Introduction à l’audit informatique

L’avancement constant de la technologie a radicalement changé la façon dont la plupart des organisations fonctionnent. Les développements ont vu les transactions sur stylo et papier remplacées par une application de saisie de données en ligne informatisée, au lieu de clés et de verrous pour les classeurs, des mots de passe et des codes d’identification forts sont utilisés pour restreindre l’accès aux fichiers électroniques. La mise en œuvre de technologies innovantes a considérablement amélioré l’efficacité commerciale au sein de la plupart des organisations, en termes de capacité de traitement et de transmission des données. Néanmoins, il a également créé et introduit de nouvelles vulnérabilités qui doivent être corrigées et atténuées. Chaque vulnérabilité doit être contrôlée, ce qui implique la nécessité de meilleures façons d’évaluer l’adéquation de chaque contrôle, d’où de nouvelles méthodes d’audit. La dépendance à l’égard des systèmes informatisés a rendu impératif pour les entités auditées de changer l’approche et la méthodologie d’audit en raison de la crainte d’un compromis sur l’intégrité des données, d’un abus des politiques de confidentialité, etc. Par conséquent, un audit indépendant est nécessaire pour vérifier et prouver qu’une mesure adéquate a été conçue et mise en œuvre pour minimiser ou éliminer l’exposition à divers risques.

Définition et objectifs

L’audit informatique implique toute activité effectuée à la périphérie de l’examen et de l’évaluation des politiques, de l’infrastructure et des opérations informatiques d’une organisation. L’audit des technologies de l’information peut être défini comme un processus de collecte et d’évaluation des preuves pour déterminer si un système informatique maintient l’intégrité des données, protège les actifs, utilise efficacement les ressources et permet d’atteindre les objectifs de l’organisation.

Évaluation des objectifs et évaluation du processus qui garantit:

1. Sauvegarde des actifs tels que les objets de données, les ressources pour héberger et soutenir les systèmes d’information.
2. Assurez-vous que les ensembles de données suivants sont conservés:
   • Efficacité
   • Confidentialité
   • Conformité
   • Disponibilité
   • Intégrité
   • Fiabilité des informations

Phases du processus d’audit

Le processus d’audit comprend ces quatre étapes importantes.

1. Planification

          A. Évaluation préliminaire et collecte d’informations

La planification est un processus continu, bien que concentré au début d’un audit. Une évaluation initiale est effectuée pour déterminer l’étendue et le type des tests ultérieurs. Dans une situation où les audités constatent que les procédures de contrôle spécifiques sont inefficaces, ils peuvent être contraints de réévaluer leurs conclusions précédentes et d’autres décisions pertinentes prises sur la base de ces conclusions.

          B. Comprendre l’organisation

L’auditeur informatique a pour tâche de rassembler des connaissances et des contributions sur les aspects suivants de l’objet à auditer;

• L’environnement opérationnel de l’organisation et sa fonction.
• La criticité du système informatique, qu’il s’agisse d’un système critique ou d’un système de support
• Structure de l’organisation
• Nature des logiciels et du matériel utilisés
• Nature et étendue des périls affectant l’organisation

La nature de l’organisation et le niveau souhaité de rapport d’audit déterminent en grande partie l’étendue des connaissances à acquérir sur l’organisation. Les informations recueillies doivent être utilisées par l’auditeur pour identifier les problèmes potentiels, formuler les objectifs de l’étude et définir la portée des travaux.

2. Définition des objectifs et de la portée de l’audit

Les objectifs et la portée d’un audit sont définis à partir de l’évaluation des risques effectuée par un audité après exposition. La gestion des risques fait partie intégrante de la sécurisation de votre organisation contre les pirates. Il peut être défini comme un processus d’identification, d’évaluation et de prise des mesures nécessaires pour minimiser le risque à un niveau acceptable dans un système. Dans toute organisation, les principaux objectifs de sécurité sont l’intégrité, la confidentialité et la disponibilité.

L’auditeur dispose d’une large plate-forme de méthodologies d’évaluation des risques parmi lesquelles choisir, allant de la simple classification de faible, moyenne et élevée selon le jugement à une classification scientifique complexe et plus améliorée pour arriver à une évaluation numérique du risque. Après l’évaluation, des procédures, des pratiques et des structures organisationnelles sont mises en place pour réduire les risques appelés contrôles internes. L’évaluation préliminaire des contrôles peut être effectuée sur la base de discussions avec la direction, du remplissage des questionnaires, de la documentation disponible et / ou d’une enquête préliminaire de l’application.

Certains des objectifs communs de l’audit informatique sont les suivants:

• Examen de l’infrastructure et des systèmes de sécurité
• Examen des systèmes informatiques pour obtenir l’assurance de la sécurité
• Examiner le processus de développement et les procédures impliqués aux différentes étapes du système
• Évaluation de la performance d’un programme ou d’un système spécifique

Les objectifs et la portée de l’audit ne se limitent pas aux aspects mentionnés ci-dessus. Il doit pouvoir couvrir tous les domaines critiques de l’aspect sécurité, tels que les paramètres de sécurité, les mots de passe, la sécurité du pare-feu, les droits des utilisateurs, la sécurité des accès physiques, etc.

La portée, en revanche, devrait définir les limites, les limites ou la périphérie de l’audit. La définition de la portée d’un audit fait partie de la planification de l’audit et couvre des aspects tels que l’étendue de l’évaluation substantielle en fonction du péril, la faiblesse du contrôle, la période de l’audit et le nombre de sites à couvrir.

3. Collecte et évaluation des preuves

Des preuves substantielles, raisonnables et pertinentes doivent être obtenues pour seconder le jugement et les conclusions de l’auditeur sur les organisations, fonctions, activités ou programmes audités. Les techniques utilisées pour la collecte des données doivent être choisies avec soin et l’auditeur doit avoir une bonne compréhension de la procédure et de la méthode sélectionnées.

je. Types de preuves d’audit

Les trois principaux types d’éléments probants comprennent:

• Preuve d’audit documentaire
• Une analyse
• Processus observé et existence d’éléments physiques

La vérification physique implique une enquête ou une inspection effective des actifs corporels par l’auditeur. Les méthodes suivantes peuvent être utilisées pour la collecte des éléments probants.

2. Entretiens – peuvent être utilisés pour collecter des preuves à la fois quantitatives et qualitatives pendant le travail de collecte. Certaines des personnes à interroger comprennent des analystes de systèmes pour mieux comprendre les contrôles et les fonctions au sein du système de sécurité, le personnel de saisie des données pour déterminer la méthodologie qu’ils utilisent pour saisir les données détectées par le système comme incorrectes, inexactes ou malveillantes.

3. Questionnaires – traditionnellement, des questionnaires ont été utilisés pour évaluer les contrôles au sein du système audité. Dans certains cas, les auditeurs ont utilisé des questionnaires de manière créative pour signaler des domaines spécifiques de la faiblesse du système au cours de la collecte des éléments de preuve. Lors de la préparation des intervenants, les questions doivent être aussi précises que possible et la langue utilisée doit être celle qui correspond à la compréhension de la personne ciblée.

4. Organigrammes – sont conçus pour montrer que les commandes sont intégrées dans le système et leurs emplacements spécifiques dans le système. Ils sont fondamentaux pour la compréhension, l’évaluation et la communication lors de l’audit.

5. Procédures analytiques – montrent si le solde du compte est raisonnable grâce à des comparaisons et à diverses relations. Les procédures doivent être effectuées aux premiers stades de l’audit pour déterminer les comptes qui nécessiteront une vérification supplémentaire, ceux dans lesquels les preuves peuvent être réduites et les domaines sur lesquels concentrer les enquêtes.

ii. Outils de collecte de preuves

L’augmentation du besoin de documentation traçable a ouvert la voie à divers outils utilisés par les auditeurs. Certains des logiciels couramment utilisés incluent;

Le logiciel d’audit généralisé permet d’accéder aux données stockées et de manipuler d’autres supports stockés.

Logiciel d’audit spécifique à l’industrie – conçu pour donner une commande de haut niveau qui appelle des opérations d’audit de base essentielles pour une industrie particulière

Logiciel utilitaire – ce logiciel, contrairement à l’autre, exécute automatiquement fréquemment des fonctions telles que le tri, la recherche de disque, la copie, le format de disque, etc.

Logiciel d’audit spécialisé – ce logiciel est utilisé pour effectuer un ensemble spécifique de tâches d’audit.

Outils d’audit simultanés – sont utilisés pour collecter simultanément des données avec des applications.

4. Documentation et rapports

Les auditeurs sont censés documenter correctement toutes les preuves d’audit, y compris l’étendue de la planification, la base de l’audit, les opérations effectuées et les résultats de l’audit. Le document final doit contenir la planification et la préparation de l’audit, le programme d’audit, les observations, les rapports, les données, etc.

Comment structurer le rapport

Le rapport doit être complet, exact, objectif, clair, opportun et précis selon le sujet. Votre rapport peut être généralement structuré sous les titres suivants:

introduction

Votre rapport doit commencer par une brève description de l’audit spécifique en cours. L’aperçu peut comprendre des détails sur le système, tels que la description de l’environnement du logiciel, les ressources nécessaires pour exécuter le système et certains détails sur l’application utilisée. Il est important de fournir des détails sur le volume de données et l’étendue de la complexité du traitement. Cela permet au lecteur de bien comprendre en quoi consiste le rapport et de les inciter à apprécier les conclusions ultérieures de l’audit. Vous devez indiquer l’étendue de la criticité du système, car la plupart des observations tirent leur degré de gravité de la façon dont la criticité du système a été définie.

Objectifs, portée et méthodologie

Dans cette section, vous devez expliquer la connaissance des objectifs, de la portée et de la méthodologie de l’audit. Il s’agit de permettre aux lecteurs de comprendre le but spécifique de l’audit, de comprendre les défis rencontrés et d’être en mesure de porter des jugements judicieux sur le bien-fondé du travail d’audit effectué. Dans la section des objectifs, un auditeur doit expliquer les aspects de la performance examinés lors de l’audit. Dans la section sur la portée, l’auditeur est censé décrire la profondeur des travaux ou des intrants réalisés pour atteindre les objectifs de l’audit. Les auditeurs doivent indiquer l’organisation spécifique auditée, les matériels et logiciels utilisés, les emplacements géographiques, la période couverte par l’audit, expliquer les sources des preuves présentées et enfin expliquer la qualité des défis ou des défauts avec les preuves.

Résultats d’audit

Résultats

Les auditeurs doivent rendre compte des constatations importantes concernant les objectifs de l’audit. Ce faisant, l’auditeur doit inclure des informations suffisantes, pertinentes et compétentes pour faciliter une compréhension adéquate des problèmes signalés. Les informations présentées doivent également être précises pour être convaincantes pour les lecteurs. Cet objectif peut être atteint en fournissant des informations générales détaillées sur l’audit.

Conclusions

Les conclusions sont déduites conformément aux objectifs de l’audit précédemment définis. Le caractère convaincant des preuves et la logique utilisée pour formuler les conclusions déterminent grandement la force des conclusions. Il est conseillé d’éviter de tirer des conclusions radicales sur les risques et les contrôles.

Recommandations

Lorsque les constatations du rapport justifient des améliorations potentielles, l’auditeur doit faire rapport des recommandations. En cas de non-respect significatif des lois et règlements du pays ou en cas de faiblesse considérable des contrôles, des recommandations devraient alors être faites pour que la loi soit effectivement respectée et respectée. Les auditeurs doivent également tenir compte des constatations et recommandations non corrigées des audits précédents et de la manière dont elles affectent l’audit et les recommandations en cours.

Les recommandations constructives sont celles qui visent à résoudre la cause identifiée des problèmes, réalisables et orientées vers l’autorité compétente qui peut agir. Les recommandations devraient donc être pratiques, réalisables et rentables.

Réalisations remarquables

Les réalisations notables de la direction, ainsi que les lacunes identifiées dans le cadre de la vérification, devraient être incluses dans le rapport. Il donne un équilibre ou plutôt une représentation juste de la situation qui semble logique et réelle.

Limites

Le rapport d’audit doit mentionner les limites et les défis rencontrés par l’audit.

Méthodologie d’audit

     1. Contrôles informatiques

Les progrès technologiques ont provoqué un changement rapide des capacités des systèmes informatiques au cours des dernières années. Certaines organisations ont pleinement adopté le système et toutes leurs données sont informatisées et mises à disposition exclusivement par le biais des médias numériques. En raison de ce changement dans la façon dont la plupart des organisations gèrent leurs données, les auditeurs doivent changer leurs techniques d’audit. Les objectifs globaux de contrôle de l’audit ne sont pas nécessairement affectés, sauf pour leur mise en œuvre. Un changement de méthodologie de mise en œuvre implique un changement d’approche des auditeurs dans l’évaluation des contrôles internes.

Avec l’infrastructure informatique actuelle, des tests de conformité et de validation sont effectués lors de la réalisation d’un audit de contrôle informatique. Des tests de conformité sont effectués pour vérifier si les contrôles sont appliqués conformément aux instructions des audités ou à la description proposée dans la documentation du programme. Il détermine le niveau de conformité des contrôles avec les politiques et procédures de gestion. L’audit de fond, comme son nom l’indique, est un test effectué sur un système pour vérifier l’adéquation des contrôles mis en place pour protéger l’organisation contre les cyberactivités malveillantes. Les tests doivent être effectués avec une compréhension plus approfondie de la diversité des menaces posées par un environnement informatisé tel que; accès non autorisé à des actifs précieux de l’organisation en termes de données ou de programme, anomalies non détectées, responsabilité réduite,

     2. Vérification des contrôles généraux

En termes généraux, cela passe par la surveillance des performances du système, la planification des tâches, la gestion des médias, la planification des capacités, la surveillance du réseau de maintenance et l’audit d’administration.

     3. Vérification des contrôles d’application

Les contrôles d’application sont spécifiques à une application particulière et peuvent avoir un impact significatif sur la façon dont une transaction individuelle est traitée. Ils sont mesurés pour vérifier et garantir que chaque transaction est légitime, autorisée, complète et enregistrée. Avant même de procéder à une évaluation approfondie des contrôles des applications, un auditeur doit d’abord comprendre le fonctionnement du système. Une brève description de l’application est ainsi préparée avant l’analyse indiquant les principales transactions effectuées, une description du flux de transactions et de la sortie principale, une brève description des principaux fichiers de données et un chiffre approximatif pour les volumes de transactions.

Pour une étude systématique, le contrôle des applications peut être subdivisé en:

Contrôles d’entrée

Contrôles de traitement

Contrôles de sortie

Commandes de fichier de données permanent

     4. Contrôles réseau et Internet

Dans la plupart des organisations, en particulier les organisations de moyenne à grande échelle, les réseaux locaux ou étendus sont couramment utilisés pour connecter les utilisateurs. Cela comporte divers risques car il ne garantit pas que le système ne sera accessible qu’à une personne ou un utilisateur autorisé. Le réseau doit être conçu pour être accessible uniquement aux utilisateurs autorisés. Le système de sécurité en place ne doit pas reposer entièrement sur un accès logique. Parce que les réseaux sont utilisés pour transmettre des données qui peuvent être corrompues, perdues ou interceptées. Des contrôles doivent être mis en place pour éliminer tous ces risques.

     5. Contrôles d’inhumation

La politique la plus sûre pour connecter vos ordinateurs directement à Internet comprend:

• Isolement physique de la machine des informations de base.
• Toutes les parties logiques inutiles du serveur doivent être fermées
• Refuser aux identités inconnues l’accès à la machine et aux répertoires réinscriptibles ou à ceux qui peuvent être lus par des utilisateurs anonymes.
• Employez une personne expérimentée pour être en charge de la machine Internet.
• Surveillez en permanence les tentatives de connexion à la machine.
• Limitez autant que possible les comptes d’utilisateurs.

appendice

Cela comprend diverses listes de contrôle.

1.  Liste de documents pour aider à une bonne compréhension du système

Tout audit commence par une information de base sur l’organisation pour comprendre ses activités quotidiennes et la manière dont le service informatique influe sur ces activités. Vous trouverez ci-dessous un document illustratif qui peut être utilisé pour comprendre le système.

2. Outil d’évaluation de la criticité

Une organisation peut avoir plus d’un système informatique au travail. Un auditeur doit être intéressé par la nature, la portée, la rigueur et l’étendue de l’audit par rapport à la criticité de la demande. La formation de la criticité d’un système est considérée comme un processus subjectif.

3. Collecte d’informations particulières ou spécifiques sur les systèmes informatiques

L’équipe d’audit peut décider d’utiliser un questionnaire lorsque les informations collectées doivent être spécifiques. Le questionnaire est utilisé au moment de la conduite de l’audit. Les questions sont précises et conçues pour obtenir une réponse spécifique des personnes ciblées.

4. Liste de contrôle pour l’évaluation des risques

Il s’agit d’une liste de questions posées concernant divers aspects des systèmes informatiques pour déduire la réflexion sur les niveaux de risque au sein du système contrôlé. La liste est préparée et organisée par l’auditeur, en fonction de sa compréhension de l’application et de l’organisation dans son ensemble.

• Expertise technique
• Solutions personnalisées
• Support réactif
• Orientation stratégique

Nos services vous intéressent, n’hésitez pas à nous contacter.