Udit Des Systèmes D Information: L, ' ' ' ' ' M, PME R

UE 761 → AUDIT DES SYSTÈMES
D’INFORMATION
Année 2015-2016
Ce fascicule comprend :
La présentation de l’UE
La série 1
Le devoir 1 à envoyer à la correction
LES CONTEXTES LÉGAUX ET ORGANISATIONNELS DES

AUDITS, LES SPÉCIFICITÉS DE L’AUDIT D’UN SYSTÈME
D’INFORMATION ET LES DIFFÉRENTS TYPES D’AUDIT DES
SYSTÈMES D’INFORMATION
MÉMENTO DE TRAVAIL, REVUE DE SÉCURITÉ
INFORMATIQUE EN PME
REVUE GÉNÉRALE INFORMATIQUE
En collaboration avec le Fabien CLEUET
Rémy FÉVRIER
Y7611-F1/4
Document de travail réservé aux élèves de l'INTEC. Toute reproduction sans autorisation écrite est interdite.
Aboubacar YALCOUYE ABOUBACARYALCOUYE@GMAIL.COM
Audit des systèmes d’information • Série 1
Les auteurs :
Fabien CLEUET : Auditeur et consultant en systèmes d’information.
Rémy FÉVRIER : Maître de conférences au Cnam-Intec, responsable des UE Management et Audit
des systèmes d’information.
L’ensemble des contenus (textes, images, données, dessins, graphiques,

etc.) de ce fascicule est la propriété exclusive de l’Intec-Cnam.
En vertu de l’art. L. 122–4 du Code de la propriété intellectuelle, la
reproduction ou représentation intégrale ou partielle de ces contenus, sans
autorisation expresse et préalable de l’Intec-Cnam, est illicite. Le Code de
la propriété intellectuelle n’autorise que « les copies ou reproductions
strictement réservées à l’usage privé du copiste et non destinées à une
utilisation collective » (art. L. 122-5).
2 Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
UE 761 • Audit des systèmes d’information
TABLE DES MATIÈRES

TABLE DES MATIÈRES 3
PLAN ANNUEL DU COURS 7
OBJECTIFS DE LA SÉRIE 1 9
PARTIE 1. LES CONTEXTES LÉGAUX ET ORGANISATIONNELS DES AUDITS, LES

SPÉCIFICITÉS DE L’AUDIT D’UN SYSTÈME D’INFORMATION ET LES DIFFÉRENTS
TYPES D’AUDIT DES SYSTÈMES D’INFORMATION 11
TITRE 1. CONTEXTE LÉGAL DE L’AUDIT DU SI PAR LE CAC ......................................................11
Chapitre 1. Le SI au cœur des travaux du CAC ..........................................................................11

Section 1. Rappels fondamentaux ..........................................................................................11
Section 2. Interactions SI et CI ...............................................................................................12
Section 3. Le domaine comptable et financier est alimenté par les systèmes de gestion .....16
Section 4. L’état et la tendance des SI d’entreprises .............................................................16
Section 5. Un enjeu stratégique pour le certificateur ..............................................................18
Chapitre 2. Les normes d’exercice professionnelles 315 et 330 ..............................................19
Chapitre 3. Les aspects réglementaires du SI ............................................................................20

Section 1. La loi informatique et libertés du 6 janvier 1978 ....................................................20
Section 2. Le contrôle fiscal des comptabilités informatisées ................................................21
Section 3. Le droit d’auteur .....................................................................................................30
Section 4. Le régime des brevets ...........................................................................................30
Section 5. L’accès au système d’information (loi Godfrain) ...................................................31
TITRE 2. SPÉCIFICITÉS DE L’AUDIT DES SI ...................................................................................31
Chapitre 1. Un univers aux multiples spécialités .......................................................................31
Chapitre 2. Un vocabulaire abscons ...........................................................................................32
Chapitre 3. Un milieu peu sensible au contrôle interne ............................................................32
TITRE 3. LES DIFFÉRENTES MISSIONS D’AUDIT SI ......................................................................33
Chapitre 1. Les missions propres au CAC..................................................................................33
Chapitre 2. Les missions plus spécifiques .................................................................................33
207611TDPA0115 3
TITRE 4. CONTEXTE ORGANISATIONNEL DE L’AUDIT DU SI ......................................................34
Chapitre 1. Les points de repère indispensables pour comprendre le SI d’une entreprise ..34
Chapitre 2. Prolégomènes ............................................................................................................35

Section 1. L’architecture d’un ordinateur ................................................................................35
Section 2. L’importance des réseaux .....................................................................................36
Section 3. La pyramide des programmes ...............................................................................36
Section 4. Le rôle particulier des bases de données ..............................................................37
Section 5. L’organisation d’un SI ............................................................................................38
Chapitre 3. Les points de contrôle clés de la revue générale...................................................39
Chapitre 4. Les points de contrôle clés d’un audit de projet ....................................................39
PARTIE 2. MÉMENTO DE TRAVAIL, REVUE DE SÉCURITÉ INFORMATIQUE EN PME 41
TITRE 1. OBJECTIF DU MÉMENTO ...................................................................................................41
TITRE 2. RAPPEL HISTORIQUE DE L’INFORMATIQUE DE LA SOCIÉTÉ .....................................42
TITRE 3. SÉCURITÉ PHYSIQUE ........................................................................................................42
Chapitre 1. Infrastructure physique .............................................................................................42
Chapitre 2. Protection incendie ...................................................................................................43
Chapitre 3. Protection électrique .................................................................................................43
Chapitre 4. Climatisation/réfrigération ........................................................................................44
Chapitre 5. Contrôle des accès ....................................................................................................45
Chapitre 6. Conditions d’hygiène ................................................................................................45
Chapitre 7. Maintenance du matériel ...........................................................................................45
Chapitre 8. Contrat d’assurance des biens informatiques .......................................................46
Chapitre 9. Plan de secours informatique (PSI ou Disaster Recovery Plan – DRP) ...............46
Section 1. Problématique........................................................................................................46
Section 2. Première étape : le site de secours .......................................................................47
Section 3. Seconde étape : la démarche du plan de secours ................................................48
TITRE 4. SÉCURITÉ LOGIQUE ..........................................................................................................48
Chapitre 1. Séparation des environnements études/exploitation ............................................48
Chapitre 2. Limitation des accès aux utilitaires et fichiers système .......................................49
Chapitre 3. Limitation des accès aux transactions ou programmes .......................................49
TITRE 5. PROCÉDURE DE SAUVEGARDE.......................................................................................50
Chapitre 1. Rappel de quelques principes ..................................................................................50
Chapitre 2. Sauvegardes ou archives ? ......................................................................................50
Chapitre 3. Périmètre de la sauvegarde ......................................................................................51
Chapitre 4. Méthode de sauvegarde ............................................................................................51
Chapitre 5. Rotation des supports ...............................................................................................51
Chapitre 6. Stockage des supports .............................................................................................52
Chapitre 7. Surveillance des opérations de sauvegarde...........................................................52
Chapitre 8. Comment utiliser le support de RGI joint ................................................................53

Section 1. Identification du périmètre de la sauvegarde ........................................................53
Section 2. Résumé de la situation par le tableau ci-après .....................................................53
Section 3. Déclenchement des sauvegardes .........................................................................53
Section 4. Identification des supports de sauvegarde ............................................................53
Section 5. Méthode de contrôle de la sauvegarde .................................................................53
Section 6. Stockage des supports de sauvegarde .................................................................54
Chapitre 9. Procédure de fin d’exercice ......................................................................................54
TITRE 6. CONTRAINTES LÉGALES ..................................................................................................54
Chapitre 1. Loi informatique et libertés du 6 janvier 1978 ........................................................54
Chapitre 2. Appréciation du niveau de documentation .............................................................55
Chapitre 3. Appréciation du niveau de sauvegarde ...................................................................56
Chapitre 4. Loi n° 85–660 du 3 juillet 1985 relative à la protection des logiciels et des
progiciels 56
Chapitre 5. Loi n° 88–19 du 5 janvier 1988 relative à la fraude informatique ..........................56
207611TDPA0115 5
PARTIE 3. REVUE GÉNÉRALE INFORMATIQUE 59
TITRE 1. LA LISTE DES APPLICATIONS ..........................................................................................59
TITRE 2. LES LIAISONS ENTRE APPLICATIONS ............................................................................59
TITRE 3. L’ÉQUIPE INFORMATIQUE ................................................................................................60
TITRE 4. LES SERVEURS ..................................................................................................................60
TITRE 5. LE NIVEAU DE RISQUE EN CAS DE SINISTRE ................................................................60
Chapitre 1. Durée d’indisponibilité du système .........................................................................60
Chapitre 2. Coût d’indisponibilité du système ...........................................................................61
TITRE 6. LA REVUE DE SÉCURITÉ ...................................................................................................61
DEVOIR 1 63
PLAN ANNUEL DU COURS

Série 1
PARTIE 1. LES CONTEXTES LÉGAUX ET ORGANISATIONNELS DES AUDITS, LES

SPÉCIFICITÉS DE L’AUDIT D’UN SYSTÈME D’INFORMATION ET LES DIFFÉRENTS
TYPES D’AUDIT DES SYSTÈMES D’INFORMATION
Titre 1. Contexte légal de l’audit du SI par le CAC
Titre 2. Spécificités de l’audit des SI
Titre 3. Les différentes missions d’audit SI
Titre 4. Contexte organisationnel de l’audit du SI
PARTIE 2. MÉMENTO DE TRAVAIL, REVUE DE SÉCURITÉ INFORMATIQUE EN PME

Titre 1. Objectif du mémento
Titre 2. Rappel historique de l’informatique de la société
Titre 3. Sécurité physique
Titre 4. Sécurité logique
Titre 5. Procédure de sauvegarde
Titre 6. Contraintes légales
PARTIE 3. REVUE GÉNÉRALE INFORMATIQUE

Titre 1. La liste des applications
Titre 2. Les liaisons entre applications
Titre 3. L’équipe informatique
Titre 4. Les serveurs
Titre 5. Le niveau de risque en cas de sinistre
Titre 6. La revue de sécurité
Série 2
PARTIE 4. LES NORMES ET LES RÉFÉRENTIELS DES AUDITS DES SYSTÈMES

D’INFORMATION
Titre 1. Définitions et vocabulaire
Titre 2. Le contexte international et les enjeux
Titre 3. Les sources des normes et référentiels
PARTIE 5. LE SYSTÈME D’INFORMATION ET LE CONTRÔLE INTERNE

Titre 1. Introduction
Titre 2. Les risques inhérents
Titre 3. Les risques liés à l’environnement
Titre 4. Les assertions et le tableau des risques
207611TDPA0115 7
Série 3
PARTIE 6. L’AUDIT DES ÉLÉMENTS CONSTITUTIFS DU SYSTÈME D’INFORMATION :

UNE APPROCHE PAR LES RISQUES
Titre 1. Introduction
Titre 2. Moyens mis en œuvre (notamment en cas de recours aux TI)
Titre 3. Éléments détaillés du contrôle interne composant ou utilisant le système
d’information
Titre 4. Activités de contrôle
Série 4
PARTIE 7. L’AUDIT DES DONNÉES

Titre 1. L’AD (analyse de données)
Titre 2. Les exemples d’utilisation de l’analyse des données
Titre 3. Le commissariat aux comptes et l’analyse des données
Titre 4. Auditer les données
Titre 5. La démarche d’analyse de données
Titre 6. Les exemples de programmes de travail
Titre 7. Les autres techniques de contrôle détaillées
Titre 8. Les exemples de tests réalisés à l’aide d’Excel
Titre 9. Les exemples d’applications avec IDEA
OBJECTIFS DE LA SÉRIE 1
• Permettre aux professionnels comptables de comprendre la place de l’évaluation

du système d’information dans une mission d’audit légal.
• Rendre un professionnel comptable capable de contribuer significativement à un
audit d’un système d’information.
207611TDPA0115 9
PARTIE 1.
LES CONTEXTES LÉGAUX ET ORGANISATIONNELS
DES AUDITS, LES SPÉCIFICITÉS DE L’AUDIT D’UN
SYSTÈME D’INFORMATION ET LES DIFFÉRENTS
TYPES D’AUDIT DES SYSTÈMES D’INFORMATION
TITRE 1. CONTEXTE LÉGAL DE L’AUDIT DU SI

PAR LE CAC
ABRÉVIATIONS COURANTES
SI : système d’information.
CAC : commissaire aux comptes.
C’est le nom français de l’auditor. Celui-ci applique les NEP (normes d’exercice professionnelles),
alors que celui-là et la plupart des auditeurs mondiaux appliquent les normes ISA.
CHAPITRE 1. LE SI AU CŒUR DES TRAVAUX DU CAC

SECTION 1. RAPPELS FONDAMENTAUX
L’objectif du CAC est de certifier les comptes annuels (bilan, compte de résultat, annexe). Le CAC ne
peut vérifier tous les travaux effectués par le service comptable (le budget temps consacré à la
mission est limité). Il a donc recours aux techniques de sondages et au principe de « l’approche par
les risques ». En conséquence, il analyse l’organisation mise en place dans l’entité contrôlée. Pour
cela, il audite le contrôle interne.
Le CI (contrôle interne) est l’ensemble des « mesures de sécurité » permettant à l’organisation de :
• parvenir à ses objectifs de satisfaction du client en respectant des délais et un certain niveau de
qualité ;
• mettre en application les décisions de la DG de manière efficace et organisée ;
• respecter la réglementation et préserver les intérêts de l’organisation.
Ces mesures de sécurité reposent sur une organisation permettant de mettre en œuvre des
principes :
• les tâches sont allouées de manière à assurer une séparation des fonctions (personne ne doit être
en situation d’autocontrôle) ;
• certains travaux font l’objet d’un contrôle de supervision en fonction de leur importance ou de leur
risque ;
• l’ensemble du dispositif est formalisé par des procédures qui décrivent les processus et leurs
contrôles. Ces derniers doivent être formalisés pour être eux-mêmes contrôlables.
207611TDPA0115 11
SECTION 2. INTERACTIONS SI ET CI
Les définitions suivantes permettent de mieux cerner et comprendre cette notion.
Système
Ensemble cohérent de notions. Assemblage d’éléments formant un ensemble régi par des lois.
Ensemble de procédés pour produire un résultat. Classification méthodique.
Selon le dictionnaire Larousse :
• information (définition informatique) : renseignement ou élément de connaissance susceptible
d’être présenté sous une forme adaptée à une communication, à un enregistrement ou à un
traitement ;
• système : combinaison de procédés destinés à produire un résultat ;
• système d’information : il s’agit de l’ensemble des éléments participant à la gestion, au traitement,
au transport et à la diffusion de l’information au sein de l’organisation (Source : Jean-François Pillou,
Tout sur les systèmes d’information, Dunod, 2006, p. 81).
Un système d’information est constitué d’une infrastructure (matériel), de logiciels, d’intervenants, de
procédures et de données.
Système d’information
Le système d’information qui concoure à la réalisation des objectifs d’établissement des états
financiers, inclut le système comptable, comprend les procédures, les enregistrements pour initier,
enregistrer, traiter les opérations, et traduire dans les comptes les transactions de l’entité (ainsi que
les événements et les conditions) et fournit à tout moment les valeurs actives, passives, et les
capitaux propres (norme ISA 315 Annexe B).
Revenons dans les années 1950… Le contrôle interne à cette époque repose principalement sur :
• la séparation des tâches pour éviter l’autocontrôle ;
• la supervision hiérarchique afin de segmenter les autorisations au regard des opérations ;
• le contrôle interne ou audit interne ou encore inspection qui ponctuellement vient vérifier l’application
des procédures écrites et diffusées.
Le tableau ci-après, adapté de l’analyse de Gérard Karsenti1, souligne, à travers quelques critères, les
grands traits de cette évolution.
L’évolution du lien entre l’informatique et l’organisation

Critères Années 1970 Années 1980 Années 1990 Années 2000
Informatique de Informatique Informatique en Informatique
Dominance production personnelle réseau intégrée
« Mainframe » « Poste de travail » « Communication » « Banalisation »
Type d’organisation Hiérarchique Décentralisée Matricielle Virtuelle
Management Hiérarchique Délégation Local et fonctionnel Par projet
Image de
Productivité Centres de coûts Stratégique Innovation
l’informatique
Prendre le
Lier les SIC aux
Objectifs Automatiser Réduire les coûts leadership grâce
processus
aux SIC
Avantage
Utilisateur final
Enthousiasme Mal nécessaire, compétitif :
Mots-clés Centre de services,
Méconnaissance chère, lourde différenciation et
Convivialité
globalisation
Grandes idées pour Gagner en Gagner en Gagner par le
Gagner en réactivité
la gestion productivité compétitivité leadership
Automatiser les Refonte des « Informatique
Grandes idées pour Downsizing
tâches à faible processus Logiciels stratégique au
l’informatique Externalisation
valeur ajoutée intégrés quotidien »
Celui qui peut Celui qui peut aider
L’informaticien Celui qui sait Celui qui coûte cher établir le lien à générer un
organisation – SIC avantage compétitif
I. QUELQUES REPÈRES CHRONOLOGIQUES
A. PREMIÈRE ÉTAPE (1950-1985)

Les premiers SI ont, en priorité, automatisé des opérations anciennement manuelles du type
comptabilité, paie, facturation, etc. C’est l’époque du mainframe (l’ordinateur des années 1970-1980)
lourd, coûteux, pas vraiment flexible.
Ces SI concernent principalement les grandes organisations. Les logiciels sont constitués
massivement par des développements spécifiques, les progiciels pointent leur nez. Les logiciels sont
peu interfacés, chaque fonction de l’entreprise ayant ses propres programmes, et donc ses propres
données.
Les bases de données existent mais leur emploi n’est pas encore généralisé ; on utilise donc des
fichiers classiques et des méthodes d’accès rigides (nous reverrons cela avec les concepts de base).
Les mini-ordinateurs arrivent sur le marché, le PC n’existe pas encore en entreprise.
Cet univers est très figé. On dispose d’une machine avec un système d’exploitation propriétaire tout
comme les langages, les utilitaires… même si cela commence à évoluer avec des outils systèmes,
puis des bases de données non propriétaires.
B. DEUXIÈME ÉTAPE (1985-2000)

La technologie a fortement évolué, le PC (Personal Computer ou micro-ordinateur) se généralise
avant que son « coût de possession » (en anglais TCO, Total Cost of Ownership) ne le chasse
progressivement des entreprises au profit du client léger (un terminal comparable à celui des
1
KARSENTI G., La fin du paradoxe de l’informatique, Éditions d’Organisation, Paris, 1999.
207611TDPA0115 13
années 1980). Cette évolution annonce les architectures clients-serveurs puis trois (voire N) tiers.
Ainsi, l’utilisateur met en œuvre plusieurs serveurs. On retrouve ainsi un serveur hébergeant la base
de données, un autre assurant les traitements, enfin celui permettant le fonctionnement du poste
client vis-à-vis des applications de gestion ou de bureautique.
Les projets informatiques changent. Sur le plan organisationnel, on peut dire qu’ils prennent de la
hauteur. Ainsi, à titre d’exemple, on passe d’un logiciel de facturation à un système qui traite
l’ensemble du processus de vente.
Le paramétrage de ces systèmes applicatifs prend de plus en plus en charge les règles de contrôle
interne liées à ces processus. Tel utilisateur peut créer un client mais seul un autre groupe
d’utilisateurs peut gérer ses conditions de règlement et de limite d’encours selon des niveaux
d’autorisation. Ce sont ces profils utilisateurs qui matérialisent la séparation des fonctions propre au
contrôle interne.
Les progiciels se généralisent avec une approche d’intégration des données visant à partager
l’information pour l’ensemble de l’entreprise. La notion de client, de produit, etc. est commune à tous.
Les logiciels fonctionnent moins avec des interfaces, nécessairement fragiles, mais partagent des
bases de données.
Les bases de données sont omniprésentes, les langages sont maintenant orientés objet.
C. LA SITUATION ACTUELLE
Les interfaces en client très léger se généralisent en utilisant sur le poste client un simple navigateur.
Ce troisième stade de maturité voit la mise en œuvre des outils de workflow qui remplacent
progressivement les circulations de documents sur papier au profit de formulaires électroniques.
Dans des contextes sophistiqués, des logiciels assurent un workflow inter-applicatif. Autrement dit,
un logiciel de pilotage du processus (aussi appelé monitor ou EAI, Enterprise Application Integration)
suit ce dernier en utilisant plusieurs applications en parallèle. La commande d’un nouveau client va
ainsi être traitée par différents systèmes applicatifs (gestion commerciale, logistique, comptabilité,
CRM, etc.)
Ces démarches de workflow imposent de penser les systèmes en termes de processus. Ces outils
d’EAI appliquent des règles de contrôle interne qui ne sont pas prises en compte par les applications
de premier niveau.
II. LES IMPACTS SUR LE CONTRÔLE INTERNE

Les deux derniers stades de maturité ont pour effet de figer dans le système d’information (plus
précisément son paramétrage) de plus en plus de règles de contrôle internes métier.
Le contrôle interne se déplace d’autant plus sur le système d’information que l’entreprise ne
fonctionne plus qu’au travers de celui-ci. La dépendance stratégique de l’entreprise devient de plus en
plus forte. Cet élément est apparu il y a environ 10 ans, y compris dans les PME industrielles. En
effet, ces dernières utilisent des machines à commande numérique concrètement pilotées par des
serveurs qui les alimentent avec des ordres de fabrication immédiatement exécutés par la machine.
Quand le serveur s’arrête ou dysfonctionne, ou que le réseau est défaillant, la machine ne reçoit plus
d’ordre et bientôt cesse de fonctionner. C’est alors toute une partie de l’atelier qui est désorganisée
avec des employés qui attendent que cela « redémarre ». Les activités de services sont désormais
logées à la même enseigne ; que peut faire un employé d’un service client sans l’accès à la base de
données de la société ? À part dire à son client de rappeler plus tard…
La dépendance vis-à-vis du SI, de ses acteurs internes et externes n’est plus réservée aux grandes
entreprises.
Activités informatiques
et contrôle interne
éviter appliquer respect

protection image
la instructions des
des actifs fidèle
fraude DG lois
sécurité physique
plan de secours / procédures dégradées
contrôle d'accès aux données
contrôle d'accès aux traitements
fiabilité des programmes
sauvegardes
loi informatique et libertés
contrôle fiscal des comptabilités informatisées
fiabilité des interfaces
19
Cette situation rend aussi nécessaire une amélioration sensible du contrôle interne propre au système
d’information.
L’enjeu autour de l’information et de la disponibilité du SI impose une sécurisation des infrastructures
(serveurs) et des réseaux. La notion de plan de continuité se généralise et s’impose dans certains
contextes contractuels (aérien, spatial,...) voire réglementaires (règlement CRB 97-02 applicable aux
établissements financiers).
La mise en œuvre du contrôle interne de l’entreprise au travers des logiciels orientés processus
impose que le SI reflète une séparation de fonction et donc des profils utilisateurs adéquats.
Le contrôle interne lié aux processus propres au SI devient un réel enjeu alors qu’auparavant on les
jugeait secondaires. Nous verrons plus loin que la sécurité des règles de fonctionnement propres au
SI influent directement sur la disponibilité des applications.
207611TDPA0115 15
SECTION 3. LE DOMAINE COMPTABLE ET FINANCIER EST ALIMENTÉ

PAR LES SYSTÈMES DE GESTION
On appellera ici « domaine comptable » les applications qui relèvent du comptable (stricto sensu) et
du financier. Dans une TPE, seule existe une comptabilité avec ses dimensions générales, analytique
et budgétaire.
Pour une PME, s’y rajoutent une gestion de trésorerie, un système de communication bancaire
permettant au quotidien la récupération automatique des mouvements constatés par la banque, le
suivi de la position en valeur de l’ensemble des comptes, l’émission de virement et la transmission de
LCR. Une gestion des immobilisations est généralement utilisée.
Enfin dans un contexte plus sophistiqué, on emploie des logiciels de reporting, de consolidation et
parfois des outils complémentaires d’analyse et de contrôle de gestion.
Cette évolution est fondamentale, la saisie comptable devient marginale. Il est donc
incontournable de valider les comptes en commençant par la qualité du circuit d’alimentation
comptable.
C’est le contrôle interne de cette alimentation qui conditionne l’image fidèle de la comptabilité.
Sans entrer dans un débat technique, le fait que l’entreprise utilise un PGI (progiciel de gestion
intégrée) ne change rien à l’objectif de contrôle mais impacte sur les modalités de sa réalisation.
SECTION 4. L’ÉTAT ET LA TENDANCE DES SI D’ENTREPRISES

Que faut-il penser de l’évolution des SI ? Sont-ils plus fiables que ceux d’il y a 10 ans ?
Nous venons de voir que nos systèmes sont aujourd’hui autrement plus complexes que ceux du
passé. Nous ne comparons donc pas la même chose. Pour autant, l’observation quotidienne montre
que la fiabilité globale s’est dégradée.
Plusieurs facteurs se combinent pour expliquer cette situation.
I. PILOTAGE DES PROJETS PAR LES UTILISATEURS

Les projets des années 1980 sont pilotés par des informaticiens, ce qui brime les utilisateurs
dépossédés de leur outil, alors que, de surcroît, le livrable ne correspond pas nécessairement aux
besoins exprimés par le métier.
Vingt ans plus tard, nous sommes dans l’excès inverse. L’utilisateur est roi et pilote le projet par le
budget. Il n’a pas nécessairement la disponibilité et l’expérience de projet « SI » pour mener à bien
l’opération en anticipant les risques.
Que l’on soit en PME ou en grand compte, l’organisation de projet idéale associe le « client » final
qu’est l’utilisateur et le « sachant » qu’est l’informaticien. Autant marier Dracula et Blanche-Neige…
L’utilisateur définit l’objectif qu’il est sensé connaître, l’informaticien agit sur les moyens pour y
parvenir. Cette séparation entre le « Quoi » et le « Comment » est loin d’être facile à mettre en œuvre.
Un projet mal mené ne répond pas aux besoins, n’est pas fiable et doit rapidement être remplacé.
Bref, il n’est pas rentable et, dans certains cas, son démarrage désorganise très gravement
l’entreprise.
II. LA FORMATION DES INFORMATICIENS

Le point de vue de Fabien CLEUET
« Votre serviteur est issu du milieu informatique et ne saurait donc se donner des coups sur la tête,
ou du moins, il va tenter de ne pas le faire.
Sauf exception, les informaticiens sont formés sans connaître les principes du contrôle interne ni la
sécurité applicative. Leur savoir est très orienté développement technique et non pas sécurité des
projets. Ils ne savent pas tester (conception du test et mise en œuvre).
Depuis leur plus jeune âge, ils utilisent des PC équipés d’un célèbre système d’exploitation qui
fonctionne de manière erratique si bien qu’on peut dire qu’il tombe en marche. Le
dysfonctionnement est pour eux un mode de fonctionnement normal… un point de référence.
Arrivés en entreprise, on leur demande de réaliser des systèmes fiables. Ils n’en ont jamais vu. En
outre, il leur faut réaliser ces systèmes avec un poste client utilisant un même OS instable…
mission impossible.
Pour clore l’aspect formation, on constatera enfin que les écoles et les universités n’invitent que
trop rarement de vrais professionnels à enseigner et mettre en garde sur la base d’une réalité
vécue. L’étudiant reste au niveau du livresque et du théorique. »
III. LA GÉNÉRALISATION DES ENVIRONNEMENTS OBJET

ET LA DIFFICULTÉ DE VALIDER LEUR FONCTIONNEMENT
Depuis une dizaine d’années, le développement des applications est réalisé en mode objet. Qu’est-ce
donc ? Et quel rapport avec le contrôle interne et la fiabilité des données comptables de l’entreprise ?
Les langages d’origine dits « procéduraux » avaient pour qualité de regrouper en un seul lieu (le
programme) les règles appliquées sur les données saisies (contrôle de format ou d’existence) ou
stockées (calcul d’un tarif client, d’une TVA). Même si cela était lourd et fastidieux, il était possible
d’étudier comment l’information « évoluait ».
Les langages et les bases de données d’aujourd’hui bouleversent tout cela car les règles
programmées (on parlera de « code » par commodité) sont localisées à de multiples endroits :
• la fenêtre de saisie de l’utilisateur active une première partie de code ;
• lorsque l’utilisateur passe de champs en champs un autre morceau de code peut s’exécuter à
l’affichage de la zone puis en sortie de celle-ci ;
207611TDPA0115 17
• d’autres codes peuvent s’exécuter lors des clics sur des boutons et en fermeture de fenêtre ;
• enfin la base de données elle-même peut déclencher d’autres codes lors de chaque insertion ou
suppression d’enregistrement.
On comprend alors mieux la difficulté de mise au point et de test de cet ensemble d’instructions
disséminées en de multiples endroits. En outre, il n’est pas toujours possible de connaître la
chronologie d’exécution de chaque code.
L’arrivée de ces environnements a profondément changé la logique de programmation ce qui a permis
et contraint de nombreuses entreprises à rajeunir leur équipe informatique par des plans sociaux ou
préretraites durant les années 1990.
Cette mise au placard de compétences concernant le métier de l’entreprise mais aussi de solides
retours d’expériences sur le plan informatique a appauvri certaines organisations.
Les développeurs d’aujourd’hui maîtrisent ces environnements objet, même s’ils ont beaucoup de
problèmes pour tester leur fonctionnement. L’observation quotidienne me conduit à dire qu’il n’y a pas
réellement une démarche de test mais plutôt un contrôle de fonctionnement global par ailleurs non
formalisé.
Seuls certains secteurs d’activités ont une réelle culture du test de système (spatial, aéronautique,
militaire, médical,...) car les enjeux y sont énormes. Pour le reste, c’est la culture du « ça marche
peut-être… », mais on ne sait pas pourquoi. À la décharge des développeurs, il faut savoir que
Microsoft a annoncé publiquement depuis le milieu des années 1990 que ses systèmes d’exploitation
ne sont plus testés que par une diffusion restreinte auprès de Bêta testeurs2. Ceci n’a rien à voir avec
une vraie démarche de test.
Si un des principaux acteurs ne teste plus un composant aussi essentiel que le système d’exploitation,
comment expliquer au développeur qu’il doit concevoir et réaliser des tests documentés ?
SECTION 5. UN ENJEU STRATÉGIQUE POUR LE CERTIFICATEUR
I. LA DÉMATÉRIALISATION EST EN MARCHE

Le domaine comptable est alimenté par les applications ou systèmes de gestion. Il est donc primordial
de s’attacher à contrôler cette « alimentation », qu’il s’agisse d’interface classique ou d’une traduction
comptable paramétrée au sein d’un PGI.
Le recours aux systèmes intégrés au sein des entreprises de toutes tailles ainsi que la mise en place
de workflow 3 font disparaître les supports papier. Cette évolution est en marche. Comment donc
auditer dans un environnement dématérialisé ?
II. LE SI FOURNIT LA MATIÈRE PREMIÈRE DE L’AUDITEUR

Qu’il s’agisse de tester les procédures pour évaluer la réalité et la fiabilité du contrôle interne ou pour
mener des tests étendus sur une population, les techniques d’investigation classiques trouvent
rapidement leurs limites en environnement dématérialisé.
L’auditeur doit « passer par le système d’information » pour mettre en œuvre des analyses de
données après une extraction de ces dernières.
2
Le Bêta testeur est celui qui accepte de tester un produit avant sa commercialisation.
3
On appelle « workflow » (traduisez littéralement « flux de travail ») la modélisation et la gestion informatique de l’ensemble des tâches à
accomplir et des différents acteurs impliqués dans la réalisation d’un processus métier (aussi appelé processus opérationnel ou bien procédure
d’entreprise). Le terme de « workflow » pourrait donc être traduit en français par « gestion électronique des processus métier ». De façon plus
pratique, le workflow décrit le circuit de validation, les tâches à accomplir entre les différents acteurs d’un processus, les délais, les modes de
validation, et fournit à chacun des acteurs les informations nécessaires pour la réalisation de sa tâche.
Plutôt que de réaliser des tests par sondage afin de contrôler la bonne comptabilisation des factures, il
les extrait, les totalise selon différents critères et filtres afin de reconstituer la comptabilité sur 100 %
des pièces.
Nous aborderons en détail ces techniques dans la série 4 de ce cours.
III. LE RENFORCEMENT DU CONTRÔLE INTERNE

Différents textes sont venus récemment rappeler l’importance du contrôle interne comme moyen pour
l’entreprise de parvenir à une bonne gouvernance.
Le Sarbanes-Oxley Act, la LSF (loi sur la sécurité financière, juillet 2003), les démarches SAS 70
(Statement on Auditing Standards number 70, norme américaine d’audit) sont autant d’illustrations de
ce mouvement. L’auditeur doit s’appuyer et accompagner la mise en place de ces mesures. En effet,
ces textes entraînent de réelles évolutions dans le contrôle interne des entreprises.
Des démarches de création d’une direction du contrôle interne ou encore de réflexion sur la piste
d’audit du SI sont des concrétisations vécues en entreprise.
La création d’une responsabilité « Déontologie et conformité » dans les grandes entreprises met en
évidence cet objectif de respect de la réglementation et d’une éthique.
La profession des CAC est naturellement au cœur de ce mouvement qui concerne l’entreprise tout
autant que le professionnel dans l’organisation de sa mission et la réalisation de ses travaux.
CHAPITRE 2. LES NORMES D’EXERCICE

PROFESSIONNELLES 315 ET 330
NEP 315 : connaissance de l’entité et de son environnement et évaluation du risque
d’anomalies significatives dans les comptes.
NEP 330 : procédures d’audit mises en œuvre par le commissaire aux comptes à l’issue de son
évaluation des risques.
Le commissaire aux comptes dispose là de nouveaux textes dont l’application, en matière de système
d’information est certes réduite du fait d’une rédaction très condensée, mais qui permet aisément de
se reporter aux normes internationales d’audit correspondantes (ISA) qui sont très complètes et
présentent notamment de précieuses informations concernant l’audit du système d’information de
l’entité :
• la NEP 315 précise, avant son évaluation des risques, comment le commissaire aux comptes doit
décrire le contrôle interne de l’entité, avec, notamment son principal élément, le système
d’information ;
• la NEP 330 détaille les procédures qu’il doit mettre en œuvre, afin d’en vérifier le fonctionnement.
Cette dernière précise également que c’est, pour le commissaire, le seul moyen de contrôler l’entité
au cas où le système d’information comporte l’essentiel des éléments probants.
207611TDPA0115 19
CHAPITRE 3. LES ASPECTS RÉGLEMENTAIRES DU SI

SECTION 1. LA LOI INFORMATIQUE ET LIBERTÉS DU 6 JANVIER 1978
I. L’ESSENTIEL À RETENIR DE CE TEXTE

Tout traitement automatisé contenant des informations nominatives doit faire l’objet d’une déclaration
(normale ou simplifiée). Cette déclaration peut être faite sur le site : www.cnil.fr.
Un fichier est déclaré pour une finalité précise et ne doit pas en être détourné.
La durée de conservation des données doit être réduite en fonction de la nature des traitements
effectués.
Le caractère nominatif des données peut être direct (par le nom) ou indirect (par un numéro
d’employé, d’assuré, etc.)
Les informations de nature raciale, politique, philosophique et religieuse sont interdites (sauf pour les
églises, syndicats, partis politiques, etc.).
Toute personne dispose d’un droit d’accès et de rectification. Il peut aussi demander un « droit à
l’oubli » et être « radié » d’un fichier.
Toute collecte d’information doit mentionner :
• le caractère obligatoire ou facultatif de la réponse ;
• les conséquences d’un défaut de réponse ;
• l’existence de tiers destinataires de l’information ;
• l’existence d’un droit d’accès et de rectification, le lieu où s’exerce ce droit.
Depuis avril 2000, la loi s’applique aux fichiers manuels sans qu’une déclaration ne soit obligatoire
(Chapitre 7 de la loi).
En cas de non-déclaration de fichier : 3 ans d’emprisonnement et 45 k€ d’amende (art. 226-16 du
Code pénal).
L’entreprise a une obligation de protection des données : 300 k€ et 5 années d’emprisonnement
(art. 226-17 du Code pénal).
La transmission de données est soumise à des limitations.
Certains domaines disposent de dérogations (groupements religieux, politiques, forces de police et
justice) ou de mesures spécifiques (domaine médical).
Le site www.cnil.fr permet de :
• télécharger les rapports d’activité de la Cnil, différentes études ainsi que la réglementation ;
• télédéclarer un site ou un traitement.
II. LES SANCTIONS PÉNALES

« Le fait (loi n° 92-1336 du 16 décembre 1992) « y compris par négligence » de procéder ou de
faire procéder à des traitements automatisés d’informations nominatives sans qu’aient été
respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de trois ans
d’emprisonnement et de 45 000 € d’amende. »
Article 226–16.
« Le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives

sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et
notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers
non autorisés est puni de cinq ans d’emprisonnement et de 300 000 € d’amende. »
Article 226–7.
« Le fait de collecter des données par un moyen frauduleux, déloyal ou illicite, ou de procéder à un
traitement d’informations nominatives concernant une personne physique malgré l’opposition de
cette personne, lorsque cette opposition est fondée sur des raisons légitimes, est puni de cinq ans
d’emprisonnement et de 300 000 € d’amende (loi n° 94-548 du 1er juillet 1994, art. 4). En cas de
traitement automatisé de données nominatives ayant pour fin la recherche dans le domaine de la
santé, est puni des mêmes peines le fait de procéder à un traitement :
1.°Sans avoir préalablement informé individuellement les personnes sur le compte desquelles des
données nominatives sont recueillies ou transmises de leur droit d’accès, de rectification et
d’opposition, de la nature des informations transmises et des destinataires des données ;
2.°Malgré l’opposition de la personne concernée ou, lorsqu’il est prévu par la loi, en l’absence du
consentement éclairé et exprès de la personne, ou, s’il s’agit d’une personne décédée, malgré le
refus exprimé par celle-ci de son vivant. »
Article 226-18.
« Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans
l’accord exprès de l’intéressé, des données nominatives qui, directement ou indirectement, font
apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les
appartenances syndicales ou les mœurs des personnes est puni de cinq ans d’emprisonnement et
de 300 000 € d’amende. Est puni des mêmes peines le fait, hors les cas prévus par la loi, de mettre
ou de conserver en mémoire informatisée des informations nominatives concernant des infractions,
des condamnations ou des mesures de sûreté. »
Article 226–19.
« I. Le fait de conserver des informations sous une forme nominative au-delà de la durée prévue
par la demande d’avis ou la déclaration préalable à la mise en œuvre du traitement informatisé est
puni de trois ans d’emprisonnement et de 45 000 € d’amende, sauf si cette conservation est
effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi.
II. Le fait de traiter des informations nominatives conservées au-delà de la durée mentionnée au I à
des fins autres qu’historiques, statistiques ou scientifiques est puni des mêmes peines, sauf si ce
traitement a été autorisé dans les conditions prévues par la loi.
Dans la pratique, les sanctions appliquées sont très clémentes si on les compare au texte. »
Article 226-20, modifié par la loi n° 2000-321 du 12 avril 2000, article 6.
SECTION 2. LE CONTRÔLE FISCAL DES COMPTABILITÉS INFORMATISÉES

La loi de finance 1990 a défini les modalités de contrôle des comptabilités informatisées. La mise en
œuvre de ces contrôles impose l’existence d’une documentation du système d’information ainsi que la
disponibilité des données de gestion élémentaires couvrant le délai de reprise de l’administration.
Après un rappel de ce dispositif, notre objectif est d’étudier les impacts de la nouvelle instruction
publiée le 24 janvier 2006 et de distinguer les principales recommandations qui résultent de la
pratique constatée en entreprise.
207611TDPA0115 21
I. RAPPEL DU DISPOSITIF RÉGLEMENTAIRE

L’article L. 13 du LPF (Livre de procédures fiscales) stipule :
« Lorsque la comptabilité est tenue au moyen de systèmes informatisés, le contrôle porte sur
l’ensemble des informations, données et traitements informatiques qui concourent directement ou
indirectement à la formation des résultats comptables ou fiscaux et à l’élaboration des déclarations
rendues obligatoires par le Code général des impôts ainsi que sur la documentation relative aux
analyses, à la programmation et à l’exécution des traitements. »
Alinéa complémentaire issu de l’article 103 de la loi de finance 1990.

Le terme comptabilité ne doit donc pas être interprété restrictivement à la comptabilité
générale et client mais bien au contraire comme faisant référence au « système comptable
étendu » qui englobe les systèmes opérants (appelées aussi applications métiers ou de
gestion) qui détiennent les pièces comptables dématérialisées dans leurs bases de données.
Ce droit d’accès s’applique donc :
• aux données élémentaires prises en compte par le système d’information (cf. BOI (bulletin officiel
des impôts) n° 245 du 24 décembre 1996) sur la période contrôlée ;
• à la documentation et aux programmes sources (L. 102B du LPF).
Trois modalités de mise en œuvre sont prévues pa l’article 47A du LPF pour chaque point contrôlé :
• réalisation des traitements par l’entreprise sous contrôle de l’administration (option la plus utilisée) ;
• fourniture de copies des fichiers à l’administration (brigade de vérification des comptabilités
informatisées) ;
• utilisation des moyens informatiques de l’entreprise.
Dans la pratique, l’administration s’appuie sur la réglementation comptable et fiscale pour exiger une
traçabilité (c’est-à-dire piste d’audit) entre les transactions de gestion et leur traduction comptable. À
défaut de pouvoir réconcilier ces éléments, elle peut mettre en œuvre un rejet de comptabilité et une
évaluation d’office (art. L. 74, al. 2 du LPF).
La mise en œuvre de la piste d’audit dans un contexte de contrôle fiscal suppose :
• l’archivage des données détaillées appréhendées par le système d’information durant le délai de
reprise de l’administration (6 ans) ;
• la possibilité de restaurer des supports de stockage et de les mettre en œuvre (serveur, OS et base
de données) pour disposer du choix de l’article 47 A.
II. LE BULLETIN OFFICIEL DES IMPÔTS N° 12 DU 24/01/06

Ce nouveau texte apporte des contraintes lourdes et pas nécessairement justifiées. Il devrait
donner lieu à de multiples réactions et son interprétation mérite d’être suivie.
REMARQUE
Les renvois aux paragraphes du BOI sont signalés entre parenthèses dans le texte.
A. LES DISPOSITIONS RAPPELÉES
1. Rappels de principes fondamentaux du PCG 1999

« Les documents comptables [informatiques] doivent être identifiés, numérotés et datés dès leur
établissement par des moyens offrant toute garantie en matière de preuve. » (§ 15)
Décret 83-1020 modifié par le 2002-312.
« La nécessité d’une documentation décrivant les procédures et l’organisation… en vue de

permettre la compréhension et le contrôle du système de traitement. Cette documentation est
conservée aussi longtemps qu’est exigée la présentation des comptes auxquels elle se rapporte. »
(§ 16)
PCG, art. 410-2.
« Tout enregistrement comptable doit préciser l’origine, le contenu et l’imputation de chaque

donnée ainsi que les références de la pièce justificative qui l’appuie. » (§ 17)
PCG, art. 420-2.

Le caractère intangible des écritures comptables impose aux logiciels de comptabilité une procédure
de validation. Ce traitement « volontaire » consiste à verrouiller toute possibilité de modification des
écritures (§ 21 et 22).
Il en résulte que (§ 23) :
• toute fonction permettant de modifier ou supprimer une écriture validée est prohibée ;
• un logiciel ne permettant pas une telle validation des écritures conformément à l’article 420-5 du
PCG conduira à s’interroger sur le caractère régulier et probant de la comptabilité.
La clôture d’une période comptable, et à plus forte raison d’un exercice, impose la validation des
écritures concernées (§ 25 à 27) qui restent consultables ou éditables (§ 28). La réouverture d’un
exercice clos à des fins de modification est interdite (§ 29).
L’article 420-6 du plan comptable général énonce de même :
« Une procédure de clôture destinée à figer la chronologie et à garantir l’intangibilité des
enregistrements est mise en œuvre au plus tard avant l’expiration de la période suivante. » (§ 26)
Il reste à définir la date servant à cette chronologie : saisie, opération, validation comptable,
traitement ?
L’esprit de ce texte conduit à considérer que l’administration souhaite qu’il y ait une clôture
raisonnablement rapide des périodes comptables afin de garantir leur intangibilité.
Il faut toutefois pouvoir revenir exceptionnellement sur une période pour constater une
opération rétroactive (fusion ou acquisition).
Le PCG (art. 410-3) prévoit un « chemin de révision » permanent :
« […] permettant de reconstituer à partir des pièces justificatives appuyant les données entrées, les
éléments des comptes, états et renseignements, soumis à la vérification, ou, à partir de ces
comptes, états et renseignements, de retrouver ces données et les pièces justificatives. » (§ 30)
Cette fonctionnalité est communément appelée piste d’audit ascendante et descendante.
Le périmètre du CFCI concerne les logiciels de gestion (tels : gestion commerciale, de production, des
achats, des stocks, du personnel), quand leurs informations, données et traitements, permettent
d’élaborer ou de justifier indirectement tout ou partie des écritures comptables ou des déclarations
soumises à contrôle (§ 36).
2. Les mesures préparatoires à la charge des entreprises

Le fait d’utiliser un progiciel fonctionnant sur un ordinateur « interne » ou « externe » (ASP, extranet,
service bureau, système d’une société mère,…) ne doit pas limiter l’accès à sa documentation dont le
programme source fait partie. Des modalités contractuelles doivent permettre l’accès à ces fichiers
(dépôts des programmes sources notamment) (§ 57).
Cette mise en garde figurait déjà en première page du BOI du 24 décembre 1996. Nous
constatons régulièrement que les entreprises de toutes tailles négligent l’accès aux codes
sources des progiciels.
207611TDPA0115 23
Pour autant, le dépôt de ces derniers auprès d’un tiers archiveur répond à la contrainte fiscale
tout en contribuant à pérenniser le logiciel en cas de disparition de l’éditeur.
La documentation doit être disponible (§ 55 et 60) et si nécessaire traduite « rapidement » en français
(§ 61 et 62).
L’entreprise devra dissocier la sauvegarde régulière des données de l’archivage fiscal (§ 98) réalisé à
la date de clôture comptable (PCG, art. 420-6) (§ 99).
Nos interventions nous donnent régulièrement l’occasion de souligner cette différence en
termes d’objectif et d’organisation.
La sauvegarde a pour objet de pallier une défaillance technique. Sa durée de vie est courte.
Bien au contraire, l’archive est initiée par les utilisateurs pour figer les données de manière
atemporelle.
L’archivage des données concerne les fichiers (ou tables) d’en-têtes et de lignes (exemple d’une
facturation) ainsi que tous les fichiers liés à la facture (code TVA, article facturé,…). « Il en sera de
même pour les autres pièces justificatives, telles que commandes, bons de livraisons, qui obéissent
aux mêmes règles d’archivage » (§ 106).
L’administration illustre le principe du système comptable étendu et la nécessaire traçabilité
des données depuis les différentes étapes d’un processus de gestion jusqu’à sa
comptabilisation. Le périmètre de l’archivage des données en découle logiquement.
B. LA MISE EN ŒUVRE DU CFCI

« Lorsque, en application de l’article L. 47 A, alinéa 1 du Livre des procédures fiscales, les agents
effectuent la vérification sur le matériel utilisé par le contribuable, ce dernier doit prendre toute
mesure utile permettant la préservation de l’intégrité des données et la sécurité du matériel et des
logiciels. » (§ 145)
Cette mesure conservatoire demandée par l’administration laisserait-elle supposer que ses
contrôleurs, qui sont des informaticiens aguerris, seraient exempts de responsabilité en cas de
négligence voire de non-respect des articles 323-1, 2, 3 du Code pénal relatifs aux intrusions et
altérations des systèmes d’information ?
Il est à noter que ce paragraphe figurait à l’identique dans l’instruction du 14 octobre 1991.
Si l’entreprise met à disposition des ressources informatiques pour la mise en œuvre des
contrôles (art. 47A, al. 1), elle doit tout particulièrement « cloisonner » l’environnement de
travail des contrôleurs ainsi que leur profil d’accès aux divers serveurs, applications et bases
de données.
C. LES ÉLÉMENTS NOUVEAUX
1. Archivage des traitements

À des fins de tests ou d’analyse, l’instruction demande explicitement l’archivage de chaque version de
traitement (c’est-à-dire programme) durant le délai de reprise (§ 48).
Ou encore :
« L’attention est toutefois appelée sur l’intérêt pour les contribuables de conserver les versions
antérieures de logiciels et de progiciels, lorsque cela sera nécessaire à la bonne compréhension
des traitements aboutissant à la formation des résultats. » (§ 91)
« La procédure d’archivage du progiciel ou logiciel comptable pourra permettre de réaliser une

simulation ultérieure des traitements en conservant les données, programmes et environnement
nécessaires. » (§ 103)
Cette contrainte maintenant explicite est particulièrement lourde puisqu’elle impose de

conserver des équipements sans objet et d’en assurer la maintenance et le coût d’utilisation.
L’organisation de ce BOI permet de considérer que l’obligation porte sur le logiciel comptable
stricto sensu et non sur ceux du domaine de gestion.
Un « environnement » permettant de réaliser des « simulations » sur des données archivées
sous-entend que l’on peut mettre en œuvre des traitements. Il faut donc disposer des serveurs,
système d’exploitation, base de données et enfin du logiciel et des données.
Il ne faut pas mésestimer les conséquences financières, techniques et organisationnelles
induites.
« Techniquement, l’utilisation de fichiers image « PDF », « print », par exemple, ou tout autre
format image standard compatible avec les micro-ordinateurs de type PC, peuvent être
valablement utilisés par les entreprises, afin de remplir leur obligation de présentation [dans le
cadre de l’article 54 du LPFR]. » (§ 118)
L’administration reconnaît explicitement la possibilité de présenter les documents comptables sous
forme de document numérique. Cette option ne dispense pas de l’archivage des données (§ 119).
2. Accès à la documentation
Un distinguo apparaît en matière de documentation ; si le logiciel est un produit standard (progiciel), la
documentation utilisateur est un minimum requis pour comprendre le fonctionnement du système
(§ 53 à 56).
A contrario, si le logiciel a nécessité un paramétrage significatif ou une interface en amont ou aval du
logiciel, une documentation complémentaire est nécessaire à sa compréhension. Plus le système est
complexe et intégré, plus la documentation doit se rapprocher de celle attendue pour un logiciel
spécifique.
Selon le BOI n° 12 du 24/01/06 § 55, lorsque le logiciel est spécifique, la documentation attendue est
la suivante :
• le dossier de conception générale ;
• le dossier des spécifications fonctionnelles ;
• les dossiers technique, organisationnel et d’architecture ;
• le dossier de maintenance ;
• le dossier d’exploitation ;
• le dossier utilisateur.
Il est à noter que la description de la documentation est sensiblement différente de celle du BOI du
24 décembre 1996, elle-même différente de celle du BOI du 14 novembre 1991.
« Lorsque la documentation informatique est créée ou détenue par un tiers, celui-ci est tenu de la
mettre à disposition de l’administration fiscale en cas de contrôle. » (§ 135)
Il est difficile d’imaginer comment ce texte peut trouver à s’appliquer. Il est à noter qu’il n’existe
aucune contrainte réglementaire et a fortiori de sanction applicable au tiers concerné.
3. Archivage des données

Il est observé qu’un archivage réalisé en format « propriétaire » impose à l’entreprise de pouvoir relire
le support informatique et accéder au fichier archive (§ 88).
Cette situation sous-entend une surveillance de l’obsolescence technique et fonctionnelle des
supports de stockage, des périphériques de lecture-écriture et des logiciels de sauvegarde-
restauration.
L’administration entend prévenir des difficultés par ailleurs rencontrées.
207611TDPA0115 25
L’impossibilité technique d’accéder aux données ou de pouvoir les utiliser prive l’entreprise du choix
de l’article 47 A, voire l’expose à l’évaluation d’office (art. L. 74, al. 2) si in fine les données ne sont
pas disponibles (§ 163).
En cas de déclaration rectificative, les comptes doivent traduire les modifications intervenues par des
écritures complémentaires permettant de tracer l’évolution des soldes (§ 109).
Dans le même esprit, les données de gestion éventuellement modifiées doivent être « clairement
identifiées et tracées », une archive reflétant la déclaration rectificative doit être réalisée (§ 110). Si
cette traçabilité est réalisée par un fichier « log », ce dernier fait partie du périmètre de contrôle (et
donc de l’archivage).
« Les solutions d’archivage et de traçabilité retenues par les entreprises pourront s’accompagner,
par exemple, d’une sécurisation des documents dématérialisés et des données, notamment
comptables au moyen d’une signature électronique fiable. » (§ 112)
Cette évocation de la signature électronique ressemble plus à une piste de réflexion plutôt qu’à
une disposition applicable.
En effet, le texte ne précise pas si la signature est applicable aux pièces comptables émises ou
reçues, ni à la documentation du système ou encore aux archives de données. De surcroît, on
peut se demander si la signature aurait pour objet d’authentifier l’auteur d’une écriture, de
sceller un état voire de l’horodater.
Au regard des coûts et des complexités de mise en œuvre technique et organisationnelle, la
sagesse devrait conduire à ne rien faire.
« Conformément à l’article R. 102 C-1 III du même livre [LPF], le contribuable s’assure que les
factures et données détenues par lui-même ou en son nom et pour son compte, par un client ou
par un tiers sont accessibles, en cas de contrôle, dans le meilleur délai, depuis son siège ou son
principal établissement, quel que soit le lieu de détention de ces documents. » (§ 137)
Il en résulte que le sous-traitant doit s’assurer de la bonne conservation des données qu’il
détient pour le compte de ses clients. On privilégiera en la matière un contrat circonstancié
définissant les obligations des parties.
4. Comptabilité non régulière ou non probante (§ 157 et 158)

« En présence de comptabilités informatisées, l’attention est attirée sur le fait qu’une apparence de
régularité peut être aisément obtenue par certaines fonctions du logiciel justifiant les écritures
comptables en permettant :
• l’utilisation de brouillards permanents avec des éditions conformes aux journaux clôturés ;
• la suppression ou la modification d’enregistrements génériques sans laisser de trace ;
• la clôture apparente d’un exercice pour établir les comptes annuels. »
« Les exemples ci-après illustrent, sans être exhaustifs, les situations qui peuvent conduire à
considérer que la comptabilité informatisée est irrégulière et/ou non probante :
• la présentation sous des formats non recevables (illisibles, propriétaires) des documents
comptables et pièces justificatives dématérialisés, visés à l’article 54 du Code général des
impôts ;
• le défaut de validation des écritures comptables ou des pièces justificatives ;
• le défaut de clôture des exercices comptables ;
• le défaut de traçabilité ;
• l’absence de chronologie dans les enregistrements ;
• l’absence de permanence du chemin de révision ;
• l’insuffisance des données archivées : échantillons de données ou uniquement données
agrégées (centralisation mensuelle par exemple). »
5. Mise en œuvre du CFCI

« La proposition de rectification visée à l’article L. 57 du Livre des procédures fiscales précise la
nature et le résultat des traitements effectués par, ou à la demande, de l’administration fiscale,
lorsque ces traitements donnent lieu à rectification. Un exposé clair de la démarche suivie doit
permettre au contribuable d’être en mesure de formuler ses observations. » (§ 132)
On peut s’étonner que l’administration ne soit pas tenue à une information plus circonstanciée
notamment lorsqu’elle réalise elle-même les traitements. Dans un tel cas de figure, le seul
principe du « droit à la défense » et du débat contradictoire devrait la conduire à présenter les
objectifs de contrôle, la démarche de traitement et les programmes sources mis en œuvre.
À défaut, le contribuable ne connaît pas réellement la « formule de calcul » réellement
appliquée, ce qui lui interdit d’en contester le bien-fondé comme la programmation.
III. IMPACTS
L’article L. 13 du LPF présente les trois grands domaines impliqués que sont la documentation,
l’archivage des données et celui des traitements.
A. DOCUMENTATION REQUISE
L’administration précise ainsi les éléments de documentation attendus dans l’instruction du 14 octobre
1991, annexe II (BOI n° 207 du 28 octobre 1991) :
• le dossier des spécifications fonctionnelles définit de façon précise les entrées et sorties du
système, les règles de fonctionnement et l’ensemble des contraintes ;
• le dossier de réalisation informatique définit de façon détaillée la conception et la construction de la
solution informatique répondant aux spécifications fonctionnelles et notamment :
- le découpage en chaînes de traitement,
- la description des unités de traitement,
- la description organique des fichiers et les schémas des bases de données,
- la codification et la normalisation des données,
- le code source des programmes ;
• le dossier d’étude de l’organisation a pour objet la définition au niveau le plus fin de l’organisation
administrative et des procédures d’information ;
• le dossier de maintenance reprend l’historique des mises à jour effectuées sur tout ou partie d’une
application, en vue de reconstituer les procédures ayant concouru à la détermination des résultats
déclarés ;
• le dossier d’exploitation contient l’ensemble des informations nécessaires à l’implantation et à
l’exploitation du système. Il est complété par des procédures internes du service exploitation
(planning et journal des incidents notamment).
Le dossier utilisateur constitue le mode d’emploi du système, rédigé à l’initiative des responsables
opérationnels, à l’attention du personnel d’exécution.
Il est intéressant de constater ci-dessus que les exigences de l’administration se sont
« recentrées » avec le BOI du 24 décembre 1996 puis celui du 24 janvier 2006.
Autant de BOI que de descriptions de la documentation attendue. À l’évidence, ce sont les
objectifs de la documentation qui doivent être poursuivis.
Il est rarissime qu’un système d’information soit documenté d’une manière aussi parfaite que
théorique.
Sans chercher à atteindre un tel niveau de complétude, il est indispensable de créer un niveau
minimal de documentation tant pour les raisons fiscales déjà évoquées que dans un souci de
pérennité et « d’auditabilité » du système d’information.
En outre, l’administration accepte toutes les formes de documentation (y compris les sources
des programmes) si l’ensemble des éléments qui lui sont présentés apporte une description
207611TDPA0115 27
suffisamment précise et explicite des règles de gestion appliquées (cf. instruction fiscale du
24 décembre 1996).
Cette documentation doit être disponible lors du contrôle. Il est admis qu’elle soit rédigée en langue
étrangère. Dans un tel cas de figure, une traduction doit pouvoir être faite rapidement pour tout ou
partie de la documentation.
B. CONSERVATION DES DONNÉES ÉLÉMENTAIRES

L’article L. 102B du LPF instaure une obligation de conservation des données élémentaires pour
l’ensemble des applications concernées (cf. art. L. 13 du LPF).
Cette conservation doit être faite sur support informatique durant le délai de reprise. Les données
conservées doivent être celles qui sont en entrée du système d’information et non celles qui résultent
d’une agrégation ou d’une quelconque transformation informatisée, interface par exemple.
L’instruction du 24 décembre 1996 précise confusément comment conserver les données relatives
aux interfaces.
Si l’environnement informatique de l’entreprise est modifié durant le délai de reprise, il convient de
procéder à une sauvegarde de ces mêmes données sur un support informatique répondant aux
normes fixées par l’arrêté du 13 septembre 1991.
C. L’ARCHIVAGE DES TRAITEMENTS

Le contrôleur des impôts diligente ses contrôles comme un auditeur en choisissant une approche par
la procédure et le contrôle interne ou encore par le contrôle exhaustif. Dans le premier cas, il peut
inspecter le programme qui matérialise la règle de gestion contrôlée (calcul de TVA, de provision,
etc.) ; dans le second, il valide la bonne application de cette règle en recalculant le résultat obtenu sur
la base des données de l’époque (technique de l’analyse de données). Il peut combiner les approches
et ainsi demander un accès aux traitements pour s’assurer de sa bonne compréhension de la règle de
gestion qui lui a été décrite.
Compte tenu de ces objectifs, l’entreprise doit conserver les programmes sources de ses applications
de gestion et s’assurer d’une possibilité d’accès à ceux qu’elle utilise au travers de progiciels. En effet,
pour ces derniers, l’entreprise ne dispose que d’une version exécutable (ou objet).
La règle de gestion peut varier durant un exercice et le contrôleur doit pouvoir s’assurer de la
permanence de la règle observée dans un programme en prenant connaissance des différentes
modifications intervenues sur chaque traitement et de la date d’application de celles-ci.
Lorsqu’un système opérationnel a été remplacé, l’entreprise peut choisir de le conserver dans
l’éventualité de tests requis par l’administration (BOI du 24 janvier 1906 § 91 et 103). Il s’agit là
d’un choix fiscal, compte tenu des impacts financiers et techniques induits.
IV. RECOMMANDATIONS
Cette réglementation fait encore l’objet de zones d’ombre qui disparaissent au fil des retours
d’expérience des entreprises. Il est possible qu’il faille attendre l’arbitrage du juge de l’impôt sur
certains points précis.
A. ORGANISATION DE L’ARCHIVAGE
• Informer les acteurs (financiers et informaticiens).
• Nommer un responsable de l’archivage fiscal en fixant des objectifs et des moyens.
• Analyser le contexte actuel (système d’information et fiscal).
B. CONSERVATION EXHAUSTIVE DES « ÉLÉMENTS »

DU SYSTÈME D’INFORMATION
La seule conservation des données et des traitements peut ne pas suffire car leur utilisation suppose
l’archivage de logiciels (OS, SGBD, langages, logiciel de sauvegarde, etc.) et parfois de matériel
(unité centrale, dérouleur de bande, lecteur de cartouche, unité de disque, etc.). L’archivage fiscal doit
donc être conçu de manière large :
• mettre en place des procédures d’archivage de fin d’année :
- initiées par les utilisateurs,
- basées sur deux copies de fichiers, sur des supports fiables, en format logique et non
propriétaire avec test de relecture (croisé si possible ; cela veut dire que la copie est faite sur une
unité de sauvegarde et testée sur une autre),
- sécurisées en termes de stockage,
- documentées ;
• gérer les versions de programmes sources (origine des modifications et conservation du programme
source) ;
• évaluer les impacts liés aux évolutions de matériel, d’OS, de base de données (sauvegarde de la
version remplacée et si nécessaire retraitement des archives constituées) ;
• archiver spécifiquement les applications devenues sans objet ou remplacées (archivage
d’ensemble) ;
• s’assurer de la traçabilité et de l’intégrité des interfaces (piste d’audit) ;
• valider l’accès aux programmes sources, aux documentations et aux compétences (aspect
contractuel, tout particulièrement pour les progiciels) ;
• valider la disponibilité d’une documentation d’ensemble en français (de préférence).
Certaines de ces remarques ne sont pas exclusivement liées au respect de la réglementation fiscale
mais contribuent aussi à améliorer la sécurité du système d’information.
Enfin, il importe de s’assurer du périmètre des archives afin qu’elles prennent bien en compte
l’intégralité des fichiers nécessaires.
C. QUALITÉ DES DOCUMENTATIONS TECHNIQUES

L’administration exige une autre documentation technique dans le cadre de ses contrôles.
Il n’est pas possible de connaître avec précision le niveau de documentation exigé par
l’administration. En effet, d’une part, la liste des documents qu’elle exige est impressionnante et
n’existe que très rarement, d’autre part, sa non-présentation ne porte à conséquence que « lorsque
l’attitude du contribuable est assimilée à une opposition au contrôle ».
Ce point constitue un espace d’interprétation très vaste. Il convient donc de trancher en respectant
des principes de pragmatisme et de bon sens.
L’objectif du contrôleur est d’assimiler les règles de fonctionnement du système qui lui est présenté. Il
nous semble donc nécessaire de pouvoir fournir a minima :
• une documentation fonctionnelle globale précisant les principales tables et relations (souvent
appelée MCD, modèle conceptuel de données) ;
• un dictionnaire des données permettant de comprendre le contenu des fichiers et la codification
retenue pour chaque zone ;
• une description technique et fonctionnelle des principaux traitements.
Il importe de vérifier la qualité des documentations au regard de ce qui précède.
207611TDPA0115 29
D. DISPONIBILITÉ DES PROGRAMMES SOURCES

Ici encore, il convient de contrôler la situation selon deux axes :
• pour les progiciels, il peut s’agir d’un dépôt des programmes de la part de l’éditeur auprès d’un
notaire, d’un huissier ou de l’APP (Agence pour la protection des programmes), ce qui garantit la
disponibilité des sources dans le cas de la cessation d’activité du fournisseur ou de contrôle fiscal ;
• pour les logiciels spécifiques, il faut s’assurer de la conservation des sources et des différentes
versions successives.
SECTION 3. LE DROIT D’AUTEUR

Les lois du 10 mai 1981, puis celle de 1985, consacrent le principe de la protection du logiciel par le
droit d’auteur. Cette protection a été renforcée par la transposition en droit français de la directive
européenne du 14 mai 1991. Ainsi, un programme d’ordinateur est protégé par le droit d’auteur s’il est
original c’est-à-dire s’il est la création de son auteur.
Ce droit d’auteur protège contre la copie les différentes formes du programme (son code source, sa
documentation, son aspect pour l’utilisateur, etc.)
Caractéristiques essentielles de ce droit d’auteur :
• il s’acquiert et est opposable sans aucune formalité de dépôt ou de publicité (ce qui est un avantage
sur le plan du coût…) ;
• aucune publicité n’est requise (ni généralement pratiquée) ce qui peut poser un problème sur la date
de la création et donc son antériorité ;
• le droit d’auteur a une durée de 50 ans ce qui est particulièrement long dans le domaine
informatique ;
• l’article L. 341-1 du Code de la propriété intellectuelle (1er juillet 1998) prévoit que le contenu de la
base de données est protégé « lorsque la constitution, la vérification ou la présentation de celle-ci
atteste d’un investissement financier, matériel ou humain substantiel » ;
• le logiciel créé par un salarié (dans l’exercice de ses fonctions ou d’après les instructions de son
employeur) appartient à l’entreprise ;
• le logiciel développé par une SII appartient à celle-ci (sauf dispositions contractuelles) ;
• dans la majorité des cas, l’entreprise utilise un logiciel dans le cadre d’un contrat de cession ou
d’une licence d’utilisation ;
• tous les actes qui vont au-delà de ceux autorisés sont des contrefaçons punissables de 3 ans de
prison et de 300 k€ d’amende (art. 335-2).
SECTION 4. LE RÉGIME DES BREVETS

Le brevet est un titre juridique qui confère à son titulaire une exclusivité d’exploitation de l’invention
concernée, sur un territoire et une période déterminés, en lui permettant d’empêcher tout tiers de
fabriquer, de vendre ou d’utiliser cette invention sans son autorisation. Les brevets font l’objet d’une
publication.
Les conditions essentielles de la brevetabilité sont l’existence d’une invention nouvelle susceptible de
générer une application industrielle. En pratique, l’invention doit être décrite de façon explicite pour
qu’un « homme de métier puisse réaliser l’objet de la revendication par de simples tâches
d’exécution ».
Compte tenu de leur publicité, les brevets constituent des moyens d’information pour celui qui veut
éviter de mener des recherches dans un secteur où l’avance des concurrents est très grande.
En Europe, le droit des brevets est uniformisé depuis la Convention du 5 octobre 1973 sur la
délivrance des brevets européens (CBE). Les inventeurs peuvent s’adresser soit à l’OEB (Office
européen des brevets) dans le cadre du système centralisé, soit auprès des bureaux nationaux des
brevets dans les États membres.
Quelle que soit la voie choisie, c’est le droit national qui sera toujours d’application.
Début 2002, l’OEB a confirmé, après consultation publique, sa position sur la non-brevetabilité des
logiciels à moins que l’invention n’apporte « une contribution technique à l’état de la technique ».
Cette consultation a donné lieu à des débats passionnés. En effet, les enjeux économiques sont
importants lorsqu’on sait que cette « contribution technique » n’est pas nécessaire aux États-Unis ou
au Japon et que les entreprises peuvent donc y protéger leurs logiciels et donc leurs investissements.
La brevetabilité est ainsi refusée parce qu’un programme étant une réflexion algorithmique, il ne
constitue pas une invention, et à plus forte raison, elle n’a pas d’effet technique, condition nécessaire
à la brevetabilité. Certes, des logiciels ont été brevetés mais au travers de processus techniques mis
en œuvre par des logiciels (analyse d’image, traitement de données numériques…).
SECTION 5. L’ACCÈS AU SYSTÈME D’INFORMATION (LOI GODFRAIN)

Il faut en retenir l’essentiel, c’est-à-dire que l’accès non autorisé dans un SI ou l’entrave à son
fonctionnement sont très sévèrement réprimés par le Code pénal. Il est nécessaire que chaque
entreprise sensibilise ses informaticiens sur ces sujets.
• Accéder ou se maintenir frauduleusement dans tout ou partie d’un SI (art. 323-1 du Code pénal,
2 ans et 30 k€ d’amende si altération ou modification du système ou de ses données).
• Entraver ou fausser le fonctionnement d’un SI (323-2 du Code pénal, 5 ans et 75 k€ d’amende).
• Modifier, supprimer ou introduire des données dans un SI (323-3 du Code pénal, 5 ans et 75 k€
d’amende).
TITRE 2. SPÉCIFICITÉS DE L’AUDIT DES SI
CHAPITRE 1. UN UNIVERS AUX MULTIPLES SPÉCIALITÉS

L’univers des SI apparaît pour bien des néophytes comme un ensemble opaque. En réalité, la
population des « informaticiens » recouvre des spécialités qui ne font pas le même travail. Ils ne
cohabitent pas nécessairement ni ne se comprennent. Sans être exhaustif citons :
Spécialité Fonctions
Concepteurs/développeurs Conçoivent et réalisent des outils qui relèvent du système
système d’exploitation (c’est-à-dire Unix, Windows, etc.)
Concepteurs/développeurs outils Comme ci-avant mais par domaine de spécialité : langage, base
systèmes de données, télécom.
Concepteurs/développeurs Conçoivent et réalisent des applications en utilisant les outils ci-
application avant. Celles-ci peuvent être spécifiques à un client ou progiciel.
Paramétrer un progiciel afin de l’adapter au besoin de son client.
Intégrateur de progiciel Ex. : ajout de champs dans des tables, modification des écrans,
paramétrage de nouvelles règles de calcul, etc.
Configure, optimise, sécurise, documente le réseau de
Ingénieur réseau
l’entreprise.
Configure, optimise, sécurise, documente les serveurs, bases de
Ingénieur système
données et autres composants système.
Plateforme d’appel (interne ou externe) qui filtre les appels en y
Support utilisateur
répondant avec des niveaux de complexité variables.
Assure l’installation, la maintenance et le support du poste
Gestion de parc
utilisateur.
207611TDPA0115 31
Quelques autres fonctions « informatiques » (réservées aux grands comptes)

Gestionnaire de base de données Organise et documente la base.
Space manager Suit les espaces disques et leur organisation.
Documente le SI et met en place des règles de fonctionnement
Urbaniste
entre les applications.
Comme un service de contrôle interne, il donne le point de
Normes et méthodes
référence sur l’organisation des tâches liées aux activités SI.
Quelques autres fonctions « non informatiques » (réservées aux grands comptes)
• Gestionnaire du personnel et de
la formation
• Gestion des achats
(réservé à une DSI de taille « significative »)
• Contrôle de gestion
Relativement embryonnaire
• Gestion de la sécurité
• Questions juridiques
• Veille technologique
Ce catalogue recouvre une réalité nécessairement différente. Ainsi, dans une PME, un responsable
informatique assure pour l’essentiel le réseau, le système et plus ou moins de maintenance du
paramétrage d’un progiciel. Accessoirement, il fait un peu tout le reste.
Rien d’exceptionnel pour le futur expert-comptable (EC) CAC qui, lui aussi, est un généraliste fédérant
plusieurs domaines de spécialités connexes (fiscalité, droit des sociétés, consolidation, etc.).
CHAPITRE 2. UN VOCABULAIRE ABSCONS

On reproche aux informaticiens de parler un volapuk hermétique. Il est vrai qu’il faut des mots
nouveaux (et pas toujours français) pour définir des concepts inédits.
Votre serviteur travaillant depuis plus de 20 ans avec des CAC, n’a pas le sentiment que la barrière
linguistique liée au domaine SI soit plus importante que celle existant pour d’autres professions (EC,
expert judiciaire, fiscaliste, etc.).
Je dirais même que, dans ce cas précis, les mots nouveaux ont une utilité en désignant des concepts
spécifiques à la réalité SI. De ce point de vue, le vocable informatique est moins hermétique que celui
des juristes. Pour autant, son acquisition n’est pas aisée en raison d’une créativité débridée et du
manque de stabilité de certains termes.
CHAPITRE 3. UN MILIEU PEU SENSIBLE

AU CONTRÔLE INTERNE
Nous avons évoqué plus haut la formation des informaticiens qui n’aborde que trop peu les notions de
contrôle interne.
Un autre aspect historique s’ajoute à cette situation. Durant la phase émergeante des SI, les
informaticiens ont travaillé en vase clos (effet « tour d’ivoire » bien connu). Il en résulte un retard
sérieux pour la mise en place de démarches de qualité et de fiabilité.
De surcroît, cette population n’apprécie que très modérément le contrôle d’une tierce personne. Ce
phénomène s’amenuise lentement, mais il faut bien constater que ce contrôle externe étant rare, la
personne concernée est nécessairement surprise lorsqu’il survient.
Le lecteur ne doit pas en conclure qu’un EC ou CAC ne trouvera que des ennemis dans cette
population. S’il procède de manière didactique en expliquant son objectif de contrôle, il peut dans
certains cas être plus apprécié que l’ensemble des utilisateurs qui ne s’intéressent pas à ses
difficultés quotidiennes.
Même si le discours informatique est parfois opaque ou confus, un EC/CAC se trouve ici dans la
même situation que pour des questions de contrôle interne classiques dans une activité atypique et
pas encore maîtrisée.
J’ajouterai, pour rassurer le lecteur, que, sur bien des sujets techniques, même l’auditeur informatique
peut se trouver en face d’un technicien qui maîtrise l’outil de manière autrement plus approfondie que
lui. Cela n’empêche nullement le contrôle, dès l’instant que l’on reste bien sur l’objectif de contrôle.
TITRE 3. LES DIFFÉRENTES MISSIONS D’AUDIT SI

L’audit des SI recouvre une certaine variété de missions. On distinguera celles qui relèvent du CAC
de celles réservées à des spécialistes. Dans les deux catégories (et surtout la seconde), cette liste
n’est pas exhaustive.
CHAPITRE 1. LES MISSIONS PROPRES AU CAC

Le commissaire aux comptes a pour mission principale la certification des comptes annuels. Celle-ci
peut, en outre, conduire à exercer les diligences directement liées suivantes :
Mission Objectifs/points de contrôles
Prise de connaissance du contrôle interne informatique sur les
RGI (revue générale aspects de la sécurité physique, logique et réglementaire.
informatique) Une cartographie permet par ailleurs de comprendre la
circulation de l’information au travers du système.
Approche de contrôle interne autour d’une interface comptable
permettant d’apprécier si celle-ci est susceptible de contribuer à
Validation d’interface
une image fidèle (exhaustivité et exactitude de la
comptabilisation).
Évaluation du contrôle interne mis en œuvre sur un cycle (ou
Audit d’application
processus) (c’est une partie de l’audit d’application).
CHAPITRE 2. LES MISSIONS PLUS SPÉCIFIQUES

• Prise de connaissance et évaluation du CI informatique sur les
aspects de la sécurité.
• Physique : les infrastructures serveurs, réseau, etc.
• Logique : contrôle d’accès aux transactions, aux données et
Audit de sécurité
aux postes, protection virale, sauvegarde, procédure
d’exploitation.
• Réglementaire : validation de la démarche réglementaire mise
en œuvre sur les différents domaines concernés.
• Évaluation du contrôle interne.
Audit d’application • Qualité et coût de fonctionnement.
• Pérennité, maintenabilité.
207611TDPA0115 33

• Qualité de la démarche.
• Respect du cadrage des étapes.
• Qualité des livrables.
Audit de projet • Respect du planning et du budget.
• Pertinence des choix de matériel et de logiciel.
• Qualité des migrations de données et des formations des
utilisateurs.
• Maîtrise du sujet CFCI par les acteurs concernés.
• Existence de méthodes ou de principes sur ce sujet.
• Existence d’une piste d’audit au sein du SI.
Audit de conformité fiscale
• Archivage des traitements, paramétrages et données
détaillées.
• Accès aux documentations et programmes sources.
• Organisation de la fonction étude.
• Qualité des démarches de conception, de maintenance et de
documentation.
Audit des études
• Outils et normes de programmation.
• Conditions et méthodes de test.
• Qualité du suivi et du reporting.
• Organisation de la fonction.
• Qualité des démarches de mise en production et de
documentation.
Audit de la production
• Outils et normes.
• Organisation et contrôle de la planification et de l’exécution
des travaux.
• Organisation de la fonction.
Audit des achats • Normes et procédures de travail.
• Liaisons comptables.
TITRE 4. CONTEXTE ORGANISATIONNEL

DE L’AUDIT DU SI
CHAPITRE 1. LES POINTS DE REPÈRE INDISPENSABLES

POUR COMPRENDRE LE SI
D’UNE ENTREPRISE
Auditer les comptes d’une entreprise suppose a minima de connaître les fondamentaux de la
comptabilité et si possible un zeste de droit et de fiscalité.
Le domaine informatique devient pour le CAC un domaine de connaissances aussi important pour
l’exercice de sa mission que le droit, la fiscalité, et sans doute bien plus que les principes de
consolidation qui ne se présentent que pour des structures d’une taille certaine alors que la contrainte
SI est présente sur tout dossier de CAC.
Notre objectif est ici de présenter les connaissances de base pour mettre en œuvre les démarches
pratiques que nous proposerons ci-après.
CHAPITRE 2. PROLÉGOMÈNES 4
SECTION 1. L’ARCHITECTURE D’UN ORDINATEUR
DIATHESE ©
Architecture d'un ordinateur
Mémoire :
CPU Disque dur
ROM
RAM
Lecteur disquette
Contrôleur mémoire
Lecteur bande
BUS
Lecteur CD-ROM
Contrôleur vidéo Contrôleur Audio Carte Réseau
Modem Haut-parleurs
Imprimante Clavier Moniteur
Souris
Périphériques externes
Spécifiques Micro-ordinateurs
ESA 2005 DIATHESE © 10
Un ordinateur, qu’il soit un PC ou un très gros système, peut être présenté d’une manière simplifiée.
Un ou plusieurs processeurs permettent d’exécuter des programmes. Pour cela, on devra utiliser des
espaces de mémorisation :
• la mémoire interne RAM (ou vive) qui permet de stocker temporairement des données et des
programmes en cours de traitement ;
• la mémoire interne ROM (morte) qui contient de manière permanente les programmes essentiels au
démarrage de l’ordinateur ;
• la mémoire de stockage externe qui peut être sur des disques durs internes ou réseau.
Cet ensemble permet d’exécuter un programme. L’interaction avec l’utilisateur passe par un clavier,
un écran, une souris, des enceintes, etc. qui peuvent nécessiter des équipements complémentaires :
les cartes son ou vidéo, les contrôleurs réseaux, les modems.
4
Notions préliminaires à une science, à l’étude d’une question. J’emploie ce terme en souvenir du précis de fiscalité des entreprises de
M. Maurice Cozian.
207611TDPA0115 35
SECTION 2. L’IMPORTANCE DES RÉSEAUX

Les ordinateurs d’aujourd’hui ne fonctionnent plus de manière autonome mais en réseau. Ils accèdent
à des données ou des programmes par des supports de communication filaires, radio ou optiques.
Cette architecture réseau est, depuis 15 ans, unifiée ou encore interopérable autour de quelques
standards (protocole TCP-IP, souvent raccourci en « IP ») qui permettent de réaliser des connexions
« relativement » facilement. Les spécialistes savent connecter les réseaux entre eux en peu de temps.
Dans la pratique, cela veut dire qu’il n’y a plus de limite technique au dialogue entre deux ordinateurs.
Deux sites peuvent passer par Internet pour se connecter à leur siège. La communication sera
cryptée de bout en bout sur le réseau public (Internet) pour créer ainsi un réseau privé virtuel (ou VPN
en anglais).
L’ensemble de l’entreprise se fédère ainsi autour de différents serveurs qui permettent le partage de
ressources : données, applications, messagerie, accès internet, imprimantes, moyens de sauvegarde.
La facilité de mise en œuvre du réseau a fondamentalement démocratisé l’informatique en petite
entreprise.
SECTION 3. LA PYRAMIDE DES PROGRAMMES

Autre aspect essentiel à la compréhension d’un SI, un ordinateur exécute de manière simultanée
plusieurs programmes qui forment une pyramide (aussi appelée château de cartes.
DIATHESE ©
La pyramide des logiciels
Noyau de base
(BIOS)
Operating System
Moniteurs
(Mini & Main Frame)
Méthode d’accès fichier

SGBD
Langages
Applications utilisateurs
ESA 2005 DIATHESE ©
Nous allons brièvement présenter ce millefeuille en évitant toute indigestion :

• au plus proche du matériel (hardware) on trouve le BIOS 5 qui permet de gérer les paramètres
physiques essentiels et de lancer lors de l’allumage du PC le boot (chargement) du système
d’exploitation (ou Operating System) ;
• l’OS permet de gérer les ressources du processeur, de la mémoire et des périphériques. Il distribue
ces ressources entre des programmes selon de nombreuses contraintes. Cette couche est une
brique de base incontournable à qui veut construire un SI stable et évolutif en respectant des
5
Basic Input Output System. Sur un gros système, une fonction équivalent existe (Inital Program Loader).
contraintes de coût et de maintenabilité. Les OS pour plateforme PC sont nombreux, mais passer de
l’un à l’autre n’est pas aussi simple qu’il y paraît ;
• les moniteurs sont des outils réservés aux serveurs de taille importante afin de distribuer
simultanément de la ressource à de multiples utilisateurs. Dans un environnement client léger tel
Citrix ou TSE, les serveurs qui hébergent chacun entre 15 et 20 postes clients disposent d’un
moniteur temps partagé même si on ne lui donne pas ce nom ;
• à ce niveau de la pyramide, on sait faire tourner un programme mais encore faut-il accéder à des
données. Avant la généralisation des bases de données, chaque OS fournissait une ou plusieurs
« méthodes d’accès » aux données ;
• aujourd’hui, la base de données assure cette couche de gestion des données indépendante des
traitements (programmes). Nous revenons ci-après sur ce composant essentiel ;
• les applications de l’utilisateur ne sont qu’une petite partie émergée qui ne peut fonctionner qu’avec
tout ce qui a été évoqué ci-dessus.
La conséquence de tout cela est que l’utilisateur final ne dispose d’un système opérationnel que si
toutes les couches fonctionnent et interagissent normalement… Au regard de la trop grande hâte à
« sortir » des logiciels, nous constatons tous au quotidien que ce fonctionnement sur l’ensemble des
couches est loin d’être garanti.
SECTION 4. LE RÔLE PARTICULIER DES BASES DE DONNÉES

La base de données est un élément important du contrôle interne des applications informatiques.
Nous allons expliquer pourquoi.
Une base de données correctement paramétrée agit comme un gardien des données de l’entreprise.
Elle est indépendante des traitements, langages, requêteurs ou autres outils qui demandent un accès
aux données.
Cette séparation des fonctions garantit l’application de certaines règles du type :
• aucune suppression de client n’est possible s’il existe une facture qui lui est rattachée (contrainte
d’intégrité) ;
• aucune création de fournisseur ne peut conduire à l’existence de deux codes identiques (identifiant
unique) ;
• lors de chaque insertion/suppression/modification, l’ensemble des contraintes sont vérifiées. Il est,
par ailleurs, possible de déclencher automatiquement des traitements spécifiques.
Si ces règles ne sont pas respectées, la base refuse la demande (aussi appelée requête) transmise
par le traitement (application, outil, etc.) appelant.
Autres aspects « contrôle interne » de la base de données :
• elle contrôle l’accès aux données en fonction de droits (utilisateurs, serveurs, traitements) qui lui ont
été paramétrés ;
• elle garde la trace des accès et enrichissements de données ;
• elle dispose d’un dictionnaire permettant de définir les champs des tables mais à un niveau
d’abstraction supérieur, les notions importantes de client, de produit, etc.
207611TDPA0115 37
SECTION 5. L’ORGANISATION D’UN SI
DIATHESE ©
L'organisation du SI repose sur une structure type
Norme méthodes Direction SI Architecture tech.
Études Exploitation
Équipe du Équipe
Système réseau
projet d’exploitation
Responsable sécurité
ESA 2005 DIATHESE © 37
On remarquera que cette organisation bicéphale est naturellement inspirée par le principe de
séparation des fonctions.
Imaginons le risque pris dans une organisation lorsque des individus peuvent agir quasiment sans
contrôle sur les données et les traitements.
On observera que la connaissance des traitements permet aussi de comprendre (en partie) le contrôle
interne et donc de prévenir la détection d’une fraude. On comprend mieux pourquoi les mécanismes
de contrôle d’accès ont pour objectif de cloisonner les informaticiens afin de maintenir cette
étanchéité.
Dans une petite structure, le faible nombre de collaborateurs rend difficile voire impossible
cette séparation des fonctions. Le CAC doit tenir compte de cette situation dans l’appréciation
du risque inhérent et de son contrôle.
Études Production
Assurer le fonctionnement permanent
Analyser les besoins d’évolution
des infrastructures (serveurs réseau,
Proposer des solutions
etc.)
spécifiques/progiciel
Permettre l’installation de nouvelles
Objectifs Acquérir et paramétrer ces systèmes
applications
Maintenir en fonctionnement les
Assurer la sécurité physique des
applications
installations
Assister les utilisateurs au quotidien
Assurer les sauvegardes
Découpage en projet informatique avec
Organisations
un chef de projet, des analystes et des
spécifiques
développeurs
Administrateur de données
Fonctions annexes Space manager (il supervise l’occupation
Urbanistes
(grands comptes) des disques)
Testeurs
Intervention immédiate sur des
Rythme de vie Cycle long en général
problèmes
En PME, le responsable informatique fait tout ou partie de ces diverses tâches. En pratique, il assure
principalement les points suivants :
• la gestion des droits des utilisateurs ;
• le fonctionnement du réseau (rarement son optimisation ou sa sécurité) ;
• les sauvegardes (avec une efficacité inégale), nous le verrons sur les points de contrôle clés
de la RGI (revue générale informatique).
Et accessoirement ces derniers :
• la protection contre le spam et les virus ;
• la sauvegarde des données locales des postes (qui ne devraient pas exister) ;
• le space management et l’optimisation des disques comme des bases de données.
Très à la marge :
• la politique de sécurité ;
• la gestion de parc ;
• le respect des contraintes réglementaires.
Tout ceci est normal, il n’est pas possible de demander à une même personne de s’investir dans des
aspects aussi différents et par ailleurs éloignés de l’attente d’une direction de PME.
La « solitude » de cette personne est à comparer à celle du comptable unique.
C’est pourquoi un responsable informatique de PME ne doit pas être laissé seul. Il faut régulièrement
des éléments de coaching ou de questionnement qui maintiennent en éveil les qualités de la personne
concernée.
CHAPITRE 3. LES POINTS DE CONTRÔLE CLÉS

DE LA REVUE GÉNÉRALE
Ce sujet est traité sur deux supports dissociés permettant une utilisation opérationnelle :
• un mémento de travail expliquant les objectifs de contrôle et les moyens de les mettre en œuvre
dans un environnement moyenne entreprise ;
• un support appelé feuille de travail permettant de réaliser ladite revue.
REMARQUE
Il est indispensable de lire le mémento pour disposer des connaissances préalables requises pour une
RGI.
CHAPITRE 4. LES POINTS DE CONTRÔLE CLÉS

D’UN AUDIT DE PROJET
Le CAC ou EC peut, dans bien des situations, être appelé à construire une opinion sur un projet
informatique ou encore, à la demande de son client, émettre une opinion par rapport à une situation
préoccupante.
Il considère que :
• le projet fait prendre un risque de continuité ou de désorganisation à l’entreprise ;
• le projet représente une somme importante qui peut effectivement rester inscrite à l’actif après les
contrôles envisagés.
207611TDPA0115 39
PARTIE 2.
MÉMENTO DE TRAVAIL, REVUE DE SÉCURITÉ
INFORMATIQUE EN PME
TITRE 1. OBJECTIF DU MÉMENTO

Le présent mémento est un document de travail pour l’auditeur devant réaliser une revue de sécurité
informatique. L’objectif d’une telle mission est de mettre en évidence les forces et les faiblesses des
procédures informatiques. La RGI (revue générale informatique) vient en complément de la collecte
d’informations du dossier permanent.
Le présent document vous permet de mettre en œuvre le document de travail RGI pour sa
seconde partie relative à la sécurité. Cette partie étant relativement technique, il convient de
mettre à disposition du CAC ou EC un support lui permettant de mieux comprendre le
contexte, les objectifs de contrôle et les moyens de les mettre en œuvre.
En conséquence, ce document a pour objectifs :
• de mettre en place une approche standardisée servant de squelette à toutes les revues de sécurité ;
• faciliter la tâche des auditeurs non habitués à ce travail en leur indiquant, pour chaque domaine
étudié, l’objectif et les moyens de le réaliser.
Ce document est générique, les cas de figure sont innombrables suivant la taille, l’organisation et la
culture de l’entreprise… sans parler de son informatique. Par principe, il n’est donc pas adapté à
« votre mission ».
Ce document procède par assertions fondées sur de bonnes pratiques de haut niveau qui ne
s’imposent pas nécessairement chez « votre client ».
Relativisez tout cela avec le caractère stratégique du système d’information et la capacité de
l’entreprise à le remettre en marche après un sinistre. Une PME ne dispose pas (en général)
d’une vraie salle sécurisée pour ses serveurs (accès, incendie, etc.). Cette situation ne
constitue pas nécessairement une faiblesse. À l’auditeur d’apprécier ce risque en fonction des
impacts.
Le document de RGI vous assiste dans cette évaluation du risque inhérent lié au SI.
Dernière remarque préalable, la revue de sécurité peut se dérouler à plusieurs « niveaux de
profondeur » comme toute mission d’audit, selon les objectifs et le budget assignés. Il n’est
pas nécessairement utile au CAC de PME de vouloir valider le contrôle interne qui lui est
décrit.
Dans de telles conditions, il lui est possible de réaliser une RGI avec le support joint en une
journée environ.
207611TDPA0115 41
TITRE 2. RAPPEL HISTORIQUE DE L’INFORMATIQUE

DE LA SOCIÉTÉ
Objectif de travail
La connaissance de l’informatique de la société permet d’apprécier la situation actuelle d’une manière
circonstancielle et de la situer dans une perspective historique. Enfin, cette prise de contact permet de
situer les principales zones de risque (démarche type Revue analytique générale).
Moyens
Entretien avec la direction informatique et les utilisateurs. On retiendra les dates clés et les principales
évolutions.
TITRE 3. SÉCURITÉ PHYSIQUE

La sécurité physique regroupe l’ensemble des mesures visant à conserver les équipements
informatiques en parfait état de marche. La continuité du système d’information impose un plan de
back-up permettant de pallier une défaillance partielle ou totale du matériel informatique.
CHAPITRE 1. INFRASTRUCTURE PHYSIQUE

Objectifs de travail
Le matériel informatique est installé dans un bâtiment de construction solide à l’abri de toute source
d’humidité (fleuve, lac, réserve d’eau, etc.).
La salle informatique est entourée de murs « en dur ». Les fenêtres sont en double vitrage blindé. Les
portes donnant sur l’extérieur du bâtiment sont blindées, et disposent d’une détection d’ouverture
reliée à une alarme.
Ces mesures sont plus ou moins indispensables suivant qu’il s’agit :
• d’un centre informatique devant être hautement sécurisé ;
• d’une configuration de moindre importance ;
• d’un système micro utilisé dans un service utilisateur.
Moyens
• entretien avec le responsable informatique ;
• observation.
Sur ce dernier point, faite confiance au bon sens. Un plafond (ou des murs) où il y a des traces
d’humidité doit déclencher des questions : Pourquoi ? Quand ? Quelles mesures ont été prises ?
Sur la qualité des locaux, observez murs pleins ou simples cloisons, fenêtres simples avec ou sans
barreaux, etc.
CHAPITRE 2. PROTECTION INCENDIE

Pour une installation stratégique et complexe, s’assurer de l’existence et de l’efficacité des moyens de
protection incendie. Les matériels informatiques importants6 doivent être sous protection automatisée
au halon, CO2 ou eau pulvérisée, gaz FM 200 ou autre.
Dans tous les cas, le système de détection incendie coupe l’alimentation électrique avant de
déclencher le dispositif d’extinction. Il est à noter que le halon est progressivement interdit et que les
dispositifs à Sprinkler sont une alternative crédible en la matière.
Si le matériel fonctionne en permanence, ce dispositif déclenche une alarme auprès d’un service de
gardiennage interne ou externe.
Dans le cas d’un centre informatique devant garantir une disponibilité importante, le dispositif de
détection est relié au centre des pompiers le plus proche.
Dans le but de limiter le risque d’un sinistre grave, les réserves de consommables sont entreposées
dans une annexe de la salle informatique répondant aux mêmes conditions de sécurité.
L’ensemble de ce matériel est entretenu et testé de manière régulière par un personnel compétent.
Ces opérations sont consignées sur un registre.
Pour une configuration PME, avec des serveurs « classiques », un tel dispositif ne s’impose pas
nécessairement car ce type de serveur peut être remplacé aisément dès l’instant que des mesures
conservatoires sont prises par ailleurs.
Moyens
• Entretien avec le responsable sécurité ou le responsable de la salle machine.
• Description du dispositif.
• Revue des contrats d’entretien.
• Essais réguliers du système de détection/extinction.
• Observation (affichage des consignes).
• Entretien avec un pupitreur pour savoir si le personnel sait ce qu’il doit faire en cas de sinistre.
CHAPITRE 3. PROTECTION ÉLECTRIQUE

Un onduleur redresseur avec batterie-relais est l’équipement minimum permettant un arrêt « propre »
de l’ordinateur. Toutefois, ce système peut être complété par un groupe électrogène lorsque l’activité
de l’entreprise impose une disponibilité permanente du système informatique.
Dans ce dernier cas, le centre informatique dispose généralement des équipements suivants :
• un groupe électrogène, éventuellement doublé, capable d’alimenter l’ensemble des moyens
informatiques (unités centrales, périphériques, climatisation et réfrigération) ;
• une alimentation électrique sécurisée par une ou deux lignes EDF enterrées ;
• des lignes EDF arrivant dans un local sécurisé (infrastructure physique et contrôle d’accès).
6
L’importance doit être appréciée tant sur des critères financiers que stratégiques.
207611TDPA0115 43
L’ensemble de ce matériel est entretenu et testé de manière régulière par un personnel compétent.
Ces opérations sont consignées sur un registre.
En PME, le groupe électrogène destiné à un ou deux serveurs s’achète dans un magasin de
bricolage. Pour un site important, ce sont des moteurs diesels spécifiques.
Moyens
• Existence d’un réseau électrique dédié aux matériels devant être secourus.
• Essais réguliers du système.
• Existence d’un onduleur par serveur et par baie de brassage réseau.
• Observations.
CHAPITRE 4. CLIMATISATION/RÉFRIGÉRATION
Si l’entreprise utilise des serveurs micro classiques, une climatisation de bureau suffit amplement,
surtout si le matériel est isolé dans une pièce sans fenêtre.
Lorsque la configuration informatique est d’une certaine importance (mainframe ou gros mini), ou que
les conditions climatiques l’exigent, un dispositif de climatisation régule la température et l’hygrométrie
des locaux abritant le matériel informatique (unité centrale et périphériques).
Ce dispositif déclenche généralement une alarme lorsque la température ou l’hygrométrie ne sont plus
dans les normes admises par le constructeur du matériel.
Certaines unités centrales refroidissent leurs composants par un circuit d’eau réfrigérée, en
complément de la climatisation.
Dans le cas d’un site sécurisé, l’ensemble de ces équipements de climatisation/réfrigération est
redondant et toute défaillance est transmise à un service de surveillance interne ou externe.
Dans tous les cas de figure, l’ensemble de ce matériel est entretenu et testé de manière régulière par
un personnel compétent. Ces opérations sont consignées sur un registre.
Moyens
• Entretiens avec le responsable sécurité ou le responsable de la salle machine.
• Vérification régulière des équipements.
CHAPITRE 5. CONTRÔLE DES ACCÈS

L’ensemble des équipements informatiques est installé dans une salle dont l’accès est limité et
contrôlé (badge, clé, digicode, etc.).
Dans le cas d’un centre informatique devant garantir une sécurité optimale, les unités centrales,
disques, contrôleurs sont dans une salle dont l’accès est limité au seul personnel de maintenance
ainsi qu’à l’équipe système. Les équipements nécessitant une intervention manuelle régulière sont
dans une salle machine classique (imprimante, dérouleurs de bandes ou cartouches).
Moyens
• Entretien avec le responsable de la salle ordinateur.
• Observation.
CHAPITRE 6. CONDITIONS D’HYGIÈNE

Tout matériel informatique impose une certaine propreté de l’environnement de travail. Il convient
notamment de s’assurer que la salle machine est correctement rangée et nettoyée.
Si cette salle dispose d’un faux plancher, celui-ci est nettoyé régulièrement.
Moyens
• Observation et bon sens.
CHAPITRE 7. MAINTENANCE DU MATÉRIEL

Dans le but de s’assurer de la maintenance régulière du matériel, l’existence des documents suivants
est vérifiée :
• contrat de maintenance ;
• registre permettant de retracer les interventions.
Lorsque les pannes matérielles pénalisent le fonctionnement du système d’information, différentes
causes peuvent être identifiées :
• matériel obsolète, mal utilisé ou surchargé ;
• maintenance préventive défaillante.
Un contrat de maintenance n’est pas indispensable pour une configuration micro monoposte dès
l’instant qu’il s’agit d’un matériel standard utilisé pour des applications non stratégiques.
Moyens
• Entretien avec le responsable système ou le responsable informatique.
• Analyse du registre des interventions afin d’évaluer leur nombre et leur impact.
207611TDPA0115 45
CHAPITRE 8. CONTRAT D’ASSURANCE

DES BIENS INFORMATIQUES
Cet objectif de contrôle apporte une forte valeur ajoutée pour le dirigeant car on traite d’un sujet
sensible. Hélas, ce travail d’épluchage de contrat consomme du temps. Personnellement, je procède
comme suit :
• étude du périmètre du contrat (ce qui est couvert et pour quels risques) ;
• actualisation du contrat en cas de mouvement significatif du parc (de quand date le dernier
avenant ? quelle est la procédure ?) ;
• vérification de la cohérence des exclusions et de leur connaissance par la direction.
Le coût d’une configuration informatique nécessite qu’une assurance soit souscrite pour couvrir les
risques suivants :
• incendie ;
• dégâts des eaux ;
• vol ;
• vandalisme ;
• catastrophes naturelles.
Cette police couvre l’ensemble des équipements. Une attention toute particulière doit être portée à la
mise à jour de la liste du matériel déclaré au fur et à mesure des évolutions de configuration (cet
aspect administratif est souvent négligé par les informaticiens). Lorsque la valeur déclarée correspond
à une valeur de remplacement, il importe de réévaluer au minimum une fois l’an la valeur déclarée de
chaque bien car :
• des modifications de configuration impliquent d’entrer les nouveaux biens et de sortir les anciens ;
• la valeur du matériel ayant tendance à baisser, la valeur de remplacement d’un matériel équivalent
suit généralement une courbe descendante au fur et à mesure de son obsolescence.
Moyens
• Revue du contrat d’assurance pour recenser les risques couverts.
• Revue de la procédure de mise à jour.
• Vérification de la liste du matériel déclaré sur le dernier avenant.
CHAPITRE 9. PLAN DE SECOURS INFORMATIQUE (PSI

OU DISASTER RECOVERY PLAN – DRP)
SECTION 1. PROBLÉMATIQUE
Le système d’information est souvent un élément stratégique, voire vital, de l’organisation de
l’entreprise. Aucun équipement ou centre informatique ne peut garantir une disponibilité de 100 %
dans le temps. Lorsqu’il ne s’agit pas d’une insuffisance de sécurité physique, cela peut être
simplement un mouvement de grève qui paralyse le centre de traitement. Pour exemple, les grèves de
1981 ont bloqué totalement le CTI parisien de la Société Générale durant plusieurs semaines.
Le plan de secours informatique n’est donc pas un exercice intellectuel mais une démarche de
bon sens destinée à prévoir un risque qui, aussi faible soit-il, existera toujours. Cette étude
doit naturellement tenir compte de l’évaluation du risque faite en début de mission.
Lorsqu’un décideur ne perçoit pas l’utilité d’une telle démarche, posez-lui les questions suivantes :
• si ce soir votre équipement informatique est hors service, combien de temps votre entreprise peut-
elle fonctionner ?
• quelles sont les applications les plus indispensables à l’entreprise ?
• comment, et à quel prix, les informaticiens et les utilisateurs vont-ils restaurer le système
d’information ?
• existe-t-il des procédures dégradées pour fonctionner temporairement en mode manuel ?
Aucun décideur prudent et avisé ne peut rester indifférent à cette problématique. Mais il est assez
fréquent de constater que cette éventualité n’a jamais donné lieu à une ébauche de solution ni même
à la mise en place d’une procédure réaliste et formalisée. Les éventualités du style : « on fait
confiance à notre fournisseur pour nous dépanner dans les meilleurs délais » ne sont que feu de
paille. En effet, un sinistre informatique déstabilise les hommes et l’organisation de l’entreprise. Dans
un tel contexte, l’improvisation et la créativité se révèlent généralement insuffisantes. Les gens
inconséquents comptent souvent sur la chance mais c’est rarement l’approche idéale.
Car toute la difficulté de cet exercice consiste à prévoir une situation de crise généralement inconnue :
• quels sont les moyens matériels, logiciels et humains nécessaires aux différents scénarios ?
• comment préparer leur mise en œuvre rapide ?
• quelles sont les applications à sauvegarder et selon quelles priorités (cette seule question est du
ressort des différentes directions de l’entreprise et en dernier lieu de la direction générale) ?
Toute cette démarche n’a de sens que si elle est formalisée et régulièrement testée.
Contrairement à une attitude souvent constatée, la PME doit mener la même réflexion. Les
architectures actuelles, basées sur des serveurs micro autour d’un réseau privé virtuel, facilitent
grandement la répartition du risque sur plusieurs serveurs de deux sites différents.
SECTION 2. PREMIÈRE ÉTAPE : LE SITE DE SECOURS

La première question reste la plus délicate : sur quel matériel de secours va-t-on fonctionner ?
Solutions Remarques
C’est la meilleure solution car la plus maîtrisable
Utilisation d’un autre CTI de l’entreprise. (encore faut-il avoir plusieurs sites et de
puissance comparables).
C’est une solution coûteuse mais un
professionnel de la sauvegarde (back-up)
Passer un contrat avec une firme spécialisée. apporte des conseils sur le plan technique et
impose des tests périodiques (souvent 2 par
an).
C’est souvent scabreux et inopérant car cela
Passer un contrat avec une entreprise
suppose beaucoup de rigueur et de volonté de
disposant de matériel similaire.
part et d’autre.
Disposer d’une salle machine externe (vide) et
Cette solution suppose un temps de mise en
négocier une livraison rapide avec les
œuvre relativement long.
fournisseurs de matériels.
Toutes ces solutions supposent une charte voire un contrat précis indiquant les modalités et
obligations des parties.
Tout plan de secours suppose l’existence de sauvegardes externes récentes et complètes (données,
programmes et système d’exploitation).
207611TDPA0115 47
SECTION 3. SECONDE ÉTAPE : LA DÉMARCHE DU PLAN DE SECOURS

Passée la première étape et le choix de la solution, il reste la mise en œuvre opérationnelle de ce
plan, ce qui suppose :
• la détermination des applications prioritaires dans le cadre du plan ;
• l’évaluation périodique des applications pouvant être secourues sur le (les) site(s) de secours et
éventuellement la mise à niveau des performances de leurs équipements ainsi que des moyens de
télécommunications ;
• le contrôle périodique de la compatibilité des systèmes d’exploitation et de leur paramétrage ;
• la rédaction et la mise à jour des procédures de mise en œuvre ;
• éventuellement la négociation d’un contrat de livraison rapide pour certains équipements
informatiques.
Cette démarche de remplacement des ressources matérielles du système d’information peut être
complétée par des procédures, dites « dégradées », permettant aux utilisateurs de travailler
manuellement en l’attente d’une remise en service du système informatique.
Certaines entreprises intègrent le plan de secours informatique dans une démarche de plan de
continuité des activités de l’entreprise (PCAE ou Business Continuity Plan – BCP). Celui-ci constitue
une approche plus globale de substitution d’une « unité administrative » (qui peut être le siège de la
société) en cas de sinistre grave.
Prendre connaissance du contexte et des modalités retenues pour en apprécier l’efficacité potentielle.
Moyens
• Entretien avec le responsable sécurité ou le responsable informatique.
• Éventuellement consulter la direction générale.
TITRE 4. SÉCURITÉ LOGIQUE

La sécurité logique est constituée de l’ensemble des mesures destinées à protéger les données et les
logiciels qui en assurent le traitement.
CHAPITRE 1. SÉPARATION DES ENVIRONNEMENTS

ÉTUDES/EXPLOITATION
Les principes généraux du contrôle interne imposent que les personnes qui développent les
applications ainsi que ceux qui gèrent le fonctionnement de l’ordinateur (équipe système) ne puissent
pas accéder aux fichiers de « production ».
Cette séparation des environnements sous-entend que le personnel des études ne peut :
• accéder (même en consultation) aux fichiers de production ;
• transférer ou modifier un programme en production (ce qui normalement suppose une procédure de
recette en exploitation).
De même, le personnel d’exploitation ne peut pas avoir accès aux programmes en exploitation.
Deux cas de figure viennent limiter l’application de ce principe :
• lorsque le service informatique est composé de trop peu de personnes pour qu’une telle séparation
des tâches soit envisageable ;
• lorsque le matériel/logiciel ne permet pas de limiter l’accès aux fichiers. Ce cas de figure est assez
fréquent :
- configuration OS sans l’installation effective d’un logiciel de sécurité (RACF, ACF2, Sécure, Top
secret, etc.) ;
- configuration des postes clients sans fonction de sécurité correctement installée.
Moyens
• Entretien avec le responsable sécurité ou le responsable système.
• Entretien avec un programmeur pour confirmer.
CHAPITRE 2. LIMITATION DES ACCÈS AUX UTILITAIRES

ET FICHIERS SYSTÈME
Certains utilitaires systèmes sont dangereux quand ils sont utilisés par des personnes incompétentes
ou mal intentionnées. De plus, ces utilitaires ont souvent la fâcheuse tendance à outrepasser les
protections instaurées par un logiciel de sécurité. En conséquence, l’accès à ces utilitaires doit être
strictement limité aux personnes qui en ont besoin (équipe système).
Au-delà de ces mesures préventives, la grande majorité des systèmes peut conserver la trace des
principaux événements passés (mouchard ou log system). Un tel dispositif constitue une piste d’audit
bien utile pour trouver l’origine des problèmes systèmes ou des fraudes. Les responsables sécurité
informatique ou les audits « système » l’analysent sur différents critères. Il est donc impératif que ce
mouchard soit sauvegardé périodiquement.
Moyens
• Entretien avec un programmeur pour confirmer.
CHAPITRE 3. LIMITATION DES ACCÈS

AUX TRANSACTIONS OU PROGRAMMES
Contexte
L’accès au « traitement » est fondamental pour le respect du contrôle interne. Ce contrôle d’accès se
réalise généralement à deux niveaux :
• accès au poste et ouverture d’une session sur le réseau (contrôle assuré par Windows, TSE, Citrix,
etc.) ;
• accès aux différentes fonctions au sein d’un logiciel. Ce contrôle est généralement assuré par le
logiciel en question qui a pu pour cela demander à l’utilisateur un code utilisateur et un mot de
passe.
207611TDPA0115 49
La grande majorité des systèmes informatiques fonctionne (au moins pour partie) en temps réel. Cette
évolution permet une meilleure disponibilité de l’information mais pose le problème du contrôle
d’accès (niveau d’autorisation) aux transactions.
Au cas présent, comment l’entreprise s’assure-t-elle que seuls les utilisateurs « autorisés » ont accès
aux transactions qui leur sont nécessaires ?
Pour garantir ce contrôle d’autorisation, les mesures suivantes sont généralement utilisées :
• chaque utilisateur dispose d’un identifiant et d’un mot de passe (individuels). La rotation de ce
dernier est imposée régulièrement et l’on ne peut réutiliser un mot de passe ;
• chaque profil utilisateur ne donne accès qu’à un nombre limité de transactions ;
• les transactions les plus sensibles ne sont accessibles que sur certains écrans.
Moyens
• Entretien avec un utilisateur pour confirmer.
• Observation.
TITRE 5. PROCÉDURE DE SAUVEGARDE

Il n’est pas nécessaire de rappeler l’importance de la sauvegarde des fichiers (programmes, données,
script, système, etc.). Toutefois, avant de « plonger » dans la procédure, nous devons garder à l’esprit
certains principes généraux.
CHAPITRE 1. RAPPEL DE QUELQUES PRINCIPES

Commençons par la définition même de la sauvegarde : il s’agit de la copie sur un support externe de
données, programmes ou paramètres en vue du rétablissement d’un fonctionnement après une
défaillance (détérioration du disque), une erreur (effacement), un accident (incendie) enfin, une
malveillance (altération volontaire d’une base de données).
Eu égard à leur objectif, les procédures de sauvegarde revêtent un caractère vital : elles sont
destinées à assurer la continuité du système d’information dont l’entreprise a besoin pour fonctionner
chaque jour.
CHAPITRE 2. SAUVEGARDES OU ARCHIVES ?

La sauvegarde ne peut être confondue avec la notion d’archive : une sauvegarde ne « vaut » plus rien
quelques jours seulement après sa création ; une archive, au contraire, est justement créée pour
durer.
Les systèmes informatiques utilisent trois techniques :
• la réplication : les données sont copiées régulièrement et systématiquement afin de permettre un
démarrage rapide en cas de dysfonctionnement de disque. C’est le principe du RAID. C’est donc
une fonction technique orientée vers un fonctionnement temps réel (mirroring). Ce mécanisme est
transparent pour les utilisateurs comme pour les informaticiens ;
• la sauvegarde : il s’agit de mémoriser différentes versions (ou images) d’un même fichier afin de
pouvoir revenir sur la version –1, –2,…–N lorsque l’on constate une dégradation d’un fichier ou pour
identifier les modifications entre 2 versions. Ici encore la fonction est technique. En l’absence de
réplication, c’est la sauvegarde la plus « fraîche » qui permet de garantir la continuité du service. La
pertinence de la sauvegarde décroît au fil du temps ;
• l’archivage : l’objectif est de constituer un ensemble cohérent d’informations, représentatif d’une
période donnée. Le stockage est fait après validation « utilisateurs » de cette période et dans des
conditions techniques qui garantissent une longue conservation. L’archive est atemporelle, son
utilité est indépendante de son antériorité.
CHAPITRE 3. PÉRIMÈTRE DE LA SAUVEGARDE

A priori, l’ensemble des données et programmes du système central doit être globalement
sauvegardé, en optant pour une solution totale : la sauvegarde est la copie pure et simple de l’état du
système à un instant t. Au cas où les volumes concernés excèdent la capacité des supports, on
découpe les sauvegardes en unités logiques, mais il vaut mieux alors faire appel à des professionnels
pour l’organisation de ces procédures. Enfin, si des données importantes sont stockées sur des
stations du réseau, on exécutera des sauvegardes à distance de ces dernières.
CHAPITRE 4. MÉTHODE DE SAUVEGARDE

La méthode la plus simple sera la plus efficace : un support = une sauvegarde totale du serveur. Les
méthodes peuvent devenir plus complexes si la configuration y oblige : sauvegardes incrémentales,
différentielles, etc. peuvent s’avérer utiles voire nécessaires ; mais là encore on s’adjoindra
impérativement les services de spécialistes.
CHAPITRE 5. ROTATION DES SUPPORTS

Une organisation simple et classique consiste à faire correspondre les supports de sauvegarde avec
les jours de la semaine : il y a la « bande du lundi », la « bande du mardi », etc. Cette rotation
implique une durée de vie des supports d’une semaine ouvrée : une semaine et un jour après la
sauvegarde, il n’y a plus aucun moyen de restaurer la situation antérieure d’une semaine. La
constatation d’un incident étant parfois tardive, l’enjeu des sauvegardes est aussi de permettre de
remonter dans le temps pour un fichier détérioré depuis plusieurs jours et donc sauvegardé en l’état
plusieurs fois. En fonction du rythme de vie du fichier concerné, il faudra remonter à la sauvegarde
précédant l’incident ayant endommagé le fichier. Il est donc nécessaire que les cycles se recouvrent
par une augmentation du nombre de jeux.
Cette rotation minimale peut avantageusement être remplacée par des procédures plus sécurisées :
rotations sur un mois, multiplicité et redondance des sauvegardes, copies de disque à disque,
adjonction aux sauvegardes totales de sauvegardes différentielles, etc.
207611TDPA0115 51
CHAPITRE 6. STOCKAGE DES SUPPORTS

On voit trop souvent des bandes de sauvegarde « traîner » au voisinage des serveurs : qu’un incendie
survienne et le support de secours brûle en même temps que le système tout entier. Immédiatement
après toute utilisation, les supports récemment utilisés doivent être rangés dans des coffres ignifugés
et anti-magnétiques ou tout simplement dans un local suffisamment éloigné. Ils doivent être
correctement étiquetés et datés.
Une organisation fréquemment rencontrée consiste à ce que le responsable des sauvegardes
emporte à son domicile la copie la plus récente. C’est simple et très efficace dans une structure petite
et moyenne.
CHAPITRE 7. SURVEILLANCE DES OPÉRATIONS

DE SAUVEGARDE
L’utilité d’une sauvegarde repose sur sa capacité à restituer des informations perdues ou altérées.
Pour cela, il est particulièrement important de s’assurer de la bonne fin des opérations de sauvegarde.
Autrement dit, chaque support de sauvegarde présente une valeur dès l’instant que l’on s’assure qu’il
peut être relu et qu’il contient réellement l’information attendue. Il faut savoir que tout support
magnétique peut être l’objet de défaillance.
Une sauvegarde sans test de relecture donne l’apparence de la sécurité mais relève de
l’inconséquence.
Une personne responsable doit être nommée pour veiller à ce que la sauvegarde a bien eu lieu et
qu’elle s’est correctement déroulée. Le plus souvent, les sauvegardes ont lieu la nuit, quand la
production informatique est la moins active. La plupart des logiciels de sauvegarde sont en mesure
d’imprimer automatiquement un « fichier log » des opérations réalisées et de leur qualité ; on ajoutera
utilement à cette impression l’émission d’un message électronique aux personnes intéressées.
En résumé, il ressort clairement qu’une personne doit être nommément désignée pour surveiller au
jour le jour ces procédures ; cette personne doit avoir un remplaçant désigné à l’avance pour les
périodes d’absence. Le niveau technique du responsable peut, dans bien des cas, être relativement
faible ; d’une rigueur irréprochable, cette personne s’assurera des points suivants :
• les bons supports sont bien en place au moment choisi ;
• la sauvegarde programmée a bien eu lieu et s’est bien déroulée ;
• les supports sont bien rangés et étiquetés dans les lieux prévus à cet effet ;
• les documents attestant du bon déroulement sont bien archivés.
CHAPITRE 8. COMMENT UTILISER LE SUPPORT

DE RGI JOINT
SECTION 1. IDENTIFICATION DU PÉRIMÈTRE DE LA SAUVEGARDE

Pour chaque cycle de sauvegarde (C1,… C4), il est important de déterminer ce qui est sauvegardé :
Connaissez-vous le périmètre des fichiers
C1 C2 C3 C4
sauvegardés et notamment
Les programmes des applications
Les données permanentes des applications
Les documents des utilisateurs
Le système d’exploitation du serveur
• Qui paramètre et contrôle ce périmètre de sauvegarde ?

• Comment s’assure-t-on que le périmètre est à jour, compte tenu des installations/suppressions de
logiciel sur le serveur ?
SECTION 2. RÉSUMÉ DE LA SITUATION PAR LE TABLEAU CI-APRÈS

Fréquence de Nature : Nombre Stockage (lieu, accès, conditions
Cycle
sauvegarde copie de jeux température, etc.)
Quotidienne C1
Hebdomadaire C2
Mensuelle C3
Annuelle C4
SECTION 3. DÉCLENCHEMENT DES SAUVEGARDES

Les opérations de sauvegarde sont, elles, déclenchées :
• automatiquement par un logiciel ;
• manuellement par un utilisateur ?
Si le déclenchement est manuel, comment contrôler la permanence des opérations ?
SECTION 4. IDENTIFICATION DES SUPPORTS DE SAUVEGARDE

Quelle technique permet de différencier la sauvegarde du lundi de celle du mardi, celle de janvier de
celle de juin ?
• un label informatique mémorisé sur la bande et contrôlé par le logiciel de sauvegarde ;
• un étiquetage que l’utilisateur doit respecter.
SECTION 5. MÉTHODE DE CONTRÔLE DE LA SAUVEGARDE

Pour chaque fréquence de sauvegarde, décrire la méthode de contrôle permettant de s’assurer de la
qualité de la sauvegarde.
Ce contrôle de qualité peut être réalisé par les approches suivantes :
• relecture et comparaison exhaustive du support de sauvegarde avec les fichiers sauvegardés
(méthode recommandée) ;
• même processus par sondage sur certains fichiers ;
• vérification de l’index de la bande.
207611TDPA0115 53
SECTION 6. STOCKAGE DES SUPPORTS DE SAUVEGARDE

Les supports anciens sont archivés dans un coffre ignifugé d’une salle sécurisée située dans un
bâtiment dont l’accès est contrôlé. La sauvegarde la plus récente est stockée dans un bâtiment autre
que celui abritant la salle informatique.
Les supports sont tous dans une armoire classique.
Les supports sont à proximité du serveur pour faciliter les manipulations.
CHAPITRE 9. PROCÉDURE DE FIN D’EXERCICE

En PME, la sauvegarde de fin d’année est faite à des fins d’archivage légal et fiscal. Nous avons
expliqué les différences importantes entre sauvegarde et archive et il faut vérifier si les données ont
été purgées et agrégées et si des sauvegardes préalables ont été réalisées.
Les contraintes liées à l’archivage fiscal devront être respectées, en particulier le périmètre de
conservation doit englober :
• les données de gestion qui servent à l’élaboration de la comptabilité ;
• une image figée des programmes et paramètres des applications.
La sauvegarde est réalisée après tous les travaux de contrôle de fin d’année si bien qu’elle présente
l’ensemble des données validées de l’exercice.
La technique présente des garanties suffisantes de conservation (support) et de réutilisation
(sauvegarde logique et test de relecture).
TITRE 6. CONTRAINTES LÉGALES

Le droit de l’informatique est un domaine complexe qu’il convient d’aborder sous des éclairages
propres à la nature de la mission, en particulier celle de commissariat aux comptes.
CHAPITRE 1. LOI INFORMATIQUE ET LIBERTÉS

DU 6 JANVIER 1978
La loi 78–17 du 6 janvier 1978, relative aux traitements automatisés de données nominatives
concernant des personnes physiques, impose à toute personne de déclarer ces fichiers à la Cnil
(Commission nationale informatique et libertés).
Sont considérés comme nominatifs les fichiers identifiant les personnes :
• soit directement par leur nom ;
• soit indirectement par un code ou numéro de matricule individuel.
Toutefois, bon nombre d’applications standards peuvent bénéficier d’une déclaration simplifiée dès
lors qu’elles remplissent certaines conditions. Les autres traitements doivent faire l’objet d’une
déclaration ordinaire.
Les principaux délits retenus par ce texte concernent :

• la création de fichiers non déclarés ;
• l’enregistrement ou la conservation illicite d’informations nominatives ;
• le détournement de finalité de traitement d’information nominative ;
• la divulgation illicite d’information nominative ;
• la collecte d’information nominative sans avoir informé les personnes interrogées ;
• l’entrave à l’action de contrôle de la Cnil ;
• l’entrave aux droits d’accès ou de rectification des intéressés.
Moyens
Entretien avec le responsable informatique ou le responsable des études. Il est nécessaire de
procéder à un recensement exhaustif de tous les fichiers concernés.
CHAPITRE 2. APPRÉCIATION DU NIVEAU

DE DOCUMENTATION
La documentation des applications est une contrainte légale imposée par plusieurs textes.
Plan comptable général 1982
L’arrêté du 27 avril 1982 prévoit que :
« Le système de traitement doit garantir toutes possibilités d’un contrôle éventuel. » (al. 1)
Et plus particulièrement :
« L’exercice de tout contrôle doit comporter droit d’accès à la documentation relative aux analyses,
à la programmation et à l’exécution des traitements. » (al. 5)
Obligations comptables des commerçants et de certaines sociétés
Le décret du 29 novembre 1983 mentionne que :
« Un document décrivant les procédures et l’organisation comptable est établi par le commerçant
dès lors que ce document est nécessaire à la compréhension du système de traitement et à la
réalisation des contrôles. »
Obligations de sources fiscales
Elles découlent de l’article L. 13 du LPF (modifié par la loi de finance 1990, art. L. 102B du LPF) qui
prévoit la possibilité d’un contrôle de l’administration portant sur les « informations, données et
traitements informatiques qui concourent, directement ou indirectement, à la formation des résultats
comptables ou fiscaux ainsi que sur la documentation relative aux analyses à la programmation et à
l’exécution des traitements ».
Ces mesures ont été complétées de sanctions fiscales lourdes (art. L. 74 du LPF), notamment
l’évaluation d’office pour opposition à contrôle, lorsque l’entreprise ne peut fournir à l’administration les
fichiers ou documentation d’analyse-programmation.
Il convient donc de faire une revue limitée de quelques dossiers d’analyse (y trouve-t-on le minimum
nécessaire ?) et de dresser un état de la documentation des applications.
207611TDPA0115 55
Moyens
• Entretien avec le responsable des études.
• Revue de dossier.
• Observation.
CHAPITRE 3. APPRÉCIATION DU NIVEAU

DE SAUVEGARDE
Objectif de travail
S’assurer de l’existence de sauvegarde des informations ayant concouru à la formation du résultat
comptable ou fiscal. Les programmes utilisés à la clôture d’un exercice pouvant être modifiés par la
suite, il convient de les sauvegarder ainsi que leur documentation.
Moyens
Entretien avec le responsable de l’exploitation.
CHAPITRE 4. LOI N° 85–660 DU 3 JUILLET 1985

RELATIVE À LA PROTECTION DES LOGICIELS
ET DES PROGICIELS
Cette loi protège la propriété intellectuelle des concepteurs de logiciels contre la copie ou l’utilisation
non autorisée.
Objectif de travail
L’entreprise a-t-elle pris des mesures préventives de sensibilisation du personnel et de contrôle des
PC pour éviter la transmission et l’utilisation de copies pirates ?
Moyens
Entretien avec le responsable informatique, éventuellement l’audit interne.
CHAPITRE 5. LOI N° 88–19 DU 5 JANVIER 1988

RELATIVE À LA FRAUDE INFORMATIQUE
Cette loi protège les propriétaires d’un système informatique contre une série d’actes de malveillance
ou de « piraterie » :
• accès ou maintien frauduleux dans un système informatique ;
• accès ou maintien frauduleux dans un système informatique avec dommages involontaires ;
• modification ou suppression de données, altération du fonctionnement du système ;
• entrave volontaire au fonctionnement d’un système informatique ;

• introduction, suppression, modification intentionnelles de données ;
• suppression, modification intentionnelles du mode de traitement, des transmissions de données ;
• falsification de document informatique, usage de document falsifié.
Objectif de travail
L’entreprise a-t-elle pris des mesures préventives de sensibilisation du personnel et de contrôle des
postes de travail et des serveurs pour éviter les intrusions et l’utilisation des ressources de l’entité
comme relais pour des intrusions sur des systèmes tiers ?
Moyens
Entretien avec le responsable informatique, éventuellement l’audit interne.
207611TDPA0115 57
PARTIE 3.
REVUE GÉNÉRALE INFORMATIQUE
TITRE 1. LA LISTE DES APPLICATIONS

Objectifs : recenser le parc des applications de l’entreprise.
Application (fournisseur) Fonctions Remarques
Gestion commerciale
Stock/gestion production
Paye
Comptabilité
Achats et stocks Ventes Trésorerie
Paie Comptabilité Immobilisation
Légende
Interface automatique
Interface semi-automatique (intervention d'export et/ou d'import)
Interface manuelle (ressaisie)
TITRE 2. LES LIAISONS ENTRE APPLICATIONS

Objectifs : identifier les interfaces et évaluer les contrôles de ces dernières
Liaison Nature des contrôles
Type : Contenu/Fréquence Risque
ex. : Paie – (manuels ou
M/S/A(1) (M, H, Q)(2) (I, M, F)(3)
comptabilité automatisés)
(1) M = interface manuelle ; S = semi-automatique c’est-à-dire intervention d’un utilisateur ; A = automatique aucune
intervention.
(2) M = Mensuel, H = Hebdomadaire, Q = Quotidien.
(3) I = Important, M = Moyen, F = Faible.
207611TDPA0115 59
TITRE 3. L’ÉQUIPE INFORMATIQUE

Personne Num-poste Fonction
Directeur/responsable informatique
Analyste programmeur
TITRE 4. LES SERVEURS

Le parc de stations ou PC : indiquer les systèmes d’exploitation utilisés.
Modèle Utilisation
TITRE 5. LE NIVEAU DE RISQUE EN CAS DE SINISTRE
CHAPITRE 1. DURÉE D’INDISPONIBILITÉ DU SYSTÈME

En fonction du contexte et de la configuration informatique, combien de jours sont nécessaires pour
remplacer celle-ci suite à un vol ou à un incendie ?
Le tableau ci-après a pour objet de répondre aux interrogations suivantes :
• combien de jours d’arrêt informatique l’entreprise peut-elle tolérer ?
• sait-on travailler en mode « manuel » en se référant à des procédures dégradées ?
Conséquence d’un arrêt (jours)
Application Mesures dégradées
Faible Importante Vitale
Achat
Vente
Production
Paie
Comptabilité
CHAPITRE 2. COÛT D’INDISPONIBILITÉ DU SYSTÈME

Élément d’activité
CA annuel (si activité linéaire) ................................................................................................... 6 500 k€
CA journalier en période de pointe ...................................................................................... – ......... k€
Taux de perte de CA suite à un arrêt %
Perte du premier jour 0%
Perte du deuxième jour 0%
Perte du troisième jour 0%
Chaque jour suivant 40 %
Délai de reconstruction du système d’information Jours

Récupération d’un serveur 3,0
Configuration OS, outils et réseau 1,0
Restauration, applications et données 0,5
Récupération hub et câbles de secours -
Installation câblage volant -
Autres
Temps total d’indisponibilité en jours 4,5
Nombre d’utilisateurs dépendant du SI 15

Coût moyen chargé par collaborateur et par jour (k€) 1,8 en jour de CA
Coût des hub câbles PC de dépannage (k€) 2,0 0,1
Coût de ressaisie (k€) 0,5 -
Évaluation de perte de CA (k€) 18 0,6
Évaluation de coût d’indisponibilité (k€) 122 4,1
Évaluation de la perte globale (k€) 141 4,8
TITRE 6. LA REVUE DE SÉCURITÉ

Réf. Section Forces Faiblesses
Historique du système
RS1 Sécurité physique
RS1.1 Infrastructures physiques
Qualité des murs et fenêtres
Détection intrusion (alarme gardiennage)
RS1.2 Protection incendie
Dispositif détection/extinction
RS1.3 Protection électrique
Un onduleur avec batterie relais est en place sur chaque
serveur
RS1.4 Climatisation
RS1.5 Contrôle des accès
Contrôle d’accès de l’entreprise (jour/nuit)
RS1.6 Conditions de fonctionnement
Hygiène – Propreté
Rangement des locaux informatiques
Proximité d’autres risques
RS1.7 Maintenance du matériel
Des contrats existent pour les serveurs
RS1.8 Plan de secours informatique
Existence et documentation
Tests
207611TDPA0115 61

RS2 Sécurité logique
RS2.1 User-id et mot de passe au démarrage du PC
RS2.2 User-id et mot de passe à l’entrée des applications
RS2.3 User-id et mot de passe sont personnels
RS2.4 Renouvellement régulier des mots de passe
RS2.5 Gestion des profils d’accès sur les données bureautiques
RS2.6 Antivirus sur serveur et postes
RS2.7 Mise à jour antivirus
RS2.8 Verrouillage des configurations
RS3 Procédure de sauvegarde
RS3.1 Stockage externe
Cycle Contenu Jeux Stockage (lieu, accès, conditions température…)

Quotidienne
Hebdomadaire
Mensuelle
Annuelle

RS3.2 Contrôle de relecture
RS3.3 Sauvegarde des postes individuels (PC)
RS4 Contraintes légales
RS4.1 Loi informatique et libertés du 6 janvier 1978
Recensement et déclaration des fichiers : Déclaré Non déclaré
Clients pers. physiques (n° 11)
Suivi des temps
Suivi médical et formation du personnel (n° 46)
Log des connexions Internet
Taxateur téléphonique et messagerie (n° 47)
Site web
Contrôle d’accès, restauration, parking, visiteurs (n° 42)
habilitation et accès SI (n° 46)
RS4.2 Contrôle fiscal comptabilités informatisées
Archivage des données détaillées sur le délai de reprise
Existence Accès
Application Existence documentation
documentation programme
(fournisseur) technique
utilisateurs source

RS4.3 Loi 85-660 du 3 juillet 1985 relative à la protection
des logiciels
L’entreprise dispose d’une licence pour chaque poste
installé
UE 761
Audit des systèmes d’information DEVOIR 1
Année 2015-2016
À envoyer à la correction
Auteur : Philippe DAVADIE
EXERCICE – SOCIÉTÉ ERIC
Situation générale
Vous venez d’être embauché dans un grand cabinet d’audit et d’expertise comptable dont le président
se plaît à dire qu’il remonte à plusieurs siècles.
Une jeune entreprise de développements d’applications informatiques, ERIC (entreprise réactive
d’innovation constante), créée il y a cinq ans et qui développe notamment des applications
d’intermédiation pour ordiphones a fait appel à votre cabinet car elle souhaite préparer son
introduction en Bourse au mieux dans un an, au pire dans deux.
ERIC fonctionne encore comme une start-up : ses locaux sont installés dans un appartement dont le
père de l’un des dirigeants est propriétaire, un bazar certain y règne, mais ses bénéfices sont
importants et ses applications deviennent des « incontournables » que toute personne se voulant à
la pointe du progrès doit posséder. Ce faisant, elle s’est déjà fait un certain nombre d’ennemis parmi
ses concurrents déclarés ou potentiels.
Le patron de votre cabinet a décidé de vous mandater pour cette mission, sous la responsabilité et le
contrôle de M. Chenoque, expert réputé fort de ses 35 années d’expérience professionnelle au sein
de ce seul cabinet, et qui a l’entière confiance de votre patron.
La veille de votre départ en mission, vous êtes présenté à M. Chenoque qui, scrupuleux, souhaite
savoir si vous maîtrisez les connaissances suffisantes pour le seconder dans cette mission.
Partie 1
Après les mondanités d’usage, il vous pose les questions suivantes.
TRAVAIL À FAIRE
1. Quel est l’objectif du commissaire au compte et les moyens d’atteindre cet objectif ? (1 point)
2. Qu’est-ce que le contrôle interne ? (1 point)
3. Le SI est-il un mal nécessaire à l’entreprise ? (2 points)
4. Au cours de la mission à venir, faudra-t-il principalement auditer les écritures comptables ?
(2 points)
5. Quelles sont les normes d’exercice professionnel en vigueur et à quoi correspondent-elles ?
(2 points)
Partie 2
Le lendemain, après avoir passé la porte d’entrée de l’immeuble sans taper de digicode (désactivé
selon le patron d’ERIC) et poussé la porte de l’appartement (toujours ouverte pour faciliter l’accès des
livreurs selon la même personne), vous êtes dans les locaux de l’entreprise, prêt à débuter les
opérations sous l’œil pointilleux de M. Chenoque.
M. Hubert, patron de la société ERIC, explique à M. Chenoque qu’au cours du contrôle, ses accès au
SI de l’entreprise ainsi que les vôtres seront bridés et que, dans le cas où ils s’avéreraient insuffisants,
il suffira de demander une extension (en précisant laquelle) auprès de M. Vayroux, RSSI de
l’entreprise.
207611TDPA0115 63
Audit des systèmes d’information • Devoir 1
6. M. Chenoque reproche cet état de fait à M. Hubert en lui expliquant qu’il bride les opérations
avant même qu’elles débutent et que cela nuira à la qualité du travail effectué. Êtes-vous d’accord
avec M. Chenoque ? Justifiez votre réponse. (2 points)
7. Avant de débuter les opérations préalables à un éventuel CFCI, M. Chenoque vous demande de
rassembler la documentation nécessaire. Qu’allez-vous demander à l’entreprise ? (2 points)
8. Satisfait de ce que vous avez récupéré, M. Chenoque lance ses opérations. Soudain, il vous
convoque et vous montre ce qu’il estime être une modification d’écriture validée. Il vous semble
que cette modification pourrait être la conséquence d’une opération rétroactive. Est-ce légal ?
(2 points)
9. Dans le paquet de documents qui vous a été remis, vous remarquez une demande d’accès d’un
client à ses données personnelles détenues par la société ERIC. Cet utilisateur a-t-il le droit
d’effectuer une telle démarche ? Rappelez ses droits et les règles relatives au traitement des
données personnelles. (2 points)
10. En discutant avec les employés d’ERIC, vous constatez que l’esprit start-up anime encore
l’entreprise et que la rigueur pourrait être accrue. Plusieurs postes informatiques (PC et serveurs)
sont branchés sur la même multiprise électrique, de la documentation jonche le sol, les
développeurs sont dans la même pièce que les administratifs, etc. Quels sont, d’après vous, et en
vous inspirant du mémento de travail, les risques principaux que court cette entreprise ? (4 points)
Powered by TCPDF (www.tcpdf.org)

Udit Des Systèmes D Information: L, ' ' ' ' ' M, PME R

Transféré par

Droits d'auteur :

Formats disponibles

Udit Des Systèmes D Information: L, ' ' ' ' ' M, PME R

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Udit Des Systèmes D Information: L, ' ' ' ' ' M, PME R

Transféré par

Droits d'auteur :

Formats disponibles

UE 761 → AUDIT DES SYSTÈMES

LES CONTEXTES LÉGAUX ET ORGANISATIONNELS DES

L’ensemble des contenus (textes, images, données, dessins, graphiques,

TABLE DES MATIÈRES

PLAN ANNUEL DU COURS 7

PARTIE 1. LES CONTEXTES LÉGAUX ET ORGANISATIONNELS DES AUDITS, LES

TITRE 1. CONTEXTE LÉGAL DE L’AUDIT DU SI PAR LE CAC ......................................................11

Chapitre 1. Le SI au cœur des travaux du CAC ..........................................................................11

Chapitre 2. Les normes d’exercice professionnelles 315 et 330 ..............................................19

Chapitre 3. Les aspects réglementaires du SI ............................................................................20

TITRE 2. SPÉCIFICITÉS DE L’AUDIT DES SI ...................................................................................31

Chapitre 1. Un univers aux multiples spécialités .......................................................................31

Chapitre 2. Un vocabulaire abscons ...........................................................................................32

Chapitre 3. Un milieu peu sensible au contrôle interne ............................................................32

TITRE 3. LES DIFFÉRENTES MISSIONS D’AUDIT SI ......................................................................33

Chapitre 1. Les missions propres au CAC..................................................................................33

Chapitre 2. Les missions plus spécifiques .................................................................................33

TITRE 4. CONTEXTE ORGANISATIONNEL DE L’AUDIT DU SI ......................................................34

Chapitre 2. Prolégomènes ............................................................................................................35

Chapitre 3. Les points de contrôle clés de la revue générale...................................................39

Chapitre 4. Les points de contrôle clés d’un audit de projet ....................................................39

PARTIE 2. MÉMENTO DE TRAVAIL, REVUE DE SÉCURITÉ INFORMATIQUE EN PME 41

TITRE 1. OBJECTIF DU MÉMENTO ...................................................................................................41

TITRE 2. RAPPEL HISTORIQUE DE L’INFORMATIQUE DE LA SOCIÉTÉ .....................................42

TITRE 3. SÉCURITÉ PHYSIQUE ........................................................................................................42

Chapitre 1. Infrastructure physique .............................................................................................42

Chapitre 2. Protection incendie ...................................................................................................43

Chapitre 3. Protection électrique .................................................................................................43

Chapitre 4. Climatisation/réfrigération ........................................................................................44

Chapitre 5. Contrôle des accès ....................................................................................................45

Chapitre 6. Conditions d’hygiène ................................................................................................45

Chapitre 7. Maintenance du matériel ...........................................................................................45

Chapitre 8. Contrat d’assurance des biens informatiques .......................................................46

TITRE 4. SÉCURITÉ LOGIQUE ..........................................................................................................48

Chapitre 1. Séparation des environnements études/exploitation ............................................48

Chapitre 2. Limitation des accès aux utilitaires et fichiers système .......................................49

Chapitre 3. Limitation des accès aux transactions ou programmes .......................................49

TITRE 5. PROCÉDURE DE SAUVEGARDE.......................................................................................50

Chapitre 1. Rappel de quelques principes ..................................................................................50

Chapitre 2. Sauvegardes ou archives ? ......................................................................................50

Chapitre 3. Périmètre de la sauvegarde ......................................................................................51

Chapitre 4. Méthode de sauvegarde ............................................................................................51

Chapitre 5. Rotation des supports ...............................................................................................51

Chapitre 6. Stockage des supports .............................................................................................52

Chapitre 7. Surveillance des opérations de sauvegarde...........................................................52

Chapitre 8. Comment utiliser le support de RGI joint ................................................................53

Chapitre 9. Procédure de fin d’exercice ......................................................................................54

TITRE 6. CONTRAINTES LÉGALES ..................................................................................................54

Chapitre 1. Loi informatique et libertés du 6 janvier 1978 ........................................................54

Chapitre 2. Appréciation du niveau de documentation .............................................................55

Chapitre 3. Appréciation du niveau de sauvegarde ...................................................................56

Chapitre 5. Loi n° 88–19 du 5 janvier 1988 relative à la fraude informatique ..........................56

PARTIE 3. REVUE GÉNÉRALE INFORMATIQUE 59

TITRE 1. LA LISTE DES APPLICATIONS ..........................................................................................59

TITRE 2. LES LIAISONS ENTRE APPLICATIONS ............................................................................59

TITRE 3. L’ÉQUIPE INFORMATIQUE ................................................................................................60

TITRE 4. LES SERVEURS ..................................................................................................................60

TITRE 5. LE NIVEAU DE RISQUE EN CAS DE SINISTRE ................................................................60

Chapitre 1. Durée d’indisponibilité du système .........................................................................60