L audit Informatique et la Qualité Bennani Samir Ecole Mohammadia d Ingénieurs sbennani@emi.ac.ma emi.ac.ma
Qu'est-ce que l'audit informatique? Pour Directeur général : voir plus clair dans l'activité d'un service clé Pour Directeur informatique : conseil en organisation par des spécialistes Pour Directeur financier : apprécier la fiabilité des applications
OBJECTIFS DE L'AUDIT INFORMATIQUE vérifier : la fiabilité de l'outil Informatique l'usage qui en est fait Difficile à atteindre!!! impossible à un auditeur, d'avoir la certitude de fiabilité
Exemple : logiciel facturation dans une entreprise Mais écriture des programmes claire et performante documentation précise et détaillée, procédures d'exploitation sans défaut, A l'inverse, peut receler des lacunes graves. logiciel mal documenté, peu accessible, exploité dans des conditions déplorables... peut se révéler à l'usage parfaitement fiable
aucun logiciel n'est parfait Les bons sont des logiciels sans fautes «graves» L'auditeur, ne peut être spécialiste de chacun des domaines fonctionnels qu'il contrôle L audit informatique est-il utile dès lors qu'aucun travail, ne peut fournir une certitude quant à la fiabilité des logiciels? présomptions sur la fiabilité!!!
LA FIABILITE DE L'ENVIRONNEMENT INFORMATIQUE
a) L'intérêt d'un bon contrôle interne Une bonne organisation d'ensemble, L existence de procédures et de méthodes satisfaisantes une présomption de la fiabilité et de la pérennité des logiciels développés
Exemples Absence de politique de sauvegarde Absence de Méthode normalisée de programmation A contrario Existence de procédures de contrôle et d'autorisation
b) Les demandeurs d'un audit de l'activité informatique La Direction de l'entreprise Pour vérifier le respect des orientations qu'il a définies Le responsable informatique l'opinion motivée de spécialistes sur sa propre organisation Les contrôleurs externes S intéressent à la qualité de l'environnement informatique
c) Les composantes d'un audit de l'activité informatique L examen de l'organisation du service, L examen des procédures liées au développement, l'examen des procédures liées à l'exploitation, l'examen des fonctions techniques, les contrôles sur la protection et la confidentialité des données
d) Les méthodes d'audit de l'activité informatique Le contrôle de la fiabilité,, se base sur des entretiens avec le personnel informatique & certains utilisateurs des contrôles de documents ou d'états, pour validation des réponses. outils commerciaux bâtis autour d'un questionnaire d'audit, et d un logiciel d exploitation
Des Questions est-il possible de valider les résultats fondés sur les seules réponses fournies lors des entretiens? peut-on avoir confiance dans des méthodes basées sur une auto- évaluation par les informaticiens et par les utilisateurs de leurs propres forces et faiblesses? la sécurité informatique ne constituant pas une science exacte, n'est - il pas dès lors subjectif de vouloir quantifier à tout prix des informations qualitatives?
LA FIABILITÉ D'UNE APPLICATION INFORMATISÉE
se prononcer sur la qualité d'une application donnée : Contrôle de fiabilité du logiciel ou de l'utilisation qui en est faite?? fiabilité d'une application, conjoncture: Un bon logiciel et une utilisation satisfaisante
Adéquation du logiciel aux spécifications ou adéquation des spécifications fonctionnelles aux objectifs Recherche de fraudes ou recherche d'erreurs C'est la recherche d'erreur qui sera généralement privilégiée par l'auditeur
qualité des méthodes ou qualité des procédures d exploitation La qualité des procédures de conception et de réalisation des applications constitue une présomption de fiabilité Contrôle de fiabilité des logiciels et contrôle de leur pérennité Qualité de conception, opposée à de mauvaises procédures d'exploitation Un logiciel fiable mais mal documenté, aura une faible espérance de vie
méthodes d'audit d'une Les jeux d'essai application rarement utilisés dans l audit lourdeur de mise en œuvre teste logiciels, mais pas le contenu des fichiers; manque d exhaustivité ; Décèle rarement des opérations frauduleuses
méthodes d'audit d'une application (suite) L'examen du contrôle de l environnement les procédures de développement et de maintenance; les procédures d'exploitation; les fonctions techniques; l'organisation du service et du projet;
méthodes d'audit d'une application (suite) L'examen du contrôle interne de la fonction traitée Une application ne peut être considérée comme fiable si, en dépit de logiciels de qualité, elle est utilisée en dépit de bon sens
méthodes d'audit d'une application (suite) réalisation par les utilisateurs de contrôles de cohérence L'existence de contrôles hiérarchiques L'existence d'une bonne séparation des fonctions Procédures d'autorisation d accès valables La compétence et l'intégrité du personnel La continuité du chemin de révision validations régulières du contenu des fichiers
AUDIT DE L ACTIVITE INFORMATIQUE
Comment s'assurer de la qualité de l'environnement informatique? l'organisation générale du service, les procédures de développement et de maintenance, L environnement de production, les fonctions techniques, la protection et la confidentialité des données.