôle des systèmes d'information" n°
114, mars -avril 1993 page 5 à 38.
Revue française de l’Audit Interne : "L'audit de la sécurité informatique" n° 104, mars 1991
pages 29 à 35.
Revue française de l’Audit Interne : "La micro-informatique : sécurité et réseaux" n° 110, mai
1992 pages 27 à 30.
Revue française de l’Audit Interne : "Approche méthodologique pour intégrer la sécurité des
systèmes d'information" n° 129, avril 1996 pages 13 à 16.
Livre blanc des PME édition du 05.12.00 Ministère chargé des PME
Sécurité de la micro-informatique dans les PME – les techniques adaptées et leur audit par
l’expert-comptable. Alain Guyard, novembre 1998
Disaster recovery journal : journal sur la continuité des systèmes informatiques, plan de
reprise, plan de back up, etc. www.drj.com
115 BIBLIOGRAPHIE
ANNEXES
ANNEXE 6 : Articles de presse sur les actions de la BSA et statistiques de piratage des logiciels
informatiques.
ANNEXE 1
Accès : (1) Il s’agit de toutes opérations se rapportant à des données situées dans une mémoire ou
sur un support de données. (2) Type d’interaction spécifique entre un sujet et un objet, se
traduisant par un flux de données de l’un vers l’autre
Accidents : Toute atteinte dont l’origine est en général liée à des éléments naturels ou à certaines
causes de nature involontaire. Les conséquences dues aux accidents sont tangibles et les effets se
manifestent sur l’environnement physique.
Active X : Standard élaboré par Microsoft pour permettre à différents logiciels de communiquer
entre eux quelque soit le matériel ou le langage utilisé.
Agression : Concrétisation d’une menace qui provoquera une atteinte sur l’environnement
physique, logique ou organisationnel de la donnée et/ou de l’information.
Application : Terme généralement employé pour désigner un logiciel d’application utilisé avec
une interface graphique telle que Windows ou l’environnement de travail OS/2.
BIOS : Abréviation de "Basic Input Output System", qui correspond au programme système de
base dans un ordinateur. Il est disponible dès la mise sous tension, car il est stocké dans une
mémoire morte (ROM) sur la carte mère. Le BIOS est constituée d’un programme qui démarre
automatiquement après la mise sous tension de l’ordinateur. Il vérifie tous les composants
matériels les uns après les autres, les initialise et le cas échéant émet des messages d’erreur.
118 ANNEXES
ANNEXE 1
Bombe logique : Forme particulière de virus, qui se déclenche lorsque certaines conditions se
trouvent réalisée (le plus souvent, à une date ou une heure déterminées). Type de programme
dont les actions destructrices sont prédéfinies. Il s’agit généralement d’un programme dont la
mise en route s’effectue par son installation sur le disque dur de l’ordinateur.
Carte mère : La carte mère, généralement appelée "carte principale" constitue la carte centrale de
l’ordinateur. Elle supporte tous les composants nécessaires au fonctionnement de l’unité centrale
de traitement, de la mémoire de travail, des systèmes de bus, pour l’échange de données et pour
le pilotage des composants indispensables.
CD-ROM : de l’anglais "Compact Disk Read Only Memory". Il s’agit d’un support de données
dérivé des CD audio introduits sur le marché par Philips et Sony en 1985.
Cheval de Troie : (1) Programme informatique destiné à un ou plusieurs buts spécifiques, mais
qui en comporte d’autres, généralement illicites, à l’arrière plan et dont l’utilisateur n’a pas
conscience. (2) Le cheval de Troie est un programme informatique, en apparence inoffensif, mais
qui contient une fonction cachée. Celle-ci est utilisée pour pénétrer par effraction dans les
programmes d’un ordinateur, pour en consulter les donnés, pour les modifier ou encore les
détruire. Il peut contaminer un grand nombre d’ordinateur s’il est propagé par le réseau.
Code source : Le code source ou programme source est un programme formulé dans un langage
de programmation.
Compilateur : Programme de traduction d’un code source prélevé dans un fichier source.
Connexion : Au début d’une session de travail sur le réseau, l’utilisateur doit s’identifier pour
faire état de ses droits en entrant un nom et le mot de passe qui lui correspond. L’ouverture d’une
session implique une connexion au système (en anglais "login").
119 ANNEXES
ANNEXE 1
Disponibilité : Caractérise une donnée ou une information dans un contexte d’attente de résultat.
La disponibilité qualifie la faculté de l’information d’être obtenue avec un temps de réponse
satisfaisant, et au moment opportun. Par extension, on y associe la notion de pérennité, c'est-à-
dire de conservation de cette disponibilité dans le temps.
Disque dur : Support mémoire le plus important de l’ordinateur. Il sert à installer le système
d’exploitation et les programmes d’application (voir logiciel).
Disquette : Forme la plus simple de support de stockage des données, qui peuvent être lues,
effacées autant de fois que l’on veut.
Données : En anglais data. (1) Les données sont des informations généralement codées. Elles sont
saisies, transmises, préparées, stockées en mémoire. Dans un sens plus étroit, on désigne par
données, seulement les données utilisées dans les applications, excluant celles qui représentent un
programme de traitement ou des paramètres. (2) Représentation conventionnelle et quantifiable
d’un fait, objet ou d’un état. La donnée représente la partie automatisable de l’information ; c’est
sur elle que s’effectuent les différents traitements informatisés.
Fichier : En anglais file. Un fichier est un ensemble de données qui ont un rapport entre elles. Le
système d’exploitation le considère comme une seule entité, la mémoire de l’ordinateur le
transforme et on peut le stocker sur un support de données.
Identification : Technique utilisée pour identifier un utilisateur dans un système de traitement des
données. L’identification de l’utilisateur est attribuée par l’administrateur du système.
Informatique : Contraction des mots information et automatique. (1) Ce mot désigne la science de
la préparation et du traitement des informations. (2) Ensemble des applications de cette science,
mettant en œuvre des matériels, des logiciels et différents éléments qui lui sont rattachés.
120 ANNEXES
ANNEXE 1
Interface : Une "interface" désigne généralement un composant qui sert à mettre en relation deux
systèmes et qui contient des données sous une forme compréhensible pour ces deux systèmes ;
Java : Langage de développement produit par la société Sun. Il permet de doter les documents de
format HTML (Hypertext Markup Language) de nouvelles fonctionnalités : animations
interactives, applications intégrées, modèles 3D, etc. Ce langage est orienté objet et comprend des
éléments spécialement conçus pour la création d’applications multimédia.
Ligne spécialisée : Ou ligne louée est une ligne de transmission de données que l’on loue –
généralement très cher – auprès de l’opérateur téléphonique. Elle permet une liaison permanente
avec des ordinateurs ou des réseaux éloignés. Contrairement à la ligne normale de bureau, la
ligne spécialisée dispose d’une numérotation particulière.
Logiciel : Ce mot désigne un programme. Il existe deux sortes de logiciels : les logiciels destinés
au système (comme le système d’exploitation) et les logiciels destinés à l’utilisateur appelés
communément "applications" ou "logiciels d’application".
Logiciel de contrôle d’accès : Logiciel spécialement conçu pour interdire tout accès non autorisé
à un système informatique ou à des ressources sensibles et produire des états sur tout incident
relatif à la sécurité.
Menace : signe par lequel se manifeste ce que l’on doit craindre. C’est aussi une hypothèse
laissant présager l’arrivée d’un événement dangereux ou préjudiciable.
Merise : Méthode mise au point durant les années 1978 et 1979, et qui permet la conception et le
développement de systèmes d’information.
121 ANNEXES
ANNEXE 1
Micro-ordinateur : Ordinateur autonome bâti autour d’un microprocesseur. (Voir annexe suivante
description évolution de la micro-informatique).
Microprocesseur : Circuit intégré à puce qui dispose des fonctions d’un processeur complet.
Mirroring : Opération qui permet d’améliorer la sécurité des données. On écrit les mêmes
données en même temps sur deux disques durs situés sur un même contrôleur de disque dur. si
l’un des disques durs tombent en panne, les données ne sont pas perdues et l’on peut continuer à
travailler (technique dite du RAID).
Mot de passe : (1) Mot de code uniquement connu de la ou les personnes auxquelles son
utilisation est réservée, et qui donne droit à l’accès à certaines données, certains fichiers et à
l’exécution de certains travaux. (2) Chaîne de caractères utilisée pour authentifier une personne
s’étant préalablement identifiée auprès du système informatique.
Onduleur : Le but d’un onduleur est d’empêcher l’altération des données ou du matériel due aux
variations de l’alimentation électrique. Il peut même se substituer à celle-ci en cas de panne
totale. Il existe trois catégories d’onduleur :
ANNEXE 1
Politique de sécurité : Ensemble des lois, règles et pratiques qui régissent la gestion, la protection
et la diffusion des informations sensibles ou critiques d’une organisation. Une politique de
sécurité globale tient compte de nombreux facteurs n’appartenant pas au domaine de
l’informatique et des communications.
Prévention : Mesure de sécurité qui aura une action réductrice en évitant la naissance de
nouveaux risques, et en atténuant ou supprimant ceux qui existent et dont les origines sont
souvent de nature malveillante.
Procédure de sauvegarde : Dispositions établies pour la reprise de fichiers des données et d’autres
éléments du système et pour le redémarrage ou le remplacement du matériel informatique ou de
communication après une panne du système ou sinistre.
Progiciel : En anglais "software package". Ensemble de logiciels travaillant sur le même type de
données, partageant un certain nombre de programmes auxiliaires et surtout exportés et/ou
commercialisés de manière unitaire.
Programme antivirus : Il permet de protéger l’ordinateur, les logiciels et les fichiers contre les
virus ou d’autres programmes nuisibles. Les programmes antivirus consistent généralement en un
ensemble de programmes :
• Les détecteurs de virus recherchent des virus déjà identifiés par des suites de codes
caractéristiques,
ANNEXE 1
Protection : Regroupe l’ensemble des actions qui ont pour vocation d’assurer la détection et la
neutralisation d’une agression, ainsi que l’atténuation de ses effets. Les mesures de protection
concerneront les environnements logiques, physiques et organisationnels.
RAM : De l’anglais "Random Access Memory". Mémoire vive servant à stocker les informations
tant que l’ordinateur est sous tension.
Réseau : (1) Un réseau se compose d’un moyen de communication et de tous les composants
reliés à ce moyen qui assure le transfert de l’information. Ces composants sont notamment les
ordinateurs hôtes, les commutateurs de paquets, les contrôleurs de télécommunications, etc. (2)
Un réseau informatique peut être local, ou plus élargi. Il permet la transmission de tout type de
données, échangée sous forme numérique et exploitable par l’ensemble du système relié en
réseau.
Risque : Danger plus ou moins probable émanant d’une menace et pouvant se traduire en terme
de probabilité de survenance et de niveau d’impact.
ROM : De l’anglais "Read Only Memory". Mémoire permanente contenant des informations sur
les opérations de base de l’ordinateur.
Routeur : Dispositif assurant la liaison entre deux zones séparées d’un réseau étendu ou entre
deux réseaux différents. Il établit également l’itinéraire de transmission optimal des paquets de
données.
RNIS : Réseau Numérique à Intégration de Services. Il s’agit d’un réseau entièrement numérique
qui permet de transmettre des données de toute nature à une vitesse plus élevée que les réseaux
téléphoniques classiques, et sans risques d’erreurs.
Sauvegarde : Seconde mémorisation des données dans un but de sécurité, qui n’est pas soumise
au traitement et donc n’est pas exposée à un danger de destruction.
Sécurité : (1) Etat définissant un système qui n’est exposé à aucun danger. La sécurité des
données et des informations pourra être exprimée par leurs qualités sur les plans de la
disponibilité, de l’intégrité et de la confidentialité. (2) Mecanismes et techniques de contrôle de
l’accès aux éléments du système afin de les protéger contre toute modification, destruction ou
vol.
124 ANNEXES
ANNEXE 1
Sécurité informatique : (1) Protection des ordinateurs, de leurs services et de leurs fonctions
contre toute menace naturelle ou humaine. Elle garantit que l’ordinateur exécute ses fonctions
critiques correctement et sans effet secondaire nuisible. Elle permet également de garantir la
confidentialité, l’intégrité et la disponibilité des données. (2) La sécurité informatique recouvre
l’ensemble des techniques de prévention et de protection contre tout types de risques. Elle peut
être scindée en :
• Sécurité physique,
• sécurité logique,
• Etc.
Serveur : Il s’agit d’un ordinateur dédié à l’administration d’un réseau informatique. Il gère
l’accès aux ressources et périphériques et les connexions des différents utilisateurs. Il est équipé
d’un logiciel de gestion du réseau.
SGBD : Le Système de Gestion de Base de Données désigne l’ensemble des fonctions permettant
de formuler des requêtes, de modifier et de stocker des données, ainsi que de définir la structure
des données et d’élaborer les fichiers requis.
SSII : Société de Services et d’Ingénerie en Informatique. Société proposant des services allant de
la conception d’un cahier de charges à la mise en place de solutions combinant programmes et
matériels.
Système d’exploitation : Il s’agit d’un logiciel qui détermine, gère et surveille le fonctionnement
de l’ordinateur. Il est donc indispensable qu’il soit installé pour que le matériel puisse
fonctionner. C’est lui également qui contrôle et gère les fonctions internes de l’ordinateur, ainsi
que les périphériques d’entrée et de sortie.
Système d’informations : (1) Ensemble organisé de moyens de toutes natures qui assurent la
survie, le stockage, le traitement et la distribution des informations au sein d’une organisation. (2)
Ensemble des circuits d’information dans une entreprise.
125 ANNEXES
ANNEXE 1
Système informatique : Ensemble composé des moyens de toutes natures qui assurent la saise, le
traitement, le stockage, la diffusion, et la transmission automatique des données au sein d’un
système d’information.
Ver : (1) Programme qui recherche l’espace mémoire inutilisé et se réécrit successivement
jusqu’à épuiser la mémoire de l’ordinateur et à bloquer le système. (2) On appelle ainsi un type
particulier de programmes nuisibles qui s’attaquent aux réseaux et ressemblent aux virus (voir
virus) dans les ordinateurs autonomes. Ils se propagent généralement sous forme de texte-source.
Lorsqu’ils parviennent au système-cible, ils se compilent en programme exécutable.
Virus : Un virus est un programme informatique de très petite taille qui possède la faculté de
s’introduire dans un programme hôte et de se reproduire, soit à l’identique, soit en se modifiant
chaque fois que celui-ci démarre. Son but est d’infecter autant de programmes que possible dans
autant de système sans être détecté.
Vulnérabilité : Indique une faiblesse ; la vulnérabilité se traduit par le fait qu’une menace (avec le
risque qu’elle fait naître) et la conséquence d’une atteinte (avec les enjeux induits) existent
simultanément.
126 ANNEXES
ANNEXE 2
1972 : INTEL met sur le marché le 8008, microprocesseur à 8 bits. Nolan Bushnell fonde la
société ATARI et commercialise le premier jeu vidéo.
1973 : MICRAL 8008 : premier micro-ordinateur mis sur le marché, qui était plus un appareil de
contrôle en temps réel qu’un micro-ordinateur sticto-sensu.
1975 : L’ALTAIR de MITS, l’un des premier systèmes abordables en kit, fait la une du magazine
Américain "Popular Science". MICROSOFT, société fondée par Billes Gates et Paul Allen
réalise la première version de son BASIC pour le MITS.
1976 : APPLE COMPUTER, fondé par Steve Wodzniak et Steve Jobs, démarre avec l’APPLE 1.
1977 : APPLE sort l’APPLE 2 bâti autour du processeur 6502 de MOS Technologie avec un
système d’exploitation totalement différent du PETsorti par COMMODORE. Tandy sort le TRS-
80 et choisit le processeur Z80 de ZILOG totalement incompatible avec les deux précédentes
machines.
1978 : Un pojet de PC apparaît chez IBM sous le nom de DAMASTER. INTEL met sur le
marché le processeur 8086. Denis Hayes lance le premier modem pour micro-ordinateur
abordable.
1979 : SOFTWARE ARTS met sur le marché le premier tableur VISICALC. La société
MOTOROLA annonce le 68000, premier microprocesseur 16/32 bits.
1981 : Lancement de l’IBM PC. OSBORNE 1, lancé par la firme du même nom est le premier
micro-ordinateur portable.
127 ANNEXES
ANNEXE 2
1983 : APPLE lance le LISA, père du MACINTOCH.IBM améliore son PC en proposant le XT,
doté d’un disque dur de 10 Mo. LOTUS lance son tableur grapheur 1-2-3. MICROSOFT propose
la première version de Windows à IBM qui n’est pas intéressé.
1984 : APPLE lance le MACINTOCH à grand fracas. IBM lance l’AT super PC avec processeur
INTEL 80286 de 16 bits et un disque dur de 30 Mo.
1985 : APPLE lance les Laserwriter. ALDUS produit le logiciel PAGEMAKER. ATARI
commercialise l’ATARI 520 st. IBM annonce le processeur 80386.
1987 : IBM lance les PS/2, la technologie VGA, l’architecture Micro-channel et l’OS/2.
1988 : IBM lance le PS/2 8530-286 et revient au bus ISA. COMPAQ crée l’architecture EISA.
INTEL annonce le i80386X.
1991 : IBM s’allie avec APPLE et MOTOROLA. MICROSOFT lance la version 5 du DOS.
Etc.
128 ANNEXES
ANNEXE 3
A- Accidents :
A4 : Perte de services essentiels : Il s’agit de l’ensemble des causes d’origine externe entraînant
l’indisponibilité ou le dysfonctionnement du système.
A5 : Autres risques accidentels physiques : Il s’agit de l’ensemble des causes d’origine interne ou
externe au système endommagé qui ont conduit à son endommagement accidentel partiel ou total.
E Erreurs :
E1 : Erreurs d’utilisation (logiques) : erreurs de saisie et transmission des données quelqu’en soit
le moyen, erreurs d’exploitation du système.
M Malveillances :
ANNEXE 3
Sabotage immatériel
Conséquences :
Directes :
ANNEXE 3
Indirectes :
C5 : Responsabilité civile encourue par l’entreprise ou l’organisme du fait des préjudices causés à
autrui, volontairement ou pas, du fait de la survenance d’un sisnistre dans son enceinte juridique.
ANNEXE 4
Charte :
Le service de sécurité informatique a pour mission de guider et de soutenir les organisations dans
leur action de protection des biens informatiques contre toute divulgation, modification,
destruction ou refus, intentionnels ou non, et ce grâce à la mise en œuvre de politiques,
recommandations et procédures appropriées en matière de planification de la sécurité des
systèmes d’information.
Responsabilités :
ANNEXE 4
ANNEXE 4
3. Règle n° 3 : Protection des données. Afin de garantir l’intégrité et la non altération des
données, l’entreprise doit veiller à ce qu’elle ne fasse pas l’objet d’une attaque virale. A
cet effet, le responsable sécurité doit sensibiliser, par affichage de notes de service, par
courrier électronique, les différents utilisateurs des ressources informatiques. Celui-ci doit
s’assurer que le logiciel antivirus est activé sur chaque station de travail et que l’échange
de disquettes avec l’extérieur est prohibé.
Mission :
• Il doit garantir à la direction générale une continuité d’exploitation quel que soit le cas
d’incident qui se produit,
• Il doit développer les règles générales de sécurité et procédures à respecter par l’ensemble du
personnel de l’entreprise,
134 ANNEXES
ANNEXE 4
• Il doit procéder à tout contrôle ou vérifications utiles pour s’assurer de la mise en œuvre
effective des décisions et recommandations retenues,
• Il doit être au courant des dernières technologies dans le domaine de la sécurité et assurer une
"veille technologique".
Les tâches :
• L’élaboration le cas échéant d’un plan de secours, dont l’objectif est de permettre la poursuite
de l’exploitation de l’entreprise lorsqu’un incident grave a mis en défaut le plan de sécurité et
a rendu inutilisable l’outil informatique et par extension le système informatique.
135 ANNEXES
ANNEXE 5
1- Identification de l’entreprise :
Nom ou Raison sociale :
Téléphone :
Fax :
ANNEXE 5
Quels sont les types d’informations et renseignements demandés à l’assuré avant signature de
tout contrat d’assurance risque informatique ?
Les contrats d’assurance couvrant le risque informatique font-ils référence à des conditions
spéciales?
Oui :
Non :
Si oui, indiquer sommairement lesquelles?
Quelles sont les entreprises qui recourent aux assurances risques informatiques ?
Multinationale :
Grand groupe marocain
PME
Jeunes promoteurs :
Autres (à préciser) :
137 ANNEXES
ANNEXE 5
La garantie porte sur le matériel destiné au traitement de l’information désigné aux conditions
particulières de chaque contrat d’assurance et comprenant :
• Les unités centrales et de contrôle, les périphériques y compris les imprimantes, qui leur
sont liés ainsi que les logiciels de base fournis par le contructeur,
• Les matériels non destinés au traitement des informations, mais dont le bon
fonctionnement est nécessaire à ce traitement :
- Installations de régulation telles que climatisation, onduleurs, etc.
- Installation de détection et de sécurité telles que les alarmes, appareils de contrôle,
- Installations automatiques de lutte contre l’incendie.
Les garanties :
ANNEXE 5
• Actions des forces de la nature telle que la tempête, les pluies torrentielles, l’inondation,
le glissement de terrain, etc.
Il est courant d’assortir la garantie des dommages matériels pouvant frapper les ensembles de
gestion de deux garanties subsidaires qui peuvent d’ailleurs pour certaines entreprises avoir une
énorme importance. Il s’agit des :
La garantie de base vu ci-dessus peut être étendue aux frais de reconstitution des informations
portées sur les supports ou médias, dès lors que ces informations ont disparu ou ont été
endommagées à la suite d’événements accidentels et / ou de dommages matériels frappant
l’ensemble de gestion éléctronique. Cette extension de garantie couvre :
• Les frais de remplacement des supports constituant l’ensemble des médias détruits ou
endommagés (disques, disquettes, cassettes magnétiques, cartes et bandes perforées),
• Le coût de reconstitution, dans l’état antérieur au sinistre, des informations portées sur les
médias détruits ou endommagés à la suite d’un sinistre garanti,
• Les frais de reconstitution des informations portées sur supports lorsque ces frais ne
résultent pas d’un dommage matériel garanti,
139 ANNEXES
ANNEXE 5
Les exclusions :
• Les dommages dus à des défauts existant au moment de la souscription et qui étaient
connus de l’assuré,
• Les dommages indirects de quelque nature qu’ils soient, notamment les pertes
d’exploitation résultant de la privation de jouissance ou de chômage ainsi que les
responsabilités de toutes natures,
ANNEXE 5
• Les dommages causés par les émeutes, mouvements populaires et les actes de terrorisme
ou de sabotage sauf stipulation contraire aux conditions particulières et paiement d’une
surprime,
• Autres frais d’études et d’analyses engagés pour la programmation, même si ces frais sont
consécutifs à un sinistre garanti.
L’assuré est tenu de maintenir les matériels garantis en bon état d’entretien et de fonctionnement,
et en outre, à souscrire et à garder en vigueur :
• Pour les autres matériels nécessaires au bon fonctionnement des matériels de traitement
des informations, un contrat d’entretien et ce, que ces matériels soient assurés ou non.
A défaut de satisfaire à ces obligations, sauf cas fortuit ou de force majeure, l’assuré sera déchu
de ses droits en cas de sinistre.
141 ANNEXES
ANNEXE 5
Il est convenu que l’assureur indemnisera l’assuré des pertes ou dommages causés aux matériels
informatiques et aux médias ainsi que les frais supplémentaires engagés par suite d’une
défaillance du système de climatisation à condition que celle-ci soit assurée contre les dommages
matériels et soit équipée, installée et révisée selon les recommandations du fabricant de
l’installation de climatisation.
• Et les dispositifs d’alarme et de protection doivent être révisés selon une périodocité à
définir en commun accord,
• Doit être surveillée par un prersonnel qualifié capable de prendre toutes les mesures
nécessaires en cas d’alarme,
• Doit être équipée d’un dispositif automatique d’arrêt d’urgence répondant aux normes du
fabricant du matériel de traitement de l’information.
142 ANNEXES
ANNEXE 6
BSA passe à la vitesse supérieure suite aux actions de sensibilisation entreprises en collaboration
avec le Bureau Marocain des Droits d’Auteurs (BMDA) et le Ministère de Communication et de
la Culture. Soutenue par l’application du dahir n° 1-00-20 portant loi 2-00 relative aux droits
d’auteur et droits voisins ainsi que les autorités compétentes, BSA ne compte pas en rester là
pour éradiquer le piratage informatique au Maroc.
Les sanctions pénales peuvent représenter jusqu’à 20.000 Dirhams d’amende et deux ans de
prison.
60% du parc informatique du pays est piraté par rapport à seulement 37% au niveau mondial et à
52% pour toute l’Afrique. Bien que ce taux est enregistré une baisse, le fléau continue de
représenter une menace pour la croissance économique du pays. En effet, le préjudice total dû au
piratage informatique de logiciels est évalué à 6 millions de dollars de pertes directes et à 10 fois
plus de pertes indirectes selon certaines études.
143 ANNEXES
ANNEXE 6
Ajouté à cela, ce phénomène exerce un impact négatif important sur la création d’emplois et
favorise par ailleurs la fuite des cerveaux. L’image du Maroc ; signataire de traités internationaux
(ex : GATT) est ainsi ternie aux yeux des investisseurs étrangers.
• Licences insuffisantes dans les entreprises, les administrations et tout autre établissement,
• Gravage de CD-ROM,
Plusieurs entreprises ont déjà été condamnés pour piratage… d’autres le seront aussi".
Dahir n° 1-00-20 du 15 février 2000 portant promulgation de la loi 2-00 relative aux droits
d’auteur et droits voisins : Art 3 / Art 10 / Art 62/ Art 64.
ANNEXE 6
Afin de protéger les éditeurs de logiciels et de faire respecter la loi 2-00 relative aux droits
d’auteur et droits voisins, la BSA a élaboré un plan d’action spécifique au Maroc. Le porte-parole
de l’association des éditeurs, a expliqué, exemples à l’appui, la stratégie et les résultats de la
campagne de sensibilisation 2001-2002 lors de la conférence de presse du mardi 18 juin 2002.
Tout d’abord, les membres de la BSA ont choisi de montrer que la loi ne s’applique pas
seulement aux revendeurs de matériel informatique mais aussi aux sociétés utilisatrices en
multipliant les actions en justice auprès de celles-ci. Plus de 6 sociétés privées ont déjà été
contrôlées par un huissier accompagné d’un expert en informatique :
• Trois d’entre elles utilisaient des logiciels piratés : l’une a accepté l’accord à l’amiable et
les deux autres , très connues dans le secteur du tourisme et de l’industrie, doivent choisir
entre la signature d’un éventuel accord ou leur dossier sera porté devant les tribunaux.
• Pour les trois autres : la BSA attend toujours les rapports des experts et des huissiers.
En ce qui concerne les revendeurs et assembleurs de matériel informatique, les activités anti-
piratage ne se sont pas pour autant relâchées :
• Dans le procès à l’encontre de SOS informatique, le juge a ordonné la vente aux enchères
des biens du revendeur d’ici la fin du mois de juin,
• Une équipe "d’acheteurs anonymes" désignée par Microsoft, membre de la BSA, a appelé
et visité plus de 500 revendeurs. Suite à cette opération de sensibilisation visant le réseau
de distribution, plus de 150 lettres de mises en garde furent envoyées à ceux qui avaient
proposé du logiciel sans licence. Par contre, plus de 200 lettres de félicitations furent
envoyées à ceux qui proposent un logiciel légal.
145 ANNEXES
ANNEXE 6
Pour la première fois, de nouveaux moyens ont été mis en œuvre en vue de mieux lutter contre le
piratage des logiciels. Par la mise en place d’une équipe BSA en tournée chez les sociétés
utilisatrices dans plusieurs villes du royaume, l’aspect sesibilisation ne se compose plus
seulement de courriers et d’appels mais aussi de visites sur le terrain. L’équipe BSA fournit aux
chefs d’entreprise en personne une assistance pour l’audit et une meilleure explication de la loi et
des risques encourus en cas de non respect des règles. De plus, le BMDA, signataire d’une
convention avec la BSA, effectue désormais des visites de sensibilisation au sein de sociétés
privées.
Le taux de piratage a augmenté de 3 points au niveau mondial (40% en 2001 contre 37% en
2000) pour deux raisons principales :
• L’augmentation considérable du taux de piratage dans certains pays d’Asie comme l’Inde
avec un taux avoisinant les 70%.
Le Maroc, grâce aux actions soutenues de la BSA, quant à lui, se stabilise aux alentours de 60%
depuis 2001 maintenant une perte directe de 5,5 millions de dollars au lieu de 6 millions en 2000.
Le graphique ci-dessous synthétise par région le taux de piratage informatique de logiciels.
70% Maroc
60%
Afrique
50%
40% Monde
30%
20% Europe
10%
Etats-Unis
0% Canada
* Source: IPR 1
146 ANNEXES
ANNEXE 7
Les logiciels de détection et d’éradication des virus se basent sur trois méthodes répertoriées ci-
dessous :
Méthode scanner :
Elle repose sur l’emploi d’une table de signatures, c’est-à-dire une base de données identifiant les
virus en présence et les comparant à une bibliothèque de virus connus, qu’ils soient présents en
mémoire ou sur disque dur. Elle constitue le seul moyen efficace pour détecter et éradiquer les
virus macro mais a l’inconvénient de ne pouvoir être efficace pour lutter contre les virus inconnus
et non répertoriés.
Méthode générique :
Elle regroupe un ensemble de techniques (contrôle d’intégrité, appâts, scanner heuristique, etc.)
adaptée à la découverte de virus inconnus. Cependant, cette méthode n’est pas efficace pour lutter
contre les virus macro.
Méthode algorithmique :
Elle s’adresse essentiellement aux virus polymorphes contenant une clé de déchiffrement
employée à chaque nouvelle infection de fichiers pour lui donner une signature différente. Elle
constitue la méthode la plus sophistiquée, sans être totalement infaillible.
La méthode algorithmique doit être utilisée en complément de l’une des deux autres méthodes
décrites ci-dessus, afin de pouvoir constituer une bonne technique de protection assurant la
maîtrise du risque à un niveau faible.
Les logiciels antivirus les plus connus sur le marché sont Norton Antivirus de la société
Symantec, VirusScan de l’éditeur McAfee, Virusafe de la société CTI, F-Prot de l’éditeur ID,
Viguard de l’éditeur Tegam.
147 ANNEXES
ANNEXE 8
Types de sauvegarde :
Le principe de sauvegarde est de pouvoir disposer d’une copie de secours des données à protéger.
En effet, vu la diversité des types d’incidents pouvant survenir, les méthodes de sauvegarde à
mettre en place pour pallier à ces incidents sont nombreuses. Cette sauvegarde peut être réalisée
par fichiers, par volume ou encore incrémentale.
• La sauvegarde par fichiers est longue et fastidieuse et présente l’inconvénient des risques
d’oublis ou d’erreurs puisqu’elle n’est que sélective.
• La sauvegarde par volume consiste en une copie physique de l’ensemble du disque (données,
systèmes d’exploitation, programmes, etc.). Elle est lourde à gérer mais a comme avantage
son efficacité car le responsable informatique est sûr de ne rien avoir oublié.
• La sauvegarde incrémentale est une sauvegarde globale par fichiers, fichiers ayant été
modifiés depuis la dernière sauvegarde. Cette méthode est efficace, mais suppose au préalable
une bonne organisation de la procédure de sauvegarde.
Il est possible de mettre en place une procédure de sauvegarde combinant plusieurs méthodes de
sauvegarde afin de constituer un "jeu de sauvegardes". Le principe est simple et consiste à
disposer de trois séries de sauvegarde.
148 ANNEXES
ANNEXE 8
• Une série pour les sauvegardes quotidiennes (un support distinct par jour),
• Une série pour les sauvegardes hebdomadaires (un support distinct par semaine),
A cet effet, le support quotidien est réutilisé de semaine en semaine, et le support hebdomadaire
est réutilisé de mois en mois. Les sauvegardes mensuelles sont conservées intactes, les supports
n’étant plus réutilisés.
Outils de sauvegarde :
Les supports de stockage sont nombreux et performants. La disquette 3 pouces ½ dont la capacité
est de 1,4 Méga octets environ est déconseillé car ne peut gérer les gros volumes même
compressés à l’aide de l’outil "zip". Elle peut servir pour la sauvegarde temporaire de fichiers
personnels. Néanmoins, nous recommandons que la sauvegarde des fichiers personnels soit
effectuée directement sur le serveur dans un répertoire personnel sécurisé et créé à cet effet par le
responsable informatique. La centralisation des sauvegardes sur le serveur permet de pallier à un
incident sur une machine locale.
Le support de sauvegarde le plus utilisé par les entreprises est la bande magnétique ou cartouche.
L’enregistrement est automatique et consiste à opérer une sauvegarde par volume. Toutefois le
principal inconvénient dans ce type de sauvegarde réside dans la lenteur d’enregistrement et de
restauration.
Les CD-ROM constituent des solutions de sauvegardes proches du disque dur externe, mais que
les entreprises utilisent généralement plus pour l’archivage que la sauvegarde des données. La
sauvegarde peut être effectuée à l’aide d’outils proposés par le système d’exploitation du micro-
ordinateur ou de logiciels de sauvegarde qui facilite la procédure (déclenchement automatique,
programmable et différé, etc.)
149 ANNEXES
ANNEXE 8
Procédure de sauvegarde :
Sauvegarde centralisée :
Sauvegarde chaque jour des données contenus dans le serveur dans un cartouche magnétique (en
anglais "Digital Audio Tape").
Le service informatique doit s’assurer que les sauvegardes se sont bien déroulées, et que les
données existent bien. Cette tâche est à accomplir chaque matin à 8H30.
Les sauvegardes doivent être séparées dans des cartouches créées à cet effet :
Sauvegarde locale :
Chaque personne est responsable de la sauvegarde des données contenues dans sa machine
locale.
L’informatique met à la disposition de chaque utilisateur un répertoire sécurisé créé à cet effet sur
le seveur.
La sauvegarde des fichiers personnels vers le serveur est programmé chaque jour à partir de
13H00.
150 ANNEXES
ANNEXE 9
Documentation d’étude :
La documentation d’étude doit rassembler pour chaque application tout ce qui a trait à sa
définition (analyse) et à sa composition (programmation). Celle-ci doit être constituée au fur et à
mesure des différentes étapes de la conception d’une application. Elle doit au minimum
comprendre les éléments suivants :
S’il s’agit d’applications plus importantes, la documentation doit comprendre outre les points
cités ci-dessus :
ANNEXE 9
Documentation d’exploitation :
Documentation utilisateurs :
Les procédures de test des programmes comprennent quatre étapes essentielles en vue de décider
ou non le transfert de l’application développée en mode production.
152 ANNEXES
ANNEXE 9
• Bibliothèque de test contenant les programmes sources à mettre au point par les
programmeurs ou le prestataire de service et leur programmes objets exécutés pendant la
phase d’essais,
• Bibliothèque d’exploitation contenant les programmes sources mis au point et passé au stade
d’exploitation,
ANNEXE 10
La présente annexe fait état de quelques scénarios de réalisation de risques informatiques à partir
de notre humble expérience, et de notre vécu.
2 Société de négoce : Un utilisateur n’a pas pris soin de couper l’arrivée d’eau suite à une
coupure de la LYDEC. A 14H30, les bureaux étaient inondés d’eau. Cette négligence humaine a
entraîné l’arrêt des ordinateurs du service administratif. La perte occasionnée suite à ce
phénomène correspondrait à la valeur de remplacement du matériel, mais surtout des données et
applications qu’il contenait (comptabilité, paie, gestion commerciale, etc.) qu’il est difficile
d’évaluer.
4 Industrie : Des cambrioleurs "furieux" de ne pas avoir trouvé de l’argent dans le coffre-
fort du Directeur Financier ont subtilisé les cartouches de sauvegarde et donc toutes les données
qu’elles contenaient et saccagé les ordinateurs du département comptable. Le méfait a entraîné
des frais de remplacement de matériel et de reconstitution des médias.
5 Industrie : Une entreprise a aquis auprès d’une SSII un logiciel intégré de gestion. Les
utilisateurs n’ont pas été associé à la formation faite uniquement à l’informaticien. Le temps
gaspillé par l’informaticien pour expliquer aux différents utilisateurs les fonctionnalités du
nouveau logiciel est estimé à un mois. Perte = au moins un mois de salaire de l’informaticien.
154 ANNEXES
ANNEXE 10
6 Industrie : Une entreprise n’a pas jugé utile de protéger les postes de la Direction
Commerciale par des onduleurs. Une surtension a entraîné l’endommagement de l’ensemble des
ordinateurs et des données qu’ils contenaient, entre autre fichier client, tarification des produits,
situation des encours, etc. La perte occasionnée est estimée au temps passé pour reconstituer ces
données en étroite collaboration avec le département comptabilité, et le temps passé pour saisir à
nouveau les tarifs de vente des différents produits (200 pages).
8 Industrie : Une panne du système informatique pour des raisons non expliquées a entraîné
la perte de réalisation d’une vente à l’export de 300.000 Dirhams environ. Le délai de l’accréditif
ouvert par le client ayant expiré, celui-ci a préféré renoncer à ladite commande, et s’est tourné
vers une entreprise concurrente.
9 Industrie : Une grève ayant duré pendant 3 mois dans une usine, a empêché le service
informatique d’accéder à l’entreprise pour effectuer quotidiennement ses traitements
informatiques. La perte occasionnée est le retard accumulé pendant ces trois mois, et le temps
passé pour saisie et mise à jour des informations émanant des différents services (comptabilité,
service personnel, administration commerciale, etc.).
ANNEXE 11
Statistiques sur la sinistralité publiées par l’APSAIRD et résultat enquête sur la sécurité
conduite par la société IDC
La presse spécialisée européenne fait souvent écho de statistiques sur la sinistralité correspondant
à l’estimation des pertes dues à des sinistres déclarées ou l’estimation des pertes financières
découlant directement au manque de sécurité.
Le tableau ci-dessous fait ressortir la perception des risques informatiques et leur réalité en 1993
par les utilisateurs ainsi que la projection de la réalité au titre de l’année 1997.
Le tableau ci-dessus montre que les risques de vol, sabotage et pannes sont considérées comme
les plus graves alors que les risques d’erreurs de conception, d’exploitation de saisie apparaissent
aux yeux des entreprises comme peu importants. Cette association fait également ressortir que les
risques matériels sont en fait les plus redoutés par l’entreprise, même si en pratique ils
occasionnent les pertes les moins importantes, alors que les risques de fraude, sabotage
immatériel occasionnant les pertes les plus importantes sont considérés comme moins grave.
156 ANNEXES
ANNEXE 11
Selon une étude réalisée par IDC auprès de 350 entreprises européennes pour le compte d'EDS,
société américaine spécialisée en sécurité informatique, les entreprises en Europe seraient de plus
en plus sensibilisées au problème de la sécurité de leurs systèmes d'information. Pourtant, selon
cette même enquête, toutes les mesures ne sont pas encore prises, et selon IDC, des déclarations
des responsables informatiques interrogés à la réalité, il y a parfois des différences.
Menée entre novembre et décembre 2001 dans six pays (France, Allemagne, Angleterre, Italie,
Espagne, et Afrique du Sud, sic) l’étude d'IDC a porté sur quatre axes majeurs : implication des
directions générales dans les politiques de sécurité, mise en place de plans de continuité de
service, assurance des systèmes d'information et typologie des attaques subies en 2001.
A la question posée aux responsables informatiques "Votre direction générale a-elle l'intention de
plus s'impliquer dans la stratégie de sécurité de votre entreprise en 2002 ?", 48,1% ont répondu
oui, 9,5% ne savaient pas, et 42,4% ont répondu par la négative. Un résultat en hausse sensible
par rapport à la précédente enquête menée en juin 2001, qui selon IDC tendrait à marquer une
sensibilisation plus forte des directions aux risques qu'encourent leurs sociétés. Toutefois, le
cabinet ne manque pas de relever certaines contradictions internes. Si 59,6% des entreprises
considèrent que la sécurité est une affaire de spécialistes, 54,5% reconnaissent cependant ne pas
avoir de ressources internes dédiées à cette tâche. La part du budget consacre à la sécurité reste
d'ailleurs marginale, avec par exemple, tout juste 1,6% du budget informatique en France.
Par ailleurs, si 78,8% des entreprises sondées estiment avoir suffisamment sécurisé leur système
(redondance des équipements, back up, etc.) pour assurer la continuité de service en cas de
problème, et que 66,9% déclarent avoir mis en place un plan de continuité de service, ces chiffres
pourraient refléter imparfaitement la réalité. Le cabinet juge en effet que, par rapport aux retours
d’expérience dont il bénéficie, ces taux sont anormalement élevés. Une hypothèse dont la
vraisemblance est confortée par le pourcentage de responsables informatiques qui reconnaissent
ne pas savoir si leur entreprise dispose ou non d'un tel plan (8,4%).
157 ANNEXES
ANNEXE 11
Sur la question de la couverture de leur système informatique par une assurance, 55,6% des
sociétés interrogées ont déclaré ne pas avoir souscrit de police d'assurance, 20,3% ne pas savoir,
et seulement 24,1% avoir souscrit.
Si IDC n'explique pas les raisons de ces résultats (coût des assurances, intérêt des offres, etc.), il
corrèle néanmoins certains chiffres, qui tendent à prouver que les entreprises couvertes par une
assurance sont en général celles qui accordent le plus de moyens a leur sécurité (en ressources
internes comme en plan de continuité de service).
Enfin, le panorama des attaques recensées fait ressortir que 35,2% des sociétés auraient été
victimes au moins une fois d'une attaque venue de l’extérieur. Principal type d'attaque répertorié,
les virus informatiques (78,5%), devant les erreurs d'utilisation (64,2%) et les pannes internes
(37,5%).Viennent ensuite les erreurs de conception (30,7%), les vols de matériels (29,8%), les
accidents physiques (25%), les catastrophes naturelles (22,6%), et les fraudes internes (16,3%).
Ce dernier facteur pourrait être sous-estimé, selon le responsable de la sécurité des systèmes
d'information d'EDS pour qui les attaques internes sont deux fois plus nombreuses que les
attaques externes, et tout aussi dangereuses pour les entreprises.
158 ANNEXES
ANNEXE 12
1- Identification de l’entreprise :
Secteur d’activité :
Date de création :
Forme juridique :
Implantation géographique :
Téléphone :
Fax :
Chiffre d’affaires au titre de l’exercice 2001 :
o < 5 millions de dhs,
o entre 5 millions et 25 millions de dhs,
o entre 25 millions et 50 millions de dhs
o > 50 millions de dhs.
Effectif total : dont cadre,
Budget global de l’entreprise : (en millions de dirhams)
Budget informatique :
Identité de la personne répondant au présent questionnaire :
Fonction au sein de l’entreprise :
2- Plan informatique / Plan directeur :
ANNEXE 12
Quelles sont les fonctions informatisées au sein de l’entreprise ? (plusieurs réponses sont
possibles) :
o Comptabilité générale,
o Etablissement des états de synthèse (bilan, CPC, etc.),
o Application de la paie et gestion du personnel,
o Facturation et gestion commerciale,
o Gestion des achats et des stocks,
o Suivi et gestion de la trésorerie,
o Gestion des immobilisations,
o Autres à préciser.
Parmi ces fonctions, quelles sont celles intégrées à votre système comptable ? (plusieurs
réponses sont possibles) :
o Application de la paie et gestion du personnel,
o Facturation et gestion commerciale,
o Gestion des achats et des stocks,
o Suivi et gestion de la trésorerie,
o Gestion des immobilisations,
o Autres à préciser.
L’entreprise recourt-elle au développement informatique d’application ou fait-elle appel à
des applications "du marché" ?
De quoi se compose l’outil informatique de votre entreprise :
Matériel Nombre de
Localisation et quantité Réseau
(marque et modèle) terminaux
Mini système
Micro-ordinateurs
Imprimantes
Serveur de données
Modems
Autres (à préciser)
160 ANNEXES
ANNEXE 12
Acheté ou
Date Support
Logiciels applicatifs développé en
d’installation matériel
interne
Comptabilité générale
Paie – gestion du personnel
Facturation – gestion commerciale
Gestion des stocks
Gestion trésorerie
Gestion des immobilisations
Autres (à préciser)
ANNEXE 12
ANNEXE 12
Pensez vous d’une manière générale que vos micro-ordinateurs sont suffisamment
protégés ?
o Oui :
o Non :
Votre entreprise dispose t-elle d’une politique de sécurité adaptée à la micro-
informatique ?
o Oui :
o Non :
o Ne sait pas :
Si oui quelles en sont les grandes lignes ?
ANNEXE 12
Quels sont selon vous les risques encourus par votre entreprise sur le plan micro-
informatique ?
o Virus Informatiques :
o Vol de matériel :
o Erreur conception de logiciels :
o Absence sauvegarde régulière des données et programmes :
o Accidents physiques entraînant une perte des données :
o Autres à préciser
Quelles sont selon vous les parades possibles pour prévenir et atténuer ces risques ?
o Logiciel anti-virus :
o Mots de passe et profil utilisateurs :
o Sécurité des accès physiques et logiques :
o Sauvegarde régulière des données et programmes :
o Autres à préciser :
Quel est le budget alloué à la sécurité micro-informatique dans votre entreprise ? (en % du
budget informatique total)
o < 5% :
o De 5 à 10% :
o > 10% :
Pensez vous cela suffisant :
o Directeur Général :
o Responsable informatique :
o Utilisateurs :
Faites vous appel à votre expert-comptable / commissaire aux comptes pour vous
conseiller dans le choix de solutions de sécurité informatique ?
o Oui :
o Non :
o Ne sait pas :
164 ANNEXES
ANNEXE 12
ANNEXE 12
ANNEXE 12
ANNEXE 12
Quel est le budget alloué à la sécurité micro-informatique dans votre entreprise ? (en % du
budget informatique total)
o < 5% : 64%
o De 5 à 10% : 30%
o > 10% : 6%
Pensez vous cela suffisant :
o Directeur Général : 33% des réponses ont affirmé oui
o Responsable informatique : 45% des réponses ont affirmé oui , 6% non
o Utilisateurs : 12% des réponses reçues ont affirmé oui
o Ne sait pas :
Faites vous appel à votre expert-comptable / commissaire aux comptes pour vous
conseiller dans le choix de solutions de sécurité informatique ?
o Oui : 30%
o Non : 70%
o Ne sait pas :
168 ANNEXES
ANNEXE 13
Liste du matériel :
Matériel Nombre de
Localisation et quantité Réseau
(marque et modèle) terminaux
Mini système
Micro-ordinateurs
Imprimantes
Serveur de données
Modems
Autres (à préciser)
Acheté ou
Support
Logiciels applicatifs Date d’installation développé en
matériel
interne
Comptabilité générale
Paie – gestion du personnel
Facturation – gestion commerciale
Gestion des stocks
Gestion trésorerie
Gestion des immobilisations
Autres (à préciser)
169 ANNEXES
ANNEXE 13
Liste du matériel
Capacité du disque dur Contrat de
Description Date Date mise Taille de la Type Durée de
Fournisseur maintenance
(marque, modèle) d’achat en service Total Utilisé mémoire (1) garantie
(2)
(1) Ordinateur autonome, Ordinateur en réseaux, Ordinateur portable, Imprimante, Terminaux, Serveur, Modem, Autres (à détailler)
ANNEXE 13
ANNEXE 14
• Une colonne faisant ressortir les objectifs de contrôle interne et les travaux à effectuer,
• Une colonne faisant ressortir l’interlocuteur à qui est destiné chaque question,
• Une colonne faisant ressortir l’évaluation du risque suite aux réponses reçues,
• Une colonne faisant ressortir les renvois éventuels à une feuille de travail de l’expert-
comptable au cas où une réponse nécessiterait des développements.
• Disponibilité de l’information,
ANNEXE 15
ANNEXE 15
Quelle est la part relative de chaque prestation dans l’activité de votre cabinet ? (en % du
chiffre d’affaires) :
Assistance et supervision comptable,
Tenue de comptabilité et établissement des déclarations fiscales et sociales,
Conseil juridique et fiscal,
Assistance mise en place de système d’information,
Commissariat aux comptes,
Audit comptable et financier,
Recrutement et formation,
Autres à préciser.
Quel est le type de clientèle que compte votre cabinet ?
Particuliers,
PME-PMI,
Groupes Nationaux,
Multinationales,
Par secteur d’activité, préciser le nombre de clients que compte votre cabinet ?
Secteur d’activité Nombre de clients Répartition géographique
Primaire :
Secondaire :
dont industrie :
Tertiaire : détaillé comme suit :
- commerce, négoce
- banque, assurance
- autres à préciser
Quelle est la forme juridique de vos clients :
Forme juridique Nombre de clients
Entreprise individuelle – commerce :
Société Anonyme :
Société à Responsabilité Limité :
Autres à préciser :
182 ANNEXES
ANNEXE 15
ANNEXE 15
ANNEXE 15
Votre cabinet utilise-t-il des outils micro-informatiques (logiciels) pour l’audit d’applications
ou l’assistance à la révision comptable ?
Oui, 71%
Non, 29%
Si oui, sont-ils systématiquement utilisés par vos collaborateurs ?
Oui, 64%
Non, 21%
Non applicable, 15%
Lors de l’examen et de l’évaluation du processus de contrôle interne qui prévaut au sein de
l’entreprise, intégrez-vous des contrôles spécifiques à la fonction informatique et / ou système
informatique ?
Oui, 79%
Non, 21%
Avez-vous déjà effectué une mission d’audit de la sécurité micro-informatique ?
Oui, 36%
Non, 64%
Si oui, quel en était le prescripteur ?
Entreprise cliente,
Vous-même,
Tierce personne (à spécifier) :
Si non souhaitez-vous conduire à l’avenir une mission d’audit de la sécurité micro-
informatique ?
Oui, 64%
Non, 15%
Non applicable, 21%
Est-il déjà arrivé qu’une entreprise fasse appel à vos services pour l’assister dans la mise en
place d’une politique de sécurité informatique ou dans le choix d’outils de sécurité adaptés à la
micro-informatique ?
Oui, 29%
Non, 71%
185 ANNEXES
ANNEXE 15
Dommage ﺿﺮر
Donnée ﻣﻌﻄﻰ
Efficacité ﻓﻌﺎﻟﻴﺔ
Environnement ﻣﺤﻴﻂ
Erreur ﻏﻠﻂ
Expert-comptable ﺧﺒﻴﺮ ﻣﺤﺎﺳﺐ
Fichier ﺟﺪادﻳﺔ
Fraude ﻏﺶ
Habilitation ﺗﺄهﻴﻞ
Hardware ﻋﺘﺎد
Identification ﻣﺜﺎﺑﺘﺔ
Image fidèle ﺻﻮرة أﻣﻴﻨﺔ
Immobilisations ﻣﺴﺘﻌﻘﺮات
Impact ﻣﺄﺛﺮ
Imprimante ﻃﺎﺑﻌﺔ
Informatique ﻣﻌﻠﻮﻣﻴﺎﺗﻲ
Informatisation ﺣﻮﺳﺒﺔ
Ingénerie هﻨﺪﺳﺔ
Interface وﺟﻴﻬﺔ
Interruption إﻧﻘﻄﺎع
Logiciel ﺑﺮﻧﺎم
Logiciel intégré ﺑﺮﻧﺎم ﻣﻨﺪﻣﺞ
Maintenance إﺳﻄﻴﺎن
Malversation إﺧﺘﻴﺎن
Matériel ﻋﺘﺎد
188 LEXIQUE FRANCAIS - ARABE
INTRODUCTION 7
Pages
3.1 L’expert-comptable 53
Pages
DEUXIEME PARTIE : Une approche d’audit de la sécurité micro-informatique 58
dans les PME
INTRODUCTION 58
2.1 IFAC 63
1 Déroulement de la mission 74
Pages
3 Particularités d’une mission d’audit de la sécurité micro-informatique 87
Pages
CONCLUSION DE LA DEUXIEME PARTIE 107
BIBLIOGRAPHIE 111
ANNEXES 116
ANNEXE 14
Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS
Travaux à effectuer :
1 Existe-t-il une politique de sécurité informatique découlant de la stratégie édictée par la direction générale? Si oui l'annexer au
présent questionnaire.
2 Une analyse des risques propres à la micro informatique a-t-elle été réalisée?
3 La direction générale a-t-elle une perception suffisante des besoins de sécurité de son entreprise? (risques encourus, techniques
de protection existante, etc.)
4 La politique de sécurité informatique définit-elle les outils d'administration de la sécurité et les infrastructures existantes?
5 Existe-t-il au sein de l'entreprise un responsable sécurité? Si oui, quelle est sa position dans l'organigramme de la société?
6 Le responsable sécurité dispose t-il de réel moyens pour garantir la sécurité du système informatique de l'entreprise?
7 Les salariés de l'entreprise sont-ils sensibilisés aux besoins de sécurité de l'entreprise?
8 Si oui, par quels moyens (affichages, notes de services, courrier électronique, etc.…)?
9 La société a-t-elle contracté une assurance informatique adaptée aux risques encourus par sa micro informatique?
Page 1 de 8
ANNEXES
ANNEXE 14
Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS
10 Existe-t-il des contrats de travail propres aux informaticiens et définissant la discrétion à observer en dehors des heures de travail,
le délai de préavis à respecter, la clause relative à la formation, etc.…?
11 La structure de la cellule informatique est elle appropriée à la taille de l'entreprise? (obtenir le cas échéant copie organigramme)
12 La séparation des fonctions à l'intérieur du département informatique est-elle adaptée à la taille de l'entreprise
13 Les responsabilités de la fonction informatique sont-elles correctement définies et délimités? (l'informatique ne doit pas disposer
de tâches opérationnelles au sein de l'entreprise).
14 Les utilisateurs sont-ils satisfaits des services rendus par le service informatique? (expliciter éventuellement les problèmes
rencontrés).
15 Les utilisateurs bénéficient-ils de formations régulières à l'utilisation de l'outil micro informatique?
-Les risques de dégâts accidentels ou involontaires ainsi que les risques de vol de matériels et supports sont limités
-Les données et programmes de l'entreprise ne peuvent pas faire l'objet d'accès non autorisés
-S'assurer que l'environnement d'exploitation permet de garantir la confidentialité, l'intégrité et la fiabilité des systèmes informatiques
Travaux à effectuer :
Page 2 de 8
ANNEXES
ANNEXE 14
Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS
16 Les micro-ordinateur sont-ils protégés contre les risques d'incendie, d'inondation, de vol, etc.…?
17 L'accès aux locaux de l'entreprise est-il convenablement contrôlé pour le personnel de nettoyage et personnel chargé de la
maintenance?
18 Existe-t-il des contrôles mis en place afin de réduire le risque de vol de matériel ou support informatique?
19 Est-il prévu un système de secours en cas de coupure du courant? (onduleurs, groupe électrogène, etc.…)
20 Les onduleurs sont-ils contrôlés périodiquement? (état de la batterie)
21 Les câblages réseaux sont-ils correctement isolés, protégés et répertoriés?
22 Les utilisateurs sont-ils sensibilisés sur la fragilité de leur outil micro informatique?
23 Existe-t-il un règlement intérieur spécifique aux risques incendie? (interdiction de fumer, évacuation, alerte des pompiers, etc.…)
24 Existe-t-il des extincteurs mobiles dans la salle informatique et à proximité?
25 Les supports papier et papier listings sont-ils stockés hors de la salle informatique?
26 Les bureaux sont-ils fermés à clef en dehors des heures de travail ou en cas d'absence des utilisateurs?
27 Les utilisateurs des ordinateurs portables sont-ils sensibilisés sur les menaces importantes pesant sur leur matériel?
28 Existe-t-il une procédure formalisée en terme de déménagement ou de mouvements affectant le parc micro informatique?
29 Les lecteurs disquettes des micro-ordinateurs ont-ils été désactivé?
30 Les données et applications sensibles ont-elles été répertoriés?
31 Les licences achetées sont-elles monopostes ou multipostes?
32 Les dispositifs de contrôle d'accès permettent-ils d'identifier à l'aide de mots de passe les différents utilisateurs, d'assurer une
mise à jour des mots de passe, de laisser une trace des différents accès pour revue?
33 Le responsable sécurité tient-il une liste à jour des droits d'utilisation aux différentes applications?
34 L'accès aux applications est-il sécurisé au moyen de mots de passe?
35 Le nombre de tentative d'accès aux applications est-il limité?
Page 3 de 8
ANNEXES
ANNEXE 14
Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS
Page 4 de 8
ANNEXES
ANNEXE 14
Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS
4- Disponibilité de l'information
Travaux à effectuer :
Page 5 de 8
ANNEXES
ANNEXE 14
Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS
68 La société dispose t-elle d'un stock de dépannage en matière de pièce de rechange des micro informatiques et des périphériques?
69 Si la maintenance est réalisée en externe, existe-t-il un contrat écrit entre la société et le prestataire de service?
70 Les délais d'intervention et de réparation sont-ils adaptés aux impératifs de la société?
71 Les prestations couvertes sont -elles adaptés aux systèmes informatiques?
72 Les logiciels utilisés sont-ils réputés?
73 les logiciels utilisés sont-ils homogènes? (même éditeurs ou canaux de distribution).
74 Quelle est la fréquence des pannes?
75 Existe-t-il un journal récapitulatif des incidents?
76 La société dispose t-elle d'un copie de secours de tous les logiciels utilisés?
77 Veille-t-on régulièrement à ce que la capacité des disques durs ne soit pas proche de la saturation?
78 Existe-t-il des procédures permettant la sauvegarde régulière des fichiers et logiciels?
79 La procédure de sauvegarde concerne-t-elle également l'archivage?
80 La procédure de sauvegarde prévoit-elle le type de sauvegarde utilisé? (incrémentale, par volume, par fichiers).
81 Si oui, le nombre et la fréquence des sauvegardes sont-ils suffisants?
82 Existe-t-il une procédure de sauvegarde des fichiers personnels? Quel est le support utilisé? Quid centralisation des sauvegardes?
83 Si oui, le responsable informatique assiste-t-il les utilisateurs dans la gestion de leur sauvegarde?
84 Les sauvegardes sont elles conservées dans un endroit sécurisé (en dehors du site)?
85 Le dernier jeu de sauvegardes est-il facilement accessible? Est-il placé en lieu sûr? (coffre ignufigé fermant à clef)
86 Existe-t-il une procédure permettant le test de relecture des sauvegarde? Et permettant le suivi et la localisation des supports de
sauvegarde?
87 Si oui, les supports de sauvegarde / archivage sont-ils testés régulièrement?
88 L'utilisation de support de stockage étranger à l'entreprise est-il strictement interdit?
Page 6 de 8
ANNEXES
ANNEXE 14
Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS
-Les systèmes fonctionnent correctement, qu'ils sont fiables et maîtrisables et qu'ils répondent aux besoins des utilisateurs
-Des contrôles d'intégrité sur les données (applicable aux progiciels, applications développées en interne ou par recours à une SSII)
-Tous les développements ou modifications d'applications informatiques sont autorisés, testés et documentés
Travaux à effectuer :
92 Une méthodologie appropriée est-elle utilisée pour les développements internes et les modifications de programmes?
93 Les conditions de support et de maintenance des progiciels sont-elles satisfaisantes?
Page 7 de 8
ANNEXES
ANNEXE 14
Référence PT
Interlocuteur
OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS
94 Existe-t-il des contrôles appropriés lors de la mise en production de nouvelles versions de programmes?
95 Le responsable informatique s'assure-t-il de l'adéquation du produit final au cahier des charges élaboré lors des phases d'étude
d'opportunité et la spécifications des besoins?
96 Les systèmes informatiques et les programmes sont-ils suffisamment documentés?
97 Les modifications de programmes font-elles l'objet d'autorisation? Sont-elles convenablement testés par les utilisateurs?
98 La maintenance pour la correction de problèmes ou l'adjonction de nouvelles fonctionnalités est-elle appropriée?
99 La qualité et la rentabilité des développements externes sont-elles correctement suivies et évalués?
100 La société veille-t-elle à ce que les supports d'origine soient livrés avec le matériel pour les logiciels préinstallés?
Page 8 de 8