PrMagloireLANHA AudiInformatique2024c

ELYTH® INSTITUTE™: SPREADING KNOW™ BEYOND BACHELOR – MASTER – DOCTORAT – DEC
ELYTH® INSTITUTE™
http://www.elyth.net https://www.facebook.com/elythinstitute
AUDIT INFORMATIQUE
Ce support d’enseignement comprend de larges extraits de l’Encyclopédique informatique libre « Comment Ca

Marche.Net », de Wikipedia, de ChatGPT et d’autres sources libres ainsi que les supports de séminaire informatique
de SOFTLAB®. Ce support livré sous licence FDL (Free Document Library) et Creative Commons peut être reproduit
et modifié librement mais ne doit pas être commercialisé
© Pr Magloire LANHA - SOFTLAB® - ELYTH®

maglanha@gmail.com
Février 2024
Audit informatique : Principes - Outils - Concepts - Conseil. 2
Chapitre 1 – Généralités1
L'audit informatique (en anglais Information Technology Audit ou IT Audit) a pour objectif d’identifier
et d’évaluer les risques (opérationnels, financiers, de réputation notamment) associés aux activités
informatiques d'une organisation (entreprise, administration, etc.). À cette fin, l’audit va se baser sur
le cadre réglementaire du secteur d’activité du pays concerné (exemple le CRBF 97-02 pour une
banque française), sur les référentiels de bonnes pratiques existants (exemple le référentiel CobiT),
sur les benchmarks à disposition et sur l’expérience professionnelle des auditeurs impliqués.
Il existe deux grandes catégories d’audit. La première comporte les audits globaux d'entité durant
lesquels toutes les activités ayant trait aux systèmes d’informations sont évaluées. La seconde
catégorie correspond aux audits thématiques, ayant pour objectif la revue d’un thème informatique
au sein d’une entité (la gestion de projet, la sécurité logique par exemple).
L’audit n’est pas à confondre avec l’activité de conseil qui vise, de manière générale, à améliorer
le fonctionnement et la performance d'une organisation avec une éventuelle implication dans la mise
en œuvre de cette amélioration. Ces deux activités, audit et conseil, ne peuvent être exercées pour
une entité donnée par les mêmes acteurs afin de ne pas créer une situation favorable aux conflits
d’intérêts.
Section 1 - Les concepts de base de l'audit informatique

La notion de contrôle est au cœur de la démarche d'audit informatique. L'objectif est de mettre en
place des dispositifs de contrôle efficaces et performants permettant de maîtriser efficacement
l'activité informatique. Le contrôle interne est un processus mis en œuvre à l'initiative des dirigeants
de l'entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des plusieurs
objectifs, dont notamment :
1. la conformité aux lois et aux règlements,

2. la fiabilité des informations financières,
3. la réalisation et l'optimisation des opérations
4. la sécurité du système
5. ....
L'audit informatique s'intéresse de plus en plus à la sécurité informatique.
La démarche d'audit informatique se définit à partir des préoccupations du demandeur d'audit qui peut
être le directeur général, le directeur informatique, le directeur financier, etc. Il va pour cela mandater
l'auditeur pour répondre à une liste de questions précises qui font, plus ou moins implicitement,
référence à l'état des bonnes pratiques connues dans ce domaine. Cela se traduit par un document
important : la lettre de mission qui précise le mandat à exécuter et qui donne les pouvoirs
nécessaires à l'auditeur.
Celui-ci va ensuite s'attacher à relever des faits puis il va mener des entretiens avec les intéressés
concernés. Il va ensuite s'efforcer d'évaluer ses observations par rapport à des référentiels
largement reconnus. Sur cette base il va proposer des recommandations.
L'auditeur informatique va se servir de référentiels d'audit informatique lui donnant l'état des bonnes
pratiques dans ce domaine. Le référentiel de base est CobiT: Control Objectives for Information and
related Technology. Mais il va aussi utiliser d'autres référentiels comme : CobiT, ISO
27002, CMMi, ITIL, Val IT, Risk IT …
1
Wikipédia et ChatGPT
Encadré : Objectifs de l'audit informatique modernes (ChatGPT)
1. Évaluation des Risques Informatiques : Identifier, évaluer et atténuer les risques liés à la
sécurité informatique, aux erreurs de traitement, aux pannes matérielles, aux catastrophes
naturelles, etc.
2. Conformité Légale et Réglementaire : S'assurer que les systèmes informatiques et les

processus associés respectent les lois et réglementations en vigueur, notamment en matière
de protection des données, de confidentialité, et de sécurité.
3. Intégrité des Données : Garantir l'intégrité, l'exactitude et la fiabilité des données stockées
et traitées par les systèmes informatiques. https://implbits.com/
4. Disponibilité des Systèmes : Assurer la disponibilité des systèmes informatiques afin de

minimiser les temps d'arrêt et garantir une continuité d'activité adéquate. 24/7 haute
disponibilité
5. Confidentialité de l'Information : Protéger les informations sensibles contre l'accès non

autorisé, en mettant en place des mécanismes de contrôle d'accès et de chiffrement.
6. Gestion des Identités et des Accès : S'assurer que les droits d'accès aux systèmes et aux
données sont correctement attribués et contrôlés.
7. Audit des Processus Métier : Examiner les processus métier automatisés pour garantir leur
efficacité, leur intégrité, et leur conformité aux normes établies.
8. Gestion des Incidents de Sécurité : Mettre en place des mécanismes de détection et de

réponse aux incidents de sécurité, ainsi que des plans de gestion de crise.
9. Audit des Systèmes et Réseaux : Examiner la configuration des systèmes, la sécurité des
réseaux, les paramètres de pare-feu, etc., pour identifier les vulnérabilités potentielles.
10. Évaluation de la Performance : Évaluer les performances des systèmes informatiques pour
garantir une utilisation optimale des ressources. KPI
11. Formation et Sensibilisation : Sensibiliser les utilisateurs aux risques de sécurité

informatique et fournir une formation appropriée pour renforcer la posture de sécurité de
l'organisation.
12. Évaluation de la Gouvernance Informatique : Évaluer la gouvernance informatique, y

compris les politiques, les procédures, et les structures de gouvernance, pour garantir une
gestion efficace des technologies de l'information.
Note : Il est essentiel d'adapter ces objectifs en fonction des besoins spécifiques de
l'organisation et de l'évolution constante du paysage informatique. L'audit informatique
moderne doit être proactif, axé sur les risques, et intégré dans la stratégie globale de
l'organisation.
Encadré : Référentiel de l'audit informatique modernes (ChatGPT)
Les référentiels d'audit informatique sont des cadres normatifs et des guides de bonnes
pratiques qui aident les auditeurs informatiques à planifier, exécuter et évaluer leurs missions.
Voici quelques-uns des référentiels d'audit informatique les plus reconnus et utilisés :
1. COBIT (Control Objectives for Information and Related Technologies) : Développé
par l'ISACA (Information Systems Audit and Control Association), COBIT fournit un cadre
complet pour la gouvernance et la gestion des technologies de l'information. Il offre
des objectifs de contrôle spécifiques et des indicateurs de performance (KPI : Key
performance Indicators) pour aider les organisations à atteindre leurs objectifs en
matière de technologies de l'information.
2. ISO/IEC 27001 et ISO/IEC 27002 : Ces normes définissent les exigences pour un
système de gestion de la sécurité de l'information (SMSI) et fournissent des lignes
directrices détaillées pour la mise en œuvre des contrôles de sécurité. Elles sont utiles
pour évaluer la sécurité des systèmes d'information.
3. NIST SP 800-53 : Émis par le National Institute of Standards and Technology (NIST)
aux États-Unis, ce référentiel fournit des contrôles de sécurité et des
recommandations pour les systèmes d'information et les réseaux fédéraux.
4. ITIL (Information Technology Infrastructure Library) : Un ensemble de bonnes
pratiques pour la gestion des services informatiques. Bien qu'il ne soit pas
spécifiquement conçu pour l'audit, ITIL peut être utilisé pour évaluer la qualité des
processus liés aux services informatiques.
5. COSO (Committee of Sponsoring Organizations of the Treadway Commission) :
COSO fournit un cadre de contrôle interne utilisé dans divers domaines, y compris
l'audit informatique. Il se concentre sur la gouvernance d'entreprise et l'évaluation
des contrôles internes.
6. PCI DSS (Payment Card Industry Data Security Standard) : Un ensemble de normes
de sécurité destiné à garantir la sécurité des informations des cartes de paiement. Il
est particulièrement pertinent pour les organisations qui traitent des transactions par
carte de crédit.
7. ISACA's Risk IT Framework : Ce cadre fournit des directives pour la gestion des
risques liés aux technologies de l'information, aidant les organisations à intégrer la
gestion des risques dans leurs processus informatiques.
8. ISSAF (Information Systems Security Assessment Framework) : Un cadre
d'évaluation de la sécurité des systèmes d'information, développé par la
communauté de la sécurité informatique.
Il est important de noter que certains référentiels peuvent se chevaucher, et le choix dépend
souvent des besoins spécifiques de l'organisation, de l'industrie dans laquelle elle opère, ainsi
que des réglementations auxquelles elle est soumise. Les auditeurs informatiques peuvent
également personnaliser l'utilisation de ces référentiels en fonction des circonstances
particulières de chaque audit.
Section 2 - Différents types d'audit informatique

La démarche d'audit informatique est générale et s'applique à différents domaines comme la fonction
informatique, les études informatiques, les projets informatiques, l'exploitation, la planification de
l'informatique, les réseaux et les télécommunications, la sécurité informatique, les achats
informatiques, l'informatique locale ou l'informatique décentralisée, la qualité de service,
l'externalisation, la gestion de parc, les applications opérationnelles… Ci-dessous une présentation
succincte des audits informatiques les plus fréquents.
2.1 - Audit de la fonction informatique

Le but de l'audit de la fonction informatique est de répondre aux préoccupations de la direction
générale ou de la direction informatique concernant l'organisation de la fonction informatique, son
pilotage, son positionnement dans la structure, ses relations avec les utilisateurs, ses méthodes de
travail…
Pour effectuer un audit de la fonction informatique on se base sur les bonnes pratiques connues en
matière d'organisation de la fonction informatique. Elles sont nombreuses et bien connues, parmi
celles-ci on peut citer :
• la clarté des structures et des responsabilités de l'équipe informatique,

• la définition des relations entre la direction générale, les directions fonctionnelles et
opérationnelles et la fonction informatique,
• l'existence de dispositifs de mesures de l'activité et notamment d'un tableau de bord de la
fonction informatique,
• le niveau des compétences et des qualifications du personnel de la fonction.
Il existe de nombreuses autres bonnes pratiques concernant la fonction informatique. L'audit de la
fonction se base sur ces pratiques dans le but d'identifier un certain nombre d'objectifs de contrôle
comme :
• le rôle des directions fonctionnelles et opérationnelles dans le pilotage informatique et

notamment l'existence d'un comité de pilotage de l'informatique,
• la mise en œuvre de politiques, de normes et de procédures spécifiques à la fonction,
• la définition des responsabilités respectives de la fonction informatique et des unités utilisatrices
concernant les traitements, la maintenance, la sécurité, les investissements, les
développements,….
• l'existence de mécanismes permettant de connaître et de suivre les coûts informatiques, soit à
l'aide d'une comptabilité analytique, soit, à défaut, grâce à un mécanisme de refacturation,
• le respect des dispositifs de contrôle interne comme une évaluation périodique des risques, la
mesure de l'impact de l'informatique sur les performances de l'entreprise…
Ces différents objectifs de contrôle correspondent au processus PO 4 de CobiT : "Définir les
processus, l'organisation et les relations de travail".
2.2 - Audit des études informatiques

L'audit des études informatiques est un sous-ensemble de l'audit de la fonction informatique. Le but
de cet audit est de s'assurer que son organisation et sa structure sont efficaces, que son pilotage est
adapté, que ses différentes activités sont maîtrisées, que ses relations avec les utilisateurs se
déroulent normalement, …
Pour effectuer un audit des études informatiques on se base sur la connaissance des bonnes
pratiques recensées dans ce domaine. Elles sont nombreuses et connues par tous les professionnels.
Parmi celles-ci on peut citer :
• l'organisation de la fonction études en équipes, le choix des personnes et leur formation, leurs
responsabilités … ;
• la mise en place d'outils et de méthodes adaptés notamment une claire identification des
tâches, des plannings, des budgets, des dispositifs de suivi des études, un tableau de bord… ;
• le contrôle des différentes activités qui ne peuvent pas être planifiées comme les petits projets,
les projets urgents… ;
• la mise sous contrôle de la maintenance des applications opérationnelles ;
• le suivi des activités d'études à partir de feuilles de temps.
Il existe de nombreuses autres bonnes pratiques concernant les études informatiques. Pour l'auditer
on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de contrôle
comme :
• l'évaluation de l'organisation de la fonction d'études informatiques et notamment la manière dont

sont planifiées les différentes activités d'études ;
• le respect de normes en matière de documentation des applications et notamment la définition
des documents à fournir avec les différents livrables prévues ;
• le contrôle de la sous-traitance notamment la qualité des contrats, le respect des coûts et des
délais, la qualité des livrables… ;
• l'évaluation de la qualité des livrables fournis par les différentes activités d'études qui doivent
être testables et vérifiables ;
Il existe de nombreux autres objectifs de contrôle concernant les études informatiques et ils sont
choisis en fonction des préoccupations du demandeur d'audit.
2.3 - Audit de l'exploitation

L'audit de l'exploitation a pour but de s'assurer que le ou les différents centres de production
informatiques fonctionnent de manière efficace et qu'ils sont correctement gérés. Il est pour cela
nécessaire de mettre en œuvre des outils de suivi de la production comme Openview d'HP, de Tivoli
d'IBM,… Il existe aussi un système Open Source de gestion de la production comme Nagios. Ce sont
de véritables systèmes d'information dédiés à l'exploitation.
Pour effectuer un audit de l'exploitation on se base sur la connaissance des bonnes pratiques
concernant ce domaine comme :
• la clarté de l'organisation de la fonction notamment le découpage en équipes, la définition des

responsabilités,…
• l'existence d'un système d'information dédié à l'exploitation notamment pour suivre la gestion
des incidents, la gestion des ressources, la planification des travaux, les procédures
d'exploitation,…
• la mesure de l'efficacité et de la qualité des services fournies par l'exploitation informatique.
Il existe de nombreuses autres bonnes pratiques concernant l'exploitation informatique. Pour effectuer
cet audit on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de
contrôle comme :
• la qualité de la planification de la production,

• la gestion des ressources grâce à des outils de mesure de la charge, des simulations, le suivi
des performances,…
• l'existence de procédures permettant de faire fonctionner l'exploitation en mode dégradé de
façon à faire face à une indisponibilité totale ou partielle du site central ou du réseau,
• la gestion des incidents de façon à les repérer et le cas échéant d'empêcher qu'ils se
renouvellent,
• les procédures de sécurité et de continuité de service qui doivent se traduire par un plan de
secours,
• la maîtrise des coûts de production grâce à une comptabilité analytique permettant de calculer
les coûts complets des produits ou des services fournis.
Ces différents objectifs de contrôle correspondent au processus DS 1, DS 3, DS 6, DS 12 et DS 13

de CobiT : DS 1 "Définir et gérer les niveaux de services", DS 3 "Gérer la performance et la capacité",
DS 6 "Identifier et imputer les coûts", DS 12 "Gérer l'environnement physique", DS 13 "Gérer
l'exploitation".
2.4 - Audit des projets informatiques

L'audit des projets informatiques est un audit dont le but est de s'assurer qu'il se déroule normalement
et que l'enchaînement des opérations se fait de manière logique et efficace de façon qu'on ait de
fortes chances d'arriver à la fin de la phase de développement à une application qui sera performante
et opérationnelle. Comme on le voit un audit d'un projet informatique ne se confond pas avec un audit
des études informatiques.
Pour effectuer un audit d'un projet informatique on se base sur la connaissance des bonnes pratiques
connues en ce domaine. Elles sont nombreuses et connues par tous les chefs de projets et de manière
plus générale par tous professionnels concernés. Parmi celles-ci on peut citer :
• l'existence d'une méthodologie de conduite des projets,

• la conduite des projets par étapes quel que soit le modèle de gestion de projets : cascade, V, W
ou en spirale (processus itératif),
• le respect des étapes et des phases du projet,
• le pilotage du développement et notamment les rôles respectifs du chef de projet et du comité
de pilotage,
• la conformité du projet aux objectifs généraux de l'entreprise,
• la mise en place d'une note de cadrage, d'un plan de management de projet ou d'un plan de
management de la qualité,
• la qualité et la complétude des études amont : étude de faisabilité et analyse fonctionnelle,
• l'importance accordée aux tests, notamment aux tests faits par les utilisateurs.
Il existe de nombreuses autres bonnes pratiques concernant la gestion de projet. Pour effectuer un
audit d'un projet informatique on va se baser sur un certain nombre d'objectifs de contrôle comme :
• la clarté et l'efficacité du processus de développement,
• l'existence de procédures, de méthodes et de standards donnant des instructions claires aux
développeurs et aux utilisateurs,
• la vérification de l'application effective de la méthodologie,
• la validation du périmètre fonctionnel doit être faite suffisamment tôt dans le processus de
développement,
• la gestion des risques du projet. Une évaluation des risques doit être faite aux étapes clés du
projet.
Il existe de nombreux autres objectifs de contrôle possibles concernant l'audit de projet informatique
qui sont choisis en fonction des préoccupations et des attentes du demandeur d'audit.
Ces différents objectifs de contrôle correspondent aux processus PO 10, AI 1 et AI 2 de CobiT : PO
10 "Gérer le projet" mais aussi AI 1 "Trouver des solutions informatiques" et AI 2 "Acquérir des
applications et en assurer la maintenance".
2.5 - Audit des applications opérationnelles

Les audits précédents sont des audits informatiques, alors que l'audit d'applications opérationnelles
couvre un domaine plus large et s'intéresse au système d'information de l'entreprise. Ce sont des
audits du système d'information. Ce peut être l'audit de l'application comptable, de la paie, de la
facturation,…. Mais, de plus en plus souvent, on s'intéresse à l'audit d'un processus global de
l'entreprise comme les ventes, la production, les achats, la logistique,…
Il est conseillé d'auditer une application de gestion tous les deux ou trois ans de façon à s'assurer
qu'elle fonctionne correctement et, le cas échéant pouvoir apporter les améliorations souhaitable à
cette application ou à ce processus. L'auditeur va notamment s'assurer du respect et de l'application
des règles de contrôle interne. Il va en particulier vérifier que :
• les contrôles en place sont opérationnels et sont suffisants,

• les données saisies, stockées ou produites par les traitements sont de bonne qualité,
• les traitements sont efficaces et donnent les résultats attendus,
• l'application est correctement documentée,
• les procédures mises en œuvre dans le cadre de l'application sont à jour et adaptées,
• l'exploitation informatique de l'application se fait dans de bonnes conditions,
• la fonction ou le processus couvert par l'application est efficace et productif,
• …
Le but de l'audit d'une application opérationnelle est de donner au management une assurance
raisonnable sur son fonctionnement. Ces contrôles sont, par exemple, réalisés par le Commissaire
aux Comptes dans le cadre de sa mission légale d'évaluation des comptes d'une entreprise : est-ce
que le logiciel utilisé est sûr, efficace et adapté ?
Pour effectuer l'audit d'une application opérationnelle on va recourir aux objectifs de contrôle les plus
courants :
• le contrôle de la conformité de l'application opérationnelle par rapport à la documentation

utilisateur, par rapport au cahier des charges d'origine, par rapport aux besoins actuels des
utilisateurs,
• la vérification des dispositifs de contrôle en place. Il doit exister des contrôles suffisants sur les
données entrées, les données stockées, les sorties, les traitements,… L'auditeur doit s'assurer
qu'ils sont en place et donnent les résultats attendus,
• l'évaluation de la fiabilité des traitements se fait grâce à l'analyse des erreurs ou des anomalies
qui surviennent dans le cadre des opérations courantes. Pour aller plus loin l'auditeur peut aussi
être amené à constituer des jeux d'essais pour s'assurer de la qualité des traitements. Il est
aussi possible d'effectuer des analyses sur le contenu des principales bases de données afin de
détecter d'éventuelles anomalies,
• la mesure des performances de l'application pour s'assurer que les temps de réponse sont
satisfaisants même en période de forte charge. L'auditeur va aussi s'intéresser au nombre
d'opérations effectuées par le personnel dans des conditions normales d'utilisation.
Très souvent on demande à l'auditeur d'évaluer la régularité, la conformité, la productivité, la pérennité
de l'application opérationnelle. Ce sont des questions délicates posées par le management à
l'auditeur.
5.6 - Audit de la sécurité informatique

L'audit de la sécurité informatique a pour but de donner au management une assurance raisonnable
du niveau de risque de l'entreprise lié à des défauts de sécurité informatique. En effet, l'observation
montre que l'informatique représente souvent un niveau élevé de risque pour l'entreprise. On constate
actuellement une augmentation de ces risques liée au développement d'Internet. Ils sont liés à la
conjonction de quatre notions fondamentales :
1. en permanence il existe des menaces significatives concernant la sécurité informatique de

l'entreprise et notamment ses biens immatériels,
2. le facteur de risque est une cause de vulnérabilité due à une faiblesse de l'organisation, des
méthodes, des techniques ou du système de contrôle,
3. la manifestation du risque. Tôt ou tard le risque se manifeste. Il peut être physique (incendie,
inondation, insolation, démagnétisation) mais la plupart du temps il est invisible et se traduit
notamment par la destruction des données, l'indisponibilité du service, le détournement de
trafic,..
4. la maîtrise du risque. Il s'agit de mettre en place des mesures permettant de diminuer le
niveau des risques notamment en renforçant les contrôle d'accès, l'authentification des
utilisateurs,…
Pour effectuer un audit de sécurité informatique il est nécessaire de se baser sur quelques objectifs
de contrôle. Les plus courants sont :
• repérer les actifs informationnels de l'entreprise. Ce sont des matériels informatiques, des
logiciels et des bases de données. Il est pour cela nécessaire d'avoir des procédures de gestion
efficaces et adaptées,
• identifier les risques. Il doit exister des dispositifs de gestion adaptés permettant de surveiller les
domaines à risque. Cette surveillance doit être assurée par un RSSI, un responsable de la
sécurité informatique,
• évaluer les menaces. Le RSSI a la responsabilité de repérer les principaux risques liés aux
différents domaines du système d'information. Un document doit recenser les principales
menaces,
• mesurer les impacts. Le RSSI doit établir une cartographie des risques associés au système
d'information. Il est alors envisageable de construire des scénarios d'agression et d'évaluer les
points de vulnérabilité,
• définir les parades. Pour diminuer le niveau des risques il est nécessaire de prévoir les
dispositifs comme des contrôles d'accès, le chiffrement des données, le plan de secours,…
Il existe de nombreux autres objectifs de contrôle concernant l'audit de la sécurité informatique qui
sont choisis en fonction des préoccupations et des attentes du demandeur d'audit.
Ces différents objectifs de contrôle correspondent aux processus de CobiT DS 5 : "Assurer la sécurité
des systèmes" et PO 9 "Evaluer et gérer les risques". Il existe un référentiel spécifique à la sécurité
informatique : ISO 27002. C'est un code des bonnes pratiques concernant le management de la
sécurité des systèmes d'information. Il est complété par la norme ISO 27001 concernant la mise en
place d'un Système de Management de la sécurité de l'Information.
Voir audit de sécurité
Section 3 - Démarche d'audit informatique

Une mission d'audit informatique se prépare. Il convient de déterminer un domaine d'études pour
délimiter le champ d'investigation. En ce sens il est conseillé d'effectuer un pré-diagnostic afin de
préciser les questions dont l'audit va traiter. Cela se traduit par l'établissement d'une lettre de
mission détaillant les principaux points à auditer.
Pour mener à bien l'audit informatique il est recommandé de suivre six étapes suivantes :
1. l'établissement de la lettre de mission. Ce document est rédigé et signé par le demandeur

d'audit et permet de mandater l'auditeur. Il sert à identifier la liste des questions que se
posent le demandeur d'audit. Très souvent l'auditeur participe à sa rédaction. (TDR :
Termes de références)
2. la planification de la mission permet de définir la démarche détaillée qui sera suivie. Elle
va se traduire par un plan d'audit ou une proposition commerciale. Ce document est
rédigé par l'auditeur et il est soumis à la validation du demandeur d'audit. Une fois le
consensus obtenu il est possible de passer à la troisième étape,
3. la collecte des faits, la réalisation de tests, … Dans la plupart des audits c'est une
partie importante du travail effectué par les auditeurs. Il est important d'arriver à
dégager un certain nombre de faits indiscutables,
4. les entretiens avec les audités permettent de compléter les faits collectés grâce à la
prise en compte des informations détenues par les opérationnels. Cette étape peut être
délicate et compliquée. Souvent, les informations collectées auprès des opérationnels
ressemblent plus à des opinions qu'à un apport sur les faits recherchés,
5. la rédaction du rapport d'audit est un long travail qui permet de mettre en avant des
constatations faites par l'auditeur et les recommandations qu'il propose,
6. la présentation et la discussion du rapport d'audit au demandeur d'audit, au management
de l'entreprise ou au management de la fonction informatique.
Il peut arriver qu'à la suite de la mission d'audit il soit demandé à l'auditeur d'établir le plan d'action et
éventuellement de mettre en place un suivi des recommandations.
Le non-respect de cette démarche peut entrainer une mauvaise réalisation et mise en place d'outils
qui ne sont pas conformes aux réels besoins de l'entreprise.
Cette démarche est essentielle pour l'auditeur car il lui apporte des éléments fondamentaux pour le
déroulement de sa mission mais celle-ci est encore plus bénéfique pour l'organisation. En effet, les
acteurs audités ne sont pas passifs. Ils sont amenés à porter une réflexion sur leurs méthodes de
travail et à s’intéresser au travail des autres acteurs de l'entité. Cela conduit à une cohésion d'équipe
et à un apprentissage organisationnel. Il s'agit d'un facteur positif car en cas de changement les
acteurs seront moins réticents.
Section 4 - Les référentiels d'audit informatique

Il existe différents référentiels comme :
• CobiT : Control Objectives for Information and related Technology. C'est le principal référentiel
des auditeurs informatiques,
• Val IT permet d'évaluer la création de valeur par projet ou par portefeuille de projets,
• Risk IT a pour but d'améliorer la maîtrise des risques liés à l'informatique (Voir page en
anglais Risk IT),
• CobiT and Applications Controls.
L'ISACA (Information Systems Audit & Control Association) qui est l'association internationale des
auditeurs informatiques (notamment pour son corpus normatif et son knowledge center) et
l'AFAI (Association Française de l'Audit et du conseil Informatique), qui est le chapitre français de
l'ISACA, fournissent de nombreux supports.
Mais on peut aussi utiliser d'autres référentiels comme :
• ISO 27002 qui est un code des bonnes pratiques en matière de management de la sécurité des
systèmes d'information,
• CMMi : Capability Maturity Model integration qui est une démarche d'évaluation de la qualité de
la gestion de projet informatique,
• ITIL qui est un recueil des bonnes pratiques concernant les niveaux et de support des services
informatiques.
Section 5 - La certification des auditeurs informatiques

On pourrait imaginer une certification des directions informatiques ou des applications informatiques.
Cela n'existe pas. Il existe par contre une certification de la qualité des projets informatiques : CMMI.
En matière de qualité de service fournie par l'exploitation il y a la certification sur la norme ISO 20000
qui est un sous-ensemble d'ITIL.
Il existe par contre une procédure de certification des outsourceurs : SAS 70, Statement on Auditing
Standards n°70. Cette norme a été créée par l'American Institute of Certified Public Accountants
(AICPA) pour éviter à ces organismes de devoir supporter successivement plusieurs audits
informatiques sur des sujets voisins. Ce sont des audits réalisés par des tiers et vont s'assurer que
les processus mis en œuvre offrent la qualité du service attendue.
La norme SAS 70 a été remplacée depuis par la norme ISAE 3402 (International Standards for
Assurance Engagement) entrée en vigueur le 15 juin 2011. Il s'agit d'une extension de SAS 70 qui
définit les standards qu'un auditeur doit suivre pour évaluer les contrôles internes contractuels d'un
organisme de service.
En matière d'audit informatique on certifie les auditeurs informatiques. La certification de référence
est le CISA, Certified Information Systems Auditor. C'est une certification professionnelle
internationale. Elle est organisée par l'ISACA depuis 1978. En France elle est passée depuis 1989. À
ce jour dans le monde 75 000 personnes ont le CISA dont plus de 1 000 en France. L'examen peut
être passé trois fois par an : en juin, en septembre et en décembre, dans 11 langues différentes et
dans 200 villes dans le monde. Il faut répondre à 200 questions à choix multiples en 4 heures portant
sur l'audit et l'informatique. L'examen porte sur 6 domaines :
1. les processus d'audit des systèmes d'information,

2. la gouvernance IT,
3. la gestion du cycle de vie des systèmes et de l'infrastructure,
4. la fourniture et le support des services,
5. la protection des avoirs informatiques,
6. le plan de continuité et le plan de secours informatique
Il existe aussi une deuxième certification des auditeurs informatiques de référence depuis 2003. il
s'agit d'une certification professionnelle pour les managers en sécurité de l'information :
le CISM (Certified Information Security Manager) délivrée également par l'ISACA.
Le programme de la certification est composé de 5 chapitres de la sécurité de l'information :
1. La gouvernance de la sécurité de l'information

2. La gestion des risques de l'information
3. L'implémentation d'un programme de sécurité de l'information
4. La gestion d'un programme de sécurité de l'information
5. La gestion des incidents de sécurité de l'information.
À ces certifications proposées par l'ISACA, d'autres certifications peuvent s'ajouter à la panoplie de
l'auditeur informatique, notamment le CISSP sur la sécurité informatique, la certification
ISO27001 lead auditor, les certifications sur ITIL, Prince2, CobIT, etc. Enfin, l'obtention du CISA
permet de bénéficier d'un module de la certification CIA de l'Institute of Internal Auditors (IIA),
administrée en France par l'IFACI.
Section 6 - Notes et références

• (fr) Comment gérer efficacement les risques informatiques ? [de Marc Barbezat, une carte
heuristique (mindmap) des principaux référentiels d'audit informatiques incluant une brève
description pour chacun d'eux et des liens directs vers la source.
Section 7 - Voir aussi

Articles connexes
• Association française de l'audit et du conseil informatiques (AFAI)
• ISACA
• CobiT
• Gouvernance des technologies de l'information
• Audit de sécurité
• Audit de code
• Management du système d'information
• Système de gestion de la sécurité de l'information
• ISAE 3402
• CISSP
Liens externes
• Association Française de l'Audit et du conseil Informatique (AFAI)
• Information Systems Audit & Control Association (ISACA)
Bibliographie
• CobiT version 4.1 : Control Objectives for Information and related Technology, Edition française
faite par l'AFAI (ISBN 2-915007-09-8)
• Guide d'audit des systèmes d'information, Edition française faite par l'AFAI
• Manuel de préparation CISA couramment appelé le CISA Review Manual. Il est édité dans
plusieurs langues. Il existe une version en français, ISACA,
• Information Technology Control and Audit, de Callegos, Manson et Allen-Senft, ISACA
Chapitre 2 – La démarche administrative de l'audit informatique
http://www.indexel.net/servlet/net.indexel.http.SvtRedirDocument?id=1816
Vaste sujet, terme rebattu et souvent mal défini, láudit informatique est aussi une réalité pour les PME.
Quést-ce quún audit informatique ? Quel type de réponses peut-il vous apporter ? Comment doit-il être
mené ? Les réponses de Fabien Cleuet, associé fondateur et gérant de Diathèse, société dáudit et de
conseil informatique.
Section 1 – L'audit informatique dans une PME, à quoi ça sert ?
Fabien Cleuet : La démarche dáudit est la même, quíl ságisse dún grand compte ou dúne PME. Elle
correspond toujours au besoin de faire faire un diagnostic par un expert indépendant pour établir un état
des lieux, définir des axes dámélioration et obtenir des recommandations pour pallier les faiblesses
constatées. Les PME font le plus souvent appel à un auditeur pour y voir clair dans une réalité confuse ou
rapportée comme telle, dans un contexte de crise, lorsquíl y a un problème dans le système dínformation
: láuditeur est un peu le "bobologue" du système dínformation. Et il intervient principalement dans les
PME pour réaliser des audits post-implémentation (par exemple, on a choisi un ERP sans étude, sans
conseil... et cela ne fonctionne pas) et plus rarement pour des audits de sécurité. Très peu dáudits sont
réalisés à titre préventif, ce qui est bien dommage, car la mise en oeuvre des solutions de
rétablissement coûte plus cher. En général, la techno-structure qui entoure le dirigeant de PME nést pas
suffisante pour un éclairage pertinent. Il est soumis aux aléas des marées : presse, copains, collègues...
lui fournissent autant dínformations contradictoires et hors contexte. Láuditeur intervient en tant que
mesureur de risques et propose une hiérarchisation : identification des faiblesses, impact, solution,
risques si les mesures ne sont pas prises.
Section 2 – Comment choisir son prestataire ?
Tout dábord il convient de bien distinguer láudit du conseil. Et de surtout ne pas faire appel à une
même personne pour effectuer ces deux types de prestations. En effet, láuditeur pourrait dans ce cas être
amené à se prononcer sur ses propres prestations de conseil (antérieures) ou à intégrer dans ses
recommandations des prestations quíl est à même de réaliser, ce qui aboutit évidemment à une situation
malsaine. Deuxième point : ne pas confondre audit et prestation dávant-vente. Les intégrateurs proposent
bien souvent un "audit" préalable à líssue duquel ils feront des recommandations. Celles-ci iront bien
souvent - et cést compréhensible - dans le sens de leurs propres savoir-faire. Trois critères majeurs sont
donc à retenir :
- líndépendance, líntégrité intellectuelle de láuditeur ;

- son expertise : faites appel à un professionnel du diagnostic ;
- sa capacité à vous remettre des recommandations.
Section 3 – Quelles sont les principales étapes d'un audit informatique ?
1 - La première étape consiste à prendre connaissance de manière extrêmement fine des attentes du
client. Il convient de bien comprendre ses besoins et de les reformuler. Avant de faire appel à un auditeur,
établissez donc avec précision ce que vous attendez de láudit. Cette première étape est
particulièrement importante dans la mesure où elle plante le contexte précis dans lequel láudit va être
mené : autant dínformations qui seront incluses dans le rapport dáudit afin dén faciliter línterprétation,
même plusieurs années après sa réalisation.
2 - Ensuite, une lettre de mission sera rédigée. En plus de définir la procédure à venir, elle a deux
objectifs principaux :
- elle est le contrat qui lie léntreprise et láuditeur ;

- elle permettra dínformer les différentes personnes impliquées de lárrivée dún audit dans léntreprise.
Elle est dans le même temps - auprès des salariés - une légitimation de cet audit par la direction.
3 - Troisième phase : le recueil de toutes les informations nécessaires pour préparer la mission. Il ságit
de récolter les éléments relatifs à la culture de léntreprise, au contexte général toujours en corrélation avec
le système dínformation.
4 - Ensuite, des rendez-vous sont organisés avec les personnes concernées.
5 - La cinquième étape consiste en la solidification de toutes les informations, soit par le croisement des
entretiens, soit éventuellement par des contrôles sur le système avec des logiciels spécifiques.
Par exemple, lors dún audit dápplications, un audit par les données est efficace pour contrôler que les
données sont bien entrées dans les applications, quélles sont bien traitées par celles-ci et enfin que les
rapports sont générés convenablement.
7 - Enfin, une réunion de synthèse est organisée entre láuditeur et les personnes intéressées. Il ságit
de sássurer ensemble :
- que les questions de láuditeur ont été bien comprises ;
- que les réponses ont été bien interprétées.
8 - Le rapport est ensuite rédigé, de plusieurs manières (concis et plus complet), car il sádresse en
général à plusieurs types de publics. Le rapport détaillé expliquera les attentes de départ, le contexte, les
limites, les faiblesses constatées, leur importance relative et les solutions. Un rapport dáudit doit être clair
et didactique. En aucun cas il ne doit être technique : cést là la différence entre un audit et une mission
déxpertise.
Section 4 – Que représente un audit en termes de coût pour l'entreprise ?
Le coût dún audit se calcule en jours/homme. Et beaucoup de variables entrent en ligne de compte, telles
que le nombre de sites concernés ou encore la complexité des problèmes rencontrés dans le système
dínformation. Un audit dure au minimum cinq jours, et cela peut s´étaler sur une période beaucoup plus
importante. Aussi, il mést difficile de quantifier précisément le coût dún audit informatique, dans la mesure
où cela recouvre autant de réalités que déntreprises. Dans tous les cas, un devis précis doit toujours
vous être présenté par votre prestataire avant le début de la mission.
Section 5 – Et en termes d'économies ?

Les économies induites par un audit informatique peuvent être de plusieurs types :
- une procédure dáudit peut vous faire réaliser des économies immédiates en mettant le doigt sur des
dépenses inutiles ;
- la réduction des risques est également source d´économies potentielles. En effet, en préconisant des
sauvegardes régulières par exemple (et donc en vous évitant la perte de données), láuditeur vous fait faire
potentiellement de grandes économies !
ndlr : Avec un prix moyen de la journée à environ 1000 euros, le Groupement national des professionnels
de línformatique (GPNI) estime le coût global de la procédure entre 500 et 3000 euros.
Propos recueillis par Carine Niot pour Indexel.
Pour en savoir plus

- Le site de la société Diathèse : www.diathese.fr
- Le site de lÁssociation Française de lÁudit et du Conseil Informatiques (AFAI)
-Le site de lÍnstitut Français de lÁudit et du Contrôle Internes (IFACI)
Question : Ecrire une lettre de mission en précisant les objectifs

Chapitre 3 – Evaluation des risques des systèmes d'information
http://www.aud-it.ch/audit.htm
Section 1 - Introduction à l'audit des systèmes d'information
L'audit informatique, l'audit des systèmes d'information évalue les risques d'un environnement
informatique ou d'une application, par exemple, les salaires ou la facturation. Ces missions se font en
choisissant avec le client les processus métiers à évaluer, de même que les processus CobiT à évaluer
parmi les 34 proposés.
L'audit d'un environnement informatique peut concerner l'évaluation des risques informatiques de la
sécurité physique, de la sécurité logique, de la gestion des changements, du plan de secours, etc., ou bien
un ensemble de processus informatiques - ce qui est généralement le cas - pour répondre à une demande
précise du client. Par exemple, apprécier la disponibilité des informations et des systèmes. Le CobiT
permet justement de rechercher quels processus informatiques répondent le plus efficacement à une telle
demande. Dans le cas de la disponibilité : par exemple la sécurité physique et le plan de continuité.
Section 2 – Approche générale
Un audit informatique, audit des systèmes d'information, se fait selon un schéma en 4 phases :
- Définition précise du plan de travail, récolte d'information, recherche et schématisation des processus
métiers et/ou informatiques à apprécier, définition des rôles et responsabilités, analyse forces - faiblesses
- Analyse des processus importants, définition des risques, évaluation préliminaire des risques, de
l'efficacité des contrôles
- Tests des contrôles
- Tests de matérialité.
Un audit informatique, audit des systèmes d'information ne concerne pas nécessairement la sécurité. En
effet, il peut aussi évaluer des aspects stratégiques ou de qualité des systèmes d'information. Par exemple,
répondre à la question suivante : Est-ce que les systèmes d'information de l'entreprise répondent
efficacement aux besoins des services métiers ? La démarche est très similaire, en choisissant et évaluant
les processus informatiques proposés par le CobiT qui répondent le mieux à la demande du client.
Section 3 - Audit de l'environnement informatique

Mission
Mission : Evaluer les risques des systèmes d'information nécessaires au fonctionnement des applications.
Par exemple : Sécurité physique, sécurité logique, sécurité des réseaux, plan de secours.
Livrables
Rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées.
Section 4 - Audit d’une application informatique

Mission : Evaluer les risques d'une application informatique. La mission débute par la définition des
processus métiers concernés, puis évalue leurs risques.
Livrables : Rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives
proposées.
5 - Audit d'une application en cours de développement

Mission : Assister l'équipe de projet à évaluer les risques lors des différentes étapes de réalisation d'une
application informatique et proposer des mesures de réduction et de contrôle des risques importants.
Livrables : Mesures proposées de réduction et de contrôle des risques importants de la nouvelle

application informatique.
Chapitre 4 – La démarche de l'audit des applications informatiques
https://inovency.fr/digitalisation/4-etapes-audit-systeme-information/
Les 4 étapes clés pour réaliser l’audit de son système d’information
L’audit du système d’information est réalisé pour évaluer les systèmes d’information et proposer
des mesures pour améliorer leur valeur pour l’entreprise. Il sera utilisé comme un outil efficace
d’évaluation du système d’information et de contrôle des abus informatiques. Le processus
d’audit du système d’information comporte quatre étapes :
Section 1. Mesurer la vulnérabilité du système d’information

La première étape du processus d’audit du système d’information est l’identification
de la vulnérabilité de chaque application.
Lorsque la probabilité de faiblesse informatique est élevée, il est nécessaire d’effectuer

un audit du système d’information de cette application. La probabilité d’attaque
informatique dépend de la nature de l’application et de la qualité des contrôles.
Voici une approche détaillée de cette étape :

1. Analyse de la Nature de l’Application : Examiner la nature de chaque application
pour comprendre son rôle et son importance dans l’ensemble du système
d’information. Cela inclut l’évaluation de la sensibilité et de la criticité des données
traitées par l’application.
2. Évaluation des Contrôles Existantes : Analyser la qualité des contrôles de sécurité
actuellement en place pour chaque application. Cela peut inclure des contrôles
d’accès, des protocoles de cryptage, des mesures de sécurité réseau, et des
politiques de gestion des données.
3. Identification des Vulnérabilités Potentielles : Utiliser des outils et des
techniques d’analyse pour identifier les failles potentielles dans les applications.
Cela peut impliquer des tests de pénétration, des scans de vulnérabilité, et l’analyse
des configurations de sécurité.
4. Évaluation de la Probabilité de Faiblesses Informatiques : Estimer la probabilité
de faiblesses informatiques en tenant compte de facteurs tels que la complexité
de l’application, l’historique des incidents de sécurité, et l’environnement
opérationnel.
5. Détermination de la Probabilité d’Attaque Informatique : Évaluer la probabilité
d’attaque informatique en se basant sur la nature de l’application et la qualité des
contrôles en place. Des applications contenant des données sensibles ou critiques
peuvent être des cibles plus probables pour les cyberattaques.
6. Priorisation des Audits : Prioriser les audits pour les applications présentant une
probabilité élevée de faiblesses informatiques et un risque accru d’attaques. Cela
permet de concentrer les ressources sur les zones les plus critiques du système
d’information.
7. Rapport Préliminaire : Préparer un rapport préliminaire identifiant les

vulnérabilités potentielles et les risques associés à chaque application. Ce rapport
servira de base pour les étapes ultérieures du processus d’audit.
Section 2. Identifier les sources de menaces :

La plupart des menaces d’abus informatiques proviennent des personnes. L’auditeur du
système d’information doit identifier ceux qui pourraient constituer une menace pour les
systèmes d’information. Il peut comprendre des analystes système, des programmeurs,
des opérateurs de saisie de données, des fournisseurs de données, des utilisateurs, des
fournisseurs de matériel, de logiciels et de services, des spécialistes de la sécurité
informatique, des utilisateurs d’ordinateur…
Voici comment notre cabinet de conseil peut vous aider:

1. Évaluation des Rôles Internes : Examiner les rôles de tous ceux qui interagissent
avec le système d’information, y compris les analystes système, les programmeurs,
et les opérateurs de saisie de données. Évaluer dans quelle mesure leurs fonctions
leur donnent accès à des informations sensibles ou la capacité d’influencer la
sécurité du système.
2. Surveillance des Fournisseurs Externes : Les fournisseurs de données, de
matériel, de logiciels et de services sont également des sources potentielles de
menaces. Examiner les contrats, les politiques de sécurité et les pratiques de ces
fournisseurs pour s’assurer qu’ils respectent les normes de sécurité appropriées.
3. Analyse des Utilisateurs du Système : Les utilisateurs ordinaires du système,
qu’ils soient internes ou externes à l’organisation, peuvent involontairement ou
intentionnellement compromettre la sécurité. Comprendre leurs habitudes, leurs
niveaux d’accès et leur sensibilisation à la sécurité.
4. Évaluation des Spécialistes de la Sécurité Informatique : Bien que les
spécialistes de la sécurité soient chargés de protéger les systèmes, ils possèdent
également un accès étendu et des connaissances qui pourraient être mal utilisées.
Vérifier les protocoles de contrôle et de supervision en place pour ces rôles.
5. Reconnaissance des Utilisateurs d’Ordinateur : Tous ceux qui utilisent les
ordinateurs de l’organisation, y compris les employés en télétravail ou les visiteurs
temporaires, doivent être pris en compte. Ils peuvent représenter une menace
potentielle, en particulier s’ils utilisent des équipements non sécurisés ou accèdent
au réseau de l’entreprise de manière inappropriée.
6. Analyse Comportementale : Utiliser des outils d’analyse comportementale pour
détecter des activités inhabituelles ou suspectes parmi les utilisateurs du système
d’information. Cela peut aider à identifier des menaces potentielles avant qu’elles
ne se concrétisent.
7. Audit Continu : Mettre en place un processus d’audit continu pour surveiller
régulièrement les activités des utilisateurs et des fournisseurs. Cela permet de
détecter rapidement tout comportement suspect ou toute violation des politiques
de sécurité.
8. Formation et Sensibilisation : Assurer la formation et la sensibilisation à la

sécurité de tous les utilisateurs du système d’information pour minimiser les
risques d’abus involontaires.
En identifiant de manière proactive les sources potentielles de menace, l’auditeur peut
aider à renforcer la sécurité du système d’information et à protéger l’entreprise contre
les abus informatiques.
Section 3. Identifier tous les points à risque

L’étape suivante du processus d’audit du système d’information consiste à identifier
les points ou les événements où le système d’information peut être pénétré.
Ces failles peuvent survenir lorsqu’une transaction est ajoutée, modifiée ou supprimée.
Un autre point à haut risque peut se présenter lorsqu’une donnée ou un programme est
modifié ou que l’opération est défectueuse.
Voici comment notre audit peut être réalisé :

1. Analyse des Points de Transaction : Examiner les moments où une transaction
est ajoutée, modifiée ou supprimée. Ces points sont souvent vulnérables car ils
impliquent un changement dans les données ou leur traitement, ce qui peut créer
des opportunités pour les intrusions ou les erreurs.
2. Examen des Modifications de Données et Programmes : Identifier les points où
des données ou des programmes sont modifiés. Ces modifications peuvent
introduire des vulnérabilités, surtout si elles ne sont pas correctement surveillées
ou sécurisées.
3. Surveillance des Opérations Défectueuses : Être attentif aux opérations
défectueuses ou aux dysfonctionnements du système. Ces incidents peuvent
signaler des failles de sécurité ou des vulnérabilités exploitables par des attaquants.
4. Évaluation des Points d’Accès au Système : Examiner les points d’accès au
système d’information, y compris les réseaux, les serveurs, et les applications. Les
points d’accès non sécurisés ou insuffisamment protégés sont des cibles
privilégiées pour les attaques.
5. Vérification des Contrôles de Sécurité : S’assurer que les contrôles de sécurité
en place (comme les pares-feux, les systèmes de détection d’intrusion et les
protocoles d’authentification) sont efficaces pour protéger les points à risque.
6. Audit des Protocoles de Communication : Les protocoles de communication
entre les différents composants du système d’information doivent être sécurisés
pour éviter les interceptions ou les altérations de données.
7. Tests de Pénétration : Effectuer des tests de pénétration ciblés pour évaluer la
résistance du système d’information face aux tentatives d’intrusion.
8. Analyse des Journaux et des Alertes : Examiner régulièrement les journaux du
système et les alertes de sécurité pour détecter des activités suspectes ou
inhabituelles.
En identifiant de manière exhaustive tous les points à risque dans le système

d’information, notre auditeur vous fournira des recommandations précieuses pour
renforcer la sécurité et la résilience de votre système face aux menaces potentielles.
Section 4. Vérifier les abus informatiques

La dernière étape du processus d’audit du système d’information consiste à vérifier les
abus informatiques, en se concentrant spécifiquement sur les points à haut potentiel
d’abus et les activités des personnes susceptibles d’exploiter les vulnérabilités des
applications critiques.
Voici comment procéder :
1. Audit Ciblé des Applications Vulnérables : Réaliser un audit approfondi des

applications identifiées comme hautement vulnérables. Cela implique un examen
détaillé de leur configuration, de leurs contrôles de sécurité, et de leur utilisation.
2. Surveillance des Activités des Utilisateurs : Mettre en place une surveillance
renforcée des activités des utilisateurs qui ont accès aux applications vulnérables.
Cela peut inclure l’analyse des journaux d’activité, la surveillance du réseau, et
l’utilisation de systèmes de détection des anomalies.
3. Vérification des Accès et des Permissions : Examiner les droits d’accès et les
permissions attribués aux utilisateurs des applications vulnérables. S’assurer que
l’accès est strictement limité aux besoins opérationnels et que des contrôles
d’accès adéquats sont en place.
4. Analyse des Incidents de Sécurité Passés : Revoir les incidents de sécurité passés
liés aux applications vulnérables pour identifier les schémas d’abus potentiels ou
les failles de sécurité récurrentes.
5. Tests de Pénétration et Simulations d’Attaque : Effectuer des tests de
pénétration ciblés et des simulations d’attaque sur les applications vulnérables
pour évaluer leur résistance face à des tentatives d’abus délibérées.
6. Évaluation des Contrôles de Sécurité : Vérifier l’efficacité des contrôles de
sécurité en place pour les applications vulnérables, y compris les mesures de
protection des données, les systèmes de détection d’intrusion, et les protocoles de
réponse aux incidents.
7. Interviews et Enquêtes Internes : Mener des interviews et des enquêtes auprès
du personnel pour comprendre leurs perceptions de la sécurité, leurs pratiques, et
identifier tout comportement suspect ou non conforme aux politiques de sécurité.
8. Rapport d’Audit et Recommandations : Préparer un rapport d’audit détaillé
mettant en évidence les abus potentiels ou réels détectés, ainsi que des
recommandations pour renforcer la sécurité des applications et prévenir de futurs
abus.
Cette étape finale est essentielle pour s’assurer que les applications vulnérables du
système d’information sont protégées contre les abus et pour mettre en place des
mesures visant à prévenir et à détecter toute activité malveillante.
Chapitre 5 – Etudes de cas de l’audit des systèmes d’information
Contenu
- Audit en environnement non informatisé vs Audit en environnement informatisé
- Les problèmes de sécurité et de protection des informations électroniques
- Audit physique du système d’information automatisé
- Audit organisationnel du système d’information automatisé
- Audit des applications informatiques : Sécurité – Ouverture du logiciel – Exploitation –
Maintenance - Auditabilité de l'application (Audit Trail) – Perméabilité – Fiabilité.
Etude d’exemples de fraude informatiques : Action sur les fichiers – Action sur les programmes -
Action sur l'exploitation et détournement de résultats - Pénétrabilités des systèmes temps réel.
- A la recherche d'outils automatisés d'audit : les systèmes experts – logiciel sur mesure – multiple
software integration interface – dataminig.
L'objectif de ce module est d'évaluer le système d’information à trois niveaux : physique,

organisationnel et applicatif. Pour évaluer ces éléments, l'auditeur se pose des questions dont
les réponses lui permettent de juger de la qualité du système et des actions de vérification à
entreprendre. Ces éléments seront étayés par des exemples de fraude informatique pour
permettre d’appréhender l’ampleur et la difficulté de l’audit informatique. Le module comprend
donc quatre sections :
1 - AUDIT PHYSIQUE
2 - AUDIT ORGANISATIONNEL
3 - AUDIT DE L'APPLICATION
4 - EXEMPLES DE FRAUDE INFORMATIQUE
Accomplir des diligences
Section 1. AUDIT PHYSIQUE
1.1 – Sécurité électrique

- Câblage électrique avec prise de terre ?
- Câbles apparents ?
- Câbles traînant sur le passage ?
- Risque d’électrocution ?
- Protection contre la foudre ?
- Normes et Certification Controlec au Bénin ?
- Régulateurs de tension (répartis ou centralisés)
- Onduleurs (répartis ou centralisés)
1.2 – Sécurité climatique

- Climatisation et Ventilation de la salle
- Outils BIOS ou Windows, UEFI2
* de détection de la température interne du processeur, de l’UC
2
Le standard UEFI (de l'anglais Unified Extensible Firmware Interface, signifiant en français : « Interface
micrologicielle extensible unifiée ») définit une interface entre le micrologiciel (firmware) et le système
d'exploitation (OS) d'un ordinateur. Cette interface succède sur certaines cartes-mères au BIOS.
* de détection du fonctionnement des ventilateurs du processeur et autres de l’UC

Nombre de tours par minute
* de réglages de valeurs limites de la température interne du processeur, de l’UC, du
nombre de tours des ventilateurs du processeur et autres de l’UC en dehors
desquelles, le système émet une alerte et/ou s’éteinte pour se protéger.
Brider ou débrider le matériel
- Overclock ou pas Overclock ?
Overclocking Un processeur est normalement prévu pour fonctionner à une fréquence
donnée, c'est-à-dire celle à laquelle son fonctionnement est certifié. Il peut cependant être
intéressant d'augmenter cette fréquence car c'est elle qui régit sa vitesse de calcul. Il est
ainsi possible de gagner en puissance de calcul sans pour autant dépenser d'argent. D'autre
part, il est également possible d'augmenter la fréquence des bus de la carte-mère, c'est-à-
dire la vitesse de communication entre le processeur et les autres éléments. On nomme
généralement "overclocking" ce processus d'augmentation de la fréquence du processeur
(mot anglais qu'il est possible de traduire par "surfréquençage").
Malgré tout, ce processus n'est pas sans danger pour votre ordinateur. En effet, une
augmentation de fréquence s'accompagne tout d'abord de l'élévation de la température
des éléments qui la subissent. Il faut ainsi veiller à ce que les éléments touchés par cette
élévation de température soient convenablement ventilés (le processeur est bien
évidemment un élément qui subira une grande élévation de température, mais les autres
éléments la subiront aussi...). La première chose à faire est donc d'ajouter des radiateurs
/ ventilateurs supplémentaires pour évacuer le surplus de chaleur. Comment ça marche.net
- Des ordinateurs tropicalisés ? Température minimale dans le grand nord.

- Dégâts des eaux : inondations, coups de vents, exposition du matériel aux fenêtres et portes,
eaux coulant du plafond, etc. Procédures en cas dégâts des eaux. Plan de reprise d’activité
(Disaster recovery plan)
Le plan de reprise d'activité (PRA) d'une entreprise constitue l'ensemble des « procédures
documentées lui permettant de rétablir et de reprendre ses activités en s'appuyant sur des
mesures temporaires adoptées pour répondre aux exigences métier habituelles après un
incident ».
Source : https://fr.wikipedia.org/wiki/Plan_de_reprise_d'activité
- Isolation thermique - insolation

- Isolation électromagnétiques du voisinage, UTP8
- Risque d’incendie : Armoire ignifuge - Détecteurs de fumée – Extincteurs disponibles et testés
régulièrement - etc. – Procédures en cas d’incendie
- Contrats de maintenance (SLA : Service Level Agreement) – Cahier de suivi des interventions -
pannes : délai moyens (avant correction) – nombre moyen -
- Notion de rupture de service – Perte de clientèle
- Assurances techniques – financières – reconstitution des données.
WIFI LIFI
1.3 – Contrôle d’accès physique

- La salle informatique est-elle surveillée ?
- L'accès à l'ordinateur est-il restreint aux seules personnes utilisant l'application de gestion ?
- Badge électromagnétique
- Reconnaissance biométrique : empreinte digitale, vocale, iris
- Détecteur de vibration, mouvement, son, lumière, odeur, etc.
1.4 – Contrôle d’accès au démarrage

- Le démarrage de l'ordinateur est-il protégé par un mot de passe ?
- Les badges
- Les cartes d’accès
- La reconnaissance biométrique (digitale, vocale, iris, etc.).
1.5 – Systèmes de sauvegarde

- Existe-t-il un système fiable et testé de copies de secours ?
- Le système est-il protégé contre le vol, la destruction accidentelle, les incendies, les dégâts des
eaux, etc. ?
- Les données du système automatique sont-elles imprimées (imprimante virtuelle : Adobe .PDF,
MS .XPS, .PRN, .PS) périodiquement et archivées en lieu sûr ?
- Sauvegarde en temps réel (Réplication) ? Technologie RAID ? (cf Annexe)
- Spare Server (Serveur de secours)
- Etc.
Section 2. AUDIT ORGANISATIONNEL
- Existe-t-il un schéma de circulation de l'information (flow chart, data diagram) qui précise qui
fait quoi, quand et comment ? (EIPO : Event - Input - Processing - Output)
- Les procédures manuelles et les procédures automatiques sont-elles bien délimitées et
agencées ?
- Y a-t-il une séparation des tâches entre la saisie et le contrôle de la saisie ?
- Existe-t-il un système temporaire de saisie avant prise en compte définitive par le système
(brouillard, fichiers mouvements temporaires, etc.) ?
- Y a-t-il une séparation des tâches entre la saisie des informations et leur validation ?
- Existe-t-il des procédures de secours en cas de panne ? Ces procédures sont-elles manuelles ou
automatisées ?
- Existe-t-il des procédures écrites de reprises après une panne? Sont-elles publiées et connues ?
- S'il est convenu de faire des saisies groupées par lots, est-il possible de retrouver à partir des
saisies, les pièces totalisées en une seule ligne d'écriture ou regroupées en un article ?
Section 3. AUDIT DE L'APPLICATION

- Fonctionnalité – Exactitude - Développement - Jeu d’essai – Test - Indicateurs de
performances techniques
3.1 . Sécurité de l’application

- Le logiciel a-t-il été stabilisé ou est-il encore en expérimentation ?
- L'accès au logiciel est-il protégé par mot de passe ?
- Au bout d'un certain nombre de tentatives infructueuses le système arrête-t-il la procédure ?
- Le logiciel requiert-il le changement des mots de passe périodiquement ?
- L'accès aux différents menus est-il différencié par classe d'utilisateurs ?
Exemple : le menu Administrateur ne sera pas accessible à tous les utilisateurs ainsi que la
validation du brouillard
- L'accès aux différentes opérations est-il différencié ?
Exemple : la suppression et la modification d'information ne doivent pas être accessibles à tous
les utilisateurs.
- Existe-t-il une irréversibilité des opérations validées ?
- Existe-t-il un système d'intégrité référentielle ?
Exemple : la suppression d'un compte mouvementé même au solde nul est interdite.
- L'intégrité du système est-elle vérifiée à chaque démarrage ?
- S'agit-il d'un progiciel ou d'un logiciel sur mesure ?
- S'il s'agit d'un logiciel sur mesure, les dossiers d'analyse et de programmation sont-ils
disponibles ?
- S'il s'agit d'un progiciel standard, la description des champs est-elle publiée par l'éditeur ?
3.2 . Ouverture de l’application

- Le logiciel est-il capable d'exporter ses données dans un format courant ?
Exemples : DBF, XLS, TXT/CSV ; DIF, WKS,WK1-3,XML, XAML,JSON,…
- La base de données est-elle protégée par mot de passe ? Si oui le mot est-il disponible pour
l'auditeur afin d'accéder aux données copiées ?
- La base de données est-elle accessible par ODBC (Open DataBase Connectivity) ?

Avec l'interface dite universelle de connexion aux bases de données ODBC, il est possible d'ouvrir
et d'interroger tous les types de fichiers s’il existe un pilote ODBC pour la base de données et si
l'on a un nom de connexion (loginlD) et mot de passe (PassWord) valides lorsqu'ils sont requis.
3.3 . Exploitation de l’application

- Existe-t-il une validation périodique des opérations ?
- Des vérifications de la vraisemblance des opérations sont-elles implémentées dans le logiciel ?
Exemple : Le compte débité ne peut-être le même que celui crédité dans un article simple.
Exemple SYSCOA : Le compte "131 - Résultat net : Bénéfice" ne peut être débiteur car en cas de
perte il faut utiliser le compte prévu à cet effet : "139 - Résultat net : Perte".
Exemple : La passation d'écriture dans deux comptes dont l'un est le parent (57 - Caisse) et l'autre
est l'enfant (571 1 - Caisse Siège Social en FCFA) est une incohérence de codification comptable
qui doit être rejetée par le logiciel.
- Le respect de la partie double est-il obligatoire en temps réel ou en temps différé ? Si en temps
différé, à quel moment l'équilibre est-il exigé ? Lors de la validation ou de la clôture seulement ?
- Existe-t-il une numérotation automatique et séquentielle des pièces outre la codification
comptable ?
3.4 . Maintenance de l’application

- Existe-t-il un système de fonctionnement en mode dégradé (Windows Mode Sans Echec) ? Si
oui, des procédures de reprises sont-elles bien définies ?
- Ces procédures sont-elles automatiques ou manuelles ? L'intervention provient-elle d'un

fournisseur externe ou du service informatique de l'institution ?
- Existe-t-il un intercepteur d'erreur dans le logiciel et qui en tient un journal '?
3.5 . Auditabilité de l'application (Audit Trail)
- Est-il possible de retrouver l'origine des mouvements grâce à la codification des pièces ?
- Est-il possible de connaître les dates, heures et noms d'utilisateur ayant effectué des
transactions ?
- Existe-t-il un suivi des transactions supprimées, modifiées, accessibles à l'auditeur ?
Section 4. EXEMPLES DE FRAUDES INFORMATIQUE
4.1 - Méthodologie de l’étude de cas

Lire plusieurs fois le cas et faire ressortir et commenter :
- les éléments permissifs de la fraude informatique
- comment une telle fraude peut-elle être détectée
- comment une telle fraude peut-elle être évitée
Dans les cas rapportés, il arrive que certaines informations soient superflues. Dans ce cas, il faut
aussi montrer comment la fraude peut se faire même en l’absence de ces éléments.
Il faut aussi penser à la matérialité des preuves de fraudes, notamment dans le cadre d’un audit
légal.
4.2 – Exemples des années 70

Ce point complémentaire montre le caractère fondamental de l'évaluation du système
informatique avant même son utilisation. Il est basé sur des exemples historiques extraits du livre
de Jean Raffegeau et al. (1979)3 qui puisent dans l'ouvrage Crime by computer de Don Parker
publié en 1965 par Scriber's à New York. Les chiffres sont en francs français.
4.2.1 - Action sur les fichiers
Un employé d'une caisse de retraite "oublie" de transmettre au service informatique des avis de
décès concernant des retraités (action sur l'information d'entrée) ; en revanche, il met à jour à
son profit, en utilisant la procédure normale de mise à jour des fichiers, les domiciliations
bancaires des personnes décédées : il leur substitue son propre numéro de compte et perçoit
ainsi pendant plusieurs mois les pensions correspondantes.
4.2.2 - Action sur les programmes
Un programmeur dans une banque de dépôt décide d'émettre sans encombre des chèques sans
provision. Il glisse dans un programme de contrôle, c'est-à-dire l'un des premiers programmes
3
Raffegeau J. et al.., Audit et Contrôle des comptes, Publi-Union, 1979, p.571-572
par lesquels passe l'information d'entrée, une instruction transformant les chèques d'un certain
montant tirés sur son compte en chèques tirés sur certains comptes « dormants » qu'il avait
repérés à l'avance dans le fichier des comptes.
Le recours à un service d’expert patch
4.2.3 - Action sur l'exploitation et détournement de résultats
En 1974, une très grande société britannique de vente par correspondance accusa trois
pupitreurs ayant appartenu à des équipes de nuit d'avoir dupliqué trois millions de noms et
d'adresses appartenant à son fichier « meilleurs prospects » et d'avoir ensuite vendu cette copie
à une société concurrente. La société estima que son fichier « meilleurs prospects » valait environ
12 millions de francs et poursuivit ces trois pupitreurs pour préjudice fixé globalement à 15
millions de francs.
4.2.4 – Pénétrabilités des systèmes temps réel.
En 1972, un jeune étudiant ingénieur fut arrêté, accusé d’avoir dérobé en deux ans à la
compagnie américaine. Pacific Telephone & Telegragh, du matériel et des fournitures pour
environ 5 millions de francs. Pour réaliser ce détournement, l’étudiant combina sa compétence
technique avec un recueil d’instructions et de procédures trouvé un jour dans les poubelles de la
compagnie. Utilisant un code et les règles de la compagnie en matière de crédit accordé à la
clientèle, informations consignées dans le manuel mis au rebut, il se mit à émettre
téléphoniquement des commandes (Pacific Telephone & Telepragh avait alors développé un
système informatique intégré de prise de commandes par téléphone) en faisant varier les points
d’origine de la commande et les points de livraison de façon à toujours être en dessous de la
limite de découvert autorisé pour chacun de ces points. Après un séjour en prison de 40 jours
seulement, il entra dans un Cabinet de conseil en Organisation et prit la responsabilité d’un
département « Prévention de la fraude informatique ».
Ainsi, dans un environnement informatisé, les risques de fraude, de détournement ou de

mauvaise manipulation sont réels, quel que soit le dispositif de contrôle adopté. Dans un système
donné, toutes les fraudes et toutes les erreurs ne sont pas toujours possibles, ainsi il peut exister
une faille et donc une possibilité d’agir.
La stratégie du fraudeur dépend des contrôles du réviseur aussi. A l’un comme à l’autre,
l’ordinateur offre des possibilités d’actions accrues.»
4.3 – Attention à la police !

Il s’agit d’abord ici la police de caractère. (cf CharMap.exe de Windows ou table de caractères).
Elle remplace l’écriture manuelle qui pouvait être auditée par les experts graphologues. La police
automatisée peut, elle aussi si on n’y prend garde conduire à la prison en passant par le
commissariat de police. L’expert doit alors apporter des éléments de preuve acceptables par les
tribunaux et surtout les Cours d’appel et de cassation. Ces preuves doivent en outre résister à la
contre-expertise. L’expert permet ainsi au juge de se faire son intime conviction.
4.3.1 – La police peut conduire à la police.

Une juge enquête sur la gestion d’une institution publique au début des années 1990. Son cabinet
demande à un ancien gestionnaire devenu Très-Haut Fonctionnaire (THF) des documents relatifs
à sa gestion passée. Très occupé par ses nouvelles fonctions, le THF demande à ses assistants de
lui fournir des documents qu’il transmet à la juge.
Mais voilà, parmi les documents transmis à la juge, il en est qui porte la police sans sérif « Arial ».
Or cette police est inventée et/ou mise en service sur les micro-ordinateurs avec l’avènement de
Microsoft® Windows™ 95 en août 1995. Le document de 1993 ne peut pas avoir été imprimé en
1993 avec la police mise en service en 1995. Il y aurait manifestement « faux et usage de faux ».
Il y a faux parce que le document est faux (antidaté). Il y a usage de faux par de son utilisation
pour justifier la gestion passée. La police (graphie moderne) peut alors conduire à la police
(prison). Le THF dut démissionner de son très haut poste pour pouvoir organiser plus
professionnellement sa défense. L’affaire se termina par un non-lieu.
4.3.2 – Ils avaient tout réussi sauf la police !

Au début des années 2000, des faussaires de billet de banque dans une union monétaire avaient
fabriqué des billets de 10.000 unités monétaires. Ils avaient réussi à incorporer au billet tous les
attributs de confidentialité les plus secrets. Même les détecteurs de faux billet de la Banque
centrale laissaient allègrement lesdits billets rentrer dans ses caisses. Mais voilà ! Les faussaires
avaient réussi tout sauf la police.
Observez un instant ! ! Ce que les détecteurs sophistiqués n’ont pas décelé, un simple
humain en est capable pour peu qu’il soit attentif ! Avant tout l’Homme est la première unité de
Reconnaissance Optique de Caractère (ROC) ou en anglais Optical Character Recognition (OCR).
Mais alors que les machines sont systématiques, l’homme est souvent peu attentif, l’utilisateur
de billet de banque comme le faussaire ! La machine n’était pas programmée pour détecter la
fraude sur la police. On ne connaît pas les suites judiciaires de cette affaire. En tout cas le
Gouverneur de la Banque centrale a dû démonétiser les billets de 10.000 unités monétaires de
cette génération.
4.4 – Les techniques de reconnaissance automatique

4.4.1 – La Reconnaissance Optique de Caractère (ROC)
- Lecteur optique
- Impression de code à barre
- Les différents codes sur les: CMC 7
4.4.2 – A savoir sur la biométrie
- Reconnaissance digitale
- Reconnaissance vocale
- Le cas de l’iris
- Les préalables à l’enregistrement de données biométrique dans les fichiers informatiques.
- Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés
- Commission nationale de l'informatique et des libertés (CNIL)
Extraits de comment ça marche.net
Il existe un organisme chargé de la défense du droit des personnes vis-à-vis des

informations les concernant : la CNIL (Commission nationale de l'informatique et des
libertés, créée en janvier 1978), chargée de s'assurer que les traitements concernant des
informations à caractère personnel soient conformes à la loi. En outre, il est formellement
interdit de collecter des données nominatives faisant apparaître, de manière directe ou
indirecte, les origines raciales, les convictions politiques ou religieuses d'individus.
La loi informatique et libertés reconnaît un droit d'accès et de rectification aux données

concernant les individus. La loi définit notamment les droits suivants :
• Droit à l'information préalable : il concerne l'obligation d'informer toute

personne de l'utilisation ou du stockage de données informatisées la concernant ;
• Droit de curiosité : il concède à tout individu la possibilité d'interroger un
organisme afin de déterminer s'il possède des données le concernant ;
• Droit d'accès direct : il permet à tout individu d'accéder aux données le
concernant ;
• Droit d'accès indirect : il prévoit un intermédiaire pour l'accès à des données
sensibles ;
• Droit d'opposition : il permet de s'opposer à la collecte de données individuelles,
dès lors que la collecte n'est pas rendue obligatoire par la loi ;
• Droit de rectification : il autorise tout individu à demander la correction des
données le concernant en cas d'erreur. Par ailleurs l'organisme détenant les
informations a l'obligation de les rectifier dès lors qu'elle est au courant qu'elles
sont erronées ;
• Droit à l'oubli : il prévoit que les données informatisées soient détruites au bout
d'un certain temps, ce afin de protéger les individus.
Tout fichier contenant des informations sur des personnes physiques doit obligatoirement
faire l'objet d'une déclaration à la CNIL. En cas de manquement à l'une de ces obligations,
il est possible de porter plainte auprès de la CNIL, à l'aide d'un simple courrier postal, afin
de faire appliquer les dispositions légales. ccm
La nature même des informations traitées par les technologies de l'information et de la

communication rend les données personnelles encore plus sensible. Ainsi une loi a été écrite
spécifiquement pour protéger les données personnelles afin de respecter le droit de liberté
individuelle. Sont ainsi sanctionnés pénalement tout manquement à mettre en oeuvre un
mécanisme de protection adapté aux données stockées. ccm
- Les nouveaux risques et crimes liés à la biométrie

* vol d’organe à des fins d’identification
* modifications chirurgicales à des fins frauduleuses
* lésions corporelles, altérations naturelles et accidentelles
CONCLUSION
- Les forces et faiblesses du système étant connus, l’auditeur pourra en déduire sa méthodologie
pratique de contrôles des données. Sa stratégie peut se situer entre les deux extrêmes suivants :
* Si le système informatique n’est pas du tout faible : il n’y a pas d’audit trail, il n’est pas possible
de retrouver les pièces à partir des saisies, il n’est pas possible de décomposer les lignes
regroupés, etc. ou le système informatique est fermé (la base de données n’est pas accessible et
n’exporte pas de données sous un format connu de l’auditeur). Alors l’auditeur peut décider de
se passer du système informatique en place et travailler à partir des pièces.
* Si le système informatique est assez fiable : l’auditeur peut décider de se baser sur les données
déjà saisies pour faire son contrôle.
Dans tous les cas il peut se servir d’outils généraux interactifs comme les tableurs. Cette approche
est étudiée dans un autre module pratique de présent séminaire de formation approfondie à
l’audit comptable assisté par ordinateur.
ANNEXES
Méthode d’analyse par la matrice cartésienne
Exemple 1 : Analyse des Modèles d’accès

Solutions
Biométrique Badge
- Simple
- Sécurité (anti-trucage)
Comparaison
Avantage - Coût faible

- Fiabilité forte
- Efficace (?)
- Possibilité de trucage,
- Complexe
Inconvénient - Fiable fiabilité
- Coût élevé
- Traficable
Projet 1 - Logiciel Métier dans une université.
Make : Faire soi- Tailor - made :

même Sur mesure
(Internalisation) NOTRE_UNIVERSITE Tailor - made :
Projet informatique
Sur mesure
Tailor - made : (Logiciel)
Sur mesure
Buy : Acheter SOFTLAB®
Externalisation
Outsourcing Ready-made :
Ready-made : Tout cousu : clé en
Tout cousu
main (Progiciel)
BOUTIQUE
Question 1 AVANTAGES INCONVENIENTS

- Minimisation des coûts ?
- Adéquation optimale du logiciel
- Risque d'allongement des
- Autonomie
MAKE - Appropriation de la solution
délais
- Qualité discutable du produit
(Learning by doing)
- Maîtrise de la technologie
- Coût élevé ?
- Gain de temps - Rigidité relative de la solution
- Meilleure qualité du produit - Adéquation approximative du
(Assurance qualité logiciel
BUY - Supériorité/Avantage concurrentiel) - Risque de dépendance par
rapport au fournisseur
-
-
Question 2 AVANTAGES INCONVENIENTS

- Gain de temps - Risque de non adéquation / Rigidité
- Qualité -
READY MADE - Maîtrise des coûts -
- -
- Appropriation Maîtrise du produit

- Allongement de délais
-
TAILOR MADE -
- Risque de non-maîtrise des coûts
-
Exemple 2 : Make or Buy ?

Modèles
Internalisation Externalisation = Outsourcing
= Sous-traitance
Avantages - Moins cher ( ? ) - Expertise externe
- Efficace - Regard neuf
- Fiabilité
- Rapide
- Protection des données
Analyse
Inconvénients - Dépendance permanente / Coûteux / Moins cher ( ?)

Captivité vis-à-vis du - Inefficace
personnel / Otage - Lent
- Défaillance du logiciel - Fuite de données / Piratage
- Manque de confidentialité - Dépendance externe
- Stagnation / Traitement
habituel / Routine
- Faux et usage de faux
Chapitre 6 – Les référentiels d’audit des systèmes d’information
Section 1. CoBiT
Lire aussi : https://fr.wikipedia.org/wiki/COBIT
Source : http://www.aud-it.ch/cobit.html
Le référentiel CobiT (Control Objectives for Information and related Technology), que nous utilisons pour
l’Audit des Systèmes d'Information (ASI), est édité par l’Information System Audit & Control Association
(ISACA). Il décompose tout système informatique en 34 processus regroupés en 4 domaines, selon le
schéma suivant :
Planification -> Acquisition - Livraison

& & > &
Organisation Installation Support
^ ^ ^
Monitoring
1 - Planification & Organisation
Couvre la stratégie et les tactiques et concerne l’identification des moyens permettant à l’informatique de
contribuer le plus efficacement à la réalisation des objectifs commerciaux de l’entreprise.
Définir le plan stratégique informatique Gérer les investissements Evaluer les risques
Définir l'architecture des informations Communiquer les objectifs de la direction Gérer les projets
Définir la direction technologique GRH (Gestion des Ressources Humaines) Gérer la qualité
Organiser le département / service
Assurer le respect des exigences légales
informatique
2 - Acquisition & Installation
Concerne la réalisation de la stratégie informatique, l’identification, l’acquisition, le développement et

l’installation des solutions informatiques et leur intégration dans les processus commerciaux.
Acquérir et maintenir l'infrastructure Installer et certifier les

Identifier les solutions automatiques
technologique systèmes
Acquérir et maintenir les applications Développer et maintenir les
Gérer les changements
informatiques procédures
3 - Livraison & Support
Concerne la livraison des prestations informatiques exigées, ce qui comprend l’exploitation, la sécurité,
les plans d’urgence et la formation.
Gérer les données /

Définir les niveaux de service Identifier et attribuer les coûts
applications
Gérer les services de tiers (SLA4) Former les utilisateurs Assurer la sécurité physique
Gérer les performances et les Assister les utilisateurs (Help
Gérer l'exploitation
capacités Desk)
Assurer la poursuite des traitements Gérer la configuration
Assurer la sécurité des systèmes Gérer les incidents
4 - Monitoring
Permet au management d’évaluer la qualité et la conformité des processus
informatiques aux exigences de contrôle. Certification par un organe
indépendant
Monitoring des processus
Audit par un organe
Appréciation du contrôle interne
indépendant
Logo ITIL (cf. chapitre suivant)
4
Service Level Agreement
Section 2. ITIL
Lire aussi : https://fr.wikipedia.org/wiki/Information_Technology_Infrastructure_Library
1 - Défintion
ITIL est un guide des meilleures pratiques en matière de processus. Créé dans les années 80
par l’OGC (Office of Government Commerce), une administration britannique le modèle ITIL
définit les processus à un haut niveau. Il revient ensuite aux entreprises de les adapter à
leur situation et à leurs besoins. Adopté par des entreprises du monde entier pour mettre en
place des processus de gestion des services informatiques (ITSM5), ITIL devient un
standard de facto. L’un des principaux objectifs du modèle ITIL est de favoriser l’alignement
des services informatiques sur les objectifs métier ITIL définit la qualité de service comme
le niveau d’alignement entre les services réellement fournis et les besoins de l’entreprise.
Les entreprises qui souhaitent obtenir une certification pour leurs processus ITSM peuvent
désormais s’appuyer sur les nouvelles normes ISO 20000 mises en place à partir de l’année
2006.
Bien que le modèle ITIL couvre un certain nombre de domaines, il est axé principalement sur
les processus ITSM Il fournit un référentiel complet et cohérent des meilleures pratiques en
matière de processus ITSM et associés, et promeut une approche qualitative, efficace et
rentable de l’utilisation des systèmes d’information.
2 - Manuels ITIL
ITIL se compose de sept manuels de base qui définissent sept ensembles de processus
couvrant sept domaines informatiques différents :
1> Service support
2> Service delivery
3> Planification de la mise en oeuvre de la gestion des services
4> Gestion de l’infrastructure ICT (Information Communications Technology)
5> Gestion des applications
6> Approche orientée métiers
7> Sécurité
Deux domaines concernent spécifiquement l’ITSM :
Le Service support, qui se compose de :

1> la gestion des incidents,
2> la gestion des problèmes,
3> la gestion des changements,
4> la gestion des configurations,
5> la gestion des mises en production,
6> une fonction de support technique des utilisateurs (Service desk)
Le Service delivery, qui comprend :

1> la gestion de la capacité ;
2> la gestion de la disponibilité ;
3> la gestion financière des services ;
4> la gestion des niveaux de service (SLA);
5> la gestion de la continuité des services informatiques (ITSCM)
Pour en savoir plus sur le modèle ITIL, http://www.ogc.gov.uk/guidance_itil.asp
5
Information Technology Service Management
Section 3. La norme ISO/CEI 27002

https://fr.wikipedia.org/wiki/ISO/CEI_27002
1. Définition et évolution
La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information,
publiée conjointement en 2005 par l'Organisation internationale de normalisation ISO et
la Commission Electrotechnique Internationale IEC, révisée en 2013, dont le titre en français
est Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le
management de la sécurité de l’information. Elle fait partie de la suite ISO/CEI 27000.
L'ISO/CEI 27002 est un ensemble de 114 mesures dites « best practices » (bonnes pratiques en
français), destinées à être utilisées par tous les responsables de la mise en place ou du maintien
d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est
définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la
disponibilité de l'information ».
Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être
mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les
pratiques normalisées dans ses relations avec un client.
En 2013, la norme est mise à jour et son titre est modifié. Elle a connu de nombreuses modifications
telles que :
ISO 27002:2005 ISO 27002:2013
11 Chapitres +4 14 Chapitres +4
39 Objectifs de sécurité 35 Objectifs de sécurité
133 Mesures de sécurité 114 Mesures de sécurité
La révision 2013 de la norme internationale permettra aux entreprises de toutes tailles et secteurs
d'accueillir l'évolution rapide et la complexité accrue du management des informations et le défi
constant que représente la cybersécurité. Une bibliographie complète la norme.
2. Contenu de la norme
La norme ISO/CEI 27002 est composée de 18 chapitres :
les 4 premiers introduisent la norme

Chapitre no 1 : Champ d'application
Chapitre no 2 : Termes et définitions
Chapitre no 3 : Structure de la présente norme]
Chapitre no 4 : Évaluation des risques et de traitement
Les 14 chapitres suivants couvrent le management de la sécurité aussi bien dans ses aspects
stratégiques que dans ses aspects opérationnels
Chapitre no 5 : Politiques de sécurité de l'information
Chapitre no 6 : Organisation de la sécurité de l'information
Chapitre no 7 : La sécurité des ressources humaines
Chapitre no 8 : Gestion des actifs

Chapitre no 9 : Contrôle d’accès
Chapitre no 10 : Cryptographie
Chapitre no 11 : Sécurité physique et environnementale.
Chapitre no 12 : Sécurité liée à l’exploitation
Chapitre no 13 : Sécurité des communications
Chapitre no 14 : Acquisition, développement et maintenance des systèmes d’information
Chapitre no 15 : Relations avec les fournisseurs
Chapitre no 16 : Gestion des incidents liés à la sécurité de l’information
Chapitre no 17 : Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité
Chapitre no 18 : Conformité
Section 4. Le modèle Capability Maturity Model Integration

https://fr.wikipedia.org/wiki/Capability_Maturity_Model_Integration
1. Définition
CMMI, sigle de capability maturity model integration, est un modèle de référence, un ensemble
structuré de bonnes pratiques, destiné à appréhender, évaluer et améliorer les activités des
entreprises d'ingénierie.
CMMI a été développé dans les années 1980 par le Software Engineering Institute de l'université
Carnegie-Mellon, initialement pour appréhender et mesurer la qualité des services rendus par les
fournisseurs de logiciels informatiques du département de la Défense des États-Unis (DoD). Il est
maintenant largement employé par les entreprises d'ingénierie informatique, les directeurs des
systèmes informatiques et les industriels pour évaluer et améliorer leurs propres développements de
produits. CMMI est une marque déposée par l'ISACA.
2. Descriptif du modèle
Dans l'approche étagée (il existe une approche dite continue), les bonnes pratiques préconisées
par le modèle (version 1.2) sont rassemblées en 22 domaines de processus eux-mêmes regroupés
en 5 niveaux de maturité. Les domaines de processus rattachés à un niveau de maturité M ne
peuvent être stabilisés et efficaces que si les domaines de processus des niveaux inférieurs ( < M
) sont déjà stabilisés et efficaces (principe d'empilement). Les cinq niveaux sont :
« Initial » (niveau de maturité 1)

« Managed », (discipliné, niveau de maturité 2)
« Defined », (ajusté, niveau de maturité 3)
« Quantitatively managed », (géré quantitativement, niveau de maturité 4)
« Optimizing », (en optimisation, niveau de maturité 5)
Chapitre 7 – Audit de sécurité informatique
L’auditeur des systèmes d’information doit avoir une bonne connaissance technique des menaces afin
de pouvoir identifier leur existence dans le système d’information. Ce chapitre est une introduction à
la sécurité informatique. Des cours spécialisés existent par ailleurs.
Il revient à tout responsable de réseau connecté à internet d'en assurer la sécurité, et par conséquent
d'en tester les failles. C'est la raison pour laquelle, un administrateur réseau se doit d'être au courant
des vulnérabilités des logiciels qu'il utilise et de se « mettre dans la peau d'un pirate » afin d'essayer de
s'introduire dans son propre système et afin d'être continuellement dans un contexte de paranoïa.
Lorsque les compétences au sein de l'entreprise ne sont pas suffisantes pour mener à bien cette
opération, il convient de faire réaliser un audit par une société spécialisée dans la sécurité informatique.
Ce chapitre est basé sur l’Encyclopédie informatique libre « Comment ça marche.net »
Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système
d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources
de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système
d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se connecter au système
d'information à partir de n'importe quel endroit, les personnels sont amenés à « transporter » une partie
du système d'information hors de l'infrastructure sécurisé de l'entreprise.
Section 1 - Introduction à la sécurité

Le risque en terme de sécurité est généralement caractérisé par l'équation suivante6 :
Menace x Vu ln érabilité
Risque =
Contre − mesure
La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu, tandis
que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brêche) représente le niveau
d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des
actions mises en œuvre en prévention de la menace.
Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais également
des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de
règles clairement définies.
Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de
connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce dossier est ainsi de donner un
aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner une idée
6
Le dénominateur est réducteur du risque, tandis que le numérateur accroît le de risque. La Menace et la
Vulnérabilité sont des facteurs multiplicatifs du risque (avec Menace>1 et Vulnérabilité >1).
de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques
d'intrusions.
La nouvelle définition (ISO 31000) abandonne la vision de l’ingénieur (« le risque est la combinaison de
probabilité d’évènement et de sa conséquence ») pour relier les risques aux objectifs de l’organisation : «
Le risque est l’effet de l’incertitude sur l'atteinte des objectifs. »
1 - Objectifs de la sécurité informatique
Le système d'information est généralement défini par l'ensemble des données et des ressources
matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système
d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de protéger.
La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou
logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
La sécurité informatique vise généralement cinq principaux objectifs :
• L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être ;
• La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux
ressources échangées ;
• La disponibilité, permettant de maintenir le bon fonctionnement du système d'information ;
• La non répudiation, permettant de garantir qu'une transaction ne peut être niée ;
• L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux
ressources.
L'intégrité : Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées
durant la communication (de manière fortuite ou intentionnelle).
La confidentialité : La confidentialité consiste à rendre l'information inintelligible à d'autres personnes

que les seuls acteurs de la transaction.
La disponibilité : L'objectif de la disponibilité est de garantir l'accès à un service ou à des ressources.
La non-répudiation : La non-répudiation de l'information est la garantie qu'aucun des correspondants ne

pourra nier la transaction.
L'authentification : L'authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir

à chacun des correspondants que son partenaire est bien celui qu'il croit être.
La confidentialité par l’authentification : Un contrôle d'accès peut permettre (par exemple par le moyen
d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées.
2 - Nécessité d'une approche globale
La sécurité d'un système informatique fait souvent l'objet de métaphores. En effet, on la compare
régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le
niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les
fenêtres sont ouvertes sur la rue.
Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte
les aspects suivants :
• La sensibilisation des utilisateurs aux problèmes de sécurité

• La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données de
l'entreprise, les applications ou encore les systèmes d'exploitation.
• La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux
d'accès, etc.
• La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées,
lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.
3 - Mise en place d'une politique de sécurité
La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux
données et ressources d'un système en mettant en place des mécanismes d'authentification et de
contrôle permettant d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits
qui leur ont été octroyés.
Les mécanismes de sécurité mis en place peuvent néanmoins provoquer une gêne au niveau des
utilisateurs et les consignes et règles deviennent de plus en plus compliquées au fur et à mesure que le
réseau s'étend. Ainsi, la sécurité informatique doit être étudiée de telle manière à ne pas empêcher les
utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser
le système d'information en toute confiance.
C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité,
dont la mise en oeuvre se fait selon les quatre étapes suivantes :
• Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et
leurs éventuelles conséquences ;
• Elaborer des règles et des procédures à mettre en oeuvre dans les différents services de
l'organisation pour les risques identifiés ;
• Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles
sur les applications et matériels utilisés ;
• Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace ;
La politique de sécurité est donc l'ensemble des orientations suivies par une organisation (à prendre au
sens large) en terme de sécurité. A ce titre elle se doit d'être élaborée au niveau de la direction de
l'organisation concernée, car elle concerne tous les utilisateurs du système.
A cet égard, il ne revient pas aux seuls administrateurs informatiques de définir les droits d'accès des
utilisateurs mais aux responsables hiérarchiques de ces derniers. Le rôle de l'administrateur informatique
est donc de s'assurer que les ressources informatiques et les droits d'accès à celles-ci sont en cohérence
avec la politique de sécurité définie par l'organisation.
De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter
les informations concernant la sécurité à sa direction, éventuellement de conseiller les décideurs sur les
stratégies à mettre en oeuvre, ainsi que d'être le point d'entrée concernant la communication à
destination des utilisateurs sur les problèmes et recommandations en terme de sécurité.
La sécurité informatique de l'entreprise repose sur une bonne connaissance des règles par les employés,
grâce à des actions de formation et de sensibilisation auprès des utilisateurs, mais elle doit aller au-delà
et notamment couvrir les champs suivants :
• Un dispositif de sécurité physique et logique, adapté aux besoins de l'entreprise et aux usages des
utilisateurs ;
• Une procédure de management des mises à jour ;
• Une stratégie de sauvegarde correctement planifiée ;
• Un plan de reprise après incident ;
• Un système documenté à jour ;
Le Disaster Recovery Plan (DRP) ou Plan de reprise d’activité (PRA) ou encore Plan de continuité
d’activité ( PCA) permet, en complément à la solution de backup, d’assurer la reconstitution de
l’infrastructure informatique et donc la remise en route de l’activité de l’organisation.
https://www.megabyte.be/infrastructure-it/securite-informatique-entreprise/disaster-recovery-plan-
drp-pra-pca/
4 - Les causes de l'insécurité
On distingue généralement deux types d'insécurités :
• l'état actif d'insécurité, c'est-à-dire la non-connaissance par l'utilisateur des fonctionnalités du

système, dont certaines pouvant lui être nuisibles (par exemple le fait de ne pas désactiver des services
réseaux non nécessaires à l'utilisateur)
• l'état passif d'insécurité, c'est-à-dire la méconnaissance des moyens de sécurité mis en place, par
exemple lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité
dont il dispose.
5 - Définition des besoins
Phase de définition
La phase de définition des besoins en terme de sécurité est la première étape vers la mise en
oeuvre d'une politique de sécurité.
L'objectif consiste à déterminer les besoins de l'organisation en faisant un véritable état des lieux
du système d'information, puis d'étudier les différents risques et la menace qu'ils représentent afin
de mettre en oeuvre une politique de sécurité adaptée.
La phase de définition comporte ainsi trois étapes :
• L'identification des besoins

• L'analyse des risques
• La définition de la politique de sécurité
Identification des besoins

La phase d'identification des besoins consiste dans un premier temps à faire l'inventaire du
système d'information, notamment pour les éléments suivants :
• Personnes et fonctions ;
• Matériels, serveurs et les services qu'ils délivrent ;

• Cartographie du réseau (plan d'adressage, topologie physique, topologie logique, etc.) ;
• Liste des noms de domaine de l'entreprise ;
• Infrastructure de communication (routeurs, commutateurs, etc.)
• Données sensibles.
Analyse des risques

L'étape d'analyse des risques consiste à répertorier les différents risques encourus, d'estimer leur
probabilité et enfin d'étudier leur impact.
La meilleure approche pour analyser l'impact d'une menace consiste à estimer le coût des
dommages qu'elle causerait (par exemple attaque sur un serveur ou détérioration de données
vitales pour l'entreprise).
Sur cette base, il peut être intéressant de dresser un tableau des risques et de leur potentialité,
c'est-à-dire leur probabilité de se produire, en leur affectant des niveaux échelonné selon un
barème à définir, par exemple :
• Sans objet (ou improbable) : la menace n'a pas lieu d'être ;

• Faible : la menace a peu de chance de se produire ;
• Moyenne : la menace est réelle ;
• Haute : la menace a de grandes chances de se produire.
Définition de la politique de sécurité

La politique de sécurité est le document de référence définissant les objectifs poursuivis en matière
de sécurité et les moyens mis en oeuvre pour les assurer.
La politique de sécurité définit un certain nombre de règles, de procédures et de bonnes pratiques

permettant d'assurer un niveau de sécurité conforme aux besoins de l'organisation.
Un tel document doit nécessairement être conduit comme un véritable projet associant des
représentants des utilisateurs et conduit au plus haut niveau de la hiérarchie, afin qu'il soit accepté
par tous. Lorsque la rédaction de la politique de sécurité est terminée, les clauses concernant le
personnel doivent leur être communiquées, afin de donner à la politique de sécurité le maximum
d'impact.
Méthodes
Il existe de nombreuses méthodes permettant de mettre au point une politique de sécurité. Voici
une liste non exhaustive des principales méthodes :
• MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux), mise

au point par le CLUSIF
o https://www.clusif.asso.fr/fr/production/marion/
• MEHARI (MEthode Harmonisée d'Analyse de RIsques) ;
o https://www.clusif.asso.fr/fr/production/mehari/
• EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), mise au point
par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) ;
o http://www.ssi.gouv.fr/fr/confiance/ebios.html
• La norme ISO 17799.
4 - Mise en œuvre
La phase de mise en oeuvre consiste à déployer des moyens et des dispositifs visant à sécuriser
le système d'information ainsi que de faire appliquer les règles définies dans la politique de
sécurité.
Les principaux dispositifs permettant de sécuriser un réseau contre les intrusions sont les systèmes
pare-feu. Néanmoins ce type de dispositif ne protège pas la confidentialité des données circulant
sur le réseau.
Ainsi, la plupart du temps il est nécessaire de recourir à des applications implémentant des
algorithmes cryptographiques permettant de garantir la confidentialité des échanges.
La mise en place de tunnels sécurisés (VPN) permet d'obtenir un niveau de sécurisation

supplémentaire dans la mesure où l'ensemble de la communication est chiffrée.
Introduction à la notion de firewall
Chaque ordinateur connecté à internet (et d'une manière plus générale à n'importe quel réseau
informatique) est susceptible d'être victime d'une attaque d'un pirate informatique. La méthodologie
généralement employée par les pirates informatiques consiste à scruter le réseau (en envoyant des
paquets de données de manière aléatoire) à la recherche d'une machine connectée, puis à chercher
une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.
Cette menace est d'autant plus grande que la machine est connectée en permanence à internet pour
plusieurs raisons :
• La machine cible est susceptible d'être connectée sans pour autant être surveillée ;
• La machine cible est généralement connectée avec une plus large bande passante ;
• La machine cible ne change pas (ou peu) d'adresse IP.
Ainsi, il est nécessaire, autant pour les réseaux d'entreprises que pour les internautes possédant une
connexion de type câble ou ADSL, de se protéger des intrusions réseaux en installant un dispositif de
protection.
Qu'est-ce qu'un pare-feu?
Un pare-feu (appelé aussi coupe-feu ou firewall en anglais), est un système permettant de protéger
un ordinateur des intrusions provenant du réseau (ou bien protégeant un réseau local des attaques
provenant d'Internet). Le pare-feu est un système permettant de filtrer les paquets de données
échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante.
Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant
un intermédiaire entre le réseau local (ou la machine locale) et les "réseaux extérieurs".
Notion de pare-feu personnel
Dans le cas où la zone protégée se limite à l'ordinateur sur lequel le firewall est installé on parle de
firewall personnel (pare-feu personnel).
Ainsi, un firewall personnel permet de contrôler l'accès au réseau des applications installées sur la
machine, et notamment empêcher les attaques du type cheval de Troie, c'est-à-dire des programmes
nuisibles ouvrant une brêche dans le système afin de permettre une prise en main à distance de la
machine par un pirate informatique. Le firewall personnel permet en effet de repérer et d'empêcher
l'ouverture non sollicitée de la part d'applications non autorisées à se connecter.
Le fonctionnement d'un système firewall
Un système pare-feu contient un ensemble de règles prédéfinies permettant :
• Soit d'autoriser uniquement les communications ayant été explicitement autorisées :
"Tout ce qui n'est pas explicitement autorisé est interdit".
• Soit d'empêcher les échanges qui ont été explicitement interdits.
Le choix de l'une ou l'autre de ces méthodes dépend de la politique de sécurité adoptée par l'entité
désirant mettre en oeuvre un filtrage des communications. La première méthode est sans nul doute
la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en
communication.
Le filtrage de paquets
Un système pare-feu fonctionne sur le principe du filtrage de paquets. Il analyse les en-têtes de
chaque paquet (datagramme) échangé entre une machine du réseau local et une machine extérieure.
Ainsi, lorsqu'une communication a lieu entre une machine du réseau extérieur et une machine du
réseau local, et vice-versa, les paquets de données passant par le firewall contiennent les en-têtes
suivants, systématiquement analysés par le firewall :
• adresse IP de la machine émettrice ;

• adresse IP de la machine réceptrice ;
• type de paquet (TCP, UDP, etc.) ;

• numéro de port (rappel: un port est un numéro associé à un service ou une application
réseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la
machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type
de service utilisé.
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à des services courants
(les ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au Web). La
plupart des dispositifs pare-feu sont au minimum configurés de manière à filtrer les communications
selon le port utilisé. Il est généralement conseillé de bloquer tous les ports qui ne sont pas
indispensables (selon la politique de sécurité retenue).
Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu car il correspond au
protocole Telnet, permettant d'émuler un accès par terminal à une machine distante de manière à
pouvoir exécuter des commandes à distance. Les données échangées par Telnet ne sont pas chiffrées,
ce qui signifie qu'un individu est susceptible d'écouter le réseau et de voler les mots de passe
circulant en clair. Les administrateurs lui préfèrent généralement le protocole SSH, réputé sûr et
fournissant les mêmes fonctionnalités que Telnet.
Le filtrage applicatif
Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage
applicatif opère donc au niveau 7 (couche application) du modèle OSI, contrairement au filtrage de
paquets (niveau 4). Le filtrage applicatif suppose donc une connaissance des protocoles utilisés par
chaque application.
Un firewall effectuant un filtrage applicatif est appelé passerelle applicative car il permet de relayer
des informations entre deux réseaux, tout en effectuant un filtrage fin au niveau du contenu des
paquets échangés.
Les limites des firewalls
Le fait d'installer un firewall n'est bien évidemment pas signe de sécurité absolue.
Les firewalls n'offrent une protection que dans la mesure où l'ensemble des communications vers
l'extérieur passent systématiquement par leur intermédiaire. Ainsi, les accès au réseau extérieur par
contournement du firewall sont autant de failles de sécurité. C'est notamment le cas des connexions
effectuées à l'aide d'un modem.
De la même manière, l'introduction de supports de stockage provenant de l'extérieur sur des

machines internes au réseau ou bien d'ordinateurs portables peut porter fortement préjudice à la
politique de sécurité globale.
Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu et
notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives
d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer une veille de sécurité (en
s'abonnant aux alertes de sécurité des CERT par exemple) afin de modifier le paramétrage de son
dispositif en fonction de la publication des alertes.
La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité.
6 - Validation
Audit de sécurité
Un audit de sécurité (en anglais security audit) consiste à s'appuyer sur un tiers de confiance
(généralement une société spécialisée en sécurité informatique) afin de valider les moyens de
protection mis en oeuvre, au regard de la politique de sécurité.
L'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est
correctement appliquée et que l'ensemble des dispositions prises forme un tout cohérent.
Un audit de sécurité permet de s'assurer que l'ensemble des dispositions prises par l'entreprise
sont réputées sûres.
Tests d'intrusion
Les tests d'intrusion (en anglais penetration tests, abrégés en pen tests) consistent à éprouver
les moyens de protection d'un système d'information en essayant de s'introduire dans le système
en situation réelle.
On distingue généralement deux méthodes distinctes :
• La méthode dite « boîte noire » (en anglais « black box ») consistant à essayer d'infiltrer
le réseau sans aucune connaissance du système, afin de réaliser un test en situation réelle ;
• La méthode dite « boîte blanche » (en anglais « white box ») consistant à tenter de
s'introduire dans le système en ayant connaissance de l'ensemble du système, afin d'éprouver
au maximum la sécurité du réseau.
Une telle démarche doit nécessairement être réalisé avec l'accord (par écrit de préférence) du plus
haut niveau de la hiérarchie de l'entreprise, dans la mesure où elle peut aboutir à des dégâts
éventuels7 et étant donné que les méthodes mises en oeuvre sont interdites par la loi en l'absence
de l'autorisation du propriétaire du système.
Un test d'intrusion, lorsqu'il met en évidence une faille, est un bon moyen de sensibiliser les acteurs
d'un projet. A contrario, il ne permet pas de garantir la sécurité du système, dans la mesure où
des vulnérabilités peuvent avoir échappé aux testeurs. Les audits de sécurité permettent d'obtenir
un bien meilleur niveau de confiance dans la sécurité d'un système étant donné qu'ils prennent en
compte des aspects organisationnels et humains et que la sécurité est analysée de l'intérieur.
Détection d'incidents
Afin d'être complètement fiable, un système d'information sécurisé doit disposer de mesures
permettant de détecter les incidents.
7
Les tests du bug de l’an 2000 par changement de la date système ont fait crasher des systèmes, périmer des
licences, précipiter les dégâts, etc.
Il existe ainsi des systèmes de détection d'intrusion (notés IDS pour Intrusion Detection
Systems) chargés de surveiller le réseau et capables de déclencher une alerte lorsqu'une requête
est suspecte ou non conforme à la politique de sécurité.
La disposition de ces sondes et leur paramétrage doivent être soigneusement étudiés car ce type
de dispositif est susceptible de générer de nombreuses fausses alertes.
Réaction aux incidents

Il est essentiel d'identifier les besoins de sécurité d'une organisation afin de déployer des mesures
permettant d'éviter un sinistre tel qu'une intrusion, une panne matérielle ou encore un dégât des
eaux. Néanmoins, il est impossible d'écarter totalement tous les risques et toute entreprise doit
s'attendre un jour à vivre un sinistre.
Dans ce type de cas de figure la vitesse de réaction est primordiale car une compromission implique
une mise en danger de tout le système d'information de l'entreprise. De plus, lorsque la
compromission provoque un dysfonctionnement du service, un arrêt de longue durée peut être
synonyme de pertes financières. Enfin, dans le cas par exemple d'un défaçage de site web
(modification des pages), la réputation de toute l'entreprise est en jeu.
Phase de réaction
La phase de réaction est généralement la phase la plus laissée pour compte dans les projets de
sécurité informatique. Elle consiste à anticiper les événements et à prévoir les mesures à prendre
en cas de pépin.
En effet, dans le cas d'une intrusion par exemple, il est possible que l'administrateur du système
réagisse selon un des scénarios suivants :
• Obtention de l'adresse du pirate et riposte ;

• Extinction de l'alimentation de la machine ;
• Débranchement de la machine du réseau ;
• Réinstallation du système.
Or, chacune de ces actions peut potentiellement être plus nuisible (notamment en termes de coûts)
que l'intrusion elle-même. En effet, si le fonctionnement de la machine compromise est vitale pour
le fonctionnement du système d'information ou s'il s'agit du site d'une entreprise de vente en ligne,
l'indisponibilité du service pendant une longue durée peut être catastrophique.
Par ailleurs, dans ce type de cas, il est essentiel de constituer des preuves, en cas d'enquête
judiciaire. Dans le cas contraire, si la machine compromise a servi de rebond pour une autre
attaque, la responsabilité de l'entreprise risque d'être engagée.
La mise en place d'un plan de reprise après sinistre permet ainsi d'éviter une aggravation du
sinistre et de s'assurer que toutes les mesures visant à établir des éléments de preuve sont
correctement appliquées.
Par ailleurs, un plan de sinistre correctement mis au point définit les responsabilités de chacun et
évite des ordres et contre-ordres gaspilleurs de temps.
Restauration
La remise en fonction du système compromis doit être finement décrit dans le plan de reprise
après sinistre et doit prendre en compte les éléments suivants :
• Datation de l'intrusion : la connaissance de la date approximative de la compromission permet

d'évaluer les risques d'intrusion sur le reste du réseau et le degré de compromission de la
machine ;
• Confinement de la compromission : il s'agit de prendre les mesures nécessaires pour que la
compromission ne se propage pas ;
• Stratégie de sauvegarde : si l'entreprise possède une stratégie de sauvegarde, il est conseillé
de vérifier les modifications apportées aux données du système compromis par rapport aux
données réputées fiables. En effet, si les données ont été infectées par un virus ou un cheval de
Troie, leur restauration risque de contribuer à la propagation du sinistre ;
• Constitution de preuves : il est nécessaire pour des raisons légales de sauvegarder les fichiers
journaux du système corrompu afin de pouvoir les restituer en cas d'enquête judiciaire ;
• Mise en place d'un site de repli : plutôt que de remettre en route le système compromis, il est
plus judicieux de prévoir et d'activer en temps voulu un site de repli, permettant d'assurer une
continuité de service.
Répétition du plan de sinistre

La répétition du plan de sinistre permet de vérifier le bon fonctionnement du plan et permet
également à tous les acteurs concernés d'être sensibilisés, au même titre que les exercices
d'évacuation sont indispensables dans les plans de secours contre les incendies.
Section 2 - Virus, Vers, Spyware
1 - Virus
Un virus est un petit programme informatique situé dans le corps d'un autre, qui, lorsqu'on
l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmées. La
définition d'un virus pourrait être la suivante :
« Tout programme d'ordinateur capable d'infecter un autre programme d'ordinateur en le

modifiant de façon à ce qu'il puisse à son tour se reproduire. »
Le véritable nom donné aux virus est CPA soit Code Auto-Propageable, mais par analogie avec
le domaine médical, le nom de "virus" leur a été donné.
Les virus résidents (appelés TSR en anglais pour Terminate and stay resident) se chargent dans
la mémoire vive de l'ordinateur afin d'infecter les fichiers exécutables lancés par l'utilisateur. Les
virus non résidants infectent les programmes présents sur le disque dur dès leur exécution.
Le champ d'application des virus va de la simple balle de ping-pong qui traverse l'écran au virus
destructeur de données, ce dernier étant la forme de virus la plus dangereuse. Ainsi, étant donné
qu'il existe une vaste gamme de virus ayant des actions aussi diverses que variées, les virus ne
sont pas classés selon leurs dégâts mais selon leur mode de propagation et d'infection.
On distingue ainsi différents types de virus :
• Les vers sont des virus capables de se propager à travers un réseau

• Les chevaux de Troie (troyens) sont des virus permettant de créer une faille dans un
système (généralement pour permettre à son concepteur de s'introduire dans le système infecté
afin d'en prendre le contrôle)
• Les bombes logiques sont des virus capables de se déclencher suite à un événement
particulier (date système, activation distante, ...)
Depuis quelques années un autre phénomène est apparu, il s'agit des canulars (en anglais hoax),
c'est-à-dire des annonces reçues par mail (par exemple l'annonce de l'apparition d'un nouveau
virus destructeur ou bien la possibilité de gagner un téléphone portable gratuitement)
accompagnées d'une note précisant de faire suivre la nouvelle à tous ses proches. Ce procédé a
pour but l'engorgement des réseaux ainsi que la désinformation.
2 - Types de virus
21 - Les virus mutants
22 - Les virus polymorphes
23 - Les rétrovirus
24 - Les virus de secteur d'amorçage
25 - Les virus trans-applicatifs (virus macros)
3 – Hoax
31 - Qu'est-ce qu'un hoax ?
32 - Comment lutter contre la désinformation ?
33 - Comment vérifier s'il s'agit d'un canular ?
4 – Les vers
41 – Le ver, un virus réseau
42 - Le fonctionnement d'un ver dans les années 80
43 - Les vers actuels
44 - Comment se protéger des vers ?
5 – Chevaux de Troie
6 - Les bombes logiques
7 - Les espiogiciels (spyware)
8 - Les keyloggers
9 – Les ramsomwares
Section 3 - Piratage
1 - Introduction aux attaques
Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque.
Une « attaque » est l'exploitation d'une faille d'un système informatique (système d'exploitation,
logiciel ou bien même de l'utilisateur) à des fins non connues par l'exploitant du systèmes et
généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par minute sur
chaque machine connectée. Ces attaques sont pour la plupart lancées automatiquement à partir
de machines infectées (par des virus, chevaux de Troie, vers, etc.), à l'insu de leur propriétaire.
Plus rarement il s'agit de l'action de pirates informatiques.
Afin de contrer ces attaques il est indispensable de connaître les principaux types d'attaques afin
de mettre en oeuvre des dispositions préventives.
Les motivations des attaques peuvent être de différentes sortes :

• obtenir un accès au système ;

• voler des informations, tels que des secrets industriels ou des propriétés intellectuelles ;
• glaner des informations personnelles sur un utilisateur ;
• récupérer des données bancaires ;
• s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ;
• troubler le bon fonctionnement d'un service ;
• utiliser le système de l'utilisateur comme « rebond » pour une attaque ;
• utiliser les ressources du système de l'utilisateur, notamment lorsque le réseau sur lequel
il est situé possède une bande passante élevée
Types d'attaques
Les systèmes informatiques mettent en oeuvre différentes composantes, allant de l'électricité pour
alimenter les machines au logiciel exécuté via le système d'exploitation et utilisant le réseau.
Les attaques peuvent intervenir à chaque maillon de cette chaîne, pour peu qu'il existe une
vulnérabilité exploitable. Le schéma ci-dessous rappelle très sommairement les différents niveaux
pour lesquels un risque en matière de sécurité existe :
Il est ainsi possible de catégoriser les risques de la manière suivante :
• Accès physique : il s'agit d'un cas où l'attaquant à accès aux locaux, éventuellement
même aux machines :
Coupure de l'électricité
Extinction manuelle de l'ordinateur
Vandalisme
Ouverture du boîtier de l'ordinateur et vol de disque dur
Ecoute du trafic sur le réseau
• Interception de communications :
Vol de session (session hijacking)
Usurpation d'identité
Détournement ou altération de messages
• Dénis de service : il s'agit d'attaques visant à perturber le bon fonctionnement d'un
service. On distingue habituellement les types de déni de service suivant :
Exploitation de faiblesses des protocoles TCP/IP
Exploitation de vulnérabilité des logiciels serveurs
• Intrusions :
Balayage de ports
Elévation de privilèges : ce type d'attaque consiste à exploiter une vulnérabilité
d'une application en envoyant une requête spécifique, non prévue par son
concepteur, ayant pour effet un comportement anormal conduisant parfois à
un accès au système avec les droits de l'application. Les attaques par
débordement de tampon (en anglais buffer overflow) utilisent ce principe.
Maliciels (virus, vers et chevaux de Troie)
• Ingénierie sociale : Dans la majeure partie des cas le maillon faible est l'utilisateur lui-
même ! En effet c'est souvent lui qui, par méconnaissance ou par duperie, va ouvrir une brèche
dans le système, en donnant des informations (mot de passe par exemple) au pirate informatique
ou en exécutant une pièce jointe. Ainsi, aucun dispositif de protection ne peut protéger
l'utilisateur contre les arnaques, seuls bon sens, raison et un peu d'information sur les différentes
pratiques peuvent lui éviter de tomber dans le piège !
• Trappes : il s'agit d'une porte dérobée (en anglais backdoor) dissimulée dans un logiciel,
permettant un accès ultérieur à son concepteur.
Pour autant, les erreurs de programmation contenues dans les programmes sont habituellement
corrigées assez rapidement par leur concepteur dès lors que la vulnérabilité a été publiée. Il
appartient alors aux administrateurs (ou utilisateurs personnels avertis) de se tenir informé des
mises à jour des programmes qu'ils utilisent afin de limiter les risques d'attaques.
D'autre part il existe un certain nombre de dispositifs (pare-feu, systèmes de détection

d'intrusions, antivirus) permettant d'ajouter un niveau de sécurisation supplémentaire.
Effort de protection
La sécurisation d'un système informatique est généralement dite « asymétrique », dans la mesure
où le pirate n'a qu'à trouver une seule vulnérabilité pour compromette le système, tandis que
l'administrateur se doit de corriger toutes les failles.
Attaques par rebond

Lors d'une attaque, le pirate garde toujours à l'esprit le risque de se faire repérer, c'est la raison
pour laquelle les pirates privilégient habituellement les attaques par rebond (par opposition aux
attaques directes), consistant à attaquer une machine par l'intermédiaire d'une autre machine,
afin de masquer les traces permettant de remonter à lui (telle que son adresse IP) et dans le but
d'utiliser les ressources de la machine servant de rebond.
Cela montre l'intérêt de protéger son réseau ou son ordinateur personnel, il est possible de se
retrouver « complice » d'une attaque et en cas de plainte de la victime, la première personne
interrogée sera le propriétaire de la machine ayant servi de rebond.
Avec le développement des réseaux sans fils, ce type de scénario risque de devenir de plus en plus
courant car lorsque le réseau sans fil est mal sécurisé, un pirate situé à proximité peut l'utiliser
pour lancer des attaques !
Les motivations des black hat hackers (« pirates » peut être multiple :
• l'attrait de l'interdit ;
• l'intérêt financier ;
• l'intérêt politique ;
• l'intérêt éthique ;
• le désir de la renommée ;
• la vengeance ;
• l'envie de nuire (détruire des données, empêcher un système de fonctionner).
Les objectifs des white hat hackers (« hackers ») sont en règle générale un des suivants :
• l'apprentissage ;
• l'optimisation des systèmes informatiques ;
• la mise à l'épreuve des technologies jusqu'à leurs limites afin de tendre vers un idéal plus
performant et plus sûr.
2 - Ingénierie sociale
L'ingénierie sociale (en anglais « Social Engineering ») consiste à manipuler les êtres humains,
c'est-à-dire d'utiliser la naïveté et la gentillesse exagérée des utilisateurs du réseau, pour obtenir
des informations sur ce dernier. Ce procédé consiste à entrer en contact avec un utilisateur du
réseau, en se faisant passer en général pour quelqu'un d'autre, afin d'obtenir des renseignements
sur le système d'information ou éventuellement pour obtenir directement un mot de passe. De la
même façon une faille de sécurité peut être créée dans le système distant en envoyant un cheval
de Troie à certains utilisateurs du réseau. Il suffit qu'un des utilisateurs exécute la pièce jointe
pour qu'un accès au réseau interne soit donné à l'agresseur extérieur.
C'est la raison pour laquelle la politique de sécurité doit être globale et intégrer les facteurs
humains (par exemple la sensibilisation des utilisateurs aux problèmes de sécurité) car le niveau
de sécurité d'un système est caractérisé par le niveau de son maillon le plus faible.
3 - Le repérage des failles
Après avoir établi l'inventaire du parc logiciel et éventuellement matériel, il reste au hacker à
déterminer si des failles existent.
Il existe ainsi des scanneurs de vulnérabilité permettant aux administrateurs de soumettre leur
réseau à des tests d'intrusion afin de constater si certaines applications possèdent des failles de
sécurité. Les deux principaux scanneurs de failles sont :
• Nessus (http://www.nessus.org/index.php3)
• SAINT SAINT (Security Administrator's Integrated Network Tool
(http://www.wwdsi.com/saint/index.php3) http://wwdsilx.wwdsi.com/saint/
• http://www.securityfocus.com/tools/688
• SATAN Security Administrator Tool for Analyzing Networks

http://www.porcupine.org/satan/
• Microsoft Baseline Security Analyser (MBSA)
http://www.microsoft.com/france/securite/outils/mbsa.aspx
Il est également conseillé aux administrateurs de réseaux de consulter régulièrement les sites
tenant à jour une base de données des vulnérabilités :
• SecurityFocus / Vulnerabilities (http://www.securityfocus.com/)

Ainsi, certains organismes, en particulier les CERT (Computer Emergency Response Team), sont
chargés de capitaliser les vulnérabilités et de fédérer les informations concernant les problèmes
de sécurité.
• CERT IST (http://www.cert-ist.com/) dédié à la communauté Industrie, Services et Tertiaire

française,
• CERT IST (http://www.certa.ssi.gouv.fr/) dédié à l'administration française,
• CERT Renater (http://www.renater.fr/Securite/CERT_Renater.htm) dédié à la communauté des
membres du GIP RENATER (Réseau National de télécommunications pour la Technologie,
l'Enseignement et la Recherche).
L'intrusion
Lorsque le pirate a dressé une cartographie des ressources et des machines présentes sur le
réseau, il est en mesure de préparer son intrusion.
Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des comptes valides sur les
machines qu'il a recensées. Pour ce faire, plusieurs méthodes sont utilisées par les pirates :
• L'ingénierie sociale, c'est-à-dire en contactant directement certains utilisateurs du

réseau (par mail ou par téléphone) afin de leur soutirer des informations concernant leur
identifiant de connexion et leur mot de passe. Ceci est généralement fait en se faisant passer
pour l'administrateur réseau.
• La consultation de l'annuaire ou bien des services de messagerie ou de partage de
fichiers, permettant de trouver des noms d'utilisateurs valides
• L'exploitation des vulnérabilités des commandes R* de Berkeley.
• Les attaques par force brute (brute force cracking), consistant à essayer de façon
automatique différents mots de passe sur une liste de compte (par exemple l'identifiant,
éventuellement suivi d'un chiffre, ou bien le mot de passe password, ou passwd, etc).
4 - Extension de privilèges
Lorsque le pirate a obtenu un ou plusieurs accès sur le réseau en se logeant sur un ou plusieurs
comptes peu protégés, celui-ci va chercher à augmenter ses privilèges en obtenant l'accès root
(en français superutilisateur ou superadministrateur), on parle ainsi d'extension de privilèges.
Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité d'examiner le réseau
à la recherche d'informations supplémentaires.
Il lui est ainsi possible d'installer un sniffeur (en anglais sniffer), c'est-à-dire un logiciel capable
d'écouter (le terme reniffler, ou en anglais sniffing, est également employé) le trafic réseau en
provenance ou à destination des machines situées sur le même brin. Grâce à cette technique, le
pirate peut espérer récupérer les couples identifiants/mots de passe lui permettant d'accéder à
des comptes possédant des privilèges étendus sur d'autres machines du réseau (par exemple
l'accès au compte d'un administrateur) afin d'être à même de contrôler une plus grande partie du
réseau.
Les serveurs NIS présents sur un réseau sont également des cibles de choix pour les pirates car
ils regorgent d'informations sur le réseau et ses utilisateurs.
5 - Compromission
Grâce aux étapes précédentes, le pirate a pu dresser une cartographie complète du réseau, des
machines s'y trouvant, de leurs failles et possède un accès root sur au moins l'une d'entre-elles.
Il lui est alors possible d'étendre encore son action en exploitant les relations d'approbation
existant entre les différentes machines.
Cette technique d'usurpation d'identité, appelée spoofing, permet au pirate de pénétrer des
réseaux privilégiés auxquels la machine compromise a accès.
6 - Porte dérobée
Lorsqu'un pirate a réussi à infiltrer un réseau d'entreprise et à compromettre une machine, il peut
arriver qu'il souhaite pouvoir revenir. Pour ce faire celui-ci va installer une application afin de créer
artificiellement une faille de sécurité, on parle alors de porte dérobée (en anglais backdoor, le
terme trappe est parfois également employé).
7 - Nettoyage des traces
Lorsque l'intrus a obtenu un niveau de maîtrise suffisant sur le réseau, il lui reste à effacer les
traces de son passage en supprimant les fichiers qu'il a créés et en nettoyant les fichiers de logs
des machines dans lesquelles il s'est introduit, c'est-à-dire en supprimant les lignes d'activité
concernant ses actions.
Par ailleurs, il existe des logiciels, appelés « kits racine » (en anglais « rootkits ») permettant
de remplacer les outils d'administration du système par des versions modifiées afin de masquer la
présence du pirate sur le système. En effet, si l'administrateur se connecte en même temps que
le pirate, il est susceptible de remarquer les services que le pirate a lancé ou tout simplement
qu'une autre personne que lui est connectée simultanément. L'objectif d'un rootkit est donc de
tromper l'administrateur en lui masquant la réalité.
8 – Quelques outils
3.8.1 - Microsoft Baseline Security Analyzer v2.1 (MBSA v2.1

Microsoft Baseline Security Analyzer 2.1.1 (for IT Professionals) from Official Microsoft Download Center :
https://www.microsoft.com/fr-fr/download/details.aspx?id=19892
(http://www.microsoft.com/france/securite/outils/mbsa.aspx)
Microsoft Baseline Security Analyzer v2.1 (MBSA v2.1)

Pour répondre à la demande formulée par certains clients d'une méthode rationnelle
d'identification des erreurs de configuration de la sécurité les plus fréquentes, Microsoft a
développé Microsoft Baseline Security Analyzer (MBSA).
La version 2.1 de MBSA comprend une interface graphique et une interface de ligne de
commande qui peuvent effectuer l'analyse locale ou distante de systèmes Windows.
MBSA fonctionne sur les systèmes Windows Server 2003, Windows Server 2008, Windows 2000,
Windows XP et Windows Vista.
Il analyse les produits suivants à la

recherche de failles dans la
configuration de sécurité :
Windows 2000, Windows XP,
Windows Vista, Windows Server
2003, Windows Server 2008,
Internet Information Server (IIS)
5.0 et 6.0, SQL Server 7.0 et 2000,
Internet Explorer 5.01 et versions
ultérieures, ainsi qu'Office 2000,
2002 et 2003.
MBSA recherche également les

mises à jour de sécurité, correctifs
cumulatifs et Service Packs
publiés par Microsoft Update qui
ne sont pas installés.
Configuration système minimale requise : Systèmes d'exploitation : Windows 2000, Windows Server
2003, Windows Server 2008, Windows XP, Windows Vista
Si les produits installés respectent la ligne de base minimale pour Microsoft Update, vous obtiendrez
une détection optimale en utilisant MBSA 2.1 et la dernière version de l'outil d'analyse des mises à jour
pour l'entreprise. Pour obtenir des informations complémentaires, visitez l'article 895660 de la Base de
connaissances Microsoft.
3.8.2 - Security Administrator Tool for Analyzing Networks (SATAN)

SATAN http://www.porcupine.org/satan/
SATAN Information
• What SATAN is about

• SATAN updates
• Bulletins from vendors etc.
• A SATAN demo with all documentation
• What you need in order to run SATAN
• Downloading your own SATAN copy
SATAN Hints and tips
• Workaround for Netscape

• Hints and tips for LINUX users
What SATAN Is
• What SATAN is about
[Extract from a USENET posting dated March 8, 1995]

SATAN was written because we realized that computer systems are becoming more and more
dependent on the network, and at the same becoming more and more vulnerable to attack via
that same network.
The rationale for SATAN is given in a paper that we posted in december 1993 ( Improving the
Security of Your Site by Breaking Into it).
SATAN is a tool to help systems administrators. It recognizes several common networking-related
security problems, and reports the problems without actually exploiting them.
For each type or problem found, SATAN offers a tutorial that explains the problem and what its
impact could be. The tutorial also explains what can be done about the problem: correct an error
in a configuration file, install a bugfix from the vendor, use other means to restrict access, or
simply disable service.
SATAN collects information that is available to everyone on with access to the network. With a
properly-configured firewall in place, that should be near-zero information for outsiders.
We have done some limited research with SATAN. Our finding is that on networks with more
than a few dozen systems, SATAN will inevitably find problems. Here's the current problem list:
• NFS file systems exported to arbitrary hosts

• NFS file systems exported to unprivileged programs
• NFS file systems exported via the portmapper

• NIS password file access from arbitrary hosts
• Old (i.e. before 8.6.10) sendmail versions
• REXD access from arbitrary hosts
• X server access control disabled
• arbitrary files accessible via TFTP
• remote shell access from arbitrary hosts
• writable anonymous FTP home directory
These are well-known problems. They have been subject of CERT, CIAC, or other advisories, or
are described extensively in practical security handbooks. The problems have been exploited by
the intruder community for a long time.
We realize that SATAN is a two-edged sword - like many tools, it can be used for good and for
evil purposes. We also realize that intruders (including wannabees) have much more capable
(read intrusive) tools than offered with SATAN. We have those tools, too, but giving them away
to the world at large is not the goal of the SATAN project.
Couldn't you call it something other than "SATAN"?
The name suits the program, in our opinion. If you don't like it, feel free to call it "SANTA",
which is, perhaps, a more user-friendly anagram of the acronym - you can run the repent
program if you are really offended.
3.8.3 - Security Administrator's Integrated Network Tool (SAINT)

SAINT : http://www.saintcorporation.com/index.html
SAINT (Security Administrator's Integrated Network Tool) is a security assessment tool

based on SATAN. It is updated regularly and scans for just about all ...
SAINT (Security Administrator's Integrated Network Tool) is a security assessment tool based on
SATAN. It is updated regularly and scans for just about all remotely detectable vulnerabilities.
Features include scanning through a firewall, updated security checks from CERT & CIAC bulletins,
4 levels of severity (red, yellow, brown, & green) and a feature rich HTML interface .
Program name: SAINT (Security Administrator's Integrated Network Tool) v2.1.3

Author: World Wide Digital Security, I
Date: 17th August 2000
Homepage: hh ttp://www.wwdsi.com/saint/
Download: http://www.wwdsi.com/saint/
What is SAINT™?
SAINT™ is the Security Administrator's Integrated Network Tool. In its simplest mode, it gathers as
much information about remote hosts and networks as possible by examining such network services
as finger, NFS, NIS, ftp and tftp, rexd, statd, and other services. The information gathered includes
the presence of various network information services as well as potential security flaws -- usually in
the form of incorrectly setup or configured network services, well-known bugs in system or network
utilities, or poor or ignorant policy decisions. It can then either report on this data or use a simple
rule-based system to investigate any potential security problems. Users can then examine, query,
and analyze the output with an HTML browser, such as Mosaic, Netscape, or Lynx. While the program
is primarily geared towards analyzing the security implications of the results, a great deal of general
network information can be gained when using the tool - network topology, network services
running, types of hardware and software being used on the network, etc. However, the real power
of SAINT comes into play when used in exploratory mode. Based on the initial data collection and a
user configurable ruleset, it will examine the avenues of trust and dependency and iterate further
data collection runs over secondary hosts. This not only allows the user to analyze her or his own
network or hosts, but also to examine the real implications inherent in network trust and services
and help them make reasonably educated decisions about the security level of the systems involved.
Who should use SAINT?
SAINT should prove to be most useful when used by the system or security administrators who own
or are responsible for the security of the systems involved. However, since it is freely available and
will probably see widespread use throughout the Internet community, it should be used by anyone
who is concerned about the security of his or her systems, since potential intruders will be able to
access the same security vulnerability information and since it is quite likely that it will uncover
security problems that were previously unknown.
How does it work?
SAINT has a target acquisition program that normally uses fping to determine whether or not a host
or set of hosts in a subnet are alive. When a host is behind a firewall, however, tcp_scan is used to
probe common ports to test for an alive host. It then passes this target list to an engine that drives
the data collection and the main feedback loop. Each host is examined to see if it has been seen
before, and, if not, a list of tests/probes is run against it (the set of tests depends on the distance the
host is from the initial target and what probe level has been set.) The tests emit a data record that
has the hostname, the test run, and any results found from the probe; this data is saved in files for
analysis. The user interface uses HTML to link the often vast amounts of data to more coherent and
palatable results that the user can readily digest and understand.
Section 4 – Attaques cryptographiques
1 - Les mots de passe
Lors de la connexion à un système informatique, celui-ci demande la plupart du temps un

identifiant (en anglais login ou username) et un mot de passe (en anglais password) pour y
accéder. Ce couple identifiant/mot de passe forme ainsi la clé permettant d'obtenir un accès au
système.
Si l'identifiant est généralement automatiquement attribué par le système ou son administrateur,

le choix du mot de passe est souvent laissé libre à l'utilisateur. Ainsi, la plupart des utilisateurs,
estimant qu'ils n'ont rien de vraiment secret à protéger, se contentent d'utiliser un mot de passe
facile à retenir (par exemple leur identifiant, le prénom de leur conjoint ou leur date de naissance).
Or, si les données sur le compte de l'utilisateur n'ont pas un caractère stratégique, l'accès au
compte de l'utilisateur peut constituer une porte ouverte vers le système tout entier. En effet, dès
qu'un pirate obtient un accès à un compte d'une machine, il lui est possible d'élargir son champ
d'action en obtenant la liste des utilisateurs autorisés à se connecter à la machine. A l'aide d'outils
de génération de mots de passe, le pirate peut essayer un grand nombre de mots de passe générés
aléatoirement ou à l'aide d'un dictionnaire (éventuellement une combinaison des deux). S'il trouve
par hasard le mot de passe de l'administrateur, il obtient alors toutes les permissions sur la
machine !
De plus, à partir d'une machine du réseau, le pirate peut éventuellement obtenir un accès sur le
réseau local, ce qui signifie qu'il peut dresser une cartographie des autres serveurs côtoyant celui
auquel il a obtenu un accès.
Les mots de passe des utilisateurs représentent donc la première défense contre les attaques
envers un système, c'est la raison pour laquelle il est nécessaire de définir une politique en matière
de mots de passe afin d'imposer aux utilisateurs le choix d'un mot de passe suffisamment sécurisé.
2 - Méthodes d'attaque des mots de passe
La plupart des systèmes sont configurés de manière à bloquer temporairement le compte d'un
utilisateur après un certain nombre de tentatives de connexion infructueuses. Ainsi, un pirate peut
difficilement s'infiltrer sur un système de cette façon. En contrepartie, un pirate peut se servir
de ce mécanisme d'auto-défense pour bloquer l'ensemble des comptes utilisateurs afin
de provoquer un déni de service.
Sur la plupart des systèmes les mots de passe sont stockés de manière chiffrée (« cryptée ») dans
un fichier ou une base de données. Néanmoins, lorsqu'un pirate obtient un accès au système et
obtient ce fichier, il lui est possible de tenter de casser le mot de passe d'un utilisateur en particulier
ou bien de l'ensemble des comptes utilisateurs.
Attaque par force brute

On appelle ainsi « attaque par force brute » (en anglais « brute force cracking », parfois également
attaque exhaustive) le cassage d'un mot de passe en testant tous les mots de passe possibles. Il existe
un grand nombre d'outils, pour chaque système d'exploitation, permettant de réaliser ce genre
d'opération. Ces outils servent aux administrateurs système à éprouver la solidité des mots de passe
de leurs utilisateurs mais leur usage est détourné par les pirates informatiques pour s'introduire dans
les systèmes informatiques.
Attaque par dictionnaire

Les outils d'attaque par force brute peuvent demander des heures, voire des jours, de calcul même avec
des machines équipées de processeurs puissants. Ainsi, une alternative consiste à effectuer une
« attaque par dictionnaire ». En effet, la plupart du temps les utilisateurs choisissent des mots de
passe ayant une signification réelle. Avec ce type d'attaques, un tel mot de passe peut être craqué
en quelques minutes.
Attaque hybride
Le dernier type d'attaques de ce type, appelées « attaques hybrides », vise particulièrement les mots
de passe constitué d'un mot traditionnel et suivi d'une lettre ou d'un chiffre (tel que
« marechal6 »). Il s'agit d'une combinaison d'attaque par force brute et d'attaque par dictionnaire.
Il existe enfin des moyens permettant au pirate d'obtenir les mots de passe des utilisateurs :
• Les key loggers (littéralement « enregistreurs de touches »), sont des logiciels qui, lorsqu'ils sont
installés sur le poste de l'utilisateur, permettent d'enregistrer les frappes de claviers saisies par
l'utilisateur. Les systèmes d'exploitation récents possèdent des mémoires tampon protégées
permettant de retenir temporairement le mot de passe et accessibles uniquement par le système.
• L'ingénierie sociale consiste à exploiter la naïveté des individus pour obtenir des informations. Un
pirate peut ainsi obtenir le mot de passe d'un individu en se faisant passer pour un administrateur du
réseau ou bien à l'inverse appeler l'équipe de support en demandant de réinitialiser le mot de passe
en prétextant un caractère d'urgence ;
• L'espionnage représente la plus vieille des méthodes. Il suffit en effet parfois à un pirate d'observer
les papiers autour de l'écran de l'utilisateur ou sous le clavier afin d'obtenir le mot de passe. Par
ailleurs, si le pirate fait partie de l'entourage de la victime, un simple coup d'oeil par dessus son épaule
lors de la saisie du mot de passe peut lui permettre de le voir ou de le deviner.
3 - Choix du mot de passe

Il est aisément compréhensible que plus un mot de passe est long, plus il est difficile à casser. D'autre
part, un mot de passe constitué uniquement de chiffres sera beaucoup plus simple à casser qu'un mot
de passe contenant des lettres :
Un mot de passe de 4 chiffres correspond à 10 000 possibilités (10 4). Si ce chiffre paraît élevé, un
ordinateur doté d'une configuration modeste est capable de le casser en quelques minutes.
On lui préfèrera un mot de passe de 4 lettres, pour lequel il existe 456972 possibilités (26 4). Dans le
même ordre d'idée, un mot de passe mêlant chiffres et lettres, voire également des majuscules et des
caractères spéciaux sera encore plus difficile à casser.
Mots de passe à éviter :
• votre identifiant
• votre nom
• votre prénom ou celui d'un proche (conjoint, enfant, etc.) ;
• un mot du dictionnaire ;
• un mot à l'envers (les outils de cassage de mots de passe prennent en compte cette possibilité) ;
• un mot suivi d'un chiffre, de l'année en cours ou d'une année de naissance (par exemple
« password1999 »).
Politique en matière de mot de passe

L'accès au compte d'un seul employé d'une entreprise peut compromettre la sécurité globale de toute
l'organisation. Ainsi, toute entreprise souhaitant garantir un niveau de sécurité optimal se doit de mettre
en place une réelle politique de sécurité de matière de mots de passe. Il s'agit notamment d'imposer
aux employés le choix d'un mot de passe conforme à certaines exigences, par exemple :
• Une longueur de mot de passe minimale

• La présence de caractères particuliers
• Un changement de casse (minuscule et majuscules)
Par ailleurs, il est possible de renforcer cette politique de sécurité en imposant une durée d'expiration
des mots de passe, afin d'obliger les utilisateurs à modifier régulièrement leur mot de passe. Cela
complique ainsi la tâche des pirates essayant de casser des mots de passe sur la durée. Par ailleurs il
s'agit d'un excellent moyen de limiter la durée de vie des mots de passe ayant été cassés.
Enfin, il est recommandé aux administrateurs système d'utiliser des logiciels de cassage de mots de
passe en interne sur les mots de passe de leurs utilisateurs afin d'en éprouver la solidité. Ceci doit
néanmoins se faire dans le cadre de la politique de sécurité et être écrit noir sur blanc, afin d'avoir
l'approbation de la direction et des utilisateurs.
Mots de passe multiples

Il n'est pas sain d'avoir un seul mot de passe, au même titre qu'il ne serait pas sain d'avoir comme code
de carte bancaire le même code que pour son téléphone portable et que le digicode en bas de
l'immeuble.
Il est donc conseillé de posséder plusieurs mots de passe par catégorie d'usage, en fonction de la
confidentialité du secret qu'il protège. Le code d'une carte bancaire devra ainsi être utilisé uniquement
pour cet usage. Par contre, le code PIN d'un téléphone portable peut correspondre à celui du cadenas
d'une valise.
De la même façon, lors de l'inscription à un service en ligne demandant une adresse électronique (par
exemple la lettre d'information de CommentCaMarche), il est fortement déconseillé de choisir le même
mot de passe que celui permettant d'accéder à cette messagerie car un administrateur peu scrupuleux,
pourrait sans aucun problème avoir un oeil sur votre vie privée !
4 - Attaque man in the middle

L'attaque « man in the middle » (littéralement « attaque de l'homme au milieu » ou « attaques de
l'intercepteur »), parfois notée MITM, est un scénario d'attaque dans lequel un pirate écoute une
communication entre deux interlocuteurs et falsifie les échanges afin de se faire passer pour l'une des
parties.
La plupart des attaques de type « man in the middle » consistent à écouter le réseau à l'aide d'un outil
appelé sniffer.
4 - Attaque par rejeu

Les attaques par « rejeu » (en anglais « replay attaque ») sont des attaques de type « Man in the
middle » consistant à intercepter des paquets de données et à les rejouer, c'est-à-dire les retransmettre
tels quel (sans aucun déchiffrement) au serveur destinataire.
Ainsi, selon le contexte, le pirate peut bénéficier des droits de l'utilisateur. Imaginons un scénario dans
lequel un client transmet un nom d'utilisateur et un mot de passe chiffrés à un serveur afin de
s'authentifier. Si un pirate intercepte la communication (grâce à un logiciel d'écoute) et rejoue la
séquence, il obtiendra alors les mêmes droits que l'utilisateur. Si le système permet de modifier le mot
de passe, il pourra même en mettre un autre, privant ainsi l'utilisateur de son accès.
Section 5 – Arnaques
1 Ingénierie sociale (social engineering)
2 – Scam (Chapter 419 au NIgéria)
3 - Phishing
4 - Loteries
5 – Ransomware ou Rançongiciel
https://fr.wikipedia.org/wiki/Ran%C3%A7ongiciel
Un rançongiciel (de l'anglais ransomware [ˈɹænsəmwɛɚ]), logiciel rançonneur, logiciel de

rançon ou logiciel d'extorsion, est un logiciel malveillant qui prend en otage des données personnelles. Pour
ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de
l'argent en échange de la clé qui permettra de les déchiffrer.
Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil
de débridage soit envoyé à la victime en échange d'une somme d'argent. Les modèles modernes de
rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d'attaques de ce type a
grandement augmenté dans d'autres pays, entre autres l'Australie, l'Allemagne, les États-Unis.
Logiciel de rançon à chiffrement ou crypto-rançongiciel
Logiciel de rançon sans chiffrement
Chapitre 8 - Audit organisationnel de la fonction informatique au sein

de l'organisation
Objectif : Analyser les relations entre la direction générale, la direction des systèmes
d'information et les directions "métiers".
Section 1 - Positionnement de la DSI

Dans ce chapitre, « Direction métier » signifie toute direction autre que la « Direction des
Systèmes d’Information » (DSI), cette dernière étant considérée étant au service des premières
dites parfois « directions techniques ».
Le positionnement de la DSI dépend de l’importance dans les opérations du système

d’information, du niveau de développement technologique de l’entreprise, mais aussi des
administrations publiques (impôts, sécurité sociale, direction du travail), et du pays
(infrastructures Télécommunication et Informatique). Quatre scenarii sont envisagés.
1 - Rattachement de la DSI à la Direction générale (et donc au-dessus des

directions-métiers).
Source : Ségolène (2010)
Note : Ce rattachement être permanent pour les organisations où cela est justifié. Il est
temporaire dans les autres organisations en phase de développement ou refonte du système
d’information. Le DSI a alors besoin d’une autorité sur tous les directeurs pour faire aboutir le
projet au moindre coût. C’est pour cela que le DSI n’est pas un simple informaticien, mais un
manager connaissant bien l’organisation et l’informatique.
Exercice : Donner un exemple de rattachement de la DSI à la Direction générale et justifier

cette position de la DSI au-dessus des directions-métiers.
Réponse : Entreprise de télématique, de Télécommunication, Banques, Assurances, Sécurité
Sociale. Justification : Evidence ?
2 - La DSI, homologue directions-métiers
3 - La « DSI », juste un « Service » sous une direction-métier

Question d’examen : A quelle direction rattacheriez-vous ce service ? Justifiez votre réponse.
Exemple de Aïssath : Rattachement du SI à la DAF.
DG
SP
DAF DP DMAC
SI
Source : Aïssath (2021)
Exemple de Rattachement du SI à la DG, mais en staff contrairement au premier graphique.

DG
Service
Informatique
DAF DP DMAC
Source : Barthélémy (2021)

4 - Il y a juste l’« informaticien de service »

Il n’y a pas de service informatique, mais un informaticien qui est sollicité de tous pour rendre
des services.
DG
Informaticien
DAF DP DMAC
Source : Illustration (2021)

Question d’examen : A quelle service ou direction rattacheriez-vous cet informaticien ?
Justifiez votre réponse.
Section 2 - Organigramme de la DSI

L’organigramme dépend de chaque type d’entreprise, de sa taille, de sa vision de l’informatique.
Ci-après, un exemple de DSI d’une institution qui assure en interne le développement de son
logiciel métier.
Section 3 - Tableau de bord de la DSI

Le tableau de bord comprend une batterie d’indicateurs techniques, financiers, etc.
Indicateur à maximiser
Un indicateur sera dit "positif" ou à maximiser si, plus sa valeur est élevée, mieux cela vaut pour
l’organisation et ses stakeholders.
Indicateur à minimiser
Un indicateur sera dit "négatif" ou à minimiser si moins sa valeur sera élevée, mieux cela vaut
pour l’organisation et ses stakeholders.
Exemple d’indicateurs techniques ( + ou - )

1. débit effectif du réseau ( )
2. nombre de pannes informatiques ( )
3. temps moyen des pannes informatiques (avant correction) ( )
4. nombre de bugs dans les applications ( )
5. nombre d’infections virales ( )
6. (Nombre d’attaques réussies contre le système)/(Nombre total d’attaques contre le système)
( )
7. idem pour les tentatives d’intrusion ( )
8. temps d’attente moyen des clients au guichet ( )
9. délai post 31/12 avant la production des états financiers ( )
10. Taux de projets réalisés dans les délais ( )
11. Taux des clients satisfaits par le helpdesk ( ).
Exemple d’indicateurs financiers
1. Budget de la DSI/Budget de l’entreprise ( )
2. Coût moyen informatique dans le coût moyen de production ( )
3. Part de la valeur ajoutée induite par les innovations de la DSI ( )
4. Valorisation des produits de la DSI : une entreprise dont l’objet principal n’est pas
l’informatique peut vendre des logiciels, des services de conseils informatiques à d’autres
firmes à partir de ses propres expériences et réalisations ( ).
Autres types d’indicateurs :
Indicateurs commerciaux : satisfaction de la clientèle – indicateurs relationnels.
Lire aussi
•https://www.piloter.org/mesurer/exemples/tableau-de-bord-DSI.htm
•https://www.dunod.com/sciences-techniques/tableaux-bord-dsi
•https://fr.wikipedia.org/wiki/Tableau_de_bord_prospectif (Balanced Scorecard ou BSC)
Exercice : Définir trois types d’indicateurs et rechercher deux exemples originaux dans chaque
catégorie.
Section 4 – Cartographie du système d’information
Sys tème
- Devis d'Information
- Paie++ a utomatisé
- Immo - Compta++
- Personnel - SCM
- Suivi des présences - Ventes
- CRM Sys tème
- d'Information
a utomatisable
Sys tème
- Tri des dossiers d'Information
-
Section 5 - La gouvernance des systèmes d’information

1 - Gouvernance des SI
La « Gouvernance des Systèmes d'Information » (en anglais « Information Technologies
Gouvernance ») renvoie aux moyens de gestion et de régulation des Systèmes d'Information (SI)
mis en place dans une organisation pour atteindre ses objectifs. A ce titre, la gouvernance IT fait
partie intégrante de la gouvernance d'entreprise.
Les méthodes ITIL (IT Infrastructure Library) et COBIT (Control Objectives for Information and
related Technologies) sont notamment des supports permettant de mettre un système
d'information sous contrôle et de le faire évoluer en fonction de la stratégie de l'entreprise.
La gouvernance des SI selon le COBIT
“IT governance is the responsibility of executives and the board of directors, and consists of the
leadership, organizational structures and processes that ensure that the enterprise’s IT sustains
and extends the organisation’s strategies and objectives.”
La gouvernance des SI selon le ITIL
Le management du système d'information fait l'objet de bonnes pratiques (best practices), qui
sont décrites dans le référentiel Information Technology Infrastructure Library (ITIL) ou
bibliothèque des infrastructures informatiques. Ce référentiel est né au Royaume-Uni à la fin des
années 1980. Contrairement à ce que son nom indique, il ne se limite pas aux infrastructures
matérielles, mais couvre bien l'ensemble du management du système d'information, avec une
approche services.
2 – Les 7 Piliers de la GSI
© Institut de la Gouvernance des Systèmes d’Information8
La GSI est un processus de management, fondé sur de bonnes pratiques (best practices)
permettant à l’entreprise de diriger la fonction système d’information dans le but de :
1. Soutenir les objectifs de création de valeur
2. S’assurer de l’orientation Client du SI
3. Accroître la performance des processus du SI
4. Maîtriser les aspects financiers du SI
5. Développer des solutions et des compétences en SI dont l’organisation aura besoin dans le
futur
6. S’assurer que les risques de l’entreprise sont gérés
7. Développer la transparence.
8
AFAI : Association Française de l’Audit et du Conseil Informatiques - CIGREF : Club Informatique des Grandes
Entreprises Françaises
Section 6 – Modèles de validation des processus logiciel

1. Modèle en V
Le modèle de cycle de vie en V part du principe que les procédures de vérification de la
conformité du logiciel aux spécifications doivent être élaborées dès les phases de conception.
B. Modèle en cascade
Le modèle de cycle de vie en cascade a été mis au point dès 1966, puis formalisé aux alentours
de 1970. Il définit des phases séquentielles à l'issue de chacune desquelles des documents sont
produits pour en vérifier la conformité avant de passer à la suivante :
TABLE DES MATIERES
Chapitre 1 – Généralités ________________________________________________ 2

Section 1 - Les concepts de base de l'audit informatique __________________ 2
Section 2 - Différents types d'audit informatique __________________________ 5
2.1 - Audit de la fonction informatique _______________________________________________ 5
2.2 - Audit des études informatiques _________________________________________________ 5
2.3 - Audit de l'exploitation __________________________________________________________ 6
2.4 - Audit des projets informatiques _________________________________________________ 7
2.5 - Audit des applications opérationnelles __________________________________________ 7
5.6 - Audit de la sécurité informatique _______________________________________________ 8
Section 3 - Démarche d'audit informatique _________________________________ 9
Section 4 - Les référentiels d'audit informatique __________________________ 10
Section 5 - La certification des auditeurs informatiques __________________ 10
Section 6 - Notes et références _____________________________________________ 11
Section 7 - Voir aussi ________________________________________________________ 11
Articles connexes ____________________________________________________________________ 11
Liens externes _______________________________________________________________________ 11
Bibliographie ________________________________________________________________________ 11
Chapitre 2 – La démarche administrative de l'audit informatique __ 12

Section 1 – L'audit informatique dans une PME, à quoi ça sert ? _____________________ 12
Section 2 – Comment choisir son prestataire ? ______________________________________ 12
Section 3 – Quelles sont les principales étapes d'un audit informatique ? ____________ 12
Section 4 – Que représente un audit en termes de coût pour l'entreprise ? ___________ 13
Section 5 – Et en termes d'économies ? _____________________________________________ 13
Chapitre 3 – Evaluation des risques des systèmes d'information ___ 14

Section 1 - Introduction à l'audit des systèmes d'information ________________________ 14
Section 2 – Approche générale ______________________________________________________ 14
Section 3 - Audit de l'environnement informatique ___________________________________ 14
Section 4 - Audit d’une application informatique _____________________________________ 14
Chapitre 4 – La démarche de l'audit des applications informatiques 15

Section 1. Mesurer la vulnérabilité du système d’information _______________________ 15
Section 2. Identifier les sources de menaces : ______________________________________ 16
Section 3. Identifier tous les points à risque _______________________________________ 17
Section 4. Vérifier les abus informatiques _________________________________________ 18
Chapitre 5 – Etudes de cas de l’audit des systèmes d’information __ 19
Section 1. AUDIT PHYSIQUE ________________________________________________________ 19
1.1 – Sécurité électrique __________________________________________________________ 19
1.2 – Sécurité climatique _________________________________________________________ 19
1.3 – Contrôle d’accès physique __________________________________________________ 20
1.4 – Contrôle d’accès au démarrage _____________________________________________ 21
1.5 – Systèmes de sauvegarde ___________________________________________________ 21
Section 2. AUDIT ORGANISATIONNEL _______________________________________________ 21
Section 3. AUDIT DE L'APPLICATION________________________________________________ 21
3.1 . Sécurité de l’application _____________________________________________________ 21
3.2 . Ouverture de l’application ___________________________________________________ 22

3.3 . Exploitation de l’application __________________________________________________ 22
3.4 . Maintenance de l’application _________________________________________________ 22
3.5 . Auditabilité de l'application (Audit Trail) _____________________________________ 23
Section 4. EXEMPLES DE FRAUDES INFORMATIQUE _________________________________ 23
4.1 - Méthodologie de l’étude de cas ______________________________________________ 23
4.2 – Exemples des années 70 _________________________________________________ 23
4.2.1 - Action sur les fichiers _________________________________________________ 23
4.2.2 - Action sur les programmes ___________________________________________ 23
4.2.3 - Action sur l'exploitation et détournement de résultats _________________ 24
4.2.4 – Pénétrabilités des systèmes temps réel. ______________________________ 24
4.3 – Attention à la police ! _______________________________________________________ 24
4.3.1 – La police peut conduire à la police. _____________________________________ 24
4.3.2 – Ils avaient tout réussi sauf la police ! ___________________________________ 25
4.4 – Les techniques de reconnaissance automatique ___________________________ 25
4.4.1 – La Reconnaissance Optique de Caractère (ROC) ______________________ 25
4.4.2 – A savoir sur la biométrie _____________________________________________ 25
Chapitre 6 – Les référentiels d’audit des systèmes d’information___ 30

Section 1. CoBiT _____________________________________________________________ 30
1 - Planification & Organisation ______________________________________________________ 30
2 - Acquisition & Installation ________________________________________________________ 30
3 - Livraison & Support _____________________________________________________________ 31
4 - Monitoring _______________________________________________________________________ 31
Section 2. ITIL _______________________________________________________________ 32
1 -Défintion _________________________________________________________________________ 32
2 - Manuels ITIL ____________________________________________________________________ 32
Section 3. La norme ISO/CEI 27002 _______________________________________ 33
1. Définition et évolution ____________________________________________________________ 33
2. Contenu de la norme _____________________________________________________________ 33
Section 4. Le modèle Capability Maturity Model Integration _____________ 34
1. Définition ________________________________________________________________________ 34
2. Descriptif du modèle _____________________________________________________________ 34
Chapitre 7 – Audit de sécurité informatique __________________________ 35

Section 1 - Introduction à la sécurité ______________________________________ 35
1 - Objectifs de la sécurité informatique _____________________________________________ 36
2 - Nécessité d'une approche globale ________________________________________________ 36
3 - Mise en place d'une politique de sécurité _________________________________________ 37
4 - Les causes de l'insécurité ________________________________________________________ 38
5 - Définition des besoins ___________________________________________________________ 38
Phase de définition _______________________________________________________________ 38
Identification des besoins _________________________________________________________ 38
Analyse des risques _______________________________________________________________ 39
Définition de la politique de sécurité ______________________________________________ 39
Méthodes _________________________________________________________________________ 39
4 - Mise en œuvre __________________________________________________________________ 40
6 - Validation _______________________________________________________________________ 43
Audit de sécurité _________________________________________________________________ 43
Tests d'intrusion __________________________________________________________________ 43
Détection d'incidents _____________________________________________________________ 43
Réaction aux incidents ____________________________________________________________ 44
Phase de réaction _________________________________________________________________ 44
Restauration ______________________________________________________________________ 44
Répétition du plan de sinistre _____________________________________________________ 45
Section 2 - Virus, Vers, Spyware ___________________________________________ 45

1 - Virus ____________________________________________________________________________ 45
2 - Types de virus ___________________________________________________________________ 46
21 - Les virus mutants ____________________________________________________________ 46
22 - Les virus polymorphes _______________________________________________________ 46
23 - Les rétrovirus ________________________________________________________________ 46
24 - Les virus de secteur d'amorçage _____________________________________________ 46
25 - Les virus trans-applicatifs (virus macros) _____________________________________ 46
3 – Hoax ____________________________________________________________________________ 46
31 - Qu'est-ce qu'un hoax ? ______________________________________________________ 46
32 - Comment lutter contre la désinformation ? ___________________________________ 46
33 - Comment vérifier s'il s'agit d'un canular ? ____________________________________ 46
4 – Les vers_________________________________________________________________________ 46
41 – Le ver, un virus réseau ______________________________________________________ 46
42 - Le fonctionnement d'un ver dans les années 80 ______________________________ 46
43 - Les vers actuels______________________________________________________________ 46
44 - Comment se protéger des vers ? _____________________________________________ 46
5 – Chevaux de Troie _______________________________________________________________ 46
6 - Les bombes logiques ____________________________________________________________ 46
7 - Les espiogiciels (spyware) _______________________________________________________ 46
8 - Les keyloggers __________________________________________________________________ 46
Section 3 - Piratage _________________________________________________________ 46
1 - Introduction aux attaques _______________________________________________________ 46
Types d'attaques _________________________________________________________________ 47
Effort de protection _______________________________________________________________ 48
Attaques par rebond ______________________________________________________________ 48
2 - Ingénierie sociale ________________________________________________________________ 49
3 - Le repérage des failles ___________________________________________________________ 49
4 - Extension de privilèges __________________________________________________________ 50
5 - Compromission __________________________________________________________________ 50
6 - Porte dérobée ___________________________________________________________________ 51
7 - Nettoyage des traces ____________________________________________________________ 51
8 – Quelques outils _________________________________________________________________ 51
3.8.1 - Microsoft Baseline Security Analyzer v2.1 (MBSA v2.1 _____________________ 51
Configuration système minimale requise : Systèmes d'exploitation : Windows 2000,
Windows Server 2003, Windows Server 2008, Windows XP, Windows Vista __________ 52
3.8.2 - Security Administrator Tool for Analyzing Networks (SATAN) ______________ 53
3.8.3 - Security Administrator's Integrated Network Tool (SAINT) _________________ 54
Section 4 – Attaques cryptographiques ____________________________________ 56
1 - Les mots de passe _______________________________________________________________ 56
2 - Méthodes d'attaque des mots de passe __________________________________________ 56
Attaque par force brute ___________________________________________________________ 56
Attaque par dictionnaire __________________________________________________________ 57
Attaque hybride __________________________________________________________________ 57
3 - Choix du mot de passe __________________________________________________________ 57
Politique en matière de mot de passe _____________________________________________ 57
Mots de passe multiples __________________________________________________________ 58
4 - Attaque man in the middle ______________________________________________________ 58
4 - Attaque par rejeu________________________________________________________________ 58
Section 5 – Arnaques ________________________________________________________ 59
1 Ingénierie sociale (social engineering) _____________________________________________ 59
2 – Scam (Chapter 419 au NIgéria) _________________________________________________ 59
3 - Phishing _________________________________________________________________________ 59
4 - Loteries _________________________________________________________________________ 59
5 – Ransomware ou Rançongiciel ____________________________________________________ 59
Chapitre 8 - Audit organisationnel de la fonction informatique au

sein de l'organisation __________________________________________________ 60
Section 1 - Positionnement de la DSI ______________________________________ 60
1 - Rattachement de la DSI à la Direction générale (et donc au-dessus des directions-
métiers). ____________________________________________________________________________ 60
2 - La DSI, homologue directions-métiers ___________________________________________ 61
3 - La « DSI », juste un « Service » sous une direction-métier _______________________ 61
4 - Il y a juste l’« informaticien de service » _________________________________________ 62
Section 2 - Organigramme de la DSI ________________________________________________ 62
Section 3 - Tableau de bord de la DSI _______________________________________________ 62
Section 4 – Cartographie du système d’information ______________________ 64
Section 5 - La gouvernance des systèmes d’information _________________ 64
1 - Gouvernance des SI _____________________________________________________________ 64
2 – Les 7 Piliers de la GSI ___________________________________________________________ 65
Section 6 – Modèles de validation des processus logiciel _________________ 66
1. Modèle en V ______________________________________________________________________ 66
B. Modèle en cascade _______________________________________________________________ 67

PrMagloireLANHA AudiInformatique2024c

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

PrMagloireLANHA AudiInformatique2024c

Uploaded by

Copyright:

Available Formats

ELYTH® INSTITUTE™: SPREADING KNOW™ BEYOND BACHELOR – MASTER – DOCTORAT – DEC

Ce support d’enseignement comprend de larges extraits de l’Encyclopédique informatique libre « Comment Ca

© Pr Magloire LANHA - SOFTLAB® - ELYTH®

Section 1 - Les concepts de base de l'audit informatique

1. la conformité aux lois et aux règlements,

Encadré : Objectifs de l'audit informatique modernes (ChatGPT)

2. Conformité Légale et Réglementaire : S'assurer que les systèmes informatiques et les

4. Disponibilité des Systèmes : Assurer la disponibilité des systèmes informatiques afin de

5. Confidentialité de l'Information : Protéger les informations sensibles contre l'accès non

8. Gestion des Incidents de Sécurité : Mettre en place des mécanismes de détection et de

11. Formation et Sensibilisation : Sensibiliser les utilisateurs aux risques de sécurité

12. Évaluation de la Gouvernance Informatique : Évaluer la gouvernance informatique, y

Encadré : Référentiel de l'audit informatique modernes (ChatGPT)

Section 2 - Différents types d'audit informatique

2.1 - Audit de la fonction informatique

• la clarté des structures et des responsabilités de l'équipe informatique,

• le rôle des directions fonctionnelles et opérationnelles dans le pilotage informatique et

2.2 - Audit des études informatiques

• l'évaluation de l'organisation de la fonction d'études informatiques et notamment la manière dont

2.3 - Audit de l'exploitation

• la clarté de l'organisation de la fonction notamment le découpage en équipes, la définition des

• la qualité de la planification de la production,

Ces différents objectifs de contrôle correspondent au processus DS 1, DS 3, DS 6, DS 12 et DS 13

2.4 - Audit des projets informatiques

• l'existence d'une méthodologie de conduite des projets,

2.5 - Audit des applications opérationnelles

• les contrôles en place sont opérationnels et sont suffisants,

• le contrôle de la conformité de l'application opérationnelle par rapport à la documentation

5.6 - Audit de la sécurité informatique

1. en permanence il existe des menaces significatives concernant la sécurité informatique de

Section 3 - Démarche d'audit informatique

1. l'établissement de la lettre de mission. Ce document est rédigé et signé par le demandeur

Section 4 - Les référentiels d'audit informatique

Section 5 - La certification des auditeurs informatiques

1. les processus d'audit des systèmes d'information,

1. La gouvernance de la sécurité de l'information

Section 6 - Notes et références

Section 7 - Voir aussi

Chapitre 2 – La démarche administrative de l'audit informatique

Section 1 – L'audit informatique dans une PME, à quoi ça sert ?

Section 2 – Comment choisir son prestataire ?

- líndépendance, líntégrité intellectuelle de láuditeur ;

Section 3 – Quelles sont les principales étapes d'un audit informatique ?

- elle est le contrat qui lie l´entreprise et l´auditeur ;

4 - Ensuite, des rendez-vous sont organisés avec les personnes concernées.

Section 4 – Que représente un audit en termes de coût pour l'entreprise ?

Section 5 – Et en termes d'économies ?

Propos recueillis par Carine Niot pour Indexel.

Pour en savoir plus

Question : Ecrire une lettre de mission en précisant les objectifs

Chapitre 3 – Evaluation des risques des systèmes d'information

Section 1 - Introduction à l'audit des systèmes d'information

Section 2 – Approche générale

Section 3 - Audit de l'environnement informatique

Section 4 - Audit d’une application informatique

5 - Audit d'une application en cours de développement

Livrables : Mesures proposées de réduction et de contrôle des risques importants de la nouvelle

Chapitre 4 – La démarche de l'audit des applications informatiques

Section 1. Mesurer la vulnérabilité du système d’information

Lorsque la probabilité de faiblesse informatique est élevée, il est nécessaire d’effectuer

Voici une approche détaillée de cette étape :

7. Rapport Préliminaire : Préparer un rapport préliminaire identifiant les

Section 2. Identifier les sources de menaces :