le rôle de l’expert-comptable face aux risques de sécurité micro-informatique dans les pme –...

ROYAUME DU MAROC

I.S.C.A.E

INSTITUT SUPERIEUR DE COMMERCE ET D’ADMINISTRATION DES ENTREPRISES

PAR M. Omar SEKKAT

Novembre 2002

LE ROLE DE L’EXPERT-COMPTABLE FACE AUX RISQUES DE SECURITE MICRO-INFORMATIQUE DANS LES PME –

PROPOSITION D’UNE DEMARCHE D’AUDIT

MEMOIRE PRESENTE POUR L’OBTENTION DU DIPLOME NATIONAL D’EXPERT-COMPTABLE

MEMBRES DU JURY

Président : M. Mohamed EL KHALIFA- Expert-Comptable DPLE Directeur de recherche : M. Mohamed El Moueffak- Directeur des Etudes de l’ISCAE Suffragants : M. Larbi KZAZ – Enseignant à l’ISCAE M. Ahmed BENABDELKHALEK – Expert-Comptable DPLE M. Med Khalid BENOTMANE – Expert-Comptable DPLE

REMERCIEMENTS

A notre jury du mémoire d’expertise comptable

A notre Président du jury Monsieur Mohamed EL KHALIFA :

Qui nous a fait l’honneur d’accepter la présidence de notre jury du mémoire d’expertise

comptable. Qu’il trouve ici l’expression de nos hommages les plus respectueux.

A Messieurs les membres du jury :

Monsieur Ahmed BENABDELKHALEK, Monsieur Med Khalid BENOTMANE, Monsieur

Larbi Kzaz,

Qui ont bien voulu accepter de juger notre travail. Qu’ils trouvent ici l’expression de notre

haute gratitude et de notre profond respect.

A Monsieur le Directeur de Recherche Monsieur Mohamed EL MOUEFFAK :

Qui nous fait l’honneur de diriger ce travail avec un grand intérêt et de l’enrichir avec ses

précieux conseils. Qu’il trouve ici l’expression de nos hommages les plus respectueux.

REMERCIEMENTS

Remerciements

Je tiens à remercier vivement Messieurs Azeddine BENMOUSSA, Maître de stage et Mohamed EL

MOUEFFAK, Directeur de recherche, pour lesquels je demeure sincère, respectueux et

reconnaissant pour le soutien moral permanent et les conseils prodigués.

Mes remerciements s’adressent également à Monsieur Rachid M’RABET, le corps enseignant et

tout le personnel de l’I.S.C.A.E pour les efforts déployés en vue d’assurer la continuité et la réussite

du cycle d’expertise comptable.

Mes remerciements s’adressent également à la profession d’expert-comptable et les entreprises qui

ont bien voulu répondre favorablement aux différents questionnaires qui leurs ont été soumis, et qui

de par leurs réponses m’ont permis d’enrichir et d’améliorer ce travail.

Enfin je tiens à remercier mes parents et surtout mon épouse pour leur soutien moral, ainsi que

l’ensemble des amis qui ont contribué de près ou de loin à la réalisation de ce travail.

SOMMAIRE

Sommaire

Pages

INTRODUCTION GENERALE 1

PREMIERE PARTIE : 7

Les risques informatiques et techniques de protection

Chapitre 1 : Les risques informatiques : identification et moyens de maîtrise 10

1 Définitions et identification des risques informatiques 10

2 Classification des risques informatiques 17

3 La maîtrise des risques informatiques 20

Chapitre 2 : Les techniques de protection adaptées à la micro-informatique 27

1 Les techniques de sécurité assurant l’efficacité de l’environnement 27

micro-informatique

2 Les techniques de sécurité pour une information disponible 34

3 Sécurité des études et développements d’applications informatiques 39

Chapitre 3 : Impact réel et perception de la sécurité micro-informatique 45

dans les PME

1 Impact réel des risques sur le patrimoine et la pérennité des PME 45

2 Appréciation des risques micro-informatiques par les utilisateurs 47

3 Le rôle des professionnels dans la sensibilisation de l’entreprise 53

DEUXIEME PARTIE : 58

Une approche d’audit de la sécurité micro-informatique dans les PME

Chapitre 1 : Audit de la sécurité informatique : les normes et référentiels 60 1 Les normes et référentiels marocains 60

2 Les normes et référentiels internationaux 63

3 Les recommandations de l’OECCA et de la CNCC : incidence de l’informatique 71

sur les missions d’audit

SOMMAIRE

Pages

Chapitre 2 : Méthodologie d’audit de la sécurité micro-informatique dans les PME 74

1 Déroulement de la mission 74

2 Formulation des recommandations 81

3 Particularités d’une mission d’audit de la sécurité micro-informatique 87

Chapitre 3 : Programme de travail et conduite de la mission par thème 93

1 Organisation micro-informatique et environnement de contrôle 93

2 Efficacité de l’environnement micro-informatique 97

3 Disponibilité de l’information 100


CONCLUSION GENERALE 108

BIBLIOGRAPHIE 111

ANNEXES 116

LEXIQUE EN ARABE 186

TABLES DES MATIERES 190

SIGLES ET ABREVIATIONS

Sigles et Abréviations utilisés

AFAI Association Française d’Audit et de Conseil Informatique

AFNOR Association Française de Normalisation

AII Association of Internal Auditors

APSAIRD Assemblée Plénière des Sociétés d’Assurances contre l’Incendie et les Risques Divers

BSA Business Software Alliance

CAC Commissaire aux comptes

CD-ROM Compact Disk, Read Only Memory

CGNC Code Général de Normalisation Comptable

CLUSIF Club de la Sécurité Informatique Français

CNCC Compagnie Nationale des Commissaires aux Comptes

COBIT Control Objectives Information Technology

IFAC International Federation of Acountants

IFACI Institut Français des Auditeurs et Consultants Internes

IFEC Institut Français des Experts-comptables

IS Impôt sur les Sociétés

ISAs International Standard on Auditing

ISACA Information Systems Audit and Control Association

LAN Local Area Network (réseau local)

MARION Méthode d’Analyse des Risques Informatiques Organisés par Niveaux

OECCA Ordre des Experts-comptables et Comptables Agréés

PME Petite et Moyenne Entreprise

PMI Petit et Moyenne Industrie

RIA Robinet d’Incendie Armée

SAC Report System Auditing Control

SSII Société de Service en Ingénierie Informatique

TVA Taxe sur la Valeur Ajoutée

WAN Wide Area Network (réseau étendu)

1 INTRODUCTION GENERALE

L’informatique, contraction des mots information et automatique, est définie comme étant :

"La science du traitement rationnel de l’information considéré comme support des connaissances

et communications dans les domaines technique, économique et social",

"Ensemble des applications de cette science, mettant en œuvre des matériels, des logiciels et

différents éléments qui lui sont rattachés"1,

L’informatique s’était fixée comme mission d’automatiser les tâches lourdes et répétitives dans la

gestion des entreprises jusque-là effectuées par l’homme. Cependant en présence de l’outil

informatique, les entreprises se sont vues dans l’obligation de reconsidérer leur organisation

générale, d’une part en vue d’optimiser l’usage de cet outil, et d’autre part, dans le sens d’une

vision globale de l’entreprise. Sur le plan matériel, le développement de la technologie des

microprocesseurs a donné lieu à des machines miniaturisées, de capacités plus grande, et de

moins en moins coûteuses. Cette miniaturisation des composants électroniques a permis

l’apparition au cours des années 1970 de la micro-informatique. Celle-ci a connu une évolution

ininterrompue de ses performances technologiques, entraînant rapidement son implantation dans

les entreprises. Nous avons reporté en annexe n° 2 une description de l’évolution de la micro-

informatique.

Avec le développement des réseaux locaux, la micro-informatique est devenue, outre un outil de

travail, un outil d’échange et de partage de données. Le micro-ordinateur a quitté son espace

strictement individuel (PC : personnal computer) pour se transformer progressivement en un outil

totalement intégré dans le système d’information de l’entreprise.

1 Dictionnaire Larousse Informatique

INTRODUCTION GENERALE


Cette mise en liaison d’unités séparées géographiquement, a permis à travers les réseaux

d’augmenter l’efficacité de communication entre les micro-ordinateurs à des coûts raisonnables.

Cet outil de traitement de l’information a pris une place importante dans l’entreprise, a

bouleversé les habitudes de travail de chacun d’entre nous. Il est considéré par beaucoup comme

possédant un haut niveau de fiabilité minimisant les risques d’erreurs et les tâches fastidieuses de

contrôle, calcul ou traitements pris en charge par cet outil.

Pour l’entreprise, l'informatique contribue :

• A l'amélioration de sa compétitivité et la recherche d'avantages compétitifs durables,

• Au respect des lois, règlements et obligations contractuelles auxquels elle est soumise.

Pour maintenir cet avantage compétitif de manière durable et pour rester en conformité avec les

lois, règlements et obligations contractuelles, l'entreprise doit assurer la disponibilité constante de

l'ensemble de ses outils, et notamment l'outil informatique dont elle est de nos jours de plus en

plus dépendante.

Pour les PME, les enjeux de l'informatique sont :

• La disponibilité constante de l'information à laquelle on associe la pérennité et la continuité

de l'exploitation,

• L’intégrité de l'information qui implique son authenticité, exactitude et exhaustivité,

• La confidentialité de l'information : le système d'information doit être capable de se prémunir

contre les risques d'agression visant l'indiscrétion, le détournement de l'information et la

fraude.

Au-delà des ces enjeux, le concept de sécurité a évolué aux rythmes des innovations

technologiques comme en témoigne l'évolution même de sa définition.


Définie à l'origine comme "la confiance, tranquillité d'esprit, résultant de la pensée qu'il n’y a pas

de péril à redouter"2, la sécurité est définie aujourd'hui comme "la situation dans laquelle

quelqu'un, quelque chose, n'est exposée à aucun danger, à aucun risque d'agression physique,

d'accident, de vol, de détérioration"3.

La sécurité informatique étant définie comme "la propriété d'un système d'information de

présenter pour son environnement comme pour lui-même des risques directs ou indirects

acceptables, déterminés en fonction des dangers potentiels inhérents à sa réalisation et à sa mise

en œuvre".4

La notion de sécurité repose donc sur l’existence de menaces potentielles. La dépendance des

entreprises à l’égard de leur système d’information et de l’outil informatique fait que l’absence de

mesures de sécurité favorise l’apparition d’une vulnérabilité qui peut engendrer des préjudices

entraînant des pertes potentielles pour l’entreprise. L’entreprise et les utilisateurs de manière

générale ont une méconnaissance des risques informatiques liés à l’utilisation de la micro-

informatique. La sauvegarde des actifs de l’entreprise et la fiabilité des informations produites

par le système d’information n’est pas assurée par un cadre de contrôle interne et une

organisation efficiente de l’entreprise.

La micro-informatique présente des risques non négligeables et qui peuvent affecter la

disponibilité des applications ainsi que l’intégrité et la confidentialité des informations traitées. Il

existe néanmoins des solutions pratiques pour réduire le risque encouru par les entreprises. Ces

solutions couvrent les domaines organisationnels, techniques, financiers, etc. Pour garantir leur

efficacité, elles doivent être mises en place par le biais d’une politique de sécurité informatique

globale.

La mise en place de ces solutions ne doit pas exclure leur contrôle par un organe indépendant tel

que l’expert-comptable ou le commissaire aux comptes qui de par leur position d’interlocuteur et

de conseiller de l’entreprise, peuvent porter un avis en toute impartialité et objectivité.

2 Dictionnaire Larousse élémentaire


4 Les principes de sécurité informatique – guide d’audit IFACI 1991


Néanmoins, afin de pouvoir porter un avis en toute impartialité, et objectivité, l’expert-comptable

doit disposer d’un savoir faire dans le domaine qu’il est amené à contrôler. Or l’informatique et

plus précisément la micro-informatique en raison de l’évolution constante de ses performances

techniques peuvent paraître aux yeux des professionnels comme un domaine réservé aux seuls

spécialistes. Les professionnels ont donc tendance à faire appel à des spécialistes pour une revue

informatique générale.

De ce fait, le caractère généraliste qu’on pourrait associer à l’expert-comptable en matière de

connaissance informatique serait associé non pas à sa formation et son savoir-faire

pluridisciplinaire, mais plutôt dans sa pratique quotidienne de la profession qui fait qu’il a

tendance à occulter ou plutôt négliger l’informatique dans son plan de mission.

C’est dans ce contexte qu’apparaît la problématique du sujet de mémoire proposé. Nous

essaierons de répondre aux questions suivantes :

• Quels sont les risques liés à l’utilisation de l’outil micro-informatique ?

• Quelles sont les techniques de protection à mettre en œuvre pour améliorer la sécurité

micro-informatique au sein de l’entreprise ?

• Quel pourrait être le rôle de l’expert-comptable face aux risques de sécurité micro-

informatique dans les PME ? et quelle serait sa démarche de travail ?

Les objectifs recherchés par le choix d’un tel sujet sont les suivants :

• Faire ressortir l’importance d’une bonne connaissance et maîtrise des risques réels et leurs

conséquences qui pèsent sur l’entreprise, l’expert-comptable paraissant le mieux placé

pour jouer auprès de la Direction Générale le rôle de sensibilisation,

• Sensibiliser les professionnels sur la nécessité d’adopter une démarche par les risques lors

de leurs travaux de contrôle de la sécurité micro-informatique d’une PME,

• Proposer une méthodologie d’audit de la sécurité micro-informatique au sein des PME

sans pour autant centrer les contrôles sur les aspects techniques,


La présente méthodologie s’adresse davantage aux experts comptables conseillers qu’aux

commissaires aux comptes. L’expert-comptable peut apporter son expérience et son savoir faire

afin d’aider toute entreprise à détecter et analyser les risques liés à l’utilisation de l’outil micro-

informatique et proposer des recommandations en terme de techniques de protection appropriées.

Bien que son rôle de conseiller soit général, il ne peut se substituer à l’entreprise pour mettre en

place lesdites techniques de protection proposées.

Le commissaire aux comptes est lui mandaté par l’assemblée générale de toute entreprise et a

pour mission de certifier ses comptes. L’objectif principal serait d’obtenir l’assurance raisonnable

que les états financiers audités sont réguliers et sincères et donnent une image fidèle du

patrimoine, des résultats et de la situation financière de la société.

Afin d’obtenir cette assurance raisonnable, le commissaire aux comptes devra mettre en œuvre un

ensemble de diligences lui permettant de conforter son opinion. Par l’examen du contrôle interne

et plus précisément l’examen de l’environnement de contrôle informatique, le commissaire aux

comptes jugera nécessaire ou pas d’approfondir ses travaux de contrôle. Toutefois, l’examen de

l’environnement de contrôle informatique ne se focalise pas sur l’aspect risques informatiques

liés à l’utilisation de l’outil micro-informatique et sécurité micro-informatique.

A cet effet, à défaut de référentiels d’audit sur la sécurité micro-informatique, la méthodologie

proposée dans ce mémoire est plus adaptée aux PME, car dans ce type d'organisation, la micro-

informatique constitue l'outil central du système d'information et en l'absence d'un service

informatique, l’aspect sécurité est souvent occulté ou négligé.

Néanmoins, la présente méthodologie pourrait s’appliquer également aux grandes entreprises.

Les risques informatiques sont les mêmes, mais la probabilité de réalisation du risque et donc de

la concrétisation d’une menace est plus importante dans une PME qu’une grande entreprise

disposant d’un service informatique structuré et disposant de plus de moyens financiers. Le choix

des PME s’explique également par le fait qu’elle constitue près de 90% du tissu économique

marocain.

6 PREMIERE PARTIE

Le présent mémoire sera structuré en deux parties. La première partie traitera des risques

informatiques et techniques de protection. Dans un premier chapitre, nous essaierons d’identifier

les risques informatiques et moyens de maîtrise. Dans un second chapitre, nous analyserons les

techniques de protection adaptées à la micro-informatique. Dans un troisième chapitre nous

aborderons l’impact réel et la perception des risques chez les PME avec comme base de travail

une enquête sur la sécurité informatique.

Au niveau de la seconde partie, nous présenterons une approche d’audit de la sécurité micro-

informatique. Nous ferons ressortir dans un premier chapitre les normes et référentiels en matière

d’audit de la sécurité micro-informatique. Dans un second chapitre, nous présenterons une

méthodologie d’audit de la sécurité micro-informatique depuis la phase de prise de connaissance

à la remise du rapport et lette de recommandations, en insistant sur les points communs et les

particularités de cette méthode par rapport aux missions d’audit classiques. Enfin, dans un

troisième chapitre nous traiterons plus en détail le programme de travail de l’expert-comptable et

la conduite de la mission par thème.

Il est utile de préciser que ce mémoire ne constitue pas un catalogue des outils de sécurité existant

sur le marché. De plus, le domaine d’analyse a été volontairement restreint à la gestion de la

sécurité des micro-ordinateurs autonomes ou interconnectés en réseau local. La présente étude ne

portera par sur la sécurité des réseaux étendus. Nous avons néanmoins consacré un bref passage à

la sécurité Internet, représentant aujourd’hui une menace importante pour les PME mais sans

toutefois développer dans le détail les méthodes et moyens de défenses répertoriés à ce jour.

7 PREMIERE PARTIE

INTRODUCTION

Le risque représente la probabilité de rencontrer un événement non souhaité, à savoir une erreur,

une omission ou une inexactitude. L’existence de risques ne signifie pas nécessairement leur

concrétisation en anomalies réelles. On distingue néanmoins différents niveaux de risques :

• Le risque potentiel : défini par l’assujettissement de toute entreprise à une menace,

• Le risque possible : défini par l’absence ou l’insuffisance de moyens de protection,

• L’événement réalisé : défini par la survenance de l’anomalie liée à un risque possible non

couvert.

Le professionnel a tendance à orienter ses travaux d’audit en fonction des zones de risques. A

l’intérieur de ces zones de risques, il est d’usage5 de classer le risque de la façon suivante :

• Les risques généraux

Ces risques sont de nature à influencer l’ensemble des opérations de l’entreprise et dépendent de

la spécificité du secteur d’activité de l’entreprise et de son organisation générale. Ils sont

regroupés sous trois rubriques

- Risques dus au secteur d’activité,

- Risques liés à la situation économique et financière,

- Risques liés à l’organisation générale de l’entreprise.

5 D’après ATH Audit Financier - Clet mai 1991

PREMIERE PARTIE :

LES RISQUES INFORMATIQUES ET TECHNIQUES DE PROTECTION

8 PREMIERE PARTIE

• Les risques liés à la nature et au montant des opérations traitées

Ces risques sont en règle générale liés aux objectifs de régularité et de sincérité de l’information

financière produite. Les opérations et transactions peuvent être routinières et répétitives, non

routinières et ponctuelles ou exceptionnelles.

• Les risques liés à l’organisation comptable et au contrôle interne

Toute entreprise doit disposer d’un système comptable et de contrôle interne à même de lui

permettre de prévenir les erreurs et de détecter celles qui se produisent afin de les corriger. Mais

tel n’est pas toujours le cas dans des logiciels de gestion complexes où l’erreur n’est pas détectée

ou lorsque les utilisateurs de ces systèmes ne sont pas suffisamment formés. Ces risques sont

regroupés sous deux rubriques :

- Risques liés à la conception d’un système,

- Risques dus au fonctionnement du système.

• Les risques de non détection

Il s’agit des risques pouvant amener l’auditeur à tirer des conclusions erronées. Tant pour

l’expert-comptable que le chef d’entreprise, le risque de non détection représente le risque que

des erreurs significatives subsistent en fin de compte.

Il convient de noter que les définitions précédentes sont générales, se rattachent à toute entreprise

quel que soit son secteur d’activité. Néanmoins, en matière informatique, les risques ne sont pas

nécessairement les mêmes que ceux évoqués ci-dessus et nécessitent donc une bonne

compréhension des facteurs d’insécurité qui peuvent peser sur l’entreprise.

L’expert-comptable adoptera une démarche générale afin d’identifier les différents types de

risques informatiques tout en mettant l’accent sur l’impact de ces risques sur le patrimoine et la

pérennité des PME et en proposant des techniques de protection appropriées à la PME.

Nous traiterons dans un premier chapitre des risques informatiques et moyens de maîtrise.

Ensuite, nous étudierons les différentes techniques de protection dont dispose toute entreprise

pour réduire le risque.

9 PREMIERE PARTIE

Enfin dans un troisième chapitre, nous aborderons l’impact réel et la perception de la sécurité

micro-informatique dans les PME sur la base d’un questionnaire remis aux entreprises et dont la

finalité est de déterminer l’appréciation des risques micro-informatiques par les différents acteurs

de l’entreprise et la nécessité de mise en place de techniques de protection dans le cadre d’une

politique de sécurité globale.

10 PREMIERE PARTIE

Chapitre 1 : Les risques informatiques : identification et moyens de maîtrise

L’étape fondamentale lors de la conduite d’une mission d’audit de la sécurité informatique ou la

mise en place d’un plan de sécurité informatique consiste en l’identification des risques qui

menacent la sécurité d’une entreprise. Nous nous intéressons dans ce présent chapitre aux risques

induits par l’utilisation de l’outil micro-informatique. En effet, la progression ininterrompue de

l’outil micro-informatique lors de ces trois décennies et son implantation progressive dans

l’entreprise ne s’est pas effectuée sans risques. Ces risques sont généralement d’ordre interne et /

ou externe à l’entreprise.

1 Définition et identification du risque informatique

Les risques pesant sur l’outil micro-informatique sont permanents. Néanmoins, qu’appelle t’on

risques informatiques et quels seraient les risques spécifiques à la micro-informatique ?

1.1 Définition du risque informatique

L’AFNOR6 définit le risque comme "un danger éventuel, un événement futur, incertain et

indépendant de la volonté des intéressés". Le risque est également défini comme "un danger, un

inconvénient plus ou moins probable auquel on est exposé"7.

Ces définitions mettent surtout l’accent sur le côté éventuel, incertain et par extension peu

probable. En complément à cette définition, nous reproduisons ci-après les définitions suivantes.

Un risque est défini comme "tout événement affectant un système informatique et susceptible

d’entraîner des dommages et des pertes à l’entreprise concernée".8

"Un risque est un péril (si possible) mesurable qui vise des biens (actifs, patrimoine) aux

conséquences économiques dommageables (et si possible) quantifiables."9

Ces deux définitions mettent l’accent sur la notion de danger, en indiquant les conséquences et en

insistant sur la difficulté de mesure du risque.

6 AFNOR (Association Française de Normalisation) – Tour d’Europe – 92049 Paris la Défense

7 Dictionnaire Larousse élémentaire

8 Les principes de sécurité informatique – guide d’audit IFACI 1991

9 Définition empruntée d’un document interne du servie sécurité d’une grande entreprise

11 PREMIERE PARTIE

Le risque existe lorsqu’un système est vulnérable à une menace. La menace étant une donnée sur

laquelle nous n’avons aucune maîtrise, alors qu’il est toujours possible de chercher à diminuer la

vulnérabilité d’un système.

La nature et l’importance des menaces ont beaucoup évolué au fil du temps passant des risques

de pannes matérielles et de cas de force majeure, à des risques apparaissant dans un

environnement économique de plus en plus concurrentiel. Ce sont les informations et les données

(éléments immatériels du système d’information) qu’il y a lieu de protéger.

Mais leur protection ne peut être qu’effectuée au niveau de leur environnement constitué des

éléments logiques, physiques et organisationnels. (Cf. chapitre 2 : les techniques de protection

adaptées à la micro-informatique).

La micro-informatique présente des risques qui lui sont propres et qui peuvent affecter la

disponibilité des applications ainsi que l’intégrité et la confidentialité des données traitées. Les

risques spécifiques à la micro-informatique sont répertoriés ci-dessous10.

1.2 Identification des risques spécifiques à la micro-informatique

1.2.1 Risques spécifiques à la micro-informatique

a) Banalisation de l’outil micro-informatique

La baisse des prix des micro-ordinateurs a engendré un attrait pour leur utilisation, car devenus à

la portée de tout le monde. Toutefois, cette vulgarisation, considérée comme facteur de fiabilité

minimisant les risques d’erreur et réduisant les tâches pénibles de contrôle, calcul ou traitement

pouvant être pris en charge par cet outil, est aussi une source de fragilité pour l’entreprise

lorsqu’il est mal utilisé ou détourné de son objet.

Par ailleurs, si l’introduction du "downsizing"11 (miniaturisation), technique qui concerne plus les

grandes structures que les PME qui consiste à faire migrer un système d’information centralisé

vers un réseau local de micro-ordinateurs en mode clients / serveurs, ou à insérer des micro-

ordinateurs dans les architectures déjà existantes (traitements coopératifs) a été mal préparée ou

mal adaptée, cela peut avoir de graves conséquences pour l’entreprise et mettre en péril sa

sécurité (manque d’expérience des utilisateurs, erreurs, malveillances, etc.)

10 D’après ouvrage IFACI : "l’audit de la micro-informatique".


12 PREMIERE PARTIE

b) Absence d’un plan micro-informatique

Les entreprises qui disposent d’une politique informatique centralisée et formalisée sont rares.

Celles qui disposent d’un plan micro-informatique décrivant les évolutions de l’informatique au

sein de l’entreprise le sont encore moins. Néanmoins, un système d’information implique la

cohérence de l’ensemble de ses constituants, à savoir :

• Les informations et données,

• Les moyens de traitement de l’information

• Le réseau de communication de l’information,

• Les personnes impliquées comprenant : informaticiens, utilisateurs et dirigeants de

l’entreprise.

Même si ces documents ne sont pas aisés à réaliser en raison de l’évolution permanente de la

technologie, ils restent néanmoins indispensables à la bonne maîtrise de la micro-informatique au

sein de toute entreprise.

c) Des développements mal maîtrisés

Les développements mal maîtrisés sont dus notamment à :

• L’absence de séparation de fonctions entre le personnel de développement et le personnel

d’exploitation : la micro-informatique ne permet pas une vraie séparation de ces fonctions ce

qui accroît inéluctablement la notion de risque,

• L’absence de démarche et méthode de développement : les méthodes de conception et de

développement d’applications employées dans l’informatique traditionnelle (ordinateurs

centraux, mini-ordinateurs) ne sont pas adaptées totalement à la micro-informatique, même si

celles-ci sont indépendantes des infractructures matérielles. Cela ne justifie en rien l’absence

de méthode de développement, de procédure de réception et de maintenance des applications

(suivi des mises à jour des versions de programmes), qui peuvent entraîner des résultats

incohérents et non fiables et fausser le processus de prise de décision par les dirigeants de

l’entreprise,

13 PREMIERE PARTIE

• L’absence ou la carence de documentation : l’absence de documentation utilisateur, de

documentation d’exploitation, de documentation de maintenance, de procédures de contrôle

et de sauvegarde peut conduire à des risques de tout genre.

d) Les malveillances

Les malveillances comprennent généralement :

• Le manque de confidentialité des données en l’absence de l’utilisation généralisée des mots

de passe, ou lorsque que ceux-ci sont connus de l’ensemble des utilisateurs,

• Le vol de matériel micro-informatique ; en particulier les micro-ordinateurs portables,

• Le piratage des logiciels, c’est-à-dire l’utilisation illégale de logiciels ou de leur copie.

L’entreprise s’expose à des sanctions pénales prévues par la loi sur la propriété intellectuelle

et les droits d’auteur,

• Les actes de sabotage qui entraînent l’altération ou la destruction des programmes ou de

données par l’introduction de virus, ver, etc.

e) risques Internet

Les risques sur Internet qui sont de trois ordres : attaque directe, espionnage et e-mail indésirable.

L’attaque directe de l’ordinateur repose au moins sur une faille de sécurité humaine ou une faille

de sécurité logicielle.

Celle-ci peut avoir lieu par le biais d’un virus, ver ou une intrusion qui consiste à se connecter sur

l’ordinateur depuis n’importe qu’elle endroit.

Les dégâts causés par ce type d’attaques sont nombreux empêchant le redémarrage de

l’ordinateur, bloquant ou perturbant le système d’exploitation ou les applications logicielles,

détruisant les fichiers, etc.

L’espionnage Internet est un autre type de risque Internet consistant à divulguer des informations

concernant l’entreprise, pouvant être d’ordre technique ou personnel.

14 PREMIERE PARTIE

L’espionnage Internet représente une menace pour la sécurité de l’entreprise, la confidentialité

étant la première ligne de défense.

Les e-mail indésirérables sont sources de risques non négligeables. Il s’agit généralement des

spams ou e-mail purement commercial, qui consistent à vous inonder de dizaines de publicité par

jour, les mails-bombing purement agressif qui vous noie sous un raz de marée de plusieurs mails.

Ces risques sont la conséquence de failles de sécurité humaine dus essentiellement à l’attitude

inconsciante des utilisateurs ou des failles de sécurité du système d’exploitation, des logiciels

Internet.

L’identification des risques micro-informatiques faite, il devient nécessaire d’identifier les

facteurs d’insécurité qui pèsent sur cet outil. Ces facteurs menacent l’entreprise et son

environnement micro-informatique pris dans leur ensemble et sont regroupés en divers axes tels

que définis ci-dessous.

1.2.2 Identification des facteurs d’insécurité

L’informatique a entraîné des bouleversements dans les habitudes de travail des entreprises et

plus particulièrement des PME. Aujourd’hui, chaque utilisateur dispose de son propre PC ou

micro-ordinateur portable entraînant inéluctablement de nouveaux risques. L’explosion de

nouvelles applications et logiciels et l’apparition de logiciels de gestion intégrés dont l’interface

avec la comptabilité est automatique laisse présager des menaces et risques importants pour

l’entreprise.

Ainsi, l’entreprise a à sa disposition une multitude d’applications logicielles, telles que la paie, la

comptabilité, la gestion commerciale, la gestion des stocks, etc. et même de nouvelles

applications qui se sont greffées telles que système ERP, etc.

Le développement des réseaux locaux et la concentration de l’outil informatique représente un

danger (risque) en raison de :

• La mise en place d’un outil de production commun et unique,

• Le caractère vital de cet outil : on ne peut plus s’en passer,

15 PREMIERE PARTIE

• La dématérialisation des opérations (disparition des opérations manuelles relayées par des

opérations informatisées) marquée par la diminution du support papier et de la séparation des

fonctions,

• La modification immédiate du patrimoine et des actifs de l’entreprise en raison de

l’intégration des actes de gestion à la comptabilité.

La prise en compte de l’aspect sécurité n’a pas suivi le développement de la micro-informatique.

Par ailleurs, l’informatique est utilisée dans les PME comme outil central du système

d’information.

Cela génère des risques liés au principe de séparation des fonctions. En effet, en l’absence d’un

service informatique structuré ou lorsque le responsable informatique est également responsable

de la sécurité informatique, le principe de séparation des fonctions (règles essentielles d’un bon

contrôle interne) n’est plus respecté. Le responsable informatique se voit chargé :

• D’évaluer le budget d’investissement et de maintenance du parc informatique de l’entreprise,

• Du développement d’applications informatiques spécifiques se greffant aux applications déjà

existantes pour en améliorer la performance et facilité d’utilisation,

• Du plan de sécurité informatique (s’il existe),

• De l’administration et de la maintenance du système informatique,

• Du lancement d’applications et des programmes pour récupération d’états de sortie en

relation avec la paie, la comptabilité, etc.

Cette concentration des fonctions clés entre les mains d’une seule personne est dangereuse et peut

remettre en cause la pérennité de l’entreprise en cas d’absence prolongée ou de départ du

responsable informatique.

Tous ces facteurs d’insécurité qui ont été évoqués ci-dessus interagissent entre eux et peuvent

entraîner une aggravation des risques de sécurité micro-informatique pour les PME. Il résulte de

la convergence de ces divers facteurs :

16 PREMIERE PARTIE

• Une fragilité des systèmes informatiques qui constituent un terrain propice aux risques de

tous genres. Il conviendra alors d’analyser ces différents risques ainsi que les actifs à protéger

afin de pouvoir définir les contre mesures et parades à mettre en œuvre,

• La mise en place d’organisation ou de structure favorisant l’apparition et l’amplification de

ces risques. Il conviendra alors de revoir l’organisation actuelle et la réadapter à une

utilisation efficiente de son outil informatique.

Quelle pourrait-être le rôle de l’expert-comptable en matière d’identification des risques ?

1.3 Rôle de l’expert-comptable dans l’identification des risques

Toute mission d’audit est basée sur une approche par les risques. L’expert-comptable recherchera

les points forts sur lesquels il pourra s’appuyer pour limiter ses contrôles. L’entreprise peut faire

appel à un expert-comptable pour la conseiller, l’aider à identifier les risques qui peuvent peser

sur son système informatique. En effet, l’association d’un expert indépendant est intéressant à

plus d’un titre. Celui-ci dispose d’un certain nombre de techniques et d’outils lui permettant

d’avoir une vision globale de l’entreprise et des risques qui menacent son système informatique.

La phase de prise de connaissance de l’entreprise et de son environnement informatique permet

de mieux comprendre les spécificités de l’entreprise, de son environnement, de son

fonctionnement et de son système informatique. L’expert-comptable identifiera les zones de

risques potentiels. Pour parvenir à cet objectif, il focalisera son travail sur :

• Les entretiens à conduire auprès des dirigeants de l’entreprise et du responsable

informatique,

• La prise de connaissance détaillée de l’environnement informatique de l’entreprise,

• L’évaluation du contrôle interne du département informatique.

Pour documenter son travail, l’expert-comptable pourra utiliser des questionnaires de contrôle

interne, des aides mémoire qui permettent en règle générale :

• De rappeler les objectifs de contrôle,

• D’indiquer les vérifications à effectuer par l’expert-comptable par objectif de contrôle.

17 PREMIERE PARTIE

L’examen des procédures de contrôle interne de l’entreprise et notamment les procédures de

sécurité mises en place peuvent également constituer un facteur déterminant dans l’identification

des risques car l’absence de sécurité est un risque en lui-même.

L’expert-comptable doit faire ressortir le ou les liens existant entre les risques liés à la sécurité

informatique et la fiabilité des informations comptables et financières produites. L’identification

et la maîtrise des risques par le biais de l’audit de la sécurité informatique permet de conforter

l’opinion du commissaire aux comptes et / ou de l’auditeur financier quant à la régularité des

états de synthèse.

Cette phase de prise de connaissance et d’identification des zones de risques est similaire à toute

mission d’audit. L’identification des risques informatiques donne donc lieu à leur classification.

2 Classification des risques informatiques

Il existe différentes typologies des risques informatiques. Toutefois avant de définir les

principales classifications de risques informatiques, il est nécessaire de garder à l’esprit que

l’outil micro-informatique, l’information elle-même ou son traitement peuvent être soit le but de

l’agression (vol de matériel et supports informatiques, escroquerie, fraude informatique, etc.) ou

au contraire le moyen de l’agression (accès non autorisé, vol de temps machine, vol de données,

piratage de logiciels, etc.).

Le terme agression étant défini comme "toute action dommageable qu’elle soit volontaire ou

involontaire"12. L’outil micro-informatique est pris ici dans son sens large regroupant l’unité

centrale, les périphériques d’entrées et sorties, les supports de stockage, les applications et

logiciels, les moyens de communication, etc. Les classifications que l’on retrouve couramment

sont citées ci-dessous :


18 PREMIERE PARTIE

2.1 Classification usuelle13

Les risques informatiques sont regroupés en trois grandes catégories répertoriés ci-dessous :

2.1.1 Risques dont l’origine est naturelle

• La foudre,

• L’inondation,

• Le glissement de terrain,

• L’avalanche.

On notera que la probabilité de survenance d’un de ces événements est faible voire quasiment

nulle.

2.1.2 Risques dont l’origine est un incident technique

• L’incendie (court-circuit dans l’installation électrique, feu dans la corbeille à papier, etc.),

• Le dégât des eaux suite à une inondation (rupture d’une canalisation),

• La panne et bris de machine (matériel obsolète ou mal entretenu),

2.1.3 Risques dont l’origine est humaine

Il est nécessaire de distinguer à ce niveau les événements accidentels et involontaires des

événements volontaires et actes délictueux.

a) Les événements accidentels

• Erreur dans la saisie de données,

• Erreur dans la conception d’un logiciel,

• Erreur dans l’exploitation et le paramétrage d’une application,

• Problèmes humains (grève, démission collective, départ du responsable informatique, conflit

avec la direction, etc.)

13 D’après l’ouvrage de l’IFACI : "les principes de sécurité informatique – guide d’audit"

• 19 PREMIERE PARTIE

b) Les actes délictueux

Il est certes difficile de définir la frontière entre un acte involontaire et un acte délictueux avec

intention de nuire. Néanmoins, les actes délictueux sont classés en cinq catégories :

• Vol ou sabotage de matériel,

• Détournement d’informations,

• Détournement de logiciels,

• Fraude,

• Sabotage immatériel (virus, bombe logique, cheval de troie, etc.)

2.2 Classification de l’APSAIRD

L’APSAIRD14 regroupe les sociétés d’assurance et de dommage en France. Celle-ci est

composée de plusieurs commissions dont une spécialisée dénommée "sous commission globale

informatique", son rôle étant :

• De définir une typologie des risques et leurs conséquences,

• D’établir annuellement des statistiques (en terme de sinistralité),

• D’améliorer les garanties existantes et d’étudier de nouvelles garanties (garanties spécifiques

aux risques informatiques),

• De proposer une démarche technique (méthode MARION15) quant à l’audit des

vulnérabilités, analyse des risques, recommandation en matière de prévention.

Son rôle est également de présenter les polices types en matière de sécurité informatique en

apportant les commentaires et recommandations nécessaires à leur compréhension.

L’APSAIRD a identifié 10 types de risques informatiques classés en 2 catégories. Nous avons

reporté en annexe n° 3 la typologie des risques informatiques ainsi que les liens entre les types de

risques et les conséquences physiques tel que ressortant de l’étude conduite par l’APSAIRD.

14 APSAIRD (Assemblée Plénière des Sociétés d’Assurances contre l’Incendie et les Risques Divers) – 9, rue d’Enghien 75010 Paris

15 Méthode d’analyse des risques informatiques organisée par niveaux diffusés par le Clusif (Club de la Sécurité Informatique Français)

20 PREMIERE PARTIE

2.2.1 Risques accidentels ou non intentionnels :

• Risques entraînant la destruction partielle ou totale des matériels informatiques et supports

contenant l’information et résultant en général des incendies, dégât des eaux, perturbations

électriques, etc.

• Pannes ou dysfonctionnements des matériels et logiciels entraînant des coûts indirects

importants,

• Erreurs de saisie, de transmission ou d’utilisation de l’information,

• Erreurs d’exploitation entraînant la destruction de fichiers, sauvegardes, ou mauvaise

manipulation du matériel ou interprétation erronée d’instructions,

• Erreurs de conception et de réalisation pouvant entraîner des pertes très importantes du fait de

la non-conformité des applications et traitements aux besoins de l’entreprise.

2.2.2 Risques "criminels"

• Vol et sabotage du matériel et supports informatiques,

• Fraude et sabotage "immatériel" comme le piratage, détournement de biens, virus, etc.

• Indiscrétions et détournements d’information comme l’espionnage industriel,

• Détournements de logiciels par copie illicite entraînant des pertes importantes pour les

concepteurs et distributeurs de logiciels,

• Grèves, départs de personnel stratégique, ces derniers représentent également un risque non

négligeable (même si à priori ne s’apparentent pas à la criminalité informatique).

3 Les moyens de maîtrise des risques informatiques

3.1 Les moyens internes à l’entreprise

3.1.1 Démarche d’analyse des risques

L’analyse des risques informatiques liés à l’utilisation de l’outil micro-informatique consiste en

"l’identification des actifs à protéger, les risques et menaces qui pèsent sur l’entreprise et sa

micro-informatique et les contre-mesures pour maîtriser le risque à un niveau jugé acceptable".16

16 Michel Hoffmann – sécurité informatique FAQ

21 PREMIERE PARTIE

• Actifs : identification des actifs informatiques dont l’entreprise ne peut se passer,

• Risques : le risque est constitué par la combinaison des menaces et vulnérabilités,

• Contre-mesures : elles doivent être mises en place dans un souci d’équilibre entre risques et

coût de la protection.

Les méthodes d’analyse des risques constituent un auto-diagnostic qui permet une évaluation

actuelle du niveau de sécurité. Elles permettent :

• La détection des risques par un audit diagnostic interne ou externe à l’entreprise,

• L’analyse des risques informatiques en ce qui concerne leurs causes potentielles et

conséquence de leur survenance,

• L’estimation des coûts de ces risques pour l’entreprise,

• La rédaction d’un rapport préalable à la mise en place de mesures générales de sécurité

(procédures préventives, de détection et de secours),

• Le contrôle périodique de l’application des mesures et procédures retenues par la Direction

Générale.

La démarche d’analyse des risques de sécurité micro-informatique doit être conduite en fonction

des objectifs arrêtés par la direction générale de l’entreprise, objectifs retracés dans la définition

suivante : "protéger les actifs informatiques de l’entreprise contre les risques d’une manière

adaptée à l’entreprise et son environnement et l’état de son outil informatique." Chaque aspect de

cette définition est couvert par une activité spécifique.17

• Protéger : conception, mise en œuvre et maintenance des techniques de protection ; rôle

primordial du responsable de la sécurité informatique,

• Actifs informatiques : identification des actifs dont l’entreprise ne peut se passer et

détermination de la valeur de ces actifs tant pour l’entreprise elle-même que pour d’éventuels

intrus,

17 Michel Hoffman – sécurité informatique FAQ

22 PREMIERE PARTIE

• Contre les risques : identification et classification des risques, ce qui implique l’identification

des actifs vulnérables sur lesquels pèsent des menaces,

• Et ce d’une manière adaptée à l’entreprise : détermination du meilleur équilibre risque / coût

de protection,

• A son environnement : identification des menaces internes et externes qu’elles soient

d’origines accidentelles ou intentionnelles,

• A l’état de son outil informatique : identification de la vulnérabilité des actifs informatiques.

Face aux risques informatiques tels que décrits ci-dessus et notamment ceux spécifiques à

l’utilisation de la micro-informatique, la sécurité du système d’information de l’entreprise ne peut

être sérieusement appréhendée sans l’instauration d’une réelle politique de sécurité.

3.1.2 La politique de sécurité informatique

a) Les objectifs et fondements

La définition et la mise en œuvre d'un plan de sécurité informatique doivent permettre de montrer

la volonté de la Direction Générale de sensibiliser et d'impliquer les différentes personnes à tous

les niveaux. L’objectif est de mettre en œuvre les différentes mesures préventives nécessaires afin

d'éviter tout préjudice grave au système d'information lorsque la menace s'est réalisée,

garantissant à cet effet la pérennité de l'entreprise.

La politique de sécurité informatique doit définir le niveau des ressources nécessaires, mais

également fixer les priorités dans les domaines de la prévention, protection et mesures de

dissuasion.

Elle doit être diffusée le plus largement possible au sein de l’entreprise, car la sécurité micro-

informatique est l’affaire de tous les membres de l’entreprise et non uniquement le responsable

de sécurité informatique.

b) Le contenu

La politique de sécurité informatique soutient la politique générale de l’entreprise et doit décrire

au moins les aspects suivants :

23 PREMIERE PARTIE

• La déclaration et les objectifs de cette politique,

• Les procédures de sécurité physique, sécurité logique, du personnel et de l’information,

• L’autorité, les responsabilités et les rôles du personnel intéressé,

• Le plan de survie ou continuité d’exploitation en cas d’incident grave ou de sinistre.

Elle doit établir les standards et les principes sur lesquels la sécurité de l’environnement

informatique de l’entreprise est basée. Elle doit également inclure la maintenance de la sécurité

en termes de :

• Confidentialité des données : empêcher tout accès illicite,

• Intégrité des données et des traitements : garantir l’absence de modification ou d’altération

des données,

• Disponibilité : avoir les résultats en temps voulu, possibilité d’utiliser le système

informatique dans des conditions d’accès et d’usages normaux,

• Continuité des traitements : assurer la pérennité de l’entreprise et la durabilité de

l’information,

• L’authenticité et la preuve : permettre l’auditabilité de toute application, la reconstitution de

la piste d’audit, l’imputabilité de toute interaction avec le système informatique.

Elle doit enfin informer les différents utilisateurs sur leur responsabilité dans l’utilisation du

système d’information de l’entreprise et son environnement micro-informatique.

Nous avons reporté en annexe n° 4.a un exemple de politique de sécurité informatique tiré d’un

document interne à une grande entreprise que nous avons adapté à la PME.

c) Les acteurs

Tous les salariés de l’entreprise doivent être sensibilisés à la politique de sécurité informatique. A

cet effet, un groupe de travail comprenant les principaux responsables de l’entreprise doit œuvrer

à la définition et la conception du plan de sécurité informatique. Appelé communément comité de

sécurité, ce groupe doit comprendre les responsables des directions ou services suivants :

24 PREMIERE PARTIE

• Le responsable de la sécurité informatique en tant qu’animateur et coordinateur du comité de

sécurité,

• La direction générale,

• Le directeur informatique ou à défaut le responsable informatique,

• Les représentants des divers services utilisateurs : GRH, comptabilité et finances, technique,

commercial, etc.

Afin de pouvoir garantir l’efficacité de la fonction du responsable sécurité informatique, celui-ci

doit être rattaché hiérarchiquement à un niveau élevé dans l’organigramme de l’entreprise. Pour

les PME, un rattachement au directeur financier constitue une bonne solution afin de pouvoir

conserver son indépendance vis-à-vis des autres services. Voir en annexe n° 4.b une définition du

rôle et de la mission du responsable de la sécurité informatique.

En dehors des outils internes, contribuant à la maîtrise des risques, l’entreprise dispose également

d’outils externes à la maîtrise des risques par le biais de l’audit, les assurances ou les S.S.I.I en

tant que conseiller externe en terme de sécurité informatique.

3.2 Les éléments extérieurs d’aide à la maîtrise des risques

3.2.1 L’audit

Face à ces risques liés en général à l’absence d’un contrôle interne efficace au sein de

l’entreprise, nous pensons qu’il devient nécessaire, voire indispensable de sensibiliser la

Direction Générale aux risques informatiques et aux conséquences de la non mise en place de

techniques de protection suffisantes. L’audit de la sécurité informatique doit être systématique à

toute intervention. Néanmoins, la mise en place de l’aproche développée en seconde partie n’est

nécessaire que si l’entreprise est dépendante de l’outil informatique. Dans cette esprit, l’auditeur

doit parfaitement cerner le domaine qu’il analyse en vue de mettre en place les contrôles

généraux appropriés.

Dans un environnement micro-informatique en perpétuel changement, la mise en place ou la mise

en œuvre de contrôles suffisants par la PME pour réduire le risque à un niveau jugé acceptable

peut être considéré comme fastidieux et non rentable. Pour cette raison l’auditeur contractuel voit

leur rôle s’accroître, se positionnant comme révélateurs potentiels des faiblesses du système

informatique.

25 PREMIERE PARTIE

En tant que conseiller externe à l’entreprise et son statut d’interlocuteur privilégié de la Direction

Générale, l’expert-comptable a un rôle et un devoir de sensibilisation et d’explication sur ce

domaine. Il y va de la sauvegarde des actifs et du patrimoine de l’entreprise ainsi que de la

fiabilité de l’information produite. L'expert-comptable ne doit pas se désintéresser de ce domaine

et se contenter d'émettre une opinion sur les états financiers de l'entreprise. Son rôle en tant que

conseiller de l'entreprise doit être général.

L’expert-comptable peut assister l’entreprise dans la mise en place d’une politique de sécurité

informatique ou superviser toutes les opérations préalables à la mise en place d’une politique de

sécurité informatique. Bien que son rôle de conseiller soit général, il n’est pas responsable de la

mise en pratique d’un tel plan, l’aspect technique étant laissé aux spécialistes informatiques.

3.2.2 Les assurances

La dépendance de plus en plus forte des entreprises des systèmes d’information induit des risques

qui peuvent générer de lourdes pertes liées aux dommages matériels et immatériels. Ces pertes

peuvent être directes, mais surtout indirectes (pertes d’exploitation, reconstitution de fichiers,

etc.) Les assurances se distinguent des autres types de protection car elles n’interviennent qu’en

terme d’indemnisation financière des préjudices subis, mais ne constituent en aucun cas un

facteur de protection contre les risques de sécurité micro-informatique. Les garanties couvertes

par les polices d’assurances sont généralement :

• Les dommages matériels dus à des événements accidentels y compris les pannes et erreurs de

manipulation,

• Les frais supplémentaires engagés et frais de reconstitution des médias.

La couverture par une police d’assurance ne doit pas se substituer à la politique de sécurité

informatique. En effet, comme signalé précédemment au niveau de la démarche d’analyse des

risques informatiques, le transfert à l’assurance n’intervient qu’en dernier ressort après :

• Identification et classification des actifs à protéger : matériel, réseaux & télécoms, données,

etc.

• Détermination des domaines concernés : sécurité physique, logique ou organisationnelle,

26 PREMIERE PARTIE

• Evaluation des risques supportables pour l’entreprise et mesure du coût de la sécurité,

• Prise en compte éventuel des aspects légaux et réglementaires.

Néanmoins afin de connaître les différents types d’assurance couvrant les risques informatiques

et les statistiques sur la sinistralité au Maroc, nous avons préparé un questionnaire à destination

des compagnies d’assurances. Un exemplaire dudit questionnaire est fournit en annexe n° 5.a.

Par ailleurs, nous avons reporté en annexe n° 5.b le descriptif des différents types de polices

couvrant les risques d’origine informatique existant au Maroc.

Le présent chapitre nous a permis d’identifier les risques spécifiques à la micro-informatique et

les moyens de maîtrise à la disposition de l’entreprise. Le chapitre suivant nous permettra de

présenter les différentes techniques de protections adaptées à la micro-informatique.

3.2.3 Les S.S.I.I : société de conseil en terme de sécurité

Les S.S.I.I proposent des services allant de la conception d’un cahier des charges à la mise en

place des solutions combinant programmes et matériels et au suivi de la clientèle sont assimilées

au même titre que l’audit que les assurances comme des éléments extérieurs d’aide à la maîtrise

des risques.

Cette aide peut être assurée en prodiguant des conseils en terme de sécurité ou en élaborant une

véritable politique de sécurité comprenant aussi bien la charte que la tactique.

Le rôle des S.S.I.I est de protéger le patrimoine des PME face aux nombreux risques menaçant

l’outil micro-informatique.

27 PREMIERE PARTIE

Chapitre 2 : Les techniques de protection adaptées à la micro-informatique

1 Les techniques de protection assurant l’efficacité de l’environnement micro-

informatique

1.1 Protections physiques

1.1.1 Les fléaux et agressions naturels (risques naturels),

L’objectif est d’éviter la destruction ou l’endommagement de l’outil micro-informatique à la suite

d’un incendie naissant dans la salle informatique ou se propageant à partir des bureaux extérieurs

ou à la suite d’une inondation.

Risques Prévention Protection

Destruction de l’ordinateur et de ses périphériques,

Destruction des supports magnétiques et supports de stockage,

Endommagement des circuits électriques de l’ordinateur,

Endommagement de la documentation papier.

Portes coupes feu,

Utilisation de faux plancher,

Implantation stock de papier à l’extérieur de la salle informatique,

Installation bloc de climatisation à l’extérieur de la salle,

Absence conduite d’eau traversant les salles.

Système de détection de fumée et incendie,

Extincteurs manuels et RIA,

Coffre fort ignifugé à l’extérieur de la salle informatique,

Siphons de sol pour évacuation écoulement d’eaux.

L’entreprise doit élaborer des règles élémentaires de prévention de ces sinistres visant à atténuer

leur probabilité de survenance, règles consignées dans un document mis à jour régulièrement.

Il y a lieu de souligner que ces mesures de protection contre les risques d’incendie et

d’inondation n’ont pas pour vocation d’éradiquer totalement ces risques, et s’appliquent plutôt

aux entreprises disposant d’une salle informatique ou d’ordinateur central et d’un ensemble de

terminaux.

Par ailleurs, en raison de la dispersion de l’outil micro-informatique au sein de l’entreprise entre

les différents utilisateurs, ces mesures ne sont pas totalement appropriées. A notre avis la

limitation du risque passerait plutôt par la prévention (sensibilisation par notes, affichage,

archivage des sauvegardes comprenant données et programmes à l’extérieur de l’entreprise) et la

protection financière par le biais des assurances.

28 PREMIERE PARTIE

1.1.2 Les atteintes humaines (volontaires ou accidentelles),

Les atteintes humaines peuvent être accidentelles ou intentionnelles. L’attitude inconsciente des

utilisateurs est souvent à l’origine de multiples pannes, indisponibilité de l’outil micro-

informatique (mise hors tension de l’ordinateur sans sortir des applications, connexion à des sites

non sécurisés d’Internet, téléchargement de jeux, etc.).

Risques Prévention / Protection

Indisponibilité de l’outil micro-informatique,

Erreurs dans la saisie des données,

Erreurs dans la conception des logiciels,

Vol ou sabotage de matériels et périphériques,

Sabotage.

Affichage notes de service,

Formation élémentaire sur exploitation des données et logiciels

Procédure pour déménagement du matériel,

Contrôle accès physique aux locaux pour les visiteurs et personnel nettoyage,

Ne jamais se séparer de son ordinateur portable.

1.1.3 Les incidents techniques.

Il s’agit de mettre en place des techniques de protection contre les incidents involontaires, mais

qui ne sont pas dus à un fléau naturel.


Perte des données en raison coupure intempestive du courant,

Endommagement du matériel micro-informatique ainsi que ses périphériques,

Indisponibilité du matériel,

Retard dans la production des résultats.

Onduleurs couvrant les postes sensibles,

Onduleurs couvrant l’ensemble du réseau et périphériques,

Groupe électrogène pour les entreprises situées dans des zones de délestage,

Climatiseur maintenant une température ambiante dans la salle informatique,

Maintenance préventive du climatiseur,

Maintenance du matériel et logiciels,

Stock de secours pièces de rechange.

Néanmoins, ces mesures de prévention tels que citées ci-dessus peuvent s’avérer insuffisantes

pour protéger l’entreprise en cas de sinistre rendant inutilisable l’ensemble de son outil

informatique.

29 PREMIERE PARTIE

1.2 Les protections logiques :

La sécurité logique consiste en l’ensemble des contrôles inclus dans les logiciels et permettant :

• D’identifier individuellement les utilisateurs des données et ressources,

• De limiter l’accès à des données et ressources spécifiques,

• De produire des pistes d’audit (en anglais audit-trail).

La protection logique vise à garantir l’accès d’une part au système d’exploitation et aux

applications (logiciels) et aux données d’autre part.

1.2.1 Catégories de piratage et moyens de lutte

L’entreprise ne doit pas permettre la manipulation du code source des applications mises en

service. Les utilisateurs ne doivent disposer que des versions utilisables en lecture seulement,

c’est-à-dire des programmes objet à exécuter par opposition aux programmes sources. Un

programme source étant défini comme "un programme résultant de l’écriture d’un algorithme

dans un langage de programmation".

Par ailleurs, l’entreprise ne doit pas permettre le piratage des logiciels, opération qui consiste à

les copier de façon illicite et / ou les utiliser sans disposer de leur licence d’utilisation. Le

piratage des logiciels constitue un délit aux yeux de la loi sur la propriété intellectuelle et droits

d’auteur. Le piratage des logiciels peut prendre diverses formes :

• A l’intérieur de l’entreprise : utilisation d’un logiciel pour plus de postes que de licences

d’utilisation achetées,

• De l’intérieur vers l’extérieur de l’entreprise : copie de logiciels à des fins d’utilisation

personnelle,

• De l’extérieur vers l’intérieur de l’entreprise : il peut s’agir de jeux, d’utilitaires, d’outils

bureautiques amenés sur les lieux de travail, téléchargement à partir d’Internet de logiciels

sans autorisation de leur auteur, etc.

Les moyens de lutte contre ces agissements sont nombreux. Nous pouvons citer parmi l’ensemble

de ces moyens :

30 PREMIERE PARTIE

• Actions de la BSA : il s’agit d’une association d’éditeurs de logiciels qui mène une campagne

de sensibilisation, de mise en garde sur de tels pratiques. Au Maroc, cette association est

présente et mène des actions de sensibilisation, d’éducation sur la protection des droits de la

propriété intellectuelle.

De nombreux articles de presse18 font état d’un taux de piratage des logiciels informatiques de

près de 90%. Les dirigeants d’entreprises préfèrent payer mois cher au départ et de courir le

risque par la suite. Nous avons reporté en annexe n° 6 l’article de presse parue suite à la

conférence organisée par la BSA le 18 juin 2002 ainsi que les statistiques de piratage au Maroc et

à travers le monde.

• Actions internes à l’entreprise : par le biais d’affichage, de notes de service, courrier

électronique, l’entreprise peut sensibiliser et moraliser ses salariés sur les sanctions

encourues, le cadre légal, les mesures disciplinaires qui seront appliquées, etc.

C’est ainsi que le responsable informatique peut mener des actions de contrôle tels que :

• Contrôle des licences achetées avec les licences installées par poste de travail,

• Tenir hors de portée des utilisateurs les justificatifs des licences,

• Régularisation et mise en conformité de la situation de l’entreprise le cas échéant.

A côté des risques de piratage des logiciels, l’entreprise doit mettre en place des techniques de

protection visant à garantir l’intégrité et la confidentialité des données. Les contrôles d’accès

logiques sont assimilés le plus souvent aux contrôles des mots de passe et constituent l’un des

éléments clés de la sécurité micro-informatique.

1.2.2 Maîtrise des accès logiques

L’intégrité et la confidentialité des données sont garanties par des outils basés sur les principes

d’identification et d’authentification et d’habilitation. L’identification et l’authentification

permettent de garantir la protection de l’accès aux traitements, tandis que l’habilitation permet

une protection de l’accès aux données.

18 Les dossiers de la Vie Economique du 1er février 2002

31 PREMIERE PARTIE

L’identification est l’opération qui consiste à un utilisateur à s’identifier auprès du système

d’exploitation. En général, l’identification s’effectue par la saisie du nom de l’utilisateur.

L’authentification est l’opération qui consiste à s’assurer de l’authenticité de l’utilisateur

préalablement identifié. Cette authentification s’effectue généralement par la saisie d’un mot de

passe, seul connu de l’utilisateur préalablement identifié. L’habilitation est l’opération qui

consiste à s’assurer que l’utilisateur est autorisé à obtenir une communication des données

protégées, d’accéder à une partie des applications liée à sa fonction.

Il n’est pas rare de voir au sein des PME des micro-ordinateurs partagés entre plusieurs

utilisateurs ou l’existence d’un serveur central où sont logés les applications et données. Il est à

ce sujet plus recommandé d’opter pour une configuration pour chaque utilisateur définissant les

limites d’accès en fonction des profils, et d’imposer des normes internes en terme de nomination

de répertoires et fichiers rendant difficile leur reconnaissance par un utilisateur curieux ou un

éventuel intrus.

La multiplicité des mots de passe augmente le risque d’oubli ou d’erreur de la part des

utilisateurs, entraînant soit leur communication aux collègues, soit leur notation sur des bouts de

papier à côté du PC, etc. Néanmoins, pour assurer à cette technique de protection une efficacité, il

y a lieu de respecter certaines règles de base19 :


Pertes d’intégrité et confidentialité des données,

Destruction de fichiers,

Perte du chemin de révision,

Absence de journalisation de l’activité

Mots de passe généralisés à l’ensemble du personnel,

Mots de passe comportant au moins 5 caractères de types alphanumérique,

Mots de passe changés périodiquement,

Interdiction d’échange ou de prêt des mots de passe,

Mots de passe saisis par l’utilisateur sur des zones non affichables,

Blocage système après 3 tentatives illicites.

19 H.J Highland : "comment protéger votre micro"

32 PREMIERE PARTIE

Toutefois ces règles de protection se heurtent à une contrainte pour les PME en raison de la

limitation de leur effectif et le problème posé lors des départs en congé (permanence), et la

distinction entre tentative d’accès illicite et simple oubli de la part de l’utilisateur dû notamment à

la multiplicité des mots de passe.

A ces règles de base, on peut rajouter le principe de révocation des mots de passe par le système

après un certain temps, poussant les utilisateurs à changer leurs mots de passe.

L’efficacité de la protection logique repose sur la confidentialité des mots de passe. A ce sujet, le

responsable de la sécurité informatique a un rôle de sensibilisation auprès des différents

utilisateurs, car il n’est que trop courant de voir l’échange de mots de passe entre les différents

utilisateurs. Le responsable de la sécurité détient l’ensemble des identifiants de chaque utilisateur

et doit imposer les règles élémentaires d’élaboration des authentifiants tel que décrit dans le

paragraphe précédent.

1.3 La protection des données :

Les données doivent être protégées contre les risques de destruction partielle ou totale car elles

sont en général les plus exposées à ce type de menace.

Avant d’examiner en détail les moyens de protection des données, nous pensons qu’il est

nécessaire d’éclairer le lecteur sur les différentes catégories de virus.

1.3.1 Les différentes catégories de virus

Une infection informatique ou virus est "un programme parasite dont la plupart se chargent en

mémoire afin de perturber, modifier ou détruire tout ou partie des éléments indispensables au

fonctionnement de l’ordinateur et notamment les données présentes sur disque dur"20. Il existe

différentes catégories d’infection par virus, répertoriées néanmoins en deux classes :

• Les programmes simples tels que le cheval de Troie et la bombe logique,

• Les programmes auto reproducteurs tels que les virus polymorphes, virus système, virus

macro, etc.


33 PREMIERE PARTIE

Les programmes simples sont des infections informatiques insérées dans un corps de programme

sain, ou placés dans un logiciel d’aspect anodin (jeux, utilitaires, etc.). La bombe logique comme

le cheval de Troie agissent en fonction d’un critère de déclenchement préalablement déterminé

avec la différence près que l’origine de l’infection provient de l’intérieur pour la bombe logique

et de l’extérieur pour le cheval de Troie.

Les programmes auto reproducteurs infectent les mémoires vives des micro-ordinateurs, et ont la

capacité de se déplacer d’un micro-ordinateur à l’autre s’ils sont connectés entre eux

(configuration réseaux) ou être transportés par le Web à l’aide de programmes tels que Java, Java

Script, Active X, etc.

Les conséquences de ces infections sont redoutables et variables, pouvant aller jusqu’à la

destruction totale des données et mettre en péril la pérennité de l’entreprise.

1.3.2 Les moyens de protection

En raison de la prolifération et de la multiplication des virus, les PME ne sont jamais à l’abri des

risques de perte des données même si elles disposent des dernières mises à jour des logiciels

d’antivirus. En effet, le comportement insouciant des utilisateurs est à l’origine de nombreuses

attaques. Le responsable de la sécurité informatique doit avoir un rôle de sensibilisation et de

contrôle afin de s’assurer que les consignes de sécurité de l’entreprise sont respectées.


Destruction des données suite à des erreurs de manipulation involontaires,

Suppression, modification ou altération de fichiers,

Malveillance et sabotage immatériel.

Politique de sensibilisation et formation des utilisateurs,

Procédure de sauvegarde efficace,

Désactivation des lecteurs disquettes,

Se déconnecter du réseau local lors de l’accès à Internet,

Logiciel antivirus installé sur l’ensemble des postes.

Néanmoins, certaines des techniques de protection proposées dans le présent tableau sont à

éliminer d’office car sont impossible à respecter dans un monde communicant (Intranet et

Extranet).

Nous avons reporté en annexe n° 7 les différentes méthodes d’éradication des virus.

34 PREMIERE PARTIE

En complément des moyens de protection cités ci-dessus, nous pensons qu’il est utile de mener

des actions d’information et de sensibilisation des utilisateurs. Cette action doit être menée par le

responsable de la sécurité informatique, au même titre que les contrôles inopinés. En effet, nous

pouvons remarquer que les utilisateurs ont tendance à désactiver le logiciel d’antivirus sous

prétexte qu’il ralentit la vitesse de traitement des opérations de leur micro-ordinateur.

2 Les techniques de sécurité pour une information disponible

2.1 La disponibilité du matériel

La gestion du parc micro-informatique de l’entreprise est rendue délicate tant au niveau de

l’investissement que de son entretien (maintenance) vu la grande diversité des produits et des

technologies existantes.

2.1.1 Achat du matériel

La politique d’investissement doit être centralisée par un responsable informatique informé des

évolutions technologiques. Un plan micro-informatique intégrant les périphériques doit être mis

en place, recensant les besoins à satisfaire (capacité et performances, compatibilité du matériel,

etc.) ainsi que son évolutivité.

A cet effet, le responsable informatique doit disposer d’une liste de fournisseurs et fabricants de

matériels à même de satisfaire la demande de l’entreprise. Le choix et la sélection du fournisseur

sont fonction de la politique d’investissement de l’entreprise et de son plan micro-informatique

tels que décrit ci-dessus.

Choisir un seul fournisseur peut poser de sérieux problèmes en cas de défaillance financière, et

disposer d’un parc hétéroclite peut poser des difficultés en terme de maintenance dudit parc.

L’entreprise doit donc opérer un choix entre ces deux solutions, en fonction bien évidemment de

l’importance qu’elle accorde à l’outil micro-informatique dans son système d’information.

2.1.2 Maintenance et gestion du parc

L’entreprise doit disposer des ressources nécessaires pour maintenir son parc et ce dans le but

d’éviter les défaillances, les pannes ou conflits entre matériels et composants. Il devient donc

impératif de signer un contrat de maintenance fixant le coût des interventions, délais d’exécution

afin que les micro-ordinateurs puissent être dépannés le plus vite possible.

35 PREMIERE PARTIE

Les matériels sont généralement sous garantie à l’origine. Nous pensons qu’il est préférable

d’opter systématiquement pour l’extension de garantie en vue de se prémunir de la fragilité des

composants notamment en raison de leur miniaturisation.

L’entreprise ne doit pas chercher à détenir systématiquement les dernières technologies, du fait

de l’accroissement ininterrompu des performances et des capacités du matériel. Il est possible

depuis quelques années d’opter pour une politique continue de renouvellement du parc machine.

En effet, le fournisseur ou représentant du fabricant donne la possibilité d’échanger le matériel

vieillissant et obsolète par un matériel récent. Cette technique évite de se préoccuper de la gestion

de machines vieillissantes et difficilement vendables.

L’outil micro-informatique constitue un actif immobilisé pour l’entreprise. Il devient intéressant

de disposer de l’inventaire de cet actif faisant ressortir :

• L’année d’acquisition,

• La marque et modèle,

• Les références techniques,

• Le prix d’acquisition,

• L’emplacement au sein de l’entreprise.

Enfin, l’entreprise peut posséder des micro-ordinateurs supplémentaires afin de pouvoir pallier

aux risques de pannes ou mises hors service de micro-ordinateurs opérationnels. Néanmoins,

cette méthode, même si elle présente des garanties supplémentaires de disponibilité reste

onéreuse pour l’entreprise où il n’est pas rare de voir un micro-ordinateur partagé par plusieurs

utilisateurs.

2.2 La disponibilité des logiciels

2.2.1 Acquisition des logiciels

Un micro-ordinateur comprend généralement une unité centrale de traitement et divers

périphériques. A celui-ci sont associées diverses applications logicielles. C’est ainsi que

l’entreprise peut opter pour l’acquisition de logiciels de marché ou développer ses applications en

interne ou par recours à une SSII.

36 PREMIERE PARTIE

Les développements extérieurs peuvent être des progiciels standard ou au contraire des

développements spécifiques à l’entreprise. Généralement, l’entreprise préfère opter pour

l’acquisition d’un logiciel de marché. En effet, les produits proposés sont nombreux et largement

diffusés, ce qui évite tout problème d’installation ou de mise à jour de la version.

En revanche, s’il s’agit d’applications développées en interne, l’entreprise peut s’exposer aux

risques de retard de mise en service pouvant entraîner l’indisponibilité de son outil micro-

informatique.

Il est recommandé d’acquérir des logiciels compatibles entre eux et de veiller à ce que les

versions utilisées soient identiques du moins par groupe d’utilisateurs. De plus, pour éviter tout

risque de bogue ou erreur de programmation, l’entreprise ne doit pas acquérir la première version

d’un logiciel mais plutôt attendre les versions stabilisées.

Il est enfin primordial que le support d’origine des logiciels (sur CD-ROM) soit livré avec le

matériel lorsque les logiciels sont préinstallés sur un micro-ordinateur à son achat.

2.2.2 Maintenance et gestion des logiciels

La pérennité d’un logiciel passe inéluctablement par sa maintenance. Celle-ci doit avoir lieu au

vu d’un contrat de maintenance signé avec une SSII. L’entreprise doit disposer en règle générale

d’une copie de secours du logiciel afin de pouvoir rapidement le réinstaller en cas de panne ou de

dysfonctionnement.

Toutefois, s’il s’agit d’applications logicielles conçues sur mesure, il devient primordial de

disposer d’une documentation complète.

Même si a priori cette méthode permet d’assurer une plus grande sécurité de l’entreprise, les

codes sources des programmes restent la propriété du prestataire de service. Les utilisateurs ne

peuvent effectuer de modifications sur les programmes compilés et exécutables. La gestion des

logiciels est rendue plus efficace si les micro-ordinateurs sont connectés en réseau. Cette

configuration ou plutôt architecture facilite au responsable informatique la mise à jour des

logiciels à partir de son poste de travail.

37 PREMIERE PARTIE

Néanmoins, il y a lieu de souligner que les logiciels sont souvent installés sur le disque dur de

chaque poste et non sur un serveur lorsque le réseau existe. C’est le cas notamment du logiciel de

comptabilité installé sur les micro-ordinateurs du département comptable, du logiciel de la paie

installé sur le micro-ordinateur du département administratif ou ressources humaines, etc.

2.3 La disponibilité des données : sauvegarde et archivage

L’utilisation par l’entreprise d’un système informatique fait naître un risque lié à la concentration

d’une multitude d’informations et de données, toutes accessibles par les mêmes personnes. Face

aux risques de pertes des données pendant les traitements, de production de résultats erronés, de

perte de fichiers, etc. l’entreprise doit mettre en place un certain nombre de mesures visant la

sécurisation des méthodes et procédures d’exploitation de l’outil informatique.

La sécurisation des méthodes et procédures d’exploitation de l’outil micro-informatique

impliquent la classification et la protection des données produites par l’entreprise.

2.3.1 Identification et classification des données à protéger

Afin de pouvoir assurer l’intégrité, la confidentialité et la disponibilité des données produites par

l’entreprise, il est impératif d’identifier les données à protéger. Le recensement de ces données

est fondamental dans la mise en place d’un cadre de contrôle interne efficace, ciblé sur les

éléments du patrimoine de l’entreprise, dont la protection doit être assurée avec la plus grande

vigilance. L’identification des données à protéger donne lieu à leur classification en quatre

niveaux, rappelés ci-dessous :

• Secret : il s’agit de données et fichiers considérés comme vitales pour le fonctionnement de

l’entreprise. Leur importance est telle que la pérennité de l’entreprise peur être remise en

cause en cas de "consultation" non autorisée ou d’endommagement desdites données,

• Confidentiel : il s’agit de données ou fichiers contenant des informations dont la diffusion

peut porter atteinte à l’image de l’entreprise (par exemple : fiche de paie du directeur général,

état des ventes, etc.),

• A usage interne : il s’agit de données et fichiers utiles à la vie courante de l’entreprise et

pouvant être partagés entre plusieurs utilisateurs,

• Non classé : autres catégories de données non susceptibles d’être classées dans l’une des trois

catégories ci-dessus.

38 PREMIERE PARTIE

Cette classification des données est fonction de l’analyse des risques et de l’évaluation faite de

ces risques. La détermination de la valeur de ces données permet de mettre en place les

techniques de protection efficace. La classification des données permet enfin :

• D’une part d’indiquer les données et systèmes à protéger,

• D’autre part de définir les données et systèmes ne nécessitant pas d’investissement important

en terme de sécurité.

2.3.2 Gestion des sauvegardes

Chaque utilisateur doit procéder à des enregistrements fréquents de son travail en cours, sur le

disque dur de son micro-ordinateur, afin d’éviter de le perdre en cas d’éventuels incidents.

Toutefois, cette mesure élémentaire de sécurité ne constitue qu’une mesure provisoire qui n’a pas

vocation de protéger durablement l’entreprise contre le risque de perte de disponibilité,

d’intégrité et de confidentialité des données et ressources informatiques.

Le principe de sauvegarde est de pouvoir disposer d’une copie de secours des données à protéger.

Selon les besoins et les moyens de chaque entreprise, une procédure de sauvegarde centralisée et

automatique des données doit être mise en place. Cette procédure doit faire l’objet d’un document

écrit définissant pour chaque fichier à sauvegarder les règles strictes mentionnant le nombre de

générations, la périodicité, le lieu et la durée de stockage. Cette procédure doit également préciser

le rôle à jouer par le responsable de la sécurité informatique et les utilisateurs.

Le tableau ci-dessous synthétise les risques et techniques de protection en matière de sauvegarde.

Objectifs Risques Prévention / Protection

Assurer le redémarrage du traitement en cas d’incident,

Pallier à un incident sur support physique,

Redémarrage sur site extérieur en cas d’incident grave,

Assurer la conservation des données pour répondre aux obligations légales.

Pertes de données et fichier,

Destruction des documents ou supports magnétiques,

Altération et divulgation d’informations confidentielles,

Etc.

Procédure de sauvegarde et gestion des sauvegardes confiées à un responsable,

Jeux de sauvegarde avec un support entreposé en dehors de l’entreprise,

Conservation supports de sauvegarde dans un coffre fort ignifugé,

Etc.

39 PREMIERE PARTIE

Enfin, le responsable de la sécurité doit être chargé de la gestion et de l’archivage des copies de

sauvegarde, quelle que soit la taille de l’entreprise et l’organisation de sa micro-informatique.

Nous avons reporté en annexe n°8 le rappel de certaines règles relatives à la sauvegarde des

données ainsi qu’un exemple de procédure de sauvegarde applicable aux PME.

3 Sécurité des études et développements d’applications informatiques :

L’entreprise a le choix dans la mise en place d’un nouveau système informatique, d’une nouvelle

application, etc. entre le développement interne ou le recours à un prestataire de service extérieur.

Les développements extérieurs peuvent être des progiciels standard ou au contraire des

développements spécifiques à l’entreprise. Les entreprises utilisent généralement un mélange de

ces deux types de développement, dépendant du niveau de spécificité requis.

Qu’il s’agisse de développement interne ou de développement externe d’applications

informatiques, il est nécessaire de respecter un certain nombre de règles et procédures dans la

conception desdites applications.

3.1 Méthodes et normes de programmation

Le développement d’une application informatique doit être effectué selon une démarche

systématique et rigoureuse ; démarche inspirée de celle publiée par l’IFEC.

Dès le lancement de la phase de développement, des procédures de secours doivent être prévues

en définissant le fonctionnement en "mode dégradé". Ce mode consiste à s’appuyer sur des

procédures non informatiques en vue de réaliser certaines opérations et processus effectués

jusque là par l’outil informatique. Ces procédures, consistent en :

• Le traitement manuel des documents,

• La transmission des données et informations par téléphone, fax, courrier, etc.

• Le contrôle et la surveillance humaine en remplacement de certains traitements automatisés

jusque là et effectués par l’outil micro-informatique.

Le tableau ci-dessous fait ressortir de manière synthétique les différentes étapes et documents

nécessaires au développement d’une application informatique.

40 PREMIERE PARTIE

Etapes Documents requis

Etude d’opportunité

Analyse fonctionnelle

Analyse organique

Identification des zones de changement,

Description et critique de l’existant afin de pouvoir justifier la demande de changement,

Présentation succincte des fonctions à développer,

Identification des besoins, des objectifs et des contraintes de mise en œuvre,

Description et étude des différents scénarios possibles,

Décision finale.

La définition précise des objectifs,

La description des fonctions à développer,

La circulation des informations,

L’étude des entrées / sorties,

Les traitements à effectuer,

La définition des contrôles à effectuer.

La conception du système général (liens avec l’étape précédente),

La définition des fichiers à créer et à mettre en œuvre,

Les états et écrans de sortie,

Les jeux d’essais

3.2 Elaboration et documentation

Sans un programme et une documentation compréhensible, le système informatique devient

difficile à maintenir (en termes de problème d’exploitation, d’utilisation et de mise à jour).

Une documentation non basée sur un certain nombre de standards préétablis peut contenir des

informations inadaptées, sans intérêts, voire dépassées. En parlant de documentation, il y a lieu

de distinguer la documentation technique de la documentation des applications.

La documentation technique, fournie en général par le constructeur concerne généralement le

matériel et logiciels de base. A ce sujet, l’entreprise ne court pas de risque vu l’abondance de la

documentation technique, ainsi que sa bonne qualité.

41 PREMIERE PARTIE

La nécessité de rédaction d’une documentation des programmes et applications informatiques

n’est encore que trop souvent mal ressentie tant par les dirigeants de l’entreprise que le personnel

chargé du développement d’applications informatiques, surtout en ce qui concerne les PME. Or,

cette mesure doit répondre en premier lieu à un besoin interne quotidien de l’entreprise.

L’absence de documentation entraîne les risques suivants :

• Absence ou insuffisance de connaissance sur le système de traitement des informations,

• Maintenance difficile et coûteuse,

• Dépendance vis-à-vis du personnel de développement (pas de séparation de tâches).

Nous avons reporté en annexe n° 9.a un descriptif des différents types de documentation des

applications informatiques et leur contenu.

Après les phases d’étude et de développement, l’application informatique doit être mise en

exploitation.

3.3 Règles d’exploitation des applications informatiques

3.3.1 Séparation des tâches

Une des règles de sécurité en terme d’exploitation des applications informatiques (développées

en interne ou par un prestataire de service) est la séparation des tâches entre le personnel de

développement (études) et le personnel d’exploitation.

Toutefois cette règle ne peut toujours s’appliquer dans les PME où il n’est pas rare de rencontrer

une seule personne cumulant l’ensemble des fonctions traditionnellement distinguées dans un

service informatique. Cette situation ne rend que plus nécessaire le contrôle des résultats par les

utilisateurs et contrôle des données a posteriori (Cf. 3.4 : contrôle des données a posteriori).

Néanmoins, l’objectif de la règle de séparation des tâches vise la prévention de l’utilisation non

autorisée ou frauduleuse des moyens informatiques (micro-ordinateur, logiciel, données, etc.)

ainsi que la prévention de la manipulation et la modification non autorisée des applications

informatiques et des données.

42 PREMIERE PARTIE

3.3.2 Procédure de test des programmes

La programmation d’une application informatique est une tâche minutieuse et souvent assez

complexe. Les applications mises en exploitation doivent faire l’objet d’une mise au point

attentive, et de tests plus ou moins nombreux selon les procédures suivantes :

• Mettre en exploitation des applications suffisamment testées,

• Préserver la sécurité de l’environnement de production,

• S’assurer que le système fonctionne selon les spécificités prévues lors de l’étude

d’opportunité (définition des besoins).

La réception ou recette donnée par les utilisateurs à l’équipe de développement avant la mise en

exploitation d’une nouvelle application est donnée au vu :

• De jeux d’essais comprenant les jeux d’essais conçus par les informaticiens et les jeux

d’essais utilisateurs,

• Du système d’exploitation en double qui consiste à faire fonctionner simultanément le

nouveau système développé avec l’ancien afin de comparer les résultats desdites applications.

3.3.3 Procédures de mise en exploitation des applications informatiques

Les procédures de mise en exploitation des applications informatiques nécessitent la mise en

place d’un cadre de contrôle assurant la séparation des fonctions études et exploitation. Cela se

traduit par le fait que le personnel d’études ne doit pas avoir accès aux bibliothèques de

programmes d’exploitation. Cette séparation de fonction vise plus à prévenir les risques d’erreur

de manipulation que les opérations à caractère frauduleux du personnel d’études. (Cf. sous

paragraphe 3.3.1 séparation des tâches).

Nous avons reporté en annexe n° 9.b le mode de passage d’un environnement de test à un

environnement d’exploitation et les risques auxquels s’expose l’entreprise en l’absence de

procédures et normes.

Enfin, la mise en place d’une nouvelle application informatique doit s’accompagner d’une

formation adaptée des utilisateurs.

43 PREMIERE PARTIE

A cet effet, le responsable informatique doit susciter l’intérêt d’une telle formation en soulignant

les avantages d’une telle application et ses répercussions sur les habitudes de travail

préexistantes.

Néanmoins, pour assurer à la formation un succès total, il y a lieu de prendre en considération les

aspects suivants :

• La formation ne doit pas être dispensée trop longtemps à l’avance,

• La formation doit être adaptée au profil des utilisateurs,

• Le rôle de l’animateur est fondamental : c’est son rôle pédagogique qui va permettre

l’adhésion ou au contraire le refus des utilisateurs à leur nouvel environnement de travail.

3.4 Le contrôle des données a posteriori :

Les mesures que nous avons analysées dans les paragraphes précédents sont destinées à protéger

l’entreprise des erreurs de conception lors du développement d’applications et leur mise en

exploitation. Toutefois, ces mesures ne peuvent garantir qu’aucune erreur ne subsistera en fin de

chaîne de traitement. Il revient donc aux utilisateurs finaux, destinataires des résultats produits

par l’exploitation de veiller au contrôle de ces résultats.

Le contrôle des données a posteriori est trop souvent négligé par les entreprises en général, car

celles-ci se concentrent plus sur les contrôles a priori (en amont) et les contrôles programmés (en

cours de traitement). Elles ont tendance à se voiler la face quant à l’efficacité des mesures de

protection mises en place, sans vérifier périodiquement cette efficacité.

Le contrôle des données a posteriori est le seul qui puisse garantir que des actions non autorisées

réalisées directement sur les données ont été détectées. Il implique de s’assurer au préalable de

l’exhaustivité et l’intégrité des données prises en compte, la validité et la qualité des informations

fournies et le contrôle de la cohérence des traitements pour se prémunir contre tout risque

d’erreur de programmation, d’exploitation ou de manipulation.

Ce contrôle sera effectué généralement par l’édition périodique d’états d’anomalies, états pouvant

d’ores et déjà être paramétrés sur l’application, même si non prévus au départ.

44 PREMIERE PARTIE

Chaque entreprise doit être en mesure de prévoir la génération d’états d’anomalies pour

l’ensemble de son système d’information ou du moins pour les applications les plus utilisées

telles que :

- La comptabilité,

- La paie,

- La facturation,

- La gestion des stocks,

- Etc.

Ces états d’anomalies seront générés sur la base d’un ensemble de contrôles programmés,

contrôles visant à s’assurer que les procédures de contrôle interne s’appliquent en permanence et

sont en mesure de détecter tout vice de procédure pouvant entraîner en fin de compte une

anomalie ou erreur.

Le présent chapitre nous a permis de présenter de manière synthétique les différentes techniques

de protection adaptées à la micro-informatique. Le chapitre suivant nous permettra de mesurer

l’impact réel des risques sur le patrimoine et la pérennité des PME et de connaître l’appréciation

de la sécurité informatique dans nos PME avec comme support un questionnaire d’enquête sur la

sécurité informatique dans les PME.

45 PREMIERE PARTIE

Chapitre 3 : Impact réel et perception de la sécurité micro-informatique dans les PME

Les risques informatiques tels que définis au chapitre 1 sont nombreux et peuvent avoir des

conséquences négatives sur le patrimoine et la pérennité de l’entreprise. En effet, en l’absence ou

l’insuffisance de techniques de protection au vu d’une politique de sécurité globale, l’entreprise

s’expose à des risques de tout genre allant de la simple panne machine à des sinistres entraînant la

destruction totale de son outil informatique.

1 Impact réel des risques sur le patrimoine et la pérennité des PME

Les risques informatiques ont, selon le cas, des conséquences directes, indirectes sur le

patrimoine et la pérennité de l’activité de l’entreprise. De même, que ces conséquences peuvent

être financières.

1.1 Conséquences directes

Les conséquences directes sont :

• Les pertes d’exploitation se traduisant par une perte de revenus directs ou la baisse des

marges bénéficiaires,

• La baisse de productivité avec les conséquences que cela peut avoir sur le social

(chômage technique, licenciement pour cause de sureffectif, etc.)

• Les pénalités pour défaut ou retard de livraison d’une commande, non exécution de

clauses d’un marché, etc.

• Le coût de réparation ou de remplacement de matériels, logiciels, etc.

• Les frais supplémentaires liés à l’utilisation de systèmes de secours (exécution de clauses

d’un contrat de back up).

• Le dépôt de bilan (conséquence la plus pessimiste possible)

1.2 Conséquences indirectes

A l’opposé des conséquences directes qui peuvent être évaluées de manière approximative, les

conséquences indirectes sont difficiles à identifier et évaluer. Il peut s’agir selon le cas de :

46 PREMIERE PARTIE

• La perte de compétitivité : en effet le phénomène de globalisation implique que

l’entreprise puisse disposer de l’ensemble de ses ressources et notamment ses ressources

informatiques pour évoluer dans un environnement concurrentiel,

• La perte d’image de marque en raison de l’ampleur du sinistre survenu : en effet

l’importance d’un sinistre peut entraîner la perte de confiance des partenaires

(insatisfaction de la clientèle, suppression d’approvisionnement, etc.)

• La perte de marché : pendant la période du sinistre, l’entreprise est dans l’impossibilité de

mener à terme ses divers engagements, ce qui peut entraîner la perte de confiance des

banquiers (fermeture des lignes de crédit, de découvert, etc.)

• Pertes liées aux préjudices moraux, corporels ou suite à l’introduction d’une action en

justice que peut subir l’entreprise et ses dirigeants.

1.3 Conséquences financières

Au-delà des conséquences directes et indirectes tels que ceux énumérées ci-dessus, l’impact

financier des risques informatiques est, selon le cas :

• Frais liés au remplacement ou la réparation du système informatique : il s’agit en fait des

frais liés aux dommages physiques tels qu’expertise, réparation et / ou remplacement de

matériel ou des frais liés à des dommages logiques tels que la restauration d’éléments

immatériels, reconstitution de fichiers perdus, etc.

• Frais supplémentaires : frais qui correspondent en général à des mesures destinées à

maintenir les fonctionnalités et performances du système informatique à un niveau

similaire ou du moins assez proche de celles avant sinistre,

• Les pertes comprenant selon le cas :

o Les pertes d’exploitation tels que pertes d’affaires, de clients ou d’image de marque,

o Pertes de fonds et de biens, d’informations.

Nous avons reporté en annexe n° 10 quelques scénarios de réalisation de risques informatiques

47 PREMIERE PARTIE

2 Appréciation des risques micro-informatiques par les utilisateurs

Comme signalé au niveau du chapitre 1, la sécurité concerne l’entreprise et l’ensemble des

ressources matérielles, logicielles et humaines associées au système d’information. La sécurité

informatique passe donc par la prise de conscience des différents types de risques liés à

l’utilisation de l’outil micro-informatique.

La presse spécialisée européenne fait souvent écho de statistiques sur la sinistralité correspondant

à l’estimation des pertes dues à des sinistres déclarées ou l’estimation des pertes financières

découlant directement au manque de sécurité. Nous avons reporté en annexe n° 11 les statistiques

de sinistralité en France publiées par l’APSAIRD ainsi qu’un article de presse sur "la

sensibilisation des entreprises au problème de sécurité".21

Nous avons voulu connaître le niveau de perception de la sécurité micro-informatique au sein de

nos entreprises. Pour ce faire, nous avons préparé un questionnaire à destination des entreprises

pour connaître leur degré d’informatisation et leur perception des risques informatiques et de la

nécessité de mise en place d’une politique de sécurité globale.

2.1 Mise en place du questionnaire : finalités et règles d’élaboration

Comme signalé ci-dessus, l’expert-comptable ou le commissaire aux comptes doivent être

conscient des risques réels et de l’environnement micro-informatique des entreprises marocaines

afin de pouvoir mener une mission d’audit de la sécurité micro-informatique.

A cet effet, nous avons préparé un questionnaire à destination des entreprises pour connaître leur

perception du niveau de sécurité qui prévaut dans leurs organisations. Ledit questionnaire annexé

au présent mémoire comprend quatre parties :

• La première partie correspondant à l’identification de l’entreprise,

• La seconde partie correspondant aux fonctions informatisées au sein de l’entreprise ainsi

que la composition de son outil micro-informatique et des applications logicielles qui y

sont associées,

21 Article mis en ligne sur Internet

48 PREMIERE PARTIE

• La troisième partie traite de l’organisation de la fonction informatique au sein de

l’entreprise,

• Enfin la quatrième partie correspondant à la perception de la sécurité informatique au sein

de l’entreprise.

Nous avons volontairement restreint le champ de notre enquête aux PME qui constituent en fait

plus de 90% du tissu économique marocain. Pour ce type d’entreprise, nous avons voulu savoir le

niveau de perception des risques informatiques aussi bien par la direction générale, le responsable

informatique que les utilisateurs d’une part et de connaître les techniques et outils de sécurité mis

en place d’autre part.

Néanmoins, la principale difficulté que nous avons rencontrée consiste en la sélection d’un

échantillon représentatif de PME en l’absence d’une véritable base de données d’une part et en

raison de la complexité de la définition de la PME telle qu’elle ressort du livre blanc édité par le

Ministère chargé des Affaires Générales du Gouvernement en décembre 2000.

Il ressort du "livre blanc des PME" qu’il n’existait pas jusqu’à une date récente de définition

unifiée de la PME mais une coexistence de plusieurs définitions.

La PMI était désigné comme "toute entreprise dont le programme d’investissement comporte des

équipements de production d’une valeur minimale de 100.000 Dhs et maximale de 5.000.000 Dhs

et dont le coût d’investissement par emploi stable est inférieur à 70.000 Dhs".22

A cette même époque la Banque Mondiale finançait ce secteur en accordant des crédits aux

entreprises dont l’actif net ne dépassait pas 5.000.000 Dhs. Par ailleurs, le Ministère du

Commerce de l’Industrie et de l’Artisanat définissait la PMI dans le cadre de ses opérations de

recensement comme toute entreprise employant au maximum 200 personnes.

Il a fallu attendre l’an 2000 pour voir émerger pour la première fois une définition unifiée de la

PME, définition qui ressort du "livre blanc des PME" tel que susvisé.

La définition 23proposée par le Ministère24 se base sur 2 critères : quantitatifs et qualitatifs.

22 Code des investissements industriels de 1983

23 Livre Blanc des PME édition décembre 2000 page 56

24 Ministère Chargé des Affaires Générales du Gouvernement

49 PREMIERE PARTIE

a) les critères quantitatifs : ils sont relatifs à l’effectif, le chiffre d’affaires et le total bilan

Très petite entreprise Petite entreprise Moyenne entreprise

Effectif < 25 personnes < 100 personnes < 200 personnes

Chiffre d’affaires < 5.000.000 Dhs < 25.000.000 Dhs < 50.000.000 Dhs

Total Bilan < 5.000.000 Dhs < 15.000.000 Dhs < 30.000.000 Dhs

b) critères qualitatifs : ils sont au nombre de trois

• Le chef d’entreprise est à la fois propriétaire et gestionnaire,

• L’entreprise est indépendante vis-à-vis d’un holding ou groupe d’entreprises,

• L’entreprise n’a pas de monopole ou de position dominante dans son marché.

Néanmoins, il ressort des critères, aussi bien quantitatifs que qualitatifs, édictés par le livre blanc,

qu’il devient tout à fait difficile de trouver des entreprises répondant parfaitement à la

juxtaposition de ces critères avec en surprime l’absence d’une base de données fiable.

En effet ni la CGEM25, ni le Ministère du Commerce et de l’Industrie à travers sa base de

données "qui produit quoi au Maroc ?" 26qui de plus n’est pas actualisée, ni le Kompass ne

fournissent une base de données répondant parfaitement aux critères requis.

Nous avons adressé le questionnaire à 200 entreprises susceptibles de répondre à certains des

critères édictés par le livre blanc, en se referant à l’ensemble des bases de données tels que

mentionnées ci-dessus.

A ce questionnaire, nous avons joint une note de présentation à destination des dirigeants des

PME faisant ressortir l’objectif d’une telle enquête ainsi que l’importance de leur contribution

dans la réussite d’une telle entreprise.

Afin d’obtenir des réponses représentatives, nous avons demandé à chaque entreprise de faire

remplir le questionnaire qui lui est destiné soit par le Directeur Général ou un mandataire habilité

et par le responsable informatique.

25 Répertoire du patronat marocain édition 2001

26 Source www.mcinet.gov.ma

50 PREMIERE PARTIE

2.2 Résultats des enquêtes

Seulement 50 questionnaires nous ont été retournés, dont les résultats figurent en annexe n° 12.

A la question "votre entreprise dispose t-elle d’un service informatique ?", la plupart des

entreprises ont répondu oui. Mais ce qui est intéressant de remarquer est le fait que parmi ces

réponses, près de 20% souligne que le service est composé d’une seule personne.

A la question "pensez-vous que la Direction Générale exerce un contrôle sur la fonction

informatique ?", 18% reconnaisse que non, ce qui est assez inquiétant. Un des principes de base

en terme de sécurité du management de l’informatique est que les dirigeants doivent conserver la

maîtrise de la fonction informatique.

A la question de connaître la place de l’outil micro-informatique au sein de l’entreprise, les

réponses sont assez mitigées. Certaines entreprises considèrent que la place de l’outil micro-

informatique est importante voire prépondérante. Toutefois, nous estimons que nous devons

atténuer cette affirmation au vu de la proportion de micro-ordinateurs par rapport à l’effectif total

de l’entreprise.

A la question de connaître les fonctions informatisées au sein de l’entreprise, il ressort qu’en

règle générale, la plupart des entreprises disposent d’applications de gestion classiques, à savoir

la comptabilité, la paie, la gestion commerciale, etc. Néanmoins pour ce qui de l’intégration de

ces applications à la comptabilité, les réponses reçues méritent d’être nuancées.

Les entreprises disposant d’un système informatique intégré de type ERP, SAP, etc. sont rares.

Seules les entreprises disposant d’un budget informatique important ont la possibilité à recourir à

de telles applications. Dans la majorité des cas, il s’agit de système de gestion où les données

peuvent être "exportées" par interface vers la comptabilité.

A la question de déterminer si l’entreprise recourt au développement interne d’applications ou

fait appel à des applications du marché, il ressort clairement des réponses reçues que les

entreprises préfèrent achetées des applications existantes sur le marché.

Lorsqu’on aborde la partie relative à la perception de la sécurité informatique au sein des

entreprises, les réponses reçues méritent qu’on s’y attarde quelque peu.

51 PREMIERE PARTIE

A la question de savoir si l’entreprise a été victime d’un sinistre informatique, les réponses qui se

dégagent des questionnaires reçues ne permettent pas de faire ressortir une conclusion. 45% des

entreprises intérogées afirment que oui, alors que 55% affirment le contraire. Il apparaît

clairement que le premier type d’agression subi par l’entreprise consiste en l’infection par virus

informatiques, suivi par les accidents physiques puis le vol de matériel.

Il est intéressant de remarquer que les personnes interrogées reconnaissent rencontrer des

difficultés dans l’utilisation normale de leur outil micro-informatique, celui-ci étant rendu

inutilisable pour une raison ou une autre tout en estimant être dépannés rapidement. Néanmoins,

ils considèrent que ces avaries et pannes en règle générale n’affectent pas leur travail, ce qui en

notre sens est à nuancer. En effet, nous avons tous fait l’objet d’un endommagement d’un fichier

ou de données.

Il se dégage des réponses reçues que la sécurité micro-informatique au sein des entreprises est

insuffisante même si de l’avis des responsables informatiques, la sécurité des micro-ordinateurs

est correctement appréhendée (67% des responsables informatiques pensent que les micro-

ordinateurs de leur entreprise sont suffisament protégés).

Toutefois, en matière de politique de sécurité, les réponses reçues méritent quelques

commentaires. Même si à première vue, 64% des entreprises affirment disposer d’une politique

de sécurité adaptée à la micro-informatique, il est intéressant de noter que celles-ci ne disposent

pas en fait de véritable politique de sécurité stricto sensu, mais seulement de quelques mesures de

protection.

A la question d’existence ou non au sein de l’entreprise de réunions de sensibilisation sur la

sécurité micro-informatique, 27% des entreprises avouent en tenir régulièrement, 42% de temps

en temps et 15% jamais.

A la question "votre entreprise a t’elle souscrit une police d’assurance contre les risques

spécifiques à l’informatique ?", 36% des entreprises ont répondu par l’affirmative. Ce

pourcentage doit être revu à la baisse, l’assurance multirisque n’étant pas à confondre avec la

tous risques informatiques.

52 PREMIERE PARTIE

Les entreprises semblent conscientes des risques informatiques, puisque la majorité des réponses

reçues sont orientées vers les virus informatiques en premier lieu, les accidents physiques en

secon lieu, l’absence régulière de sauvegarde des données en troisième lieu et le vol de matériel

ou données en dernier lieu.

Toutefois, lorsqu’on aborde les parades possibles pour atténuer ces risques, les réponses reçues

sont quelque peu contradictoires avec la perception des risques. A l’exception des virus

informatiques pour lesquelles les entreprises insistent sur la présence d’un logiciel antivirus, les

autres parades mises en avant ne respecte pas l’ordre d’importance des risques recensés.

Il ressort clairement de notre enquête que le budget alloué à la sécurité informatique est très

faible, car il ne dépasse pas les 5% du budget informatique total, soit moins de 15.000 Dhs pour

la plupart.

Enfin, les entreprises reconnaissent à près de 70% ne pas faire appel à leur expert-comptable pour

les conseiller dans le choix de solutions de sécurité ou la mise en place d’un plan de sécurité.

2.3 Enseignements à tirer

Il ressort clairement des questionnaires reçus que les entreprises ne disposent pas d’une vision

globale en terme de sécurité micro-informatique. Elles sont conscientes mais de manière confuse

de l’importance de l’outil micro-informatique et des ressources informatiques en général et de

l’intérêt de les protéger contre tout type d’agression.

Mais la vision des agressions qu’elles peuvent subir ne peut être que limitée, se résumant aux

attaques virales, vol de matériel et absence régulière de sauvegarde.

Ainsi, les risques d’accès physiques ou logiques pouvant entraîner une perte d’intégrité ou de

confidentialité des données, les erreurs de manipulation, erreurs de conception des applications,

etc. ne semblent pas constituer aux yeux des entreprises des risques réels pouvant porter atteinte à

leur outil micro-informatique.

La sécurité micro-informatique n’est donc que partiellement perçue, aucune personne interrogée

ne dispose d’une vision globale des risques et de la nécessité de mise en place d’une politique de

sécurité globale.

53 PREMIERE PARTIE

L’importance d’une politique de sécurité dont l’objectif principal est, rappelons le, d’assurer la

pérennité de l’entreprise et de ses ressources informatiques est peu ou pas du tout connue.

Lorsque c’est le cas, les concepts de cette politique sont mal appréhendés.

Enfin, il semblerait que la politique de sécurité informatique soit sous la responsabilité du

responsable informatique, ce qui en fait constitue une entorse au principe de séparation de

fonctions, règle essentielle d’un bon contrôle interne.

Il ressort de ce questionnaire que les réponses reçues sont assez disparates, faute de

communication suffisante au sein de l’entreprise et dépendent de la fonction exercée :

• Dirigeants et responsables PME : n'ayant qu'une vague conscience des différents types de

risques informatiques entraînant une confusion dans leur esprit, sont prêts à investir dans

les moyens de sécurité sans être convaincus des résultats attendus,

• Responsables informatiques : ils sont généralement plus conscients des risques de sécurité

informatiques, mais auront tendance à se plaindre de l'insuffisance des moyens mis à leur

disposition (humains, matériels, financiers, etc.),

• Utilisateurs: ne se satisfont pas totalement des mesures de sécurité mises en place se

plaignant de leur contrainte, leur non adéquation à leur utilisation de la micro-

informatique, etc.

En conclusion, même si la sécurité est perçue comme une notion importante, elle reste encore

assez confuse dans l’esprit des dirigeants de nos PME. Dans ce contexte, le niveau de sécurité

reste faible et ne met donc pas toute entreprise à l’abri de risques informatiques.

Face à ce constat, l’expert-comptable et / ou le commissaire aux comptes ont un rôle important à

jouer en matière de sensibilisation des dirigeants.

3 Le rôle des professionnels dans la sensibilisation de l’entreprise

3.1 L’expert-comptable

Comme signalé précédemment, en tant que conseiller externe à l’entreprise et son statut

d’interlocuteur privilégié de la Direction Générale, l’expert-comptable a un rôle et un devoir de

sensibilisation et d’explication sur ce domaine. Il y va de la sauvegarde des actifs et du

patrimoine de l’entreprise ainsi que de la fiabilité de l’information produite.

54 PREMIERE PARTIE

L'expert-comptable ne doit pas se désintéresser de ce domaine et se contenter d'émettre une

opinion sur les états financiers de l'entreprise. Son rôle en tant que conseiller de l'entreprise doit

être général.

Les risques informatiques ont des répercussions ou incidences physiques sur les entreprises et

notamment les PME. L’expert-comptable doit focaliser sa sensibilisation sur les aspects

suivants :

• Perte de disponibilité résultant de l’incapacité pour l’utilisateur d’utiliser l’outil micro-

informatique dans des conditions d’accès et d’usage normal. La disponibilité est définie

comme "la qualité d’utilisation d’un système informatique caractérisée par le pourcentage

de fonctionnement correct dans un temps donné."27

Les PME ne disposent généralement pas d’un plan micro-informatique et d’une politique

d’investissement. La disponibilité de l’outil micro-informatique devant être assurée par :

o Une politique d’investissement du matériel et des logiciels tenant compte des

contraintes internes à l’entreprise (compatibilité et homogénéité du parc) et des

contraintes externes (fiabilité des logiciels installés, notoriété du revendeur de

matériel, etc.),

o Une politique de maintenance préventive comprenant une formation adéquate des

utilisateurs à l’utilisation de l’outil micro-informatique, la qualité de l’assistance

technique, les conditions d’intervention, le suivi des pannes (registre, historique, etc.),

o La signature d’un contrat d’assistance technique avec une SSII,

o Une procédure de sauvegarde des données comprenant le suivi des l’existence

physique des sauvegardes, leur emplacement et conditions d’archivage, etc.

• Perte d’intégrité résultant de la perte de propriété prouvant qu’une information n’est pas

modifiée dans des conditions d’accès normal par des utilisateurs non autorisés et non

habilités. L’intégrité est définie comme "la qualité et la sécurité d’un système ou d’un

logiciel qui empêche la modification ou la suppression non autorisée d’informations."28



55 PREMIERE PARTIE

Les PME ne disposent pas généralement de procédures donnant l’assurance qu’elles ne risquent

pas de subir une altération physique ou logique du matériel, des logiciels et des données suite à

des dégradations involontaires ou intentionnelles. L’intégrité de l’outil micro-informatique

devant être assurée par une :

o Procédure préservant l’entreprise contre les risques naissant suite à un incident

technique, acte humain ou phénomène naturel,

o Procédure de suivi et gestion des licences des logiciels en vue de se prémunir contre

les risques de piratage,

o Procédure de détection et d’éradication des virus pour assurer l’intégrité des données

du système d’information de l’entreprise.

• Perte de confidentialité consistant en la perte de l’assurance que seuls les utilisateurs

habilités dans des conditions normalement prévus ont accès aux informations. La

confidentialité est définie comme "un élément de la sécurité visant à interdire aux

personnes n’ayant pas la qualité pour le faire l’accès à des informations stockées, traitées

ou communiquées dans un système d’information."29

Les PME ne disposent pas généralement de procédures permettant la maîtrise des accès aux

sauvegardes, aux ressources informatiques, aux programmes et données. La confidentialité de

l’outil micro-informatique devant être assurée par :

o une classification des données à protéger,

o des règles d’autorisation d’accès des différents utilisateurs aux micro-ordinateurs,

données en fonction des habilitations conférées par la Direction Générale.

3.2 Le commissaire aux comptes

Le commissaire aux comptes est rappelons-le mandaté par l’assemblée générale de toute

entreprise et a pour mission de certifier ses comptes. L’objectif principal est d’obtenir l’assurance

raisonnable que les états financiers audités sont réguliers et sincères et donnent une image fidèle

du patrimoine des résultats et de la situation financière de la société. Il a une mission

d’information, de prévention et de protection.


56 PREMIERE PARTIE

Il est tenu d’apprécier et d’évaluer le cadre de contrôle interne existant au sein de l’entreprise. A

cet effet, il apprécie la fiabilité des contrôles et procédures informatiques mises en place par

l’entreprise lors de l’évaluation des procédures de contrôle interne et l’organisation comptable.

Rappelons que le contrôle interne a été défini par l’OECCA30 comme suit : "le contrôle interne

est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but d’un côté,

d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre

l’application des instructions de la direction et de favoriser l’amélioration des performances". Le

commissaire aux comptes peut formuler des recommandations sur la sécurité informatique qui

prévaut au sein de l’entreprise sur la base de son évaluation du contrôle interne.

En raison des règles d’incompatibilité de fonctions, il peut proposer à l’entreprise l’assistance

d’un confrère pour l’audit de sécurité micro-informatique au sein de l’entreprise. Cela ne modifie

en rien son rôle de contrôle et de sensibilisation de la Direction Générale sur les risques

informatiques et les techniques de protection à mettre en place.

Le présent chapitre nous a permis d’identifier de manière explicite l’impact réel des risques ainsi

que leur perception par les différents utilisateurs de l’outil micro-informatique au sein de

l’entreprise, ainsi que le rôle des professionnels en terme de sensibilisation de l’entreprise.

30 XXXII° congrès de l’OECCA 1977

57 PREMIERE PARTIE

CONCLUSION DE LA PREMIERE PARTIE

L’identification des risques informatiques qui menacent la sécurité d’une entreprise est un

préalable à toute mission d’audit de la sécurité micro-informatique. Cette identification permet

d’apporter un cadre de référence pour élaborer une approche d’audit globale adaptée aux

spécificités de toute entreprise. L’approche par les risques dans toute mission d’audit conditionne

l’orientation, le déroulement et l’évaluation de l’ensemble des travaux de l’expert-comptable.

Une appréciation insuffisante des risques informatiques et de l’impact de ces risques sur le

patrimoine et la pérennité de l’entreprise peut être dans certains cas lourd de conséquences. C’est

dans ce contexte particulier que l’analyse préalable des risques et des facteurs d’insécurité qui

menacent une entreprise et son environnement micro-informatique trouve toute sa raison d’être.

Néanmoins, l’entreprise ne dispose pas nécessairement des ressources nécessaires pour identifier

les risques qui pèsent sur son outil micro-informatique et mettre en place les techniques de

protection appropriées. Pour cette raison, l’expert-comptable apparaît comme le mieux placé pour

jouer auprès de la direction générale de l’entreprise le rôle de sensibilisation.

En effet, l’association d’un expert indépendant est intéressant à plus d’un titre. Celui-ci dispose

d’un certain nombre de techniques et d’outils lui permettant d’avoir une vision globale de

l’entreprise et des risques qui menacent son système informatique.

Au niveau de la seconde partie, nous présenterons une méthodologie d’audit de la sécurité micro-

informatique dans les PME, en insistant sur le principe qu’une organisation et un cadre de

contrôle interne efficace constituent un facteur déterminant en matière de sécurité.

58 DEUXIEME PARTIE

INTRODUCTION

Les risques spécifiques à la micro-informatique sont nombreux et importants. Il existe cependant

des techniques de protection visant la maîtrise des risques, offrant une garantie suffisante aux

entreprises, à condition de les utiliser correctement ; techniques de protection évoquées tout au

long du deuxième chapitre de la première partie.

Néanmoins, ces techniques peuvent ne pas être suffisamment connues, maîtrisées ou

correctement appliquées par les entreprises. En effet, dans un environnement micro-informatique

en perpétuel changement, la mise en place ou la mise en œuvre de contrôles suffisants par le

management pour réduire le risque à un niveau jugé acceptable peut être considéré comme

fastidieux et non rentable.

Pour cette raison, nous pensons que l’expert-comptable et / ou commissaire aux comptes voient

leur rôle s’accroître, se positionnant comme révélateurs potentiels des faiblesses du système

informatique.

Néanmoins, pour remplir pleinement cette mission de sensibilisation auprès des entreprises quant

aux risques propres à la micro-informatique et / ou d’assistance dans la mise en place d’un plan

de sécurité informatique, cet organe doit être conscient du risque réel et de l’environnement

micro-informatique des PME marocaines, afin de proposer une approche d’audit de la sécurité

micro-informatique.

Nous traiterons dans un premier chapitre les différentes normes et référentiels en matière d’audit

de la sécurité informatique en nous focalisant sur le fait que ceux-ci ne constituent pas un

référentiel d’audit de la sécurité applicable à la micro-informatique.

DEUXIEME PARTIE : UNE APPROCHE D’AUDIT DE LA SECURITE

MICRO-INFORMATIQUE DANS LES PME

59 DEUXIEME PARTIE

Dans un second chapitre nous présenterons une démarche d’audit de la sécurité micro-

informatique depuis la phase de prise de connaissance de l’entreprise et de son environnement

micro-informatique à la remise du rapport d’audit tout en insistant sur les particularités d’une

telle méthodologie par rapport aux autres missions d’audit et sa possibilité d’application par

l’expert-comptable. Dans un troisième chapitre, nous présenterons plus en détail le programme de

travail et la conduite de la mission par thème.

60 DEUXIEME PARTIE

Chapitre 1 : Audit de la sécurité de la micro-informatique : les normes et référentiels

1 Les normes et référentiels marocains

1.1 Les normes comptables et le droit fiscal

Le législateur s’est efforcé à travers certaines obligations comptables et certains textes fiscaux

d’introduire la notion de comptabilité tenue à l’aide de moyens informatiques et d’obligation de

conservation des documents comptables.

Le CGNC stipule qu’en "matière d’organisation comptable, un système comptable ne peut

prétendre à la fiabilité que si il remplit certaines obligations formelles telles que :

• L’identification, la classification et la conservation des documents de base et des pièces

justificatives,

• L’exhaustivité de la saisie des informations,

• La continuité de la chaîne de traitement allant de l’enregistrement de base aux états de

synthèse,

• La description du système comptable et des procédures"31.

De même que "l’organisation du traitement informatique doit garantir toutes les possibilités de

contrôle et donner droit accès à la documentation relative à l’analyse, à la programmation et aux

procédures de traitement informatique"32.

L’article 4 de la loi 9-8833 stipule que "les personnes … doivent établir un manuel que a pour

objet de décrire l’organisation comptable de leur entreprise", sans préciser son contenu. De même

que l’article 22 stipule que "les documents comptables et les pièces justificatives sont conservées

pendant 10 ans". Cette précision est identique à celle que l’on retrouve en matière de

réglementation fiscale.

La réglementation fiscale fait référence quant à elle au droit de communication sur support papier

ou sur support magnétique des documents et livres comptables lorsqu’une entreprise fait l’objet

de la part de l’administration fiscale d’une procédure de vérification fiscale34.

31 CGNC (Code Général de Normalisation Comptable) volume 1 page 31

32 CGNC (Code Général de Normalisation Comptable) volume 1 page 57

33 Loi 9-88 relative aux obligations comptables des commerçants promulguée par le Dahir 1-82-138 du 25 décembre 1992

34 Article 36 de la loi 24-86 relative à l’IS et article 39 de la loi 30-85 relative à la TVA

61 DEUXIEME PARTIE

Cette précision s’apparente à l’obligation d’archivage pour répondre à des obligations légales.

A l’exception de ces quelques références en la matière, nous ne pouvons que déplorer l’absence

de cadre réglementaire en matière de protection de l’entreprise contre les risques informatiques.

1.2 L’arsenal juridique

La loi n° 2-00 du 15 février 2000 relative aux droits d’auteur et droits voisins constitue en

véritable fait une innovation en matière de protection des logiciels.

En effet, l’article 3 de la loi 2-00 précise que "la présente loi s’applique aux œuvres … telles que

les programmes d’ordinateur". L’article 10 de la loi 2-00 stipule que "sous réserve des

dispositions des articles 11 à 22, l’auteur d’une œuvre a le droit … de faire ou autoriser la

location ou le prêt public de l’original ou de la copie d’un programme d’ordinateur". L’article 21

de la loi 2-00 précise "nonobstant les dispositions de l’article 10, le propriétaire légitime d’un

exemplaire d’un programme d’ordinateur peut…réaliser un exemplaire ou l’adaptation de ce

programme… à condition qu’il soit :

a) nécessaire à l’utilisation du programme d’ordinateur…,

b) nécessaire à des fins d’archivage et pour remplacer l’exemplaire licitement détenu dans le

cas où celui-ci serait perdu, détruit ou rendu inutilisable."

Enfin les articles 62 et 64 de la loi 2-00 font référence aux sanctions civiles auxquelles s’exposent

les contrevenants aux droits d’auteur.

Par ailleurs, la protection des entreprises est assurée par la loi 11-99 du 25 juillet 1993 formant

code pénal. Ci-dessous quelques références à la loi précitée.

En effet, l’article 540 stipule que "quiconque en vue de se procurer…un profit pécuniaire

illégitime, induit en erreur une personne par des affirmations fallacieuses ou par dissimulation de

faits vrais ou exploite astucieusement l’erreur où se trouvait une personne … est coupable

d’escroquerie".

De même que l’article 357 stipule que "toute personne qui des manières prévues à l’article 354

commet ou tente de commettre un faux en écritures… est punie de l’emprisonnement de un à

cinq ans et d’une amende de 250 Dhs à 20.000 Dhs.

62 DEUXIEME PARTIE

1.3 Le manuel des normes : Audit légal et contractuel

Le manuel des normes définit le contrôle interne comme "l’ensemble des mesures de contrôle,

comptable ou autre, que la direction définit, applique et surveille, sous sa responsabilité, afin

d’assurer la protection du patrimoine de l’entreprise et la fiabilité des enregistrements comptables

et des états de synthèse qui en découlent"35.

De même que ledit manuel précise que "l’évaluation du contrôle interne d’un système de

traitement informatisé de l’information financière est effectuée selon la démarche suivante :

• L’évaluation du contrôle interne de la fonction informatique (c'est-à-dire, l’ensemble

formé par le service informatique et par les utilisateurs dans leurs relations avec le

service) qui a pour objectif de s’assurer que le système fonctionne de manière à garantir :

o La fiabilité des informations produites,

o La protection du patrimoine,

o La sécurité et la continuité des travaux,

• L’évaluation du contrôle interne d’un système ou d’une application où seront considérés

plus particulièrement :

o Les contrôles sur la préparation et la saisie des données, aussi bien au niveau des services

utilisateurs qu’au niveau informatique,

o Les contrôles sur l’exploitation : prévention contre des erreurs et des fraudes pendant le

traitement,

o Les contrôles destinés à s’assurer de l’intégrité, de l’exactitude, et de l’autorisation des

opérations à enregistrer,

o Le maintien du chemin de révision (ou système de référence),

o La qualité de la documentation,

o Les modifications intervenues d’un exercice à l’autre dans les programmes, notamment

pour les méthodes d’enregistrement et d’évaluation"36.

35 Commentaire 1 de la norme 2102 : Evaluation du contrôle interne

36 Commentaire 9 de la norme 2102 : Evaluation du contrôle interne

63 DEUXIEME PARTIE

Néanmoins, la norme 2102 ainsi que les commentaires proposées par l’OEC ne constituent pas

un référentiel d’audit de la sécurité applicable à la micro-informatique dans le sens où elles ne

présentent que des objectifs de contrôle en terme d’efficacité de la fonction informatique et du

système ou d’une application informatique.

2 Les normes et référentiels internationaux

2.1 IFAC

L’IFAC37 est une organisation internationale dont l’objectif principal est de promouvoir les

normes internationales d’audit : ISAs applicables pour l’audit des états financiers. Celles-ci

constituent les principes de base ainsi que les procédures essentielles à mettre en œuvre dans

toute mission d’audit des états financiers. Parmi ces normes, la norme 401 traite notamment de

l’audit réalisé dans un environnement informatique38.

Il ressort de la norme 401 "qu’un ordinateur est utilisé en règle générale pour le traitement, le

stockage et la communication des informations financières et peut affecter :

• Les procédures poursuivies par l’auditeur pour l’obtention des preuves d’audit et la

compréhension du système comptable et système de contrôle interne,

• La perception du risque inhérent et risque de contrôle interne,

• La nature et le volume des tests substantifs et procédures analytiques à mettre en

œuvre en vue d’atteindre les objectifs d’audit."

De même que la norme 401 fait référence aux risques d’absence ou d’insuffisance de séparation

de fonctions, d’absence de documentation des applications et aux erreurs dans le développement

et la maintenance des applications ainsi que la possibilité d’accès non autorisé induits par

l’utilisation de l’ordinateur.

A cette norme, l’IFAC a jugé utile d’associer les directives 1001 39(micro-ordinateurs autonomes)

et 100240 (micro-ordinateurs interconnectés) pour assister les auditeurs dans leur mission d’audit

réalisé dans un environnement informatique.

37 IFAC : International Federation Of Accoutants

38 IFAC Handbook 1996 norme 401 "Auditing in a Computer Information Systems Environment

39 IFAC Juin 2001 "IT Environnements – Stand Alone PC"

40 IFAC Juin 2001 "IT Environnements – On Line Computer Systems"

64 DEUXIEME PARTIE

La directive 1001 a été approuvé en juin 2001 pour entrer en application à compter de juillet

2001. Selon celle-ci "certains contrôles et mesures de sécurité utilisés dans de gros systèmes

informatiques ne sont pas réalisables et adaptés aux micro-ordinateurs. A l’opposé, certains types

de contrôle interne sont essentiels en raison des caractéristiques des micro-ordinateurs et des

environnements dans lesquels ils sont utilisés."

Il ressort également de cette directive que "les micro-ordinateurs sont en règle générale utilisés

par une ou plusieurs personnes qui peuvent accéder aux mêmes programmes et aux différentes

applications d’un même ordinateur". Cela implique une organisation interne de l’entreprise

adaptée à une telle utilisation de l’outil micro-informatique.

Enfin la directive 1001 préconise pour le cas des ordinateurs autonomes un certain nombre de

mesures de sécurité tels que :

• La protection des micro-ordinateurs et des supports de stockage contre les risques de

vol, de dégâts physiques, d’accès non autorisés et de mauvaise utilisation,

• La protection des données et programmes contre les risques d’altération, d’accès non

autorisé, d’utilisation de logiciels sans licence,

• La continuité des opérations.

Ces contrôles doivent être mis en place par une personne indépendante qui en règle générale :

• Recevra les données à traiter,

• S’assurera que ces données sont autorisées et enregistrées,

• Suivra les erreurs survenues pendant le traitement,

• Restreindra les accès physiques et logiques aux programmes, applications et données.

La directive 1002 quant à elle a été approuvé en juin 2001 pour entrer en application à compter

de juillet 2001. Celle-ci définit les micro-ordinateurs interconnectés en réseau comme "tout

système permettant aux utilisateurs d’accéder à des données, programmes et applications à partir

de leur machine ou station de travail. Il peut s’agir selon le cas de gros systèmes, mini-

ordinateurs ou un réseau de micro-ordinateurs interconnectés".

65 DEUXIEME PARTIE

Les principales caractéristiques de ce type de système reposent sur la possibilité d’accès "on-line"

des utilisateurs aux applications, programmes et données à partir de leur station de travail,

l’absence de chemin de révision pour l’ensemble du processus et la possibilité d’accès au système

par des personnes non autorisées. Elle fait état des contrôles à mettre en place au cas où le

système informatique de l’entreprise serait composé d’un réseau de micro-ordinateurs

interconnectés, tels que :

• La mise en place d’une infrastructure de sécurité permettant d’assurer l’intégrité des

informations produites, l’absence de risque d’infection de l’entreprise par des virus,

l’absence d’accès non autorisé, et la non "destruction" du chemin de révision,

• L’utilisation de mots de passe pour l’accès aux logiciels d’application,

• La mise en place de contrôles physiques sur les terminaux comme le verrouillage du

terminal en cas d’inactivité au-delà d’une certaine période,

• Un journal de suivi des transactions et logs,

• Un firewalls au cas où l’entreprise utiliserait Internet.

La directive 1002 fait nécessairement référence à l’association de spécialistes pour la

compréhension du système informatique, la revue des applications ainsi que le contrôle des

données "alimentant" le système comptable.

Néanmoins, la norme 401 ainsi que les directives 1001 et 1002 proposées par l’IFAC ne

constituent pas un référentiel d’audit de la sécurité applicable à la micro-informatique dans le

sens où elles présentent des procédures de contrôle portant sur la sécurité de l’information

comptable selon les axes traditionnels de sécurité (disponibilité, intégrité et confidentialité) plutôt

que sur la sécurité de la micro-informatique elle-même.

2.2 SAC Report

Le SAC Report est un ouvrage composé de 10 volumes et traitant de l’audit et le contrôle des

systèmes d’information. La version originale a été publié aux Etats-Unis en 1987 par l’IAA et

traduit en français par l’IFACI41 en 1993.

41 IFACI (Institut Français des Auditeurs Consultants internes) - 40 Avenue HOCHE, 75008 Paris

66 DEUXIEME PARTIE

Celui-ci se compose de 10 modules organisés selon une architecture spécifique qui, selon les

professionnels de l’audit sécurité informatique, peut être représenté sous la forme d’un édifice

aux éléments interdépendants :

• Les deux premiers modules forment la toiture de l’édifice dans la mesure où ils traitent

des principes fondamentaux permettant une bonne utilisation de l’outil informatique à

savoir les modules 1 et 2 respectivement "management de l’audit et du contrôle interne"

et "les outils informatiques de l’audit",

• Les cinq modules suivants forment les "poutres" supportant l’édifice à savoir les modules

3, 4, 5, 6 et 10 respectivement "gestion des ressources informatiques", "gestion de

l’information et développement des systèmes", "audit des systèmes applicatifs",

"informatique départementale et individuelle" et "technologies nouvelles",

• Enfin le socle de l’édifice se compose des modules 7, 8 et 9 respectivement

"télécommunications", "sécurité" et "plan de secours"42.

Parmi les 10 modules que comprend le SAC Report, le module 8 traite spécialement de la

sécurité et représente la synthèse de ce qu’un auditeur doit savoir pour auditer la sécurité des

systèmes d’information. Dans ce module, sont exposés les contrôles fondamentaux à mettre en

œuvre pour assurer l’intégrité, la confidentialité et la disponibilité des données et ressources

informatiques.

Le module 8 aborde en 3 chapitres successivement la gestion de la sécurité, la sécurité physique

et la sécurité logique. Chacun de ces 3 chapitres aborde les concepts de risques liés à la sécurité

après en avoir rappelé le contexte, les mesures de contrôle à mettre en place ainsi que la

démarche d’audit.

Ce module rappelle en introduction le rôle de la direction générale en matière d’évaluation des

risques, d’établissement d’une politique de sécurité et de mise en place d’une structure

organisationnelle destinée à respecter les politiques et procédures.

42 Yvon Michel LOREAU – spécial SAC Report, revue française de l’Audit Interne - Avril 1993

67 DEUXIEME PARTIE

De même qu’en introduction sont listées les menaces qui pèsent sur les données et ressources du

système d’information.

Le chapitre relatif à la sécurité physique identifie les risques relatifs :

• Aux accès physiques non autorisés : accès aux zones informatiques et accès aux

télécommunications (câblage réseau, réseau téléphonique, etc.),

• A l’environnement : environnement physique et environnement d’exploitation

(risques en général d’origine humaine ou naturelle),

• Aux incendies et inondations qui représentent les 2 causes les plus fréquentes des

dommages subis par le matériel et les ressources informatiques.

La démarche d’audit préconisée consiste en :

• L’identification des "zones sensibles",

• L’examen des procédures d’autorisation d’accès,

• Le contrôle du système d’alarme et dispositif de surveillance,

• Le contrôle de l’alimentation électrique,

• L’examen du schéma de configuration physique (circuits des canalisations d’eau et

matériels de détection et d’extinction des incendies).

Le chapitre relatif à la sécurité logique traite de la sécurité des micro-ordinateurs en indiquant que

"les contrôles à mettre en œuvre doivent tenir compte de la valeur relative des informations, au

coût lié à leur protection et de la perte probable et potentielle liée aux risques encourus"43.

Ce chapitre fait également ressortir une distinction en matière de sécurité qu’il s’agisse de micro-

ordinateurs autonomes ou micro-ordinateurs connectés.

Dans le premier cas, le module 8 du SAC Report préconise :

• La protection des micro-ordinateurs et supports de stockage contre les risques de vol

et sabotage,

43 SAC Report – module 8 Sécurité page 41

68 DEUXIEME PARTIE

• La mise en place de contrôle d’accès par le biais de mots de passe et de profils

utilisateurs au cas où les ressources informatiques sont partagées entre plusieurs

utilisateurs,

• De mettre l’accent sur l’éthique personnelle au sein de l’entreprise pour lutter contre

le piratage des logiciels,

• De restreindre l’accès aux disquettes car la copie des informations qu’elles

contiennent est une opération facile à exécuter et difficile à détecter,

• La sauvegarde régulière des données et programmes,

• La lutte contre les virus informatiques en limitant autant que possible le partage des

micro-ordinateurs et l’utilisation de copies de programmes fiables tout en signalant la

difficulté de mise en oeuvre de cette mesure dans un monde communiquant.

Dans le second cas, le module 8 du SAC Report préconise la protection du réseau des risques liés

au transfert d’informations sensibles ou essentielles à l’organisation du fait que les micro-

ordinateurs se transforment en véritable outil de communication (réseaux LAN, WAN ou

connexion via lignes spécialisées, RTC, etc.)

En conclusion, il s’agit au même titre que la norme 401 de l’IFAC d’un référentiel sur la sécurité

des systèmes d’information puisqu’il aborde la sécurité des systèmes d’information selon les axes

traditionnels de confidentialité, d’intégrité et de disponibilité.

Néanmoins, il présente une démarche générale d’audit articulée autour des domaines suivants :

• Examen des politiques, procédures et directives de sécurité,

• Gestion et administration de la sécurité,

• Contrôle de la sécurité physique, y compris les risques liés à l’environnement,

• Contrôle de la sécurité logique y compris les contrôles concernant l’accès aux données

et aux programmes, les contrôles de modification et de maintenance des applications,

les pistes d’audit (chemin de révision) et les caractéristiques des logiciels de contrôle

d’accès.

69 DEUXIEME PARTIE

2.3 COBIT : Control Objectives

Le COBIT est un ouvrage composé de 5 fascicules et correspond à un véritable référentiel des

contrôles en environnement informatique. Il a été conçu par l’ISACA44 aux Etats-Unis et traduit

en France par l’AFAI45.

L’objectif du référentiel COBIT est de fournir au management un modèle de "gouvernance" en

matière de technologies de l’information qui les aide à comprendre et gérer les risques liés à ces

technologies. COBIT établit un lien entre les risques de l’entreprise, les besoins de contrôle et

problèmes techniques. Il s’agit en fait d’un modèle de contrôle permettant de satisfaire les

besoins de "gouvernance" en matière des technologies de l’information et d’assurer l’intégrité de

l’information et des systèmes d’information.

La deuxième édition de COBIT est parue aux Etats-Unis en 1998. Sa traduction et distribution

dans les pays francophones par l’AFAI a été effectuée en 2000. Elle a apporté de nombreuses

nouveautés par rapport à la première édition et en a corrigé les quelques imperfections.

Le COBIT a identifié 7 objectifs de contrôle de l’information reproduit ci-dessous :

• Intégrité : exactitude, justesse, validité et conformité,

• Disponibilité : au moment voulu, aujourd’hui et demain,

• Confidentialité : non divulgation aux personnes non autorisées,

• Efficacité : répond aux besoins des utilisateurs,

• Efficience : rapport qualité / prix,

• Conformité : respect aux exigences légales et contractuelles,

• Fiabilité : information appropriée pour gérer les opérations.

Ces 7 objectifs peuvent être regroupés selon "les impératifs de l’entreprise en matière

d’information"46 :

44 Fondation de l’ISACA (Information Systems Audit and Control Association) – 3701 Algonquin Road, Rolling Meadows IL 60008 USA

45 AFAI (Association Française d’Audit et de Conseil Informatique) – 88 rue de Courcelles, 75008 Paris

46 AFAI – Présentation 2ème version Cobit

70 DEUXIEME PARTIE

• Impératif économique comprenant l’efficacité et l’efficience des opérations, la

fiabilité des opérations et la conformité aux lois et réglementation,

• Impératifs de sécurité correspondant aux 3 axes traditionnels de la sécurité à savoir la

confidentialité, l’intégrité et la disponibilité.

Le COBIT comprend :

• Une synthèse qui correspond en une présentation et définition des concepts et

principes COBIT ainsi qu’un résumé du cadre de référence,

• Un cadre de référence qui décrit de façon détaillée les 34 processus de management de

l’informatique,

• Des objectifs de contrôle par la mise en place de 302 objectifs de contrôle détaillés et

correspondant aux 34 processus informatiques,

• Un guide d’audit qui comprend les points d’audit suggérés pour chacun des 34

processus de façon à faciliter les auditeurs informatiques à réviser les processus

informatiques par rapport aux 302 objectifs de contrôle,

• Des outils de mise en œuvre qui correspondent à des outils d’analyse et d’évaluation

des risques informatiques.

Il est destiné à trois publics différents47 :

• Le management pour l’aider à trouver le juste équilibre entre le risque et

l’investissement en contrôles,

• Les utilisateurs pour obtenir des garanties concernant la sécurité et les contrôles de

leurs services informatiques,

• Les auditeurs informatiques pour justifier leur opinion et/ou donner des conseils au

management sur les contrôles internes.

Maintenant on parle de troisième édition du COBIT dont la traduction en français date de 2002.

Par rapport à la précédente, nous n’avons pas été en mesure de connaître les modifications et

améliorations apportées.

47 AFAI – Synthèse Cobit

71 DEUXIEME PARTIE

Néanmoins on peut reprocher à ce référentiel le fait qu’il ne corresponde pas parfaitement aux

auditeurs généralistes que nous sommes, et que le modèle a adopté une méthode proactive

(orientée vers l’atteinte des objectifs) plutôt qu’une approche réactive (orientée vers la réduction

des risques).

L’aspect sécurité n’est abordé que dans le domaine support processus sécurité des systèmes qui

aborde 20 objectifs de contrôle en matière d’accès aux ressources, de sauvegarde, de sécurité des

données et programmes et enfin sécurité physique du matériel.

3 Les recommandations de l’OECCA et de la CNCC : incidence de l’informatique sur

les missions d’audit

Face aux risques informatiques et notamment ceux de la micro-informatique, l’OECCA48 comme

la CNCC49 ont émis un certain nombre de recommandations quant à l’incidence de l’informatique

sur leur mission d’audit.

3.1 Recommandations de l’OECCA

En janvier 1985, l’OECCA a émis la recommandation n° 21-0550 qui précise que "dans le cadre

de la prise de connaissance des procédures de contrôle interne et d’organisation comptable,

l’expert-comptable met à jour son dossier permanent sur le système comptable informatisée."

De même qu’en février 1985, l’OECCA a émis la recommandation n° 22-0751 qui rappelle les

risques d’audit issus du milieu informatique tels que :

• L’absence de séparation de fonctions,

• La limitation des accès,

• L’absence de documentation sur les logiciels et programmes,

• Les erreurs de paramétrages des logiciels.

Afin d’assurer la confidentialité, disponibilité et intégrité des données et ressources du système

d’information, ladite recommandation fait ressortir les points de contrôles généraux

informatiques suivants :

48 OECCA (Ordre des Experts Comptables et des Comptables Agréés) Conseil National : 109, Boulevard Malesherbes – 75008 Paris

49 CNCC (Compagnie Nationale des Commissaires aux Comptes)

50 Recommandation 22-05 : Particularités des travaux comptables dans le cadre d’une entreprise informatisée

51 Recommandation 22-07 : La révision en milieu informatisé

72 DEUXIEME PARTIE

• Contrôles portant sur l’organisation (séparation de fonctions),

• Contrôles relatifs à la sécurité, sauvegarde et reprise des travaux,

• Contrôles portant sur les traitements informatiques,

• Les contrôles sur le développement d’applications et la documentation.

En octobre 1985, l’OECCA émet une recommandation sur "le diagnostic des systèmes

informatisées." Celle-ci précise que "l’expert-comptable peut intervenir dans des missions

d’assistance à l’informatisation de ses clients (sécurité, évolution cohérence système, etc.)" tout

en précisant que sa mission ne va pas au-delà d’une mission de conseil, la nature et l’étendue de

ses travaux étant précisées dans la lettre de mission.

Enfin, en février 1986, l’OECCA émet une recommandation52 qui rappelle :

• L’incidence du milieu informatique sur l’étendue et l’évaluation du contrôle interne,

• Les problèmes (risques) qui découlent de l’informatique,

• Les spécificités de la prise de connaissance en milieu informatique,

• Les contrôles généraux portant sur l’environnement et les applications informatiques,

• Le rôle de l’expert-comptable pour l’évaluation du système de contrôle interne.

3.2 Recommandations de la CNCC

Le commentaire 9 de la norme 210253 précise notamment "l’évaluation du contrôle interne :

• De la fonction informatique : l’objectif est de s’assurer que le système fonctionne de

manière à garantir la fiabilité des informations produites, la protection du patrimoine, la

sécurité et la continuation des travaux,

• D’un système ou application : l’attention du commissaire aux comptes portera plus

particulièrement sur :

- La préparation et la saisie des données,

- Les contrôles relatifs à l’exploitation en vue de la prévention contre les erreurs et les

fraudes pendant le traitement,

52 Recommandation de l’OECCA : Les diligences normales à accomplir pour une mission de révision en milieu informatisé

53 CNCC – Appréciation du contrôle interne – Norme 2102

73 DEUXIEME PARTIE

- Les contrôles destinés à s’assurer de l’intégrité, de l’exactitude et de l’autorisation des

opérations à enregistrer,

- Le maintien et le suivi du chemin de révision,

- La documentation (qualité et mise à jour),

- La modification intervenue dans les programmes d’un exercice à l’autre.

De même qu’en 1995, la CNCC a publié la note d’information n° 2554 qui rappelle en particulier

que l’existence de systèmes informatiques ne modifie pas le schéma de la méthodologie d’audit,

mais elle implique des risques généraux tels que :

• La puissance et la fragilité qu’elle génère en facilitant la concentration des informations et

leur circulation,

• L’évolution technologique permanente,

• L’automatisation des traitements de l’information,

• La capacité de certains systèmes à générer des informations sans intervention humaine,

• La prise de conscience parfois insuffisante des risques liés à l’informatique."

Les recommandations ci-dessus précisent que la démarche d’audit reste inchangée, mais doit

inclure en raison de la spécificité de l’environnement informatique :

• La compréhension des caractéristiques de l’informatique lors de la phase de prise de

connaissance,

• L’appréciation du contrôle interne de l’organisation générale et de la fonction

informatique,

• L’appréciation de la nature et de l’étendue des travaux à réaliser au vu de la fiabilité

accordée au système informatique.

Le présent chapitre nous a permis de présenter en détail les différentes normes et référentiels en

matière d’audit de la sécurité micro-informatique, qui constituent à nos yeux un préalable à la

présentation de la méthodologie d’audit de la sécurité micro-informatique dans les PME.

54 Note d’information 25 – La démarche du CAC en milieu informatisé

74 DEUXIEME PARTIE

Chapitre 2 : Méthodologie d’audit de la sécurité micro-informatique dans les PME

La partie essentielle de la mission d’audit de la sécurité micro-informatique réside en "la

définition précise du périmètre et des objectifs recherchés"55. En effet, la mission d’audit de la

sécurité micro-informatique comme toute mission d’audit est basée sur une approche par les

risques. Cette méthode consiste à rechercher les points forts sur lesquels l’expert-comptable

pourra s’appuyer pour limiter ses travaux de contrôle.

L’étendue des contrôles sera fonction de l’orientation de la mission et du budget temps alloué à

ladite mission. Pour faciliter la détection des risques et des faiblesses de sécurité, nous utiliserons

un questionnaire de contrôle interne, considéré comme véritable outil d’audit de la sécurité

micro-informatique. Ce questionnaire sera complété par des contrôles subséquents, tels que

ressortant du programme de travail adapté.

1 Déroulement de la mission

1.1 Prise de connaissance de l’entreprise et de son environnement micro-informatique

Cette phase permet de mieux comprendre les spécificités de l’entreprise et son environnement

micro-informatique. Cette phase est d’une importance capitale pour la suite de l’intervention. Elle

est effectuée généralement au vu d’entretiens. La phase de prise de connaissance doit débuter par

un entretien avec les dirigeants de l’entreprise afin :

• De s’enquérir de l’organisation de l’entreprise,

• de comprendre son ou ses activités,

• De cerner la place de l’informatique et de la micro-informatique au sein de l’entreprise,

• D’avoir une première mesure de la perception de la sécurité de l’outil micro-informatique

dont dispose la Direction Générale.

L’entretien doit être de courte durée. Afin de sensibiliser davantage la Direction Générale quant

aux risques spécifiques à la micro-informatique, l’expert-comptable devra évoquer les aspects de

stratégie de l’entreprise en terme d’informatique, les notions de plan micro-informatique,

politique de sécurité informatique, etc., en soulignant que leur absence est un facteur de

vulnérabilité et de fragilité.

55 SAC Report – Module 8 : Sécurité page 59

75 DEUXIEME PARTIE

L’entretien suivant se déroulera en présence du responsable informatique ou à défaut la personne

chargée de l’administration de la micro-informatique. Si l’entreprise recourt à un prestataire de

service pour l’exploitation de son outil informatique, l’expert-comptable aura intérêt à prendre

rendez-vous avec le responsable informatique de ce prestataire de service.

Lors de cet entretien, l’expert-comptable doit aborder les aspects de configuration matérielle et

logicielle existante, mesures de protection et outils de sécurité mis en place par l’entreprise, etc.

La description du matériel nous renseigne sur :

• Le nombre de postes, marques, implantation,

• La configuration du système et des périphériques,

• Le type d’installation (réseau, postes autonomes, etc.),

• Le nombre d’utilisateurs, l’attribution des postes, l’utilisation qui en est faite, le niveau de

connaissance en micro-informatique, etc.

La description des logiciels nous renseigne sur :

• La liste des logiciels installés (comptabilité, gestion commerciale, paie, gestion des

stocks, etc.),

• L’identification générale des applications,

• Le cas échéant les applications intégrées au système comptable,

• L’origine du logiciel (acheté sur le marché ou développement interne),

Prière de se reporter à l’annexe n° 13 pour la grille d’analyse du matériel et des logiciels y

associés.

Les mesures de protection et outils de sécurité constitueront le second point à examiner avec le

responsable informatique lors de cette étape de prise de connaissance. L’étude des mesures de

protection et outils de sécurité mis en place par l’entreprise permettra d’avoir une première

perception de la sécurité logique et physique existant au sein de l’entreprise.

76 DEUXIEME PARTIE

• Sécurité physique : quels sont les moyens mis en oeuvre pour la protection des micro-

ordinateurs, des réseaux et de l’ensemble des périphériques contre les agressions en tout

genre ?

• Sécurité logique : quels sont les moyens mis en œuvre pour assurer la protection des

logiciels et des données ?

L’entretien effectué avec la Direction Générale de l’entreprise avait pour objectif de mesurer le

niveau de perception de la sécurité micro-informatique. L’entretien effectué avec le responsable

informatique ou à défaut le prestataire de service (en cas d’externalisation de l’activité

informatique) doit permettre de décrire de manière détaillée la configuration matérielle et

logicielle adoptée et décrire les techniques et outils de protection mis en place.

1.2 Analyse des risques

Alors que la phase de prise de connaissance de l’entreprise et de son environnement micro-

informatique avait pour objectif d’apporter un enseignement sur la perception de la sécurité

micro-informatique au sein de l’entreprise en identifiant les forces et faiblesses apparentes, cette

seconde étape consiste en un examen plus approfondi des facteurs de risques et la manière dont

l’entreprise agit pour les ramener à un niveau jugé acceptable.

La mise en place de techniques de protection et outils de sécurité doit être le résultat d’une

analyse exhaustive des risques qui pèsent sur l’entreprise et son outil micro-informatique.

Comme signalé au niveau du sous paragraphe 3.1 du chapitre 1 de la première partie, l’analyse

des risques consiste en l’identification des différents types de menaces pesant sur le système

d’information (menaces tant externes, qu’internes à l’organisation), d’évaluer leur impact et leur

probabilité de survenance, et de définir l’ensemble des scénarios pouvant atténuer ces menaces.

L’expert-comptable doit, lors de cette étape, analyser les risques liés à l’utilisation de l’outil

micro-informatique mais également les risques qui pèsent sur le système d’information en

général. En effet, en l’absence d’une analyse globale, celui-ci peut malencontreusement proposer

des recommandations de sécurité micro-informatique n’apportant en fait aucune amélioration en

raison des faiblesses de sécurité de l’entreprise en général.

77 DEUXIEME PARTIE

L’expert-comptable doit effectuer une analyse critique des facteurs de risques, que ce soit :

• Les risques liés à l’absence d’un plan micro-informatique et d’une politique de sécurité

globale,

• Les risques liés à l’absence de séparation de fonctions au sein de l’entreprise, tant au sein

du département informatique, qu’entre département informatique et utilisateurs,

• Les risques liés à l’absence de maîtrise des accès physiques et logiques à la micro-

informatique,

• Les risques liés à l’absence d’une politique de sauvegarde des programmes et données,

• Les risques liés à des développements d’applications mal maîtrisés et à l’absence ou la

carence de documentation des programmes,

• Les risques liés à l’absence de contrôle de la fiabilité des logiciels lors de leur installation,

Mais aussi :

• Les risques matériels accidentels ou intentionnels,

• Les risques de vol et de sabotage de matériel,

• Les risques de sabotages immatériels (virus),

• Les erreurs lors de la saisie des données, traitements, transmission d’informations, etc.

Pour chaque type de risque que l’expert-comptable aura pu identifier, il est nécessaire de se poser

les questions suivantes :

• Comment ces risques peuvent-ils se concrétiser ?

• Quelles seraient les conséquences de la réalisation d’une telle menace ? (cf. chapitre 3

paragraphe 1 de la première partie),

• Existe-t-il des procédures permettant d’atténuer ces facteurs de risque ?

Cette étape permettra d’une part de donner une orientation sur les besoins de sécurité de

l’entreprise et d’autre part les moyens théoriques développés lors de second chapitre de la

première partie pour garantir une sécurité optimale.

78 DEUXIEME PARTIE

Elle permettra donc au vu des entretiens effectués avec le responsable informatique d’aborder les

concepts de sécurité et la nécessité de mise en œuvre d’une politique de sécurité globale. Elle doit

fournir les renseignements suivants :

• L’existence ou non d’une politique de sécurité,

• Son degré de diffusion au sein de l’entreprise,

• L’effort de sensibilisation des différents utilisateurs,

• Les mesures de sécurité concrètes mises en pratique par facteur de risque identifié,

• Les outils de sécurité et leur adaptation en fonction de l’évolution des risques,

• Les procédures de contrôle de l’application de ces mesures.

L’ensemble des informations collectées lors de cette phase nous permet d’affiner l’identification

des points faibles en terme de sécurité micro-informatique devant faire l’objet de

recommandations, mais permet également d’identifier les points forts en terme de sécurité micro-

informatique. Ces points forts devront faire l’objet de contrôles supplémentaires afin de s’assurer

d’une part de leur réalité et de leur permanence d’application.

Néanmoins, avant de passer à la phase d’exécution du programme de travail et de tests à

proprement parler, il est nécessaire d’évaluer les mesures de contrôle interne relatives à la

sécurité de la micro-informatique.

1.3 Evaluation du contrôle interne

L’absence d’une organisation efficiente à l’utilisation de l’outil micro-informatique et un cadre

de contrôle interne adéquat sont sources d’apparition de menaces de tout genre.

Lors de cette troisième étape, l’expert-comptable doit évaluer les mesures de contrôle interne

relatives à la sécurité de la micro-informatique.

Cette évaluation est réalisée au vu des informations et renseignements collectés lors des phases

précédentes, mais également au vu de la documentation recueillie (procédures, notes de service,

etc.).

79 DEUXIEME PARTIE

La documentation56 que l’expert-comptable pourra recueillir en vue d’évaluer le contrôle interne

serait, sans être exhaustive :

• Informations sur la stratégie de l’entreprise en matière de sécurité,

• Plan de sécurité informatique qui formalise la stratégie en matière de sécurité,

• Travaux du comité de sécurité (s’il existe),

• Les procédures relatives à la sécurité telles que :

- Protection contre le risque incendie, dégât des eaux,

- Défaillances électriques et du système de climatisation,

- Stockage et restauration des données,

- Accès physiques et logiques,

- Contrôle a posteriori,

• Documentation sur l’analyse, la programmation et l’exploitation des applications

développées,

• L’inventaire des actifs informatiques,

• Les contrats de maintenance (hardware + software),

• Les contrats d’assurances spécifiques à l’informatique,

• Le budget informatique et budget de sécurité,

• Les rapports sur d’éventuels sinistres,

• Les procédures de gestion des mots de passe,

• Les tests éventuellement réalisés par le responsable informatique ou l’auditeur interne sur

les procédures de sauvegarde, reprise, restauration, accès physique et logique,

• Les inventaires des ressources informatiques accessibles aux informaticiens, utilisateurs,

etc.

56 Inspiré de l’ouvrage de Jean Paul Ravelec – Audit sécurité informatique : approches juridiques et sociales

80 DEUXIEME PARTIE

Mais afin de disposer d’un document de contrôle qui permette à l’expert-comptable de passer en

revue l’ensemble des aspects de la sécurité micro-informatique au sein de l’entreprise et de tester

les points forts et faibles relevés au vu d’un programme de travail adapté, nous avons élaboré un

outil d’audit de la sécurité micro-informatique. Il s’agit d’un questionnaire de contrôle interne

utilisé comme aide mémoire et qui ne peut en aucun cas se substituer à la présente méthodologie.

Ce questionnaire, figurant en annexe n° 14 a été construit volontairement sur tableur Excel afin

de pouvoir trier les réponses collectées.

En effet, afin de pouvoir disposer de réponses représentatives de la sécurité micro-informatique

qui prévaut au sein de l’entreprise, ledit questionnaire s’adresse au Directeur Général ou un

mandataire habilité, le responsable informatique ou à défaut le prestataire de service en cas

d’externalisation de l’activité informatique et aux utilisateurs.

Il comporte quatre thèmes :

• Organisation de l’informatique et environnement de contrôle,

• Efficacité de l’environnement micro-informatique (maîtrise des accès physiques et

logiques),

• Disponibilité de l’information (pérennité de l’activité et des traitements informatiques),

• Etudes et développements d’applications informatiques,

La présentation du questionnaire (outre le fait qu’il est bâti sur tableur Excel) ne déroge en rien à

la forme des questionnaires de contrôle interne généralement appliqués lors d’une mission

classique d’audit comptable et financier. En effet afin qu’il puisse être facilement utilisé par la

profession, nous n’avons pas voulu déroger à la règle de présentation des questionnaires

d’évaluation du contrôle interne.

Les questions posées sont des questions fermées auxquelles l’interlocuteur peut répondre par oui,

non ou non applicable (N/A). Si la réponse nécessite un développement ou des commentaires

particuliers, celle-ci doit être référencée dans un papier de travail et annexée au présent

questionnaire. De plus, chaque réponse impose une conclusion quant à l’évaluation du risque

(faible, moyen, élevé).

81 DEUXIEME PARTIE

Enfin, nous tenons à signaler que le présent questionnaire recense les questions afférentes à la

sécurité micro-informatique par thème. Néanmoins, pour en faciliter l’usage, l’expert-comptable

doit tenir compte des étapes précédentes de prise de connaissance de l’environnement micro-

informatique et de l’analyse des risques.

Au vu des conclusions auxquelles est parvenu l’expert-comptable, il est vain de poser aux

différents interlocuteurs les questions pour lesquelles la réponse serait à chaque fois N/A.

L’expert-comptable pourra donc décider de réduire sensiblement les questions à poser.

Finalement, il y a lieu de préciser que les forces et faiblesses relevées aussi bien lors de cette

étape que lors des étapes précédentes doivent être validées. L’expert-comptable devra procéder à

des tests ayant pour but de vérifier l’existence et la mise en pratique des mesures de sécurité

présentées au cours des entretiens et du questionnaire de contrôle interne. Ces tests seront

effectués auprès des utilisateurs en présence du responsable informatique.

2 Formulation des recommandations

L’expert-comptable doit, au vu des faiblesses relevées lors de la phase d’analyse des risques et

d’évaluation du contrôle interne de l’environnement micro-informatique et au vu des tests

complémentaires effectués au vu du questionnaire d’audit de la sécurité micro-informatique, faire

le point sur l’ensemble des faiblesses et dysfonctionnements relevés et préparer une note de

synthèse.

2.1 Synthèse des dysfonctionnements : la note de synthèse et le rapport d’audit

Le principe de la note de synthèse est de rapporter l’ensemble des faiblesses et

dysfonctionnements relevés lors de l’intervention mais également les points forts en termes de

sécurité micro-informatique.

Sa structure et sa composition doivent répondre à des règles de présentation tant sur la forme que

sur le fond, mais qui ne dérogent pas des notes de synthèse préparées par l’expert-comptable à

l’issue d’une mission classique d’audit comptable et financier.

En règle générale, la note de synthèse comprend quatre parties rappelées ci-dessous :

82 DEUXIEME PARTIE

• Le rappel du contexte de la mission, notamment les objectifs assignés par la lettre de

mission et une description des conditions d’intervention,

• L’exposé de la conclusion générale,

• L’exposé des recommandations prioritaires destinées à améliorer les faiblesses et risques

en matière de sécurité micro-informatique,

• L’exposé enfin de l’ensemble des faiblesses et dysfonctionnements relevés et des

recommandations subséquentes.

Comme signalé précédemment, la note de synthèse diffère selon qu’elle s’adresse à la Direction

Générale de l’entreprise ou le responsable informatique.

Dans le premier cas, elle est très synthétique (2 pages maximum) et rédigée dans des termes

simples, claires et compréhensibles pour attirer l’attention de la Direction Générale sur les

principales faiblesses de la sécurité micro-informatique de l’entreprise et susciter son

intéressement quant à la nécessité de la mise en place de mesures simples et efficaces.

En effet, n’avons nous pas insisté sur le rôle de l’expert-comptable en matière de sensibilisation

de la Direction Générale de l’entreprise sur les risques propres à la micro-informatique et la

nécessité de la mise en place de techniques de protection appropriées.

Dans le second cas, elle consiste en un compte rendu exhaustif employant parfois une

terminologie technique des anomalies rencontrées. De plus, chaque point faible ou risque doit

être étayé par des exemples indiscutables afin que le responsable informatique soit convaincu de

la pertinence des recommandations proposées.

Il y a lieu de souligner que ce document est d’une importance capitale car c’est sur la base des

recommandations proposées que l’entreprise entreprendra les corrections qu’elle jugera

nécessaires. Le temps imparti à sa rédaction ne doit en aucun cas être négligé et peut représenter

jusqu’au tiers du budget temps total alloué à la mission.

Le rapport d’audit formalise les conclusions de la mission. Il est établi sur la base de la note de

synthèse et destiné à la Direction générale de l’entreprise. Le contenu varie en fonction de l’objet

ou le type de mission d’audit. Néanmoins la structure d’un rapport d’audit de la sécurité micro-

informatique comprend en règle générale :

83 DEUXIEME PARTIE

• Le rappel du cadre de la mission comprenant les objectifs de la mission, le champ

d’investigation et les limites rencontrées, la durée de l’intervention et les principaux

interlocuteurs,

• Les principaux points faibles rencontrés par thème ou objectifs d’audit ainsi que les

risques et conséquences qu’encourent l’entreprise,

• Les mesures de sécurité à mettre en place,

• L’évaluation finale de la sécurité micro-informatique de l’entreprise.

Celui-ci est présenté en version projet à la Direction Générale de l’entreprise. La version

définitive du rapport d’audit sera remise par l’expert-comptable à la Direction générale au vu des

remarques et observations que celle-ci aura soulevées et au vu d’une réunion de validation avec

les différents responsables de l’entreprise. La réunion de validation comprendra, outre la

discussion du rapport d’audit, la discussion de la lettre de recommandations.

2.2 La lettre de recommandations

La lettre de recommandations constitue le produit final de l’expert-comptable au même titre que

le rapport d’audit. Elle est rédigée par l’expert-comptable au vu de sa mission d’audit de la

sécurité micro-informatique. Elle constitue en une proposition d’amélioration de la sécurité qui

prévaut au sein de l’entreprise et une ébauche d’action à entreprendre pour corriger une anomalie,

un point faible rencontré ou du moins en diminuer les effets.

La lettre de recommandations, comme son nom l’indique, comprend un ensemble de

recommandations qui à notre sens doivent être opérationnelles, réalistes et réalisables par

l’entreprise.

En effet, l’expert-comptable ne doit pas chercher à proposer des recommandations démesurées

par rapport aux moyens financiers de l’entreprise, qui pour une PME sont en général assez

limités. L’amélioration de la sécurité micro-informatique au sein des entreprises ne consiste en

aucun cas en l’accumulation des techniques de sécurité évoquées tout au long du deuxième

chapitre de la première partie.

84 DEUXIEME PARTIE

L’enjeu d’une lettre de recommandations est que l’entreprise mette en œuvre les consignes de

sécurité qui lui soient adaptées, compte tenu de sa taille, son effectif, l’importance de la place de

l’outil micro-informatique, les risques réels encourus, etc.

Les recommandations proposées par l’expert-comptable doivent également tenir compte des

moyens financiers de l’entreprise. Comme il a été souligné lors du chapitre concernant le principe

de maîtrise des risques, les mesures de sécurité à mettre en place par l’entreprise doivent

répondre à l’équation risque / coût de protection de mise en œuvre.

Peu de sécurité fait courir à l’entreprise de nombreux risques, mais trop de sécurité engendre des

coûts démesurés par rapport aux moyens financiers dont elle dispose. L’amélioration de la

sécurité micro-informatique au sein de l’entreprise consiste généralement en l’amélioration de

son organisation et du cadre de contrôle interne, des méthodes de travail, etc.

Les recommandations proposées par l’expert-comptable sont destinées à améliorer et la sécurité

de l’outil micro-informatique des entreprises, et l’efficience de son utilisation. Celles-ci seront

mieux accueillies par l’entreprise si elles permettent l’amélioration de la productivité, l’atteinte

des objectifs assignés par la Direction Générale, tout en garantissant une meilleure sécurité dans

l’exploitation dudit outil.

Pour que les recommandations soient facilement lisibles et compréhensibles sans être alarmistes,

l’expert-comptable peut opter pour une lettre de recommandations sous forme de tableau

comprenant les colonnes suivantes :

• Le thème ou domaine étudié,

• L’exposé de la faiblesse rencontrée avec le cas échéant un exemple concret,

• La présentation du risque encouru,

• La recommandation proprement dite

La lettre de recommandations doit comprendre en plus des colonnes ci-dessus, deux autres

colonnes à savoir :

• Les commentaires de la Direction,

• La personne concernée par le plan d’action et le délai d’exécution.

85 DEUXIEME PARTIE

Ces deux colonnes seront généralement remplies par la Direction générale au vu de la réunion de

validation de ladite lettre de recommandations. Les commentaires apportés par la Direction

Générale constituent en fait un véritable plan d’amélioration comprenant les personnes

concernées par les recommandations et le délai d’exécution.

Il appartient à l’expert-comptable de remettre sous forme définitive sa lettre de recommandations,

une fois que la Direction générale lui ait remis l’ensemble des commentaires et remarques.

L’expert-comptable reste le conseiller de l’entreprise. Sa mission s’arrête à la remise d’un rapport

d’audit et d’une lettre de recommandations. La mise en place des recommandations et des

réserves émanant de l’expert-comptable sont de la responsabilité de l’entreprise. Celui-ci ne peut

en aucun cas se substituer à l’entreprise pour la mise en place des recommandations qu’il aura

formulées.

Il pourra toutefois, à l’occasion d’un prochain audit ou à la demande de l’entreprise, faire le point

sur les recommandations mises en place par l’entreprise. Cet aspect constitue l’objet du

paragraphe suivant intitulé le suivi des recommandations.

2.3 Le suivi des recommandations

Le suivi des recommandations d’audit est essentiel. L’expert-comptable ne doit pas occulter cet

aspect à l’occasion d’une prochaine intervention, ou lorsque cette étape constitue en fait la

dernière étape de la mission d’audit de la sécurité micro-informatique, telle qu’elle ressort de la

lettre de mission.

Le suivi des recommandations consiste, en règle générale, à s’assurer que l’entreprise a mis en

place les recommandations formulées par l’expert-comptable sous forme d’un plan d’action.

Le plan d’action doit décrire les mesures de prévention et de protection que l’entreprise aura

retenue en vue d’améliorer la sécurité de son outil micro-informatique. Par thème ou domaine, il

devra indiquer les personnes chargées de la mise en place de telles mesures et le délai

d’exécution.

Le responsable informatique a un rôle majeur à jouer dans la mise en place de ces mesures, mais

il n’est pas le seul, car rappelons-le, la sécurité est l’affaire de tous.

86 DEUXIEME PARTIE

Lorsque les conclusions émanant du rapport d’audit ont conduit à émettre des réserves

significatives, il devient primordial que l’expert-comptable veille le plus rapidement possible à

l’application des recommandations, par exemple lors de sa prochaine intervention.

L’expert-comptable s’entretiendra avec la Direction Générale et ses principaux interlocuteurs

pour passer en revue les différentes recommandations. Pour chaque recommandation, il devra

s’assurer de la mise en place effective des propositions d’amélioration ressortant du plan

d’action. Au vu de ces entretiens, l’expert-comptable adoptera trois positions selon que :

• Les recommandations formulées n’ont pas été mises en place,

• Les recommandations ont été partiellement mises en place,

• Les recommandations ont toutes été mises en place.

Dans le premier cas, l’expert-comptable doit s’enquérir sur les raisons qui ont fait que l’entreprise

n’a pas jugé nécessaire de mettre en place lesdites recommandations. Il devra insister encore une

fois auprès de la Direction générale sur les risques qu’elle fait courir à son organisation et

proposer un nouveau délai d’exécution.

Dans le second cas, l’expert-comptable devra focaliser son attention sur les recommandations qui

n’ont pas été mises en place, en demandant à la Direction Générale de préciser les raisons d’un

tel choix.

Dans le troisième cas, l’expert-comptable devra effectuer quelques tests complémentaires afin de

s’assurer de la réalité des mesures de prévention et de protection adoptées par l’entreprise et telles

qu’indiquées par la Direction Générale à l’expert-comptable lors de l’entretien. Cependant, il

pourra également juger ne rien faire et se satisfaire des explications reçues.

Cependant, dans un environnement micro-informatique évolutif et en perpétuel changement, de

nouveaux risques peuvent apparaître, se développer ou encore se modifier (apparition de

nouveaux virus, banalisation d’Internet, mise en place d’une nouvelle configuration, etc.). Ces

risques font que les recommandations proposées lors de la précédente intervention sont devenues

caduques ou au contraire se confirment.

87 DEUXIEME PARTIE

L’expert-comptable aura donc tout intérêt à se pencher lors de l’intérim sur l’évolution de la

sécurité micro-informatique de l’entreprise, et de mettre à jour son dossier permanent et dossier

système. Ce travail de suivi et de mise à jour est d’autant plus facilité par le questionnaire de

contrôle interne qui permet de trier les réponses aux questions posées par niveau de risque (faible,

moyen ou élevé).

En fonction du niveau de risque retenu, l’expert-comptable pourra juger nécessaire d’effectuer

des tests d’existence et de permanence. Ces tests porteront sur tout ou partie des composantes de

la sécurité micro-informatique, à savoir :

• La politique de sécurité,

• Les protections physiques et logiques,

• La sécurité des études et développements d’applications informatiques

• Les protections des données et des applications.

3 Particularités d’une mission d’audit de la sécurité micro-informatique

3.1 Les points communs aux différentes méthodes

Il n’existe pas de méthode spécifique à l’audit de la sécurité micro-informatique. D’ailleurs, les

spécialistes s’accordent à dire qu’il est "vain de rechercher un plan type de travail universel"57.

Quelle que soit la méthode retenue, celle-ci doit comme toute mission d’audit être basée sur une

approche par les risques.

De même qu’il n’existe pas d’outils spécifiques à l’audit de la sécurité micro-informatique. Les

méthodes généralement utilisées sont réalisées sur la base d’entretiens et l’examen de documents,

notamment lors de la phase de prise de connaissance de l’environnement informatique de

l’entreprise.

La sécurité informatique peut faire l’objet d’un audit spécifique ou au contraire s’insérer dans un

audit plus général de la qualité du système d’information. La sécurité ne constituerait qu’un

chapitre ou domaine de l’audit sécurité informatique au même titre que les performances

techniques, l’efficacité fonctionnelle ou l’étude de la fiabilité d’une application informatisée.

57 M. Thorin – L’audit sécurité informatique : Méthodes, règles et normes

88 DEUXIEME PARTIE

Néanmoins, il serait vain d’auditer l’efficacité fonctionnelle d’un système ainsi que ses

performances techniques, si sa sécurité, considérée comme le fondement de la qualité d’un

système d’information n’est pas assurée.

A cet effet, et au même titre qu’une mission d’audit classique et / ou audit sécurité informatique,

toute mission d’audit de la sécurité micro-informatique comprend en règle générale :

• Une lettre de mission faisant ressortir l’objectif de la mission, les intervenants, les

obligations respectives des différentes parties, le champ d’intervention et le programme

général de la mission, le calendrier d’intervention et le budget,

• Une revue générale ou prise de connaissance de l’environnement de l’entreprise qui

permet de mieux comprendre les spécificités de son secteur d’activité, son

fonctionnement, environnement, etc.

• Une note d’orientation rédigée à la fin de l’étape précédente et permet de mettre en place

le programme détaillé de travail,

• Les investigations et contrôles qui sont généralement effectués à l’aide de techniques

d’entretiens oraux et / ou de questionnaires.

• Un rapport d’audit et lettre de recommandations.

3.2 Les particularités

Néanmoins, les méthodes d’audit de la sécurité applicables à la micro-informatique se distinguent

des autres types de mission d’audit en raison des aspects ci-contre :

a) La lettre de mission qui comprend outre les aspects évoqués ci-dessus, les points suivants :

• Les parties signataires (expert-comptable, entreprise et éventuellement prescripteur),

• L’objet et contenu de la lettre de mission : il est nécessaire de préciser le champ

d’investigation et le domaine couvert par l’audit de la sécurité informatique (audit général

de sécurité, audit spécifique des accès physiques et logiques, audit spécifique du plan de

sauvegarde, etc.) afin d’éviter toute ambiguïté,

89 DEUXIEME PARTIE

• Le calendrier d’intervention comprenant la durée de chaque étape, les prestations à

réaliser par chaque partie, les vérifications et validations avec l’entreprise et l’organisation

des réunions de travail sur l’état d’avancement de la mission,

• Les obligations de l’auditeur : correspondant généralement aux obligations de moyens

faisant ressortir les investigations, contrôles à mettre en œuvre,

• Les honoraires de l’expert-comptable,

• Les responsabilités des parties à l’exécution du contrat,

• Les clauses de résiliation de la mission et clauses de contentieux.

b) La revue générale qui comprend l’examen des points suivants :

• Le système informatique et la place de la micro-informatique dans ce système,

• L’identification du matériel, applications, informations et données à protéger,

• Les risques encourus par l’entreprise,

• La politique de sécurité de l’entreprise si elle existe.

c) Le rapport d’audit qui doit reprendre les aspects suivants :

• Le rappel du cadre de la mission comprenant les objectifs de la mission, le champ

d’investigation et les limites rencontrées, la durée de l’intervention et les principaux

interlocuteurs,

• Les principaux points faibles rencontrés par thème ou objectifs d’audit ainsi que les

risques et conséquences qu’encourent l’entreprise,

• Les recommandations prioritaires, avec pour chacune d’entre elles :

o Celles à appliquer immédiatement pour mettre fin à un niveau faible de sécurité,

o Celles à appliquer à court terme pour améliorer la sécurité sur des aspects du système

présentant des risques de moindre gravité,

o Celles à mettre en place pour améliorer d’une manière générale la sécurité du système.

• L’évaluation finale de la sécurité micro-informatique de l’entreprise.

90 DEUXIEME PARTIE

Il est nécessaire de rappeler que les recommandations émises par l’expert-comptable ne doivent

pas consister en un étalage des techniques et outils de sécurité. Elles constituent une proposition

d’un plan d’action pour corriger une anomalie, un dysfonctionnement ou une faiblesse

rencontrée. Pour être pratiques et opérationnelles, elles doivent :

• Prendre en compte les contraintes financières de l’entreprise et notamment de la PME,

• Permettre une réduction notable du risque (sans l’éliminer totalement),

• Intégrer la solution couverture des risques par l’assurance comme technique de protection

complémentaire.

Peu de sécurité constitue un facteur de risque, mais trop de sécurité entraîne également

l’apparition de menaces. L’amélioration de la sécurité micro-informatique passe par la mise en

place d’une meilleure organisation et cadre de contrôle interne.

3.3 Les possibilités d’application par l’expert-comptable

Afin de connaître l’implication des cabinets d’expertise comptable de petite et moyenne taille

dans l’audit de la sécurité micro-informatique et leur rôle de conseiller qui doit s’étendre

nécessairement à la sécurité micro-informatique, nous avons préparé un questionnaire que nous

avons remis à 60 professionnels membres de l’ordre des experts comptables. Ledit questionnaire

dont un modèle est joint en annexe n° 15 comporte 3 parties :

• La première partie correspond à l’identification du cabinet d’expertise comptable,

• La seconde partie correspond aux domaines d’intervention, le type de clientèle que

compte le cabinet et la nature des missions effectuées dont l’objectif est avant toute chose

de déterminer la taille du cabinet (petite, moyenne ou grande) et les domaines

d’intervention (expertise comptable, audit et commissariat aux comptes, conseil, etc.),

• La troisième partie correspondant à son rôle de sensibilisation de l’entreprise à la sécurité

micro-informatique.

Seuls 20 questionnaires nous ont été retournés dont les résultats figurent en annexe n° 14. Les

principales conclusions et remarques qui se dégagent de cette étude sont détaillées ci-contre.

91 DEUXIEME PARTIE

En raison de l’informatisation des entreprises, le champ d’audit doit être nécessairement élargi au

contrôle de la fiabilité des procédures informatiques et procédures de sécurité informatique. En

effet 79% des réponses reçues démontrent que les contrôles spécifiques à la fonction

informatique et / ou système informatique sont intégrés au processus d’évaluation du contrôle

interne.

Les grands cabinets d'audit font appel à des spécialistes en audit sécurité informatique. Ces

structures ont créé des départements spécialisés dans l’audit sécurité informatique, composés

généralement d’ingénieurs informatiques.

Pour les petites et moyennes structures, l’insuffisance de l'expérience des auditeurs financiers

pour réaliser ces types de mission d'audit de sécurité de la micro-informatique les amène à

délaisser cet aspect lors de la conduite de leur mission d'audit contractuel ou légal. 64% des

cabinet intérrogés avouent ne jamais avoir effectué de mission d’audit de la sécurité

informatique. De même que 64% des cabinets intérrogés affirment ne pas disposer des

compétences humaines nécessaires pour conduire ce type de mission.

Toute mission d’audit est effectuée selon un budget temps. Celui-ci est généralement arrêté au vu

de la phase de prise de connaissance de l’entreprise et de l’appréciation des risques d’audit. Pour

les petites structures, l’expert-comptable ne dispose pas toujours du budget nécessaire pour

réaliser des travaux de contrôle spécifique à la sécurité micro-informatique.

La mission de l’expert-comptable ou du commissaire aux comptes en matière d’audit de la

sécurité micro-informatique dépend de la qualité de ses interlocuteurs, et donc de la structure de

leurs entreprises clientes. Or pour ce type de clientèle, rares sont les entreprises qui disposent

d’un responsable sécurité.

A la question de savoir si l’entreprise fait appel au service de son expert-comptable pour l’assister

dans la mise en place d’une politique de sécurité informatique ou dans le choix d’outils de

sécurité, 71% ont affirmé par la négative, d’où un travail de sensibilisation à effectuer en la

matière.

L’expert-comptable a tout intérêt à sensibiliser davantage l’entreprise sur son rôle de conseiller

qui est général et qu’il peut apporter son assistance en matière de sécurité informatique.

92 DEUXIEME PARTIE

Mais faute d’interlocuteurs compétents dans le domaine de la sécurité micro-informatique,

l’expert-comptable risque de mener des interviews et des entretiens avec des personnes

insuffisamment sensibilisées aux risques induits par l’utilisation de l’outil micro-informatique.

Ces entretiens seront menés avec trois catégories de personne au sein de l’entreprise :

• Dirigeants et responsables PME : seront évoqués les aspects de stratégie de l’entreprise en

terme d’informatique, les notions de plan micro-informatique, politique de sécurité

informatique, etc.

• Responsables informatiques : seront évoqués les questions relatives aux outils de sécurité

mis en place, les techniques de sécurité pour assurer l’efficacité de l’environnement

informatique, l’exploitation de l’outil informatique, etc.

• Utilisateurs: seront évoqués les aspects de degré de satisfaction, convivialité des

applications logicielles utilisées, etc.

A la question pensez-vous que les entreprises ont conscience des risques et menaces qui pèsent

sur leur outil informatique, 64% ont affirmé non.

Tous ces points montrent un intérêt certain des professionnels pour ce type de mission.

Néanmoins, l’expert-comptable doit garder dans son esprit que la présente méthodologie ne

déroge en rien des méthodologies existantes en matière d’audit des états financiers et qu’en

raison de l’évolution permanente de l’informatique et des technologies associées, il devient

impératif d’intégrer dans ses missions d’audit des contrôles spécifiques à la sécurité micro-

informatique.

Le présent chapitre nous a permis de présenter en détail une méthodologie d’audit de la sécurité

micro-informatique dans les PME. Le chapitre suivant traitera plus en détail le programme de

travail au vu de l’évaluation du contrôle interne faite à l’aide du questionnaire annexé au présent

mémoire.

93 DEUXIEME PARTIE

Chapitre 3 : Programme de travail et conduite de la mission par thème

Cette étape consiste à tester par thème ou objectif de contrôle interne les points jugés forts lors du

questionnaire de contrôle interne. L’évaluation du contrôle interne de l’environnement micro-

informatique nous a permis de brosser un inventaire détaillé des forces et faiblesses de la sécurité

micro-informatique de l’entreprise, tout en précisant :

• Les risques non couverts,

• Les mesures de protection jugées satisfaisantes,

• Les mesures de protection jugées insuffisantes ou inadaptés aux risques encourus.

Les points faibles de la sécurité micro-informatique doivent faire l’objet de recommandations,

sans recourir à des tests complémentaires. Nous focaliserons nos contrôles sur le deuxième point,

à savoir les mesures de protection jugées satisfaisantes pour s’assurer de leur réalité, de leur

permanence d’application.

1 Organisation micro-informatique et environnement de contrôle

L’objectif des contrôles consiste à avoir l’assurance raisonnable que :

• L’utilisation de l’outil micro-informatique est efficace et adaptée à la stratégie de

l’entreprise,

• La séparation de fonctions tant au sein du département informatique qu’entre

informaticiens et utilisateurs est suffisante,

• Le système d’information répond aux besoins de l’activité et des différents utilisateurs.

Pour répondre à ces divers objectifs, l’expert-comptable doit axer ses contrôles sur les notions de

politique de sécurité, organigramme de la fonction informatique précisant le rôle et tâches du

département informatique, couverture des risques par une assurance, etc.

1.1 Politique de sécurité informatique

L’expert-comptable doit contrôler l’existence d’une telle politique précisant les principes sur

lesquels elle s’appuie, les moyens techniques mis en œuvre par l’entreprise pour prévenir,

détecter et limiter l’apparition de risques, les procédures de sécurité physique, logique et

organisationnelle, les actions de sensibilisation à entreprendre auprès des divers utilisateurs et les

procédés à adopter, etc.

94 DEUXIEME PARTIE

L’expert-comptable doit s’assurer que l’entreprise a réalisé une analyse des risques propres à la

micro-informatique avant la mise en place de toute politique de sécurité informatique, qu’elle est

diffusée à l’ensemble du personnel, que les directives sont connues et respectées par l’ensemble

des utilisateurs.

L’expert-comptable doit enfin s’assurer que la politique de sécurité informatique aborde les

moyens de protections mis en œuvre pour assurer la disponibilité, l’intégrité et la confidentialité

des données et de l’outil micro-informatique :

• Confidentialité et intégrité des données : outils de sécurité mis en place permettant le

contrôle des accès logique reposant sur les concepts d’identification, d’authentification et

d’habilitation,

• Disponibilité et continuité des traitements : techniques de sauvegarde adoptées (manuelles

ou automatiques), plan de reprise le cas échéant, etc.

1.2 Organisation de la fonction informatique et définition des fonctions

S’agissant de l’organigramme de la fonction informatique précisant le rôle et tâches du

département informatique, l’expert-comptable doit s’assurer de la séparation de fonctions

incompatibles au sein dudit département et entre informaticiens et utilisateurs.

L’absence de séparation précise des tâches incompatibles entraîne l’apparition de risques tels

que :

• L’incontrôlabilité des fonctions à haute technicité,

• L’unicité de compétence,

• L’accès non contrôlé aux différentes ressources informatiques,

• Etc.

L’expert-comptable doit se faire communiquer la définition précise des attributions et tâches du

personnel informatique. Au-delà de cette définition des postes, celui-ci doit s’assurer sur le

terrain que le personnel informatique n’occupe pas de tâches opérationnelles. Néanmoins, il reste

difficile d’assurer une correcte séparation des fonctions et tâches au sein des PME. En effet, au

sein de telles structures, le département informatique se compose généralement d’une personne,

voire deux au maximum.

95 DEUXIEME PARTIE

Celle(s)-ci se voi(en)t chargée(s) d’effectuer l’ensemble des tâches qui sont normalement

séparées au sein d’un département d’informatique centralisé. Il devient de ce fait important que

les utilisateurs puissent contrôler les résultats des différentes applications informatiques dont

dispose l’entreprise.

L’expert-comptable doit enfin porter son attention sur l’existence ou l’inexistence d’une politique

de ressources humaines couvrant au moins les aspects suivants :

• Critères d’embauche,

• Conditions de travail,

• Congés,

• Compensation et reconnaissance,

• Licenciement et mutation,

• Etc.

Le personnel informatique doit posséder un niveau de formation le mettant à même d’assurer les

responsabilités qui lui seront dévolus et doit posséder des qualifications et connaissances

générales en matière de :

• Matériels,

• Logiciels,

• Télécommunications,

• Sécurité physique et logique

• Architecture des données et SGBD,

• Etc.

Le dernier aspect à vérifier en matière d’organisation de la fonction et définitions des fonctions et

tâches est la satisfaction des différents utilisateurs de leur outil micro-informatique. L’expert-

comptable doit contrôler à ce niveau que :

• L’entreprise dispose d’applications logicielles répondant aux besoins des utilisateurs,

• Les services rendus par le service informatique sont jugés satisfaisants,

96 DEUXIEME PARTIE

• Les utilisateurs disposent d’une formation suffisante sur l’utilisation de l’outil micro-

informatique et des applications logicielles qui y sont associées,

• Etc.

1.3 Couverture des risques par l’assurance

A ce niveau, l’expert-comptable doit sensibiliser les entreprises recourant à l’assurance risques

informatiques sur l’importance des mesures de prévention demandée par la compagnie

d’assurance pour pouvoir être indemnisé en cas de sinistre touchant les biens assurés.

En effet, beau nombre d’entreprises s’exonèrent de mettre en place des mesures de prévention et

de protection arguant que l’assurance risques informatiques couvrira tout sinistre occasionné à

leurs matériels informatiques, supports de stockage, etc. L’expert-comptable a un rôle important à

jouer en matière de sensibilisation et de conseil auprès de ses entreprises clientes quant à

l’importance du respect de leurs obligations vis-à-vis de l’assurance.

Il doit s’assurer en premier lieu que l’ensemble des dispositions ont été prises pour protéger les

biens assurés (micro-ordinateurs, applications logicielles, supports de stockage, etc.) contre le

risque incendie, inondation, incidents techniques, etc. Il doit également s’assurer de la présence

d’onduleurs pouvant suppléer à toute panne de courant, d’un système de climatisation permettant

d’assurer une température ambiante au serveur, etc.

L’expert-comptable doit s’assurer par ailleurs, que l’entreprise effectue des sauvegardes

régulières de ses données, condition suspensive pour l’extension de garantie à la reconstitution

des médias. En effet, la perte des données entre la dernière sauvegarde et le moment de

survenance du sinistre n’est pas couvert par la compagnie d’assurance.

L’expert-comptable doit également s’assurer de l’existence d’un contrat de maintenance complet

garantissant les coûts de main d’œuvre, les frais de déplacement et les frais de transport des

pièces ou matériels de remplacement ainsi que les prix de ces derniers. Enfin, l’expert-comptable

doit s’assurer que l’entreprise a remis à la compagnie d’assurance une liste exhaustive du

matériel à assurer, avec indication des références, prix, date d’achat et date d’installation. Cette

liste doit être mise à jour régulièrement.

97 DEUXIEME PARTIE

2 Efficacité de l’environnement micro-informatique


• Les risques de dégâts accidentels ou volontaires ainsi que les risques de vols de matériels et

supports informatiques sont limités,

• Les données et programmes de l’entreprise ne peuvent pas faire l’objet d’accès non autorisés,

• L’environnement d’exploitation de la micro-informatique permet de garantir la

confidentialité, l’intégrité, la disponibilité et la fiabilité des systèmes informatiques.


sécurité physique englobant la protection du matériel et périphériques contre les risques de vol,

d’incendie, d’inondation, d’incidents techniques, etc. et sécurité logique englobant la protection

de l’accès aux différents logiciels, la protection de l’entreprise contre les risques de piratage de

logiciels et la propagation de virus.

2.1 La sécurité physique

S’agissant de la sécurité physique de l’entreprise (environnement et accès), l’expert-comptable

doit contrôler l’existence ou non de procédures préservant l’outil micro-informatique des risques

accidentels, négligences et insouciance des utilisateurs, coupures de courants et de manière plus

générale les risques d’incendie, de dégâts des eaux et d’accès à l’outil lui-même.

Celui-ci doit s’assurer que :

• Les postes sensibles sont dotés d’onduleurs,

• Les imprimantes et stock de papier sont disposés à l’extérieur de la salle informatique,

• L’accès du personnel de nettoyage et de maintenance est contrôlé,

• Le câblage réseau est protégé des risques d’incendie et d’inondation,

• Le déplacement du matériel répond à une procédure écrite,

• L’installation d’un système de climatisation maintenant à l’intérieur de la salle informatique

une température constante et bloc de climatiseur se trouvant à l’extérieur de la salle,

98 DEUXIEME PARTIE

• les postes sont éteints systématiquement en fin de journée,

• Les postes ne sont éteints qu’une fois que les utilisateurs sont sortis des différentes

applications,

• Les utilisateurs d’ordinateurs portables sont sensibilisés sur les risques de vol qui pèsent sur

ce type de matériel,

• Les supports de sauvegarde sont disposés dans un coffre ignifugé,

• Les utilisateurs ne fument pas et ne prennent pas de boissons à proximité de leurs micro-

ordinateurs,

• Etc.

Il y a lieu de souligner que ces contrôles peuvent être effectués par simple observation des

habitudes de travail des différents utilisateurs, en traversant la salle informatique, etc.

Enfin, le contrôle de l’expert-comptable doit également porter sur les efforts de sensibilisation

des utilisateurs entrepris par l’entreprise par le biais du responsable informatique.

2.2 La sécurité logique

S’agissant de la sécurité logique de l’entreprise (contrôle et maîtrise des accès), l’expert-

comptable doit contrôler l’existence ou non de mots de passe permettant l’accès aux applications

logicielles de l’entreprise.

Celui-ci doit s’assurer auprès d’un ou de plusieurs ordinateurs qu’un mot de passe est

systématiquement demandé, qu’il ne s’affiche pas à l’écran lors de sa saisie, qu’il n’est connu

que de son "propriétaire", etc.

L’expert-comptable ne doit négliger le fait qu’un micro-ordinateur puisse être utilisé par

plusieurs personnes. Il devient à cet effet indispensable de s’assurer que l’entreprise a opté pour

une configuration pour chaque utilisateur définissant les limites d’accès en fonction des profils et

règles d’habilitation.

L’expert-comptable doit ainsi s’assurer que le contrôle d’accès logique est régi par des règles

appropriées et appliquées en permanence. Celles-ci englobent :

99 DEUXIEME PARTIE

• Les conditions d’attribution des mots de passe,

• L’existence d’une liste d’autorisation,

• Les conditions de mise à jour des mots de passe,

• La conformité des mots de passe aux règles de l’entreprise (longueur, syntaxe, etc.)

Le deuxième point concernant la sécurité logique sur lequel l’expert-comptable doit s’attarder est

la gestion des licences des logiciels et systèmes d’exploitation.

L’intégrité des logiciels étant menacée par le piratage, il devient primordial de s’assurer que des

campagnes d’information et de sensibilisation sont menées, rappelant la notion de piratage et les

sanctions auxquelles s’expose l’entreprise. Toutefois, nous pensons que l’expert-comptable doit

faire ici preuve de prudence et de tact, surtout lors de la remise de ses constatations à la Direction

Générale.

En effet, la presse58 fait souvent écho que près de 90% des logiciels installés en entreprise au

Maroc sont des logiciels piratés. Face à ce constat, l’expert-comptable a plutôt intérêt à

sensibiliser l’entreprise sur les risques qu’elle court en insistant sur le fait que la régularisation de

la situation est indispensable.

2.3 La protection des données

L’expert-comptable doit examiner et contrôler la protection de l’entreprise contre les risques de

virus. Il doit contrôler l’existence ou non d’une procédure de protection contre les virus.

Celle-ci doit être connue de l’ensemble du personnel et doit faire ressortir les mesures de

prévention en termes de gestion des connexions, compte rendu d’attaques virales, et les mesures

de détection et de protection en terme d’antivirus.

Il doit s’assurer que l’entreprise dispose d’un logiciel anti-virus et que sa mise à jour est

systématique, qu’il est activé sur chaque micro-ordinateur, que les disquettes ne sont utilisées

qu’après vérification par le responsable informatique, etc. L’idéal est que l’entreprise désactive

les lecteurs disquettes des différents micro-ordinateurs pour éviter tout risque d’infection. Mais

cette solution risque de ne pas obtenir l’adhésion du personnel.

58 Les dossiers de la Vie Economique – 1er février 2002

100 DEUXIEME PARTIE

L’expert-comptable doit enfin s’assurer que l’entreprise dispose d’un fire wall pour se protéger

contre les attaques virales à travers le Web, si elle dispose d’une connexion Internet.

3 Disponibilité de l’information


• L’intégrité et la sécurité des matériels et des logiciels sont assurées de manière satisfaisante,

• Les systèmes sont fiables, disponibles et adaptés à l’entreprise,

• Tout risque d’interruption est limité et que l’activité peut être poursuivie dans un délai

acceptable en cas de défaillance de l’outil micro-informatique.


plan micro-informatique, de politique d’investissement et de maintenance du parc micro et des

logiciels, besoins de confidentialité de l’entreprise (classification des données à protéger),

sauvegarde des données et programmes, et éventuellement plan de secours.

3.1 La disponibilité du matériel

L’expert-comptable doit contrôler l’existence d’un plan micro-informatique précisant les

objectifs découlant de la stratégie de l’entreprise, les moyens à mettre en œuvre (matériels,

logiciels, personnel, etc.), l’évaluation de l’existant et des perspectives d’évolution, les mesures

de sécurité à mettre en œuvre, etc.

Le plan micro-informatique doit également faire ressortir les méthodes de développement

d’applications informatiques, les procédures de recette et de maintenance, etc. Il doit formaliser

les choix en matière de

• Matériels : caractéristiques des unités centrales, des périphériques d’entrée (clavier, souris,

etc.) de sortie (écrans, imprimantes, scanners, etc.) de stockage (disque dur, disquette, CD-

ROM, cartouche, etc.),

• Logiciels : logiciels systèmes ou système d’exploitation utilisé, logiciels applicatifs

(comptabilité, paie, gestion commerciale, etc.), utilitaires, etc.

• Réseaux : connexion des ordinateurs entre eux, existence d’un serveur central de fichiers,

connexion le cas échéant à Internet, etc.

101 DEUXIEME PARTIE

Concernant les aspects de politique d’investissement et de maintenance du parc micro et des

logiciels, l’expert-comptable doit contrôler les éléments suivants :

• Existence ou non d’un politique d’investissement faisant ressortir le recensement des besoins

à satisfaire, le responsable de ladite politique, etc.

• Les critères d’acquisition (homogénéité du matériel, compatibilité du matériel et des

logiciels, garantie des partenaires, etc.),

• Les critères d’installation (tests de fonctionnement lors de l’installation, fiabilité des logiciels

installés, compatibilité du matériel, etc.),

• Les conditions de maintenance (réalisée en interne ou auprès d’un prestataire de service,

délais, gestion et suivi des contrats, etc.),

• Le suivi des pannes (registre, fréquence, origine des pannes, etc.),

• La gestion du parc (renouvellement progressif, évolution, inventaire physique rapproché des

éléments de la comptabilité, etc.).

3.2 La disponibilité des logiciels

S’agissant du deuxième point, l’expert-comptable doit axer ses contrôles sur la classification des

données effectuée par l’entreprise et les mesures de protection mises en place. En effet,

l’entreprise doit avoir conscience de l’importance de la confidentialité des données de son

système d’information afin de mettre en place les mesures de protection appropriées.

L’expert-comptable, en collaboration avec la Direction générale de l’entreprise, peut identifier les

donnés jugées sensibles et les micro-ordinateurs les supportant. Une fois cette identification

effectuée, l’expert-comptable doit déterminer les personnes ayant autorisation d’accès à ce type

de données et doit examiner les règles d’autorisation d’accès à ces micro-ordinateurs (test qui

rejoint celui du contrôle de la sécurité logique de l’entreprise assurée par l’existence de mots de

passe, règles d’habilitation, etc.)

102 DEUXIEME PARTIE

3.3 La disponibilité des données : sauvegarde et archivage

L’expert-comptable doit s’assurer de la disponibilité des données de l’entreprise assurée par une

gestion appropriée des sauvegardes. Il doit examiner l’existence ou non d’une procédure de

sauvegarde faisant ressortir :

• Les fichiers et programmes qui doivent être obligatoirement sauvegardés et le nombre de

générations (jeux de sauvegardes),

• La fréquence et type de sauvegarde,

• Les outils de sauvegarde utilisés,

• La durée et lieu de sauvegarde,

• L’organisation des sauvegardes (par micro autonome, centralisé et automatique, etc.)

Il doit s’assurer par la suite auprès des utilisateurs de la réalité et de la correcte application de la

procédure de sauvegarde et, le cas échéant, contrôler l’existence ou non de sauvegardes

personnelles directement sur disque dur du micro-ordinateur de l’utilisateur. Il doit contrôler

l’existence de jeux de sauvegarde, leur lieu de rangement, délai de conservation, etc. Il doit

s’assurer que les bandes sont placées dans un lieu sûr comme un coffre ignifugé et non dans les

tiroirs du responsable informatique.

Enfin, en présence du responsable informatique, l’expert-comptable peut procéder à un test de

relecture des supports de sauvegarde afin de s’assurer que l’ensemble des données et programmes

sont sauvegardées.

Le dernier point à examiner (éventuellement) par l’expert-comptable est l’existence ou non d’un

plan de secours. Celui-ci est destiné à permettre le redémarrage de l’activité dans un délai de

temps raisonnable lorsque le plan de sécurité a été mis en défaut.

Généralement, il s’applique aux grandes entreprises disposant outre d’outils micro-informatiques,

de gros ou mini systèmes. Néanmoins, nous pensons que l’expert-comptable ne doit pas occulter

ce point sous prétexte qu’il est rare qu’une PME mette en place un tel plan de secours. Celui-ci

doit s’assurer de l’existence d’un plan de secours documenté, détaillant les procédures manuelles

à appliquer, le redémarrage des applications sous mode dégradé, la restauration des bibliothèques

de programmes fichiers, bases de données, etc.

103 DEUXIEME PARTIE

Celui-ci intervient à la suite d’un sinistre grave (risques catastrophiques) rendant indisponible le

système informatique de l’entreprise. Il doit indiquer :

• Le personnel concerné : définition écrite du rôle de chacun,

• Les matériels et machines de secours mis à la disposition de l’entreprise, même si en réalité

cette mesure est difficile à appliquer aux PME disposant d’un système unique,

• Les données et logiciels nécessaire : sauvegardes à jour, documentation des programmes,

• Les fournitures, stock de secours de pièces de rechange,

• Le recours le cas échéant à un centre de back up,

• L’installation provisoire du personnel dans des locaux intermédiaires.

4 Sécurité des études et développements d’applications informatiques


• Les systèmes fonctionnement correctement, qu’ils sont fiables et maîtrisables et répondent

aux attentes des utilisateurs,

• Des contrôles sur l’intégrité des logiciels ont été mis en place (qu’ils soient développés en

interne ou par recours à une SSII,

• Tous les développements ou modifications d’applications informatiques sont autorisés, testés

et documentés.

Pour répondre à ces divers objectifs, l’expert-comptable doit axer ses contrôles sur les

applications informatiques de l’entreprise, qu’elles soient développées en interne, ou en externe

auprès d’une SSII.

4.1 Développement interne

L’expert-comptable doit s’assurer que les applications développées en interne répondent à un

certain nombre de normes et standards, en terme d’analyse, de programmation, de mise en

exploitation, de documentation et mise à jour, etc.

104 DEUXIEME PARTIE

Il doit indiquer la méthodologie de programmation utilisée (méthode reconnue ou plutôt méthode

"maison"). Il doit également s’assurer que les applications développées répondent aux besoins et

attentes des utilisateurs et que les différentes étapes telles que décrites dans le paragraphe 3 du

chapitre 2 de la première partie ont été respectées, à savoir l’étude d’opportunité, l’analyse

fonctionnelle, l’analyse organique et le développement.

L’expert-comptable doit s’assurer auprès des différents utilisateurs qu’ils ont été convenablement

impliqués et associés au processus de développement de toute nouvelle application. A cet effet, il

doit s’assurer que les besoins ont été correctement pris en compte, que les applications n’ont été

mises en exploitation qu’une fois avoir obtenu la "recette" des utilisateurs au vu de tests, et que la

formation nécessaire a été dispensée. Il arrive parfois que les entreprises imposent aux utilisateurs

une application sans se préoccuper de savoir si celle-ci réponde bien à leurs attentes. Cette

attitude est préjudiciable à l’entreprise car les utilisateurs auront toujours tendance à rejeter ladite

application. L’objectif de fiabilité recherché à travers cette nouvelle application ne sera jamais ou

que partiellement atteint.

La conception d’un nouveau projet informatique doit être conduite par une équipe comprenant

non seulement des informaticiens, mais également un membre de la direction générale, un ou

plusieurs utilisateurs ainsi que des membres des organes de contrôle (audit interne, expert-

comptable, commissaire aux comptes, etc.).

Il est souhaitable que l’expert-comptable s’assure que tout nouvelle application développée les

personnes suivantes ont été impliquées :

• Les utilisateurs car sont les personnes les mieux placés pour vérifier l’adéquation de

l’application à leurs besoins, au vu de jeux d’essais,

• La participation d’un membre de la direction générale car doit permettre d’assurer la

maîtrise de la fonction informatique par les dirigeants de l’entreprise,

• Les membres des organes de contrôle car sont les seuls garants de la prise en compte des

éléments relatifs au contrôle interne. Ces derniers se traduiront à l’intérieur de l’application

par des contrôles programmés exhaustifs, et dans l’exploitation future des applications par

des procédures qui puissent s’assurer en permanence de l’intégrité des données, et de

produire des pistes d’audit.

105 DEUXIEME PARTIE

L’expert-comptable doit également contrôler la qualité de la documentation des programmes. En

effet, afin d’éviter tout problème d’exploitation en cas de départ du responsable informatique, les

applications de l’entreprise doivent être suffisamment documentées. Il doit s’assurer de

l’existence d’une documentation technique, d’une documentation d’exploitation et d’une

documentation utilisateurs.

4.2 Acquisition d’applications dites "du marché"

L’expert-comptable doit s’assurer que les conditions de support et de maintenance des progiciels

sont satisfaisantes. Il doit voir si l’activité de l’entreprise est dépendante des applications

développées et / ou maintenues par un prestataire de service.

Il doit s’assurer que l’application développée par le prestataire de service correspond

parfaitement aux spécifications du cahier de charges, que le chemin de révision a été pris en

compte et qu’en règle générale elle permet son :

• Auditabilité : vraisemblance des données en entrée, existence d’une centralisation périodique

des opérations, possibilité de retrouver l’origine des mouvements, etc.

• Sécurité,

• Conformité au cahier des charges,

• Efficacité : application qui répond à son objectif, aux attentes des utilisateurs mesurées en

degré de satisfaction et que le coût de son fonctionnement et de sa maintenance n’est pas

jugé excessif.

L’expert-comptable doit s’assurer de l’existence ou non d’un contrat de maintenance signé avec

un prestataire de service. Il doit examiner, le cas échéant, les clauses du contrat et s’assurer

qu’elles font ressortir :

• L’objet du contrat,

• La durée du contrat,

• Les redevances, facturation à la charge de l’entreprise (prix total, périodicité de facturation,

mode de règlement, etc.),

106 DEUXIEME PARTIE

• Le cahier des charges qui sera généralement annexé audit contrat,

• La protection et propriété des programmes (code source, licence d’exploitation, droit

d’usage, etc.),

• L’exclusivité d’utilisation de l’application,

• Les causes de cessibilité et de résiliation du contrat,

• Les responsabilités respectives des co-contractants,

• Le règlement des litiges.

L’expert-comptable doit également s’assurer que les modifications et changements de version

sont correctement testés et documentés avant leur installation et que le prestataire de service met

le cas échéant à la disposition de l’entreprise les codes sources des programmes.

Il doit s’assurer que les développements fait par les utilisateurs répondent à des besoins réels,

qu’ils ne sont pas redondants avec des programmes préexistants et qu’ils sont du moins

supervisés par le responsable informatique.

107 DEUXIEME PARTIE

CONCLUSION DE LA DEUXIEME PARTIE

L’audit de la sécurité micro-informatique peut représenter des enjeux important aussi bien pour

les dirigeants des PME que les experts comptables. Compte tenu de l’importance de l’outil

micro-informatique au sein de l’entreprise, il appartiendra à tout dirigeant de mettre en place une

organisation et des procédures de contrôle interne fiables.

Si les professionnels ont conscience de l’enjeu de la sécurité micro-informatique au sein de

l’entreprise, il n’en est pas de même pour les entreprises. Les techniques de sécurité ne sont pas

correctement appliquées par l’entreprise, par insouciance ou ignorance. Cette insuffisance de

sécurité fait courir à l’entreprise de nombreux risques.

C’est pourquoi nous pensons que l’expert-comptable et le commissaire aux comptes ont un rôle

important à jouer dans la sensibilisation de la Direction Générale quant aux risques informatiques

qui pèsent sur l’outil micro-informatique de leur entreprise et la nécessité de mise en place d’une

politique de sécurité. Toutefois, la micro-informatique connaît des évolutions technologiques

permanentes à tel point qu’il devient difficile de proposer une méthodologie de contrôle de la

sécurité micro-informatique au sein de l’entreprise.

Face à se constat, l’expert-comptable ou le commissaire aux comptes ont tendance à négliger la

nécessité d’inclure des contrôles spécifiques à l’informatique dans leur mission d’audit. Pour des

missions nécessitant une revue informatique, ils pourront faire appel à des spécialistes en la

matière. Néanmoins l’intervention de ces spécialistes est très coûteuse et demande un budget

temps important qui viendra inéluctablement affecter le budget global alloué à leur mission

classique d’audit.

108 DEUXIEME PARTIE

La sécurité micro-informatique au sein de l’entreprise et notamment la PME s’obtient par la

gestion du risque réellement encouru et de ses composantes : menaces, vulnérabilités et pertes

potentielles. Il devient indispensable de connaître ces risques et ses composantes afin de proposer

des solutions et techniques adaptées à l’environnement micro-informatique de l’entreprise. La

réduction des risques spécifiques à la micro-informatique ne s’obtient qu’en agissant sur ses

composantes afin de minimiser l’impact d’une menace tirant profit d’une vulnérabilité du


La gestion efficace de la sécurité micro-informatique exige la mise en place d’une politique de

sécurité globale, impliquant l’ensemble du personnel de l’entreprise et exigeant une

sensibilisation permanente quant aux risques qui pèsent sur leur outil micro-informatique.

Elle consiste à choisir les mesures de prévention et de protection à même de réduire le risque à un

niveau jugé acceptable pour l’entreprise. Celle-ci doit être en mesure de déterminer la valeur des

composantes de son système d’information, le coût de leur protection et les pertes potentielles

qu’elle peut subir au cas où les menaces se réaliseraient.

Mais, afin de pouvoir proposer une méthodologie d’audit de la sécurité micro-informatique,

l’expert-comptable doit avoir des compétences suffisantes dans le domaine contrôlé. En effet,

l’évolution de la technologie fait qu’aujourd’hui, les applications informatiques deviennent de

plus en plus difficiles à contrôler (disparition de tâches manuelles, niveau d’intégration, non

respect du chemin de révision, etc.).

CONCLUSION GENERALE

109 DEUXIEME PARTIE

Nous pensons que l’expert-comptable, de par sa formation, son expérience en tant que conseiller

externe de l’entreprise est en mesure de conduire des travaux d’audit spécifique à la sécurité

micro-informatique existante au sein de l’entreprise. Par ailleurs, celui-ci ne doit pas perdre de

vue qu’une organisation et un cadre de contrôle interne adapté, des procédures écrites, claires et

compréhensibles et le respect d’un minimum de règles de sécurité quant à l’utilisation de

l’ordinateur sont les garants d’une bonne sécurité.

La mission d’audit de la sécurité micro-informatique peut être conduite conjointement à la

mission d’audit comptable et financier, mais nous pensons qu’il est préférable que les deux

interventions soient effectuées distinctement.

En effet, même si les deux missions ont de nombreux points en commun et des similitudes quant

à l’approche adoptée, l’audit de la sécurité micro-informatique doit être distincte de celle de

l’audit financier afin que la valeur ajoutée d’une telle mission soit correctement perçue par la

Direction Générale. Le service attendu va au-delà d’une simple certification des comptes.

Il est important que l’expert-comptable propose une méthodologie reconnue et éprouvée par la

profession se basant sur un certain nombre d’étapes et aboutissant à des recommandations à

même d’améliorer la sécurité au sein des entreprises et notamment les PME.

Grâce à sa prise de connaissance préalable de l’entreprise contrôlée, l’analyse des risques et

menaces qui pèsent sur son outil micro-informatique, et l’évaluation du contrôle interne par le

biais d’un questionnaire, l’expert-comptable est en mesure d’aboutir à des conclusions

débouchant sur des recommandations concrètes et adaptées à l’entreprise, son environnement

micro-informatique et ses moyens financiers.

La méthodologie proposée dans ce mémoire nécessite la connaissance des concepts de sécurité.

Toutefois, dans un environnement technologique en perpétuel changement et constamment

innovateur, il devient primordial qu’une telle méthodologie ne se focalise pas sur les outils de

sécurité matériels et logiciels offerts par le marché, car elle risquerait d’être dépassée, inexploitée

voire ne permettrait pas d’atteindre les objectifs escomptés.

110 DEUXIEME PARTIE

Nous avons pensé élaborer le questionnaire de contrôle interne en guise de support d’audit sur

tableur Excel afin de pouvoir trier les réponses reçues en fonction du niveau de risque (faible,

moyen ou élevé) ou en fonction des interlocuteurs (Direction générale, responsable informatique,

utilisateurs). En fonction des réponses reçues, l’expert-comptable jugera nécessaire ou non

d’effectuer des tests pour s’assurer de la réalité et de la permanence des mesures de sécurité

mises en place par l’entreprise.

Nous espérons à travers le choix d’un tel mémoire avoir répondu aux objectifs recherchés en

montrant les aptitudes du professionnel dans la conduite d’une mission d’audit de la sécurité

micro-informatique. Nous espérons également que la profession mettra à profit ce travail,

l’enrichira par ses précieux commentaires et observations et le complètera au fur et à mesure des

évolutions des risques encourus par les entreprises et des techniques de sécurité existantes.

111 BIBLIOGRAPHIE

Bibliographie 1- Ouvrages :

IFACI : "Les principes de la sécurité informatique -guide d'audit" édition Clet 1991.

IFACI : "Guide de l’audit sécurité informatique" édition Clet 1985.

Roland SORTANT : "Système de gestion et audit d’un centre de production" Publications

IFACI 1993.

Claude FAIVRE et Yvon Michel LOREAU : "Audit de la micro-informatique" Publications

IFACI 1993.

Yann DERRIEN : "Les techniques de l'audit sécurité informatique" édition Dunod 1992.

Sylvain FAURIE et Philippe SARRET : "Audit sécurité informatique" nouvelles éditions

fiduciaires, Masson, collection expertise comptable 1991.

Marc THORIN : "L'audit sécurité informatique" édition Masson 1991.

Jean Paul RAVELEC : "Audit sécurité informatique – approches juridiques et sociales"

édition Delmas.

Guide ATH : "Audit et informatique – guide pour l’audit financier des entreprises

informatisées" édition Clet 1985.

Jacques GONIK : "Management de la sécurité des systèmes d’information" Collection

AFNOR 1996

Pierre GRATTON : "La gestion de la sécurité informatique" édition Vermette 1997

J.M LAMERE : "La sécurité informatique – approche méthodologique" édition Dunod 1987

Alain BUSNEL : "Le dirigeant face à l'informatique" Masson, collection Stratégies et

systèmes d'information 1995.

H.J HIGHLAND : "Comment protéger votre micro – matériel et logiciel" édition Masset

1985.

Philippe ROSE : "La criminalité informatique" édition que sais-je, PUF 1988

Jean Claude HOFF : "les virus – méthodes et techniques de sécurité" éditions Dunod 1991.

112 BIBLIOGRAPHIE

2- Normes et recommandations :

Conseil National de l’OEC : Manuel des normes d’audit légal et contractuel.

OECCA : Recommandations 22-07 "la révision en milieu informatisé".

OECCA : Recommandations 21-05 "particularités des travaux comptables dans le cadre d'une

entreprise informatisée".

CNCC : Note d'information n° 25 "la démarche du CAC en milieu informatisé".

CNCC : Commentaire 9 de la norme 2102 "Evaluation du contrôle interne".

SAC Report traduction IFACI 1993 :"Audit et contrôle des systèmes d’information".

IFAC : Handbook 1996 – norme 401 : "Audit en environnement informatique".

IFAC : Directive 1001 : "Audit en environnement informatique – cas des micro-ordinateurs

autonomes".

IFAC : Directive 1002 : "Audit en environnement informatique – cas des micro-ordinateurs

interconnectés en réseau".

COBIT 2ème édition traduction AFAI 2000 : "Gouvernance, contrôle et audit de

l’information et des technologies associées".

3- Lois et décrets :

Loi 11-99 formant Code Pénal – Dahir du 25.07.93

Loi 2-00 relative aux droits d’auteur et droits voisins – Dahir du 15.02.00

Loi 9-88 relative aux obligations comptables des commerçants

Loi 15-89 réglementant la profession d’expert-comptable et instituant un ordre des experts-

comptables

Décret 2-93-521 pris pour l’application de la loi 15-89

Loi 24-86 instituant l’impôt sur les sociétés

Loi 30-85 relative à la taxe sur la valeur ajoutée

Code Général de Normalisation Comptable

113 BIBLIOGRAPHIE

4- Périodiques, articles de presse et séminaires :

Bulletin d’Information Périodique – éditions Masnaoui n° 101 janvier 2001

Bulletin bimensuel : "La profession comptable – aujourd’hui et demain" n° 152 septembre –

octobre 1995

La revue fiduciaire comptable n° 180 nov. 1992- dossier conseil : "Comment assurer la

fiabilité de votre informatique".

Info Magazine -juillet 1999 : "Dossier sécurité -travail d'intérieur"

Info Magazine -décembre 2000 : "Dossier- virus la nouvelle génération"

ARBOR magazine de Bull France -décembre 1998 : "Dossier sécurité Internet"

Revue française de l’Audit Interne : "Spécial audit et contrôle des systèmes d'information" n°

114, mars -avril 1993 page 5 à 38.

Revue française de l’Audit Interne : "L'audit de la sécurité informatique" n° 104, mars 1991

pages 29 à 35.

Revue française de l’Audit Interne : "La micro-informatique : sécurité et réseaux" n° 110, mai

1992 pages 27 à 30.

Revue française de l’Audit Interne : "Approche méthodologique pour intégrer la sécurité des

systèmes d'information" n° 129, avril 1996 pages 13 à 16.

La sécurité informatique : Extrait projet fin d'étude ITA Essaouira.

Cours d'audit sécurité informatique DESS Paris Dauphine 96/97.

L’expert-comptable face à La problématique informatique – journée d’étude organisé par le

Conseil Régional des experts-comptables de Casablanca 1996.

L’audit de la sécurité informatique – séminaire organisée par l’AMACI mai 2002.

Livre blanc des PME édition du 05.12.00 Ministère chargé des PME

Répertoire du Patronat Marocain édition 2001

Kompass – version CD-ROM 2002.

114 BIBLIOGRAPHIE

5- Mémoires d’expertise comptable :

Etablissement et contrôle du plan de sécurité informatique dans les petites entreprises –

contribution aux missions de l’expert-comptable et du commissaire aux comptes. Pierre Yves

CHAMP, novembre 1989

Les facteurs d’optimisation de la sécurité en milieu informatisé. Françoise LE NOAN, 1992

Les professionnels des comptes et l’informatique – risques et principes de sécurité. Yves

Begon, mai 1997

Sécurité de la micro-informatique dans les PME – les techniques adaptées et leur audit par

l’expert-comptable. Alain Guyard, novembre 1998

6- Sites Internet consultés :

Observatoire de la sécurité des systèmes d’information et des réseaux (OSSIR) :

www.ossir.org

Service central de la sécurité des systèmes d’information (SCSSI) : www.scssi.gouv.fr

Club de la sécurité informatique français (CLUSIF) : www.clusif.asso.fr

Sécurité informatique (Michel Hoffmann) Foire aux questions

Site Internet de l’IFAC : www.ifac.org

Site Internet de l’AFAI : www.afai.asso.fr

Site Internet de l’ISACA : www.isaca.org

Site Internet Ministère de l’Economie et des finances : www.mcinet.gov.ma

Site Internet Ministère de la PME de l’Economie Sociale et de l’Artisanat :

www.mespmeart.gov.ma

RSA : www.rsa.com (cryptologie)

Disaster recovery journal : journal sur la continuité des systèmes informatiques, plan de

reprise, plan de back up, etc. www.drj.com

115 BIBLIOGRAPHIE

Site Internet de l’université d’Auckland : www.cs.auckland.ac.nz

Site Internet de l’université de Purdue, Coast hotlist : www.cerias.purdue.ac.nz

116 ANNEXES

ANNEXE 1 : Glossaire des termes informatiques utilisés.

ANNEXE 2 : Description évolution de la micro-informatique.

ANNEXE 3 : Typologies des risques de l’APSAIRD.

ANNEXE 4 : Politique de sécurité informatique.

ANNEXE 5 : Assurances risques informatiques.

ANNEXE 6 : Articles de presse sur les actions de la BSA et statistiques de piratage des logiciels

informatiques.

ANNEXE 7 : Méthode d’éradication des virus informatiques.

ANNEXE 8 : Exemple d’une procédure de sauvegarde applicable aux PME.

ANNEXE 9 : Développement d’applications informatiques : documentation requise et mode de

passage de l’environnement test à l’environnement d’exploitation.

ANNEXE 10 : Scénarios réalisation risques informatiques.

ANNEXE 11 : Statistiques sur la sinistralité publiéées par l’APSAIRD et résultat enquête

conduite par la société IDC.

ANNEXE 12 : Questionnaire destiné aux entreprises et synthèse des réponses reçues.

ANNEXE 13 : Grille d’analyse du matériel et des applications logicielles.

ANNEXE 14 : Questionnaire d’audit de la sécurité micro-informatique à destination des experts-

comptables et synthèse des réponses reçues.

ANNEXE 15 : Questionnaire à destination des experts-comptables.

ANNEXES

117 ANNEXES

ANNEXE 1

Glossaire des termes informatiques utilisés

Accès : (1) Il s’agit de toutes opérations se rapportant à des données situées dans une mémoire ou

sur un support de données. (2) Type d’interaction spécifique entre un sujet et un objet, se

traduisant par un flux de données de l’un vers l’autre

Accidents : Toute atteinte dont l’origine est en général liée à des éléments naturels ou à certaines

causes de nature involontaire. Les conséquences dues aux accidents sont tangibles et les effets se

manifestent sur l’environnement physique.

Active X : Standard élaboré par Microsoft pour permettre à différents logiciels de communiquer

entre eux quelque soit le matériel ou le langage utilisé.

Administrateur réseau : Chargé de la gestion d’un réseau il est responsable de l’enregistrement

des nouveaux utilisateurs et de la répartition des droits d’accès (voir droit d’accès) ainsi que

l’installation du système d’exploitation réseau et de la sécurité des données (voir sécurité

informatique) sur l’ensemble du réseau.

Agression : Concrétisation d’une menace qui provoquera une atteinte sur l’environnement

physique, logique ou organisationnel de la donnée et/ou de l’information.

Application : Terme généralement employé pour désigner un logiciel d’application utilisé avec

une interface graphique telle que Windows ou l’environnement de travail OS/2.

Authentification : Vérification de la source, du caractère unique et de l’intégrité d’un message,

d’une action ou d’une personne.

BIOS : Abréviation de "Basic Input Output System", qui correspond au programme système de

base dans un ordinateur. Il est disponible dès la mise sous tension, car il est stocké dans une

mémoire morte (ROM) sur la carte mère. Le BIOS est constituée d’un programme qui démarre

automatiquement après la mise sous tension de l’ordinateur. Il vérifie tous les composants

matériels les uns après les autres, les initialise et le cas échéant émet des messages d’erreur.

118 ANNEXES

ANNEXE 1

Bombe logique : Forme particulière de virus, qui se déclenche lorsque certaines conditions se

trouvent réalisée (le plus souvent, à une date ou une heure déterminées). Type de programme

dont les actions destructrices sont prédéfinies. Il s’agit généralement d’un programme dont la

mise en route s’effectue par son installation sur le disque dur de l’ordinateur.

Carte mère : La carte mère, généralement appelée "carte principale" constitue la carte centrale de

l’ordinateur. Elle supporte tous les composants nécessaires au fonctionnement de l’unité centrale

de traitement, de la mémoire de travail, des systèmes de bus, pour l’échange de données et pour

le pilotage des composants indispensables.

CD-ROM : de l’anglais "Compact Disk Read Only Memory". Il s’agit d’un support de données

dérivé des CD audio introduits sur le marché par Philips et Sony en 1985.

Cheval de Troie : (1) Programme informatique destiné à un ou plusieurs buts spécifiques, mais

qui en comporte d’autres, généralement illicites, à l’arrière plan et dont l’utilisateur n’a pas

conscience. (2) Le cheval de Troie est un programme informatique, en apparence inoffensif, mais

qui contient une fonction cachée. Celle-ci est utilisée pour pénétrer par effraction dans les

programmes d’un ordinateur, pour en consulter les donnés, pour les modifier ou encore les

détruire. Il peut contaminer un grand nombre d’ordinateur s’il est propagé par le réseau.

Code source : Le code source ou programme source est un programme formulé dans un langage

de programmation.

Compilateur : Programme de traduction d’un code source prélevé dans un fichier source.

Confidentialité : Spécification d’une donnée ou d’une information caractérisant son degré de

diffusion ou de mise à disposition. Elle traduit le fait qu’elle ne doit pas être connue de tout le

monde. Le niveau de confidentialité retenu pour l’information déterminera la sélection des

personnes habilitées à en prendre connaissance.

Connexion : Au début d’une session de travail sur le réseau, l’utilisateur doit s’identifier pour

faire état de ses droits en entrant un nom et le mot de passe qui lui correspond. L’ouverture d’une

session implique une connexion au système (en anglais "login").

119 ANNEXES

ANNEXE 1

Disponibilité : Caractérise une donnée ou une information dans un contexte d’attente de résultat.

La disponibilité qualifie la faculté de l’information d’être obtenue avec un temps de réponse

satisfaisant, et au moment opportun. Par extension, on y associe la notion de pérennité, c'est-à-

dire de conservation de cette disponibilité dans le temps.

Disque dur : Support mémoire le plus important de l’ordinateur. Il sert à installer le système

d’exploitation et les programmes d’application (voir logiciel).

Disquette : Forme la plus simple de support de stockage des données, qui peuvent être lues,

effacées autant de fois que l’on veut.

Données : En anglais data. (1) Les données sont des informations généralement codées. Elles sont

saisies, transmises, préparées, stockées en mémoire. Dans un sens plus étroit, on désigne par

données, seulement les données utilisées dans les applications, excluant celles qui représentent un

programme de traitement ou des paramètres. (2) Représentation conventionnelle et quantifiable

d’un fait, objet ou d’un état. La donnée représente la partie automatisable de l’information ; c’est

sur elle que s’effectuent les différents traitements informatisés.

Fichier : En anglais file. Un fichier est un ensemble de données qui ont un rapport entre elles. Le

système d’exploitation le considère comme une seule entité, la mémoire de l’ordinateur le

transforme et on peut le stocker sur un support de données.

Habilitation : Détermination par le processeur, en fonction de la politique de sécurité, de la

nécessité pour le destinataire potentiel d’accéder à des informations sensibles, d’en prendre

connaissance ou de les récupérer pour effectuer des tâches autorisées.

Identification : Technique utilisée pour identifier un utilisateur dans un système de traitement des

données. L’identification de l’utilisateur est attribuée par l’administrateur du système.

Informatique : Contraction des mots information et automatique. (1) Ce mot désigne la science de

la préparation et du traitement des informations. (2) Ensemble des applications de cette science,

mettant en œuvre des matériels, des logiciels et différents éléments qui lui sont rattachés.

120 ANNEXES

ANNEXE 1

Intégrité : caractéristique qui qualifie l’information comme étant exempte d’erreur ou de

falsification liée à des actes malveillants. Par extension, on lui associe d’autres notions telles que

la cohérence ainsi que les facultés de non répudiation que lui confèrent des dispositifs associés.

Interface : Une "interface" désigne généralement un composant qui sert à mettre en relation deux

systèmes et qui contient des données sous une forme compréhensible pour ces deux systèmes ;

Java : Langage de développement produit par la société Sun. Il permet de doter les documents de

format HTML (Hypertext Markup Language) de nouvelles fonctionnalités : animations

interactives, applications intégrées, modèles 3D, etc. Ce langage est orienté objet et comprend des

éléments spécialement conçus pour la création d’applications multimédia.

Ligne spécialisée : Ou ligne louée est une ligne de transmission de données que l’on loue –

généralement très cher – auprès de l’opérateur téléphonique. Elle permet une liaison permanente

avec des ordinateurs ou des réseaux éloignés. Contrairement à la ligne normale de bureau, la

ligne spécialisée dispose d’une numérotation particulière.

Logiciel : Ce mot désigne un programme. Il existe deux sortes de logiciels : les logiciels destinés

au système (comme le système d’exploitation) et les logiciels destinés à l’utilisateur appelés

communément "applications" ou "logiciels d’application".

Logiciel de contrôle d’accès : Logiciel spécialement conçu pour interdire tout accès non autorisé

à un système informatique ou à des ressources sensibles et produire des états sur tout incident

relatif à la sécurité.

Malveillance : Spécificité de l’origine de certaines menaces sur lesquelles des actions de

prévention pourraient avoir un effet retardateur ou éradicateur sur les risques qu’elles

représentent.

Menace : signe par lequel se manifeste ce que l’on doit craindre. C’est aussi une hypothèse

laissant présager l’arrivée d’un événement dangereux ou préjudiciable.

Merise : Méthode mise au point durant les années 1978 et 1979, et qui permet la conception et le

développement de systèmes d’information.

121 ANNEXES

ANNEXE 1

Micro-ordinateur : Ordinateur autonome bâti autour d’un microprocesseur. (Voir annexe suivante

description évolution de la micro-informatique).

Microprocesseur : Circuit intégré à puce qui dispose des fonctions d’un processeur complet.

Mirroring : Opération qui permet d’améliorer la sécurité des données. On écrit les mêmes

données en même temps sur deux disques durs situés sur un même contrôleur de disque dur. si

l’un des disques durs tombent en panne, les données ne sont pas perdues et l’on peut continuer à

travailler (technique dite du RAID).

Mot de passe : (1) Mot de code uniquement connu de la ou les personnes auxquelles son

utilisation est réservée, et qui donne droit à l’accès à certaines données, certains fichiers et à

l’exécution de certains travaux. (2) Chaîne de caractères utilisée pour authentifier une personne

s’étant préalablement identifiée auprès du système informatique.

Modem : De "Modulateur et démodulateur". Périphérique permettant de transmettre des données

informatiques par une ligne de téléphone. Cet appareil transforme des signaux électriques en

signaux analogiques, numériques envoyés par l’interface en série de l’ordinateur.

Onduleur : Le but d’un onduleur est d’empêcher l’altération des données ou du matériel due aux

variations de l’alimentation électrique. Il peut même se substituer à celle-ci en cas de panne

totale. Il existe trois catégories d’onduleur :

• Off line : commutation vers batterie en cas de coupure de courant,

• Interactive line : élévateur de tension qui rétablit le signal en cas de baisse du courant puis

commute vers la batterie si la coupure se prolonge,

• On line : fournit un signal constant et bascule sans commutation vers la batterie en cas de

suppression du courant.

Piste d’audit : En anglais "audit trail". Suite de traces ou preuves permettant à un auditeur de

reconstruire, à la suite d’un événement la manière dont les informations contenues dans des

instructions, rapports, états, fichiers de données ou autre enregistrements de l’organisation ont été

créés. Dans un environnement informatique, cela permet à l’auditeur de déterminer, le cas

échéant, la propriété des données initiales, le traitement ultérieur de ces données et l’application à

ces données de toute modification.

122 ANNEXES

ANNEXE 1

Politique de sécurité : Ensemble des lois, règles et pratiques qui régissent la gestion, la protection

et la diffusion des informations sensibles ou critiques d’une organisation. Une politique de

sécurité globale tient compte de nombreux facteurs n’appartenant pas au domaine de

l’informatique et des communications.

Prévention : Mesure de sécurité qui aura une action réductrice en évitant la naissance de

nouveaux risques, et en atténuant ou supprimant ceux qui existent et dont les origines sont

souvent de nature malveillante.

Procédure de sauvegarde : Dispositions établies pour la reprise de fichiers des données et d’autres

éléments du système et pour le redémarrage ou le remplacement du matériel informatique ou de

communication après une panne du système ou sinistre.

Progiciel : En anglais "software package". Ensemble de logiciels travaillant sur le même type de

données, partageant un certain nombre de programmes auxiliaires et surtout exportés et/ou

commercialisés de manière unitaire.

Programme : Un programme informatique est composé d’une série de fonctions et de définitions

en langage machine ou dans un langage de programmation plus évolué. Elles permettent à

l’ordinateur de procéder au traitement des données. On donne aussi aux programmes le nom

collectif de logiciel.

Programme antivirus : Il permet de protéger l’ordinateur, les logiciels et les fichiers contre les

virus ou d’autres programmes nuisibles. Les programmes antivirus consistent généralement en un

ensemble de programmes :

• Les détecteurs de virus recherchent des virus déjà identifiés par des suites de codes

caractéristiques,

• Les programmes de contrôle total interdisent l’exécution d’un fichier infecté.

• D’autres programmes qui tentent d’identifier les virus en contrôlant le comportement du

système.

123 ANNEXES

ANNEXE 1

Protection : Regroupe l’ensemble des actions qui ont pour vocation d’assurer la détection et la

neutralisation d’une agression, ainsi que l’atténuation de ses effets. Les mesures de protection

concerneront les environnements logiques, physiques et organisationnels.

RAM : De l’anglais "Random Access Memory". Mémoire vive servant à stocker les informations

tant que l’ordinateur est sous tension.

Réseau : (1) Un réseau se compose d’un moyen de communication et de tous les composants

reliés à ce moyen qui assure le transfert de l’information. Ces composants sont notamment les

ordinateurs hôtes, les commutateurs de paquets, les contrôleurs de télécommunications, etc. (2)

Un réseau informatique peut être local, ou plus élargi. Il permet la transmission de tout type de

données, échangée sous forme numérique et exploitable par l’ensemble du système relié en

réseau.

Risque : Danger plus ou moins probable émanant d’une menace et pouvant se traduire en terme

de probabilité de survenance et de niveau d’impact.

ROM : De l’anglais "Read Only Memory". Mémoire permanente contenant des informations sur

les opérations de base de l’ordinateur.

Routeur : Dispositif assurant la liaison entre deux zones séparées d’un réseau étendu ou entre

deux réseaux différents. Il établit également l’itinéraire de transmission optimal des paquets de

données.

RNIS : Réseau Numérique à Intégration de Services. Il s’agit d’un réseau entièrement numérique

qui permet de transmettre des données de toute nature à une vitesse plus élevée que les réseaux

téléphoniques classiques, et sans risques d’erreurs.

Sauvegarde : Seconde mémorisation des données dans un but de sécurité, qui n’est pas soumise

au traitement et donc n’est pas exposée à un danger de destruction.

Sécurité : (1) Etat définissant un système qui n’est exposé à aucun danger. La sécurité des

données et des informations pourra être exprimée par leurs qualités sur les plans de la

disponibilité, de l’intégrité et de la confidentialité. (2) Mecanismes et techniques de contrôle de

l’accès aux éléments du système afin de les protéger contre toute modification, destruction ou

vol.

124 ANNEXES

ANNEXE 1

Sécurité informatique : (1) Protection des ordinateurs, de leurs services et de leurs fonctions

contre toute menace naturelle ou humaine. Elle garantit que l’ordinateur exécute ses fonctions

critiques correctement et sans effet secondaire nuisible. Elle permet également de garantir la

confidentialité, l’intégrité et la disponibilité des données. (2) La sécurité informatique recouvre

l’ensemble des techniques de prévention et de protection contre tout types de risques. Elle peut

être scindée en :

• Sécurité physique,

• sécurité logique,

• Sécurité des données,

• Etc.

Serveur : Il s’agit d’un ordinateur dédié à l’administration d’un réseau informatique. Il gère

l’accès aux ressources et périphériques et les connexions des différents utilisateurs. Il est équipé

d’un logiciel de gestion du réseau.

SGBD : Le Système de Gestion de Base de Données désigne l’ensemble des fonctions permettant

de formuler des requêtes, de modifier et de stocker des données, ainsi que de définir la structure

des données et d’élaborer les fichiers requis.

SSII : Société de Services et d’Ingénerie en Informatique. Société proposant des services allant de

la conception d’un cahier de charges à la mise en place de solutions combinant programmes et

matériels.

Système d’exploitation : Il s’agit d’un logiciel qui détermine, gère et surveille le fonctionnement

de l’ordinateur. Il est donc indispensable qu’il soit installé pour que le matériel puisse

fonctionner. C’est lui également qui contrôle et gère les fonctions internes de l’ordinateur, ainsi

que les périphériques d’entrée et de sortie.

Système d’informations : (1) Ensemble organisé de moyens de toutes natures qui assurent la

survie, le stockage, le traitement et la distribution des informations au sein d’une organisation. (2)

Ensemble des circuits d’information dans une entreprise.

125 ANNEXES

ANNEXE 1

Système informatique : Ensemble composé des moyens de toutes natures qui assurent la saise, le

traitement, le stockage, la diffusion, et la transmission automatique des données au sein d’un


Ver : (1) Programme qui recherche l’espace mémoire inutilisé et se réécrit successivement

jusqu’à épuiser la mémoire de l’ordinateur et à bloquer le système. (2) On appelle ainsi un type

particulier de programmes nuisibles qui s’attaquent aux réseaux et ressemblent aux virus (voir

virus) dans les ordinateurs autonomes. Ils se propagent généralement sous forme de texte-source.

Lorsqu’ils parviennent au système-cible, ils se compilent en programme exécutable.

Virus : Un virus est un programme informatique de très petite taille qui possède la faculté de

s’introduire dans un programme hôte et de se reproduire, soit à l’identique, soit en se modifiant

chaque fois que celui-ci démarre. Son but est d’infecter autant de programmes que possible dans

autant de système sans être détecté.

Vulnérabilité : Indique une faiblesse ; la vulnérabilité se traduit par le fait qu’une menace (avec le

risque qu’elle fait naître) et la conséquence d’une atteinte (avec les enjeux induits) existent

simultanément.

126 ANNEXES

ANNEXE 2

Description évolution de la micro-informatique

Les dates clés de la micro-informatique :

1969 : Kenneth Thompson et Dennis Ritchie inventent le système d’exploitation UNIX.

1971 : Apparition du KENKAB 1, premier micro-ordinateur jamais réalisé.Ritchie et Thomson

de la société BELL réalisent la première version d’UNIX. INTEL lance le premier

microprocesseur de quatre bits 4004.

1972 : INTEL met sur le marché le 8008, microprocesseur à 8 bits. Nolan Bushnell fonde la

société ATARI et commercialise le premier jeu vidéo.

1973 : MICRAL 8008 : premier micro-ordinateur mis sur le marché, qui était plus un appareil de

contrôle en temps réel qu’un micro-ordinateur sticto-sensu.

1975 : L’ALTAIR de MITS, l’un des premier systèmes abordables en kit, fait la une du magazine

Américain "Popular Science". MICROSOFT, société fondée par Billes Gates et Paul Allen

réalise la première version de son BASIC pour le MITS.

1976 : APPLE COMPUTER, fondé par Steve Wodzniak et Steve Jobs, démarre avec l’APPLE 1.

1977 : APPLE sort l’APPLE 2 bâti autour du processeur 6502 de MOS Technologie avec un

système d’exploitation totalement différent du PETsorti par COMMODORE. Tandy sort le TRS-

80 et choisit le processeur Z80 de ZILOG totalement incompatible avec les deux précédentes

machines.

1978 : Un pojet de PC apparaît chez IBM sous le nom de DAMASTER. INTEL met sur le

marché le processeur 8086. Denis Hayes lance le premier modem pour micro-ordinateur

abordable.

1979 : SOFTWARE ARTS met sur le marché le premier tableur VISICALC. La société

MOTOROLA annonce le 68000, premier microprocesseur 16/32 bits.

1981 : Lancement de l’IBM PC. OSBORNE 1, lancé par la firme du même nom est le premier

micro-ordinateur portable.

127 ANNEXES

ANNEXE 2

1983 : APPLE lance le LISA, père du MACINTOCH.IBM améliore son PC en proposant le XT,

doté d’un disque dur de 10 Mo. LOTUS lance son tableur grapheur 1-2-3. MICROSOFT propose

la première version de Windows à IBM qui n’est pas intéressé.

1984 : APPLE lance le MACINTOCH à grand fracas. IBM lance l’AT super PC avec processeur

INTEL 80286 de 16 bits et un disque dur de 30 Mo.

1985 : APPLE lance les Laserwriter. ALDUS produit le logiciel PAGEMAKER. ATARI

commercialise l’ATARI 520 st. IBM annonce le processeur 80386.

1986 : MICROSOFT commercialise la version française de Windows 1.02.

1987 : IBM lance les PS/2, la technologie VGA, l’architecture Micro-channel et l’OS/2.

1988 : IBM lance le PS/2 8530-286 et revient au bus ISA. COMPAQ crée l’architecture EISA.

INTEL annonce le i80386X.

1990 : Commercialisation du PS/1 d’IBM. MICROSOFT lance la version 3 de Windows. APPLE

démocratise MACINTOCH.

1991 : IBM s’allie avec APPLE et MOTOROLA. MICROSOFT lance la version 5 du DOS.

1993 : INTEL sort le processeur Pentuim 60. MOTOROLA commercialise le PowerPC.

MICROSOFT sort le Windows NT.

1995 : MICROSOFT commercialise le Windows 1995.

Etc.

128 ANNEXES

ANNEXE 3

Typologies des risques de l’APSAIRD

Typologies des risques :

A- Accidents :

A1 : Accidents physqies : incendie, explosion, implosion.

A2 : Pannes matérielles et / ou logiques : Il s’agit de l’ensemble des causes d’origine ou de

révélation interne entraînant l’indisponibilité ou le dysfonctionnement total ou partiel du système.

A3 : Evenements naturels : tels que l’inondation, la tempête, le cyclone, l’ouragan, l’avalanche, le

glissement de terrain, les phénomènes sismiques et volcaniques.

A4 : Perte de services essentiels : Il s’agit de l’ensemble des causes d’origine externe entraînant

l’indisponibilité ou le dysfonctionnement du système.

A5 : Autres risques accidentels physiques : Il s’agit de l’ensemble des causes d’origine interne ou

externe au système endommagé qui ont conduit à son endommagement accidentel partiel ou total.

E Erreurs :

E1 : Erreurs d’utilisation (logiques) : erreurs de saisie et transmission des données quelqu’en soit

le moyen, erreurs d’exploitation du système.

E2 : Erreurs de conception et de réalisation de logiciels et procédures d’application.

M Malveillances :

M1 : Vol de matériels principaux ou accessoires.

M2 : Fraude : utilisation non autorisée des ressources du système d’information, conduisant à un

préjudice évaluable monétairement pour la victime, essentiellement formé par le détournement de

bien au profit du criminel.

129 ANNEXES

ANNEXE 3

M3 : Sabotage physique : action malveillante conduisant à un sisnistre matériel de type A1 ou

A2.

M4 : Ataque logique : utilisation non autorisée des ressources du système d’information,

conduisant à un préjudice au moins qualitatif pour la victime se traduisant essentiellement par

une perte d’intégrité et / ou de disponibilité, entraînant le plus souvent un profit indirect pour le

criminel et / ou le commanditaire éventuel.

M5 : Divulgation : utilisation non autorisée des ressources du système d’information, entraînant

la divulgation à des tiers d’informations confidentielles.

M6 : Autres : grèves, pertes ou indisponibilité de personnel, contrefaçon de logiciels, etc.

Conséquences :

Directes :

C1 : Matérielles : frais d’expertise, de déblaiement, de réparation ou de remplacement des

matériels endommagés.

C2 : Non-matérielles : Frais d’expertise et de restauration des éléments non-matériels du système

atteint : système d’exploitation, données, programmes, documentations, etc.

Sabotage immatériel

Infection informatique Sabotage "manuel"

Programme "simple" Programme auto-reproducteur

Ver

Virus

Bombe logique

Cheval de Troie

130 ANNEXES

ANNEXE 3

Indirectes :

C3 : Frais supplémentaires : ensemble des frais correspondant à des mesures conservatoires

destinés à maintenir pour le système des fonctionnalités et performances aussi proches que

possible de celles qui étaient siennes avant le sinistre jusqu’à remise en état (matériel et non-

matériel). Ou pertes d’exploitation : pertes de résultat d’exploitation dues à des frais

supplémentaires et / ou à des pertes de revenu directes ou indirectes (pertes d’affaires, de clients,

d’image, etc.).

C4 : Pertes de fonds et biens : pertes de fonds ou de biens physiques, pertes d’informations

confidentielles, de savoir-faire, pertes d’éléments non "reconstituables" du système évaluées en

valeur patrimoniale.

C5 : Responsabilité civile encourue par l’entreprise ou l’organisme du fait des préjudices causés à

autrui, volontairement ou pas, du fait de la survenance d’un sisnistre dans son enceinte juridique.

C6 : Autres pertes : qualitatives, réglementaires, déontolongiques, etc.

Lien entre types de risques et les conséquences physiques

Conséquences

Types de risques

Disponibilité

(D)

Intégrité

(I)

Confidentialité

(C)

A1 ***

A2 ***

A3 *

A4 **

A5

E1 * ***

E2 ***

M1 **

M2 ***

M3 **

M4 ***

M5 ***

M6 * ***

131 ANNEXES

ANNEXE 4

Politique de sécurité informatique

4.a : Exemple de charte de la sécurité informatique :

Charte :

Le service de sécurité informatique a pour mission de guider et de soutenir les organisations dans

leur action de protection des biens informatiques contre toute divulgation, modification,

destruction ou refus, intentionnels ou non, et ce grâce à la mise en œuvre de politiques,

recommandations et procédures appropriées en matière de planification de la sécurité des

systèmes d’information.

Responsabilités :

Le service de sécurité informatique est responsable du développement et de l’administration de

plans tactiques comprenant au moins les étapes suivantes :

1. Développement de procédures et recommandations de sécurité conformes à la vision de la

direction générale,

2. Mise en œuvre d’un programme de sécurité prévoyant la classification des données et

information à protéger,

3. Elaboration d’un programme de formation et de sensibilisation des différents utilisateurs à

la sécurité informatique,

4. Définition des procédures de sécurité physique, sécurité logique, du personnel et de

l’information,

5. Participation à la conception et au développement d’une nouvelle application

informatique, dans le but de veiller à l’intégration des consignes de sécurité tout au long

de la phase de dévellopement.

6. Le contenu et fonctionnement du plan de survie ou continuité d’exploitation en cas

d’incident grave ou de sinistre.

132 ANNEXES

ANNEXE 4

Sécurité des micro-ordinateurs :

1. Règle n° 1 : Protection physique. Afin d’assurer la protection physique des micro-

ordinateurs et de l’ensemble des ressources du système informatique, l’entreprise doit

mettre en place des règles de sécurité élémentaire visant à diminuer les risques d’incendie,

d’inondation, d’erreurs intentionnels et d’incidents techniques. Parmi ces techniques de

prévention nous pouvons citer :

Techniques de prévention Techniques de protection

Portes coupes feu,

Utilisation de faux plancher,

Implantation stock de papier à l’extérieur de la salle informatique,

Installation bloc de climatisation à l’extérieur de la salle,

Absence conduite d’eau traversant les salles.

Système de détection de fumée et incendie,

Extincteurs manuels et RIA,

Coffre fort ignifugé à l’extérieur de la salle informatique,

Siphons de sol pour évacuation écoulement d’eaux.

Onduleurs couvrant les postes sensibles,

Onduleurs couvrant l’ensemble du réseau et périphériques,

Groupe électrogène pour les entreprises situées dans des zones de délestage,

Climatiseur maintenant une température ambiante dans la salle informatique,

Maintenance préventive du climatiseur,

Maintenance du matériel et logiciels,

Stock de secours pièces de rechange.

2. Règle n° 2 : Protection logique.. Afin de réglementer et contrôler l’accès au système ou à

des ressources informatiques, l’entreprise doit mettre en place des mots de passe simple

d’utilisation, connus que par leurs propriétaires et le responsable sécurité en tant

qu’administrateur du système. Le choix de l’authentifiant constitue un élément important

de la politique de sécurité. Il doit être personnel, comporté au moins cinq caractères

alphanumériques, ne jamais apparaître sur l’écran lors de sa saisie, être modifié

régulièrement, etc.

133 ANNEXES

ANNEXE 4

3. Règle n° 3 : Protection des données. Afin de garantir l’intégrité et la non altération des

données, l’entreprise doit veiller à ce qu’elle ne fasse pas l’objet d’une attaque virale. A

cet effet, le responsable sécurité doit sensibiliser, par affichage de notes de service, par

courrier électronique, les différents utilisateurs des ressources informatiques. Celui-ci doit

s’assurer que le logiciel antivirus est activé sur chaque station de travail et que l’échange

de disquettes avec l’extérieur est prohibé.

4. Règle n° 4 : Acquisition de matériels ou logiciels. Au vu de besoins professionnels

justifiés. Les commandes doivent être passés auprès de fournisseurs reconnus et

homologués. Dès l’installation des matériels et des logiciels, l’inventaire des

immobilisations est mis à jour. Un contrat de maintenance doit être signé, fixant le coût

des interventions, délais d’exécution afin que les micro-ordinateurs et logiciels puissent

être maintenus et dépannés le plus vite possible.

5. Règle n° 5 : Procédure de sauvegarde. La fréquence et le mode de stockage des données,

fichiers, et logiciels doivent être définis et documentés dans une procédure écrite et

diffusée à l’ensemble du personnel (voir annexe n° 8 : exemple procédure de sauvegarde).

4.b : Mission et tâches du responsable de la sécurité informatique :

Le responsable de la sécurité informatique a un rôle primordial à jouer, et ses tâches sont

multiples :

Mission :

• Il doit assister le comité de sécurité dans la détermination et la rédaction d’une politique de

sécurité informatique,

• Il doit garantir à la direction générale une continuité d’exploitation quel que soit le cas

d’incident qui se produit,

• Il doit disposer de moyens humains et matériels suffisants,

• Il doit développer les règles générales de sécurité et procédures à respecter par l’ensemble du

personnel de l’entreprise,

134 ANNEXES

ANNEXE 4

• Il tient informé la Direction Générale de l’état de sécurité informatique de l’entreprise,

• Il élabore et suit le plan de sécurité informatique et est responsable de son exécution,

• Il doit former et sensibiliser le personnel aux règles élémentaires de sécurité,

• Il doit procéder à tout contrôle ou vérifications utiles pour s’assurer de la mise en œuvre

effective des décisions et recommandations retenues,

• Il doit être au courant des dernières technologies dans le domaine de la sécurité et assurer une

"veille technologique".

Les tâches :

• La classification des données,

• La définition de procédures et règles pour le traitement de l’information et le transfert des

données,

• La définition de procédures et normes de sécurité en terme d’études, de développements

d’applications et d’installations de nouveau système informatique,

• L’établissement de procédures de contrôle en terme de maintenance du matériel et logiciel,

• L’élaboration le cas échéant d’un plan de secours, dont l’objectif est de permettre la poursuite

de l’exploitation de l’entreprise lorsqu’un incident grave a mis en défaut le plan de sécurité et

a rendu inutilisable l’outil informatique et par extension le système informatique.

135 ANNEXES

ANNEXE 5

Assurances risques informatiques

5.a : Questionnaire remis aux compagnies d’assurance :

1- Identification de l’entreprise :

Nom ou Raison sociale :

Téléphone :

Fax :

Identité de la personne répondant au présent questionnaire :

2- Assurances risques informatiques :

Existe-t-il des contrats d’assurance couvrant les risques spécifiques à l’informatique ?

Oui :

Non :

Si oui, quels sont les différents types de contrat ?

Quels sont les biens assurés ?

Quels sont les risques assurés ?

Quelles sont les garanties couvertes par l’assurance risque informatique ?

QUESTIONNAIRE DESTINE AUX COMPAGNIES

D’ASSURANCES

136 ANNEXES

ANNEXE 5

Est-il possible d’effectuer une extension de garantie ?

Oui :

Non :

Si oui, quels sont les garanties (dommages) couvertes ?

Quels sont les types d’informations et renseignements demandés à l’assuré avant signature de

tout contrat d’assurance risque informatique ?

Les contrats d’assurance couvrant le risque informatique font-ils référence à des conditions

spéciales?

Oui :

Non :

Si oui, indiquer sommairement lesquelles?

Quelles sont les entreprises qui recourent aux assurances risques informatiques ?

Multinationale :

Grand groupe marocain

PME

Jeunes promoteurs :

Autres (à préciser) :

137 ANNEXES

ANNEXE 5

5.b : Descriptif des assurances couvrant les risques informatiques

Définition des biens assurés :

La garantie porte sur le matériel destiné au traitement de l’information désigné aux conditions

particulières de chaque contrat d’assurance et comprenant :

• Les unités centrales et de contrôle, les périphériques y compris les imprimantes, qui leur

sont liés ainsi que les logiciels de base fournis par le contructeur,

• Les supports d’informations magnétiques, disques, disquettes, cassettes magnétiques,

cartes et bandes perforées, destinés à être utilisés sur les machines de traitement,

• Les matériels non destinés au traitement des informations, mais dont le bon

fonctionnement est nécessaire à ce traitement :

- Installations de régulation telles que climatisation, onduleurs, etc.

- Installation de détection et de sécurité telles que les alarmes, appareils de contrôle,

- Installations automatiques de lutte contre l’incendie.

Les garanties :

a) Les garanties de base :

L’assurance "tous risques informatiques" garantit les dommages résultant de pertes,

détériorations ou destructions soudaines et fortuites des matériels assurés que ces derniers soient

en situation de fonctionnement normal ou au repos, pendant les opérations de démontage, de

déplacement sur les lieux assurés ou de remontage nécessités par leur entretien ou leur révision

pour autant que la mise en exploitation desdits matériels ait donné entière satisfaction. Sont

notamment garantis les dommages matériels directs lorsqu’ils résultent des causes et phénomènes

suivants :

• Fausse manœuvre, négligence ou malveillance d’employé ou de tiers, y compris les actes

de sabotages commis par les employés,

• Disparition, destruction ou détérioration à la suite de vol ou de tentative de vol,

138 ANNEXES

ANNEXE 5

• Défaut de construction, de fabrication ou de montage et vice du matériau y compris les

dommages subis par la pièce défectueuse,

• Court-circuit, surtension, chute de tension, etc.

• Incendie, explosions, chute de la foudre, implosions,

• Dommages causés par la corrosion accidentelle, carbonisation, roussissement,

dégagement de fumée et de suie,

• Actions des forces de la nature telle que la tempête, les pluies torrentielles, l’inondation,

le glissement de terrain, etc.

• Tout autre péril non explicitement exclu.

b) Les extensions de garantie :

Il est courant d’assortir la garantie des dommages matériels pouvant frapper les ensembles de

gestion de deux garanties subsidaires qui peuvent d’ailleurs pour certaines entreprises avoir une

énorme importance. Il s’agit des :

1- Frais de reconstitution des médias :

La garantie de base vu ci-dessus peut être étendue aux frais de reconstitution des informations

portées sur les supports ou médias, dès lors que ces informations ont disparu ou ont été

endommagées à la suite d’événements accidentels et / ou de dommages matériels frappant

l’ensemble de gestion éléctronique. Cette extension de garantie couvre :

• Les frais de remplacement des supports constituant l’ensemble des médias détruits ou

endommagés (disques, disquettes, cassettes magnétiques, cartes et bandes perforées),

• Le coût de reconstitution, dans l’état antérieur au sinistre, des informations portées sur les

médias détruits ou endommagés à la suite d’un sinistre garanti,

• Les frais de reconstitution des informations portées sur supports lorsque ces frais ne

résultent pas d’un dommage matériel garanti,

139 ANNEXES

ANNEXE 5

2- Frais supplémentaires d’exploitation

La présente extension a pour objet de garantir à l’assuré le remboursement des frais

supplémentaires qu’il aura réellement engagé en accord avec l’assureur, lorsque ces frais sont

directement consécutifs à une interruption totale ou partielle du traitement des informations, à la

suite d’un sinistre garanti affectant les matériels assurés. Cette garantie couvre le remboursement

des frais suivants :

• Les frais de location d’un ensemble de matériel de remplacement,

• Les frais supplémentaires de main d’œuvre,

• Les frais liés à la réalisation de travaux en sous-traitance,

• Les frais de transport du personnel et des documents,

• Les frais liés à la mise en place de toute solution de remplacement.

Les exclusions :

Ne sont pas garantis au titre de la présente assurance :

• Les dommages dus à des défauts existant au moment de la souscription et qui étaient

connus de l’assuré,

• Les dommages indirects de quelque nature qu’ils soient, notamment les pertes

d’exploitation résultant de la privation de jouissance ou de chômage ainsi que les

responsabilités de toutes natures,

• Les dommages et frais entrant dans le cadre du contrat de maintenance,

• Les dommages résultant d’une installation, de modifications ou d’une exploitation des

biens informatiques non conformes aux fiches techniques des constructeurs,

• Les dommages résultant de l’usure ou de la détérioration normale et progressive des biens

informatiques assurés,

140 ANNEXES

ANNEXE 5

• Les frais consécutifs à de simples dérangements mécaniques ou électriques, de réglage ou

plus généralement de tous actes d’entretien ou de prévention,

• Les dommages résultant d’une faute intentionnelle ou dolosive de l’assuré,

• Les dommages occasionnés par la guerre civile ou étrangère,

• Les dommages causés par les émeutes, mouvements populaires et les actes de terrorisme

ou de sabotage sauf stipulation contraire aux conditions particulières et paiement d’une

surprime,

• Les dommages résultant des éruptions volcaniques et des tremblements de terres.

• Les frais de reconstitution résultant du vice propre ou de l’usure normal ou la

détérioration progressive des matériels assurés,

• Les frais de reconstitution résultant de l’influence d’un champ magétique,

• Autres frais d’études et d’analyses engagés pour la programmation, même si ces frais sont

consécutifs à un sinistre garanti.

Les mesures de prévention :

L’assuré est tenu de maintenir les matériels garantis en bon état d’entretien et de fonctionnement,

et en outre, à souscrire et à garder en vigueur :

• Pour les matériels de traitement de l’information et les supports d’information, un contrat

de maintenance complet garantissant les coûts de main d’œuvre, les frais de déplacement

et les frais de transport des pièces ou matériels de remplacement ainsi que les prix de ces

derniers,

• Pour les autres matériels nécessaires au bon fonctionnement des matériels de traitement

des informations, un contrat d’entretien et ce, que ces matériels soient assurés ou non.

A défaut de satisfaire à ces obligations, sauf cas fortuit ou de force majeure, l’assuré sera déchu

de ses droits en cas de sinistre.

141 ANNEXES

ANNEXE 5

Les conditions spéciales :

Conditions spéciales concernant les installation de climatisation :

Il est convenu que l’assureur indemnisera l’assuré des pertes ou dommages causés aux matériels

informatiques et aux médias ainsi que les frais supplémentaires engagés par suite d’une

défaillance du système de climatisation à condition que celle-ci soit assurée contre les dommages

matériels et soit équipée, installée et révisée selon les recommandations du fabricant de

l’installation de climatisation.

Ceci implique que l’installation de climatisation :

• Et les dispositifs d’alarme et de protection doivent être révisés selon une périodocité à

définir en commun accord,

• Doit être équipée de capteurs permettant de surveiller la température et l’humidité, de

détecter les fumées et de déclencher des signaux d’alarme optiques et acoustiques,

• Doit être surveillée par un prersonnel qualifié capable de prendre toutes les mesures

nécessaires en cas d’alarme,

• Doit être équipée d’un dispositif automatique d’arrêt d’urgence répondant aux normes du

fabricant du matériel de traitement de l’information.

142 ANNEXES

ANNEXE 6

Articles de presse et statistiques piratage des logiciels

6.a : Articles de presse sur les actions de la BSA

ATTENTION ! copier un logiciel c’est le voler :

BSA passe à la vitesse supérieure suite aux actions de sensibilisation entreprises en collaboration

avec le Bureau Marocain des Droits d’Auteurs (BMDA) et le Ministère de Communication et de

la Culture. Soutenue par l’application du dahir n° 1-00-20 portant loi 2-00 relative aux droits

d’auteur et droits voisins ainsi que les autorités compétentes, BSA ne compte pas en rester là

pour éradiquer le piratage informatique au Maroc.

Les sanctions civiles à l’encontre de la piraterie sont le paiement de dommages et intérêts en

réparation du préjudice subi par l’éditeur de logiciel ainsi que la publication du jugement dans la

presse.

Les sanctions pénales peuvent représenter jusqu’à 20.000 Dirhams d’amende et deux ans de

prison.

Actions de la BSA – depuis Septembre 2000

Lettres de sensibilisation 21.025

Lettres de mise en garde 16.531

Lettres d’avocat 432

Nombre de régularisations 825

Nombre d’actions en justice 6 60% du parc informatique du pays est piraté par rapport à seulement 37% au niveau mondial et à

52% pour toute l’Afrique. Bien que ce taux est enregistré une baisse, le fléau continue de

représenter une menace pour la croissance économique du pays. En effet, le préjudice total dû au

piratage informatique de logiciels est évalué à 6 millions de dollars de pertes directes et à 10 fois

plus de pertes indirectes selon certaines études.

143 ANNEXES

ANNEXE 6

Ajouté à cela, ce phénomène exerce un impact négatif important sur la création d’emplois et

favorise par ailleurs la fuite des cerveaux. L’image du Maroc ; signataire de traités internationaux

(ex : GATT) est ainsi ternie aux yeux des investisseurs étrangers.

Les avantages d’un logiciel original sont :

• Bénéficier de la garantie de l’éditeur,

• Accéder aux nouvelles versions d’un programme à des tarifs avantageux,

• Disposer de l’assistance technique,

• Disposer de supports d’installation (CD-ROM) et de manuels d’utilisation originaux.

Les différentes formes de piratage informatique sont :

• Copie de logiciels par l’utilisateur final sans l’autorisation de l’auteur,

• Le téléchargement sans l’autorisation de l’auteur à partir d’Internet,

• Licences insuffisantes dans les entreprises, les administrations et tout autre établissement,

• Copie de logiciels sur le disque dur de l’ordinateur destiné à la vente (revendeurs),

• Gravage de CD-ROM,

• Le non respect des règles de commercialisation des logiciels.

"Chefs d’entreprises, le piratage informatique engendre :

• Des sanctions judiciaires,

• Des pertes économiques pour le pays (emplois, recettes fiscales, etc.),

• Un frein au développement de nouveaux produits.

Plusieurs entreprises ont déjà été condamnés pour piratage… d’autres le seront aussi".

Dahir n° 1-00-20 du 15 février 2000 portant promulgation de la loi 2-00 relative aux droits

d’auteur et droits voisins : Art 3 / Art 10 / Art 62/ Art 64.

Message publicitaire de la BSA.

144 ANNEXES

ANNEXE 6

Piratage informatique : Les efforts de la BSA récompensés

Afin de protéger les éditeurs de logiciels et de faire respecter la loi 2-00 relative aux droits

d’auteur et droits voisins, la BSA a élaboré un plan d’action spécifique au Maroc. Le porte-parole

de l’association des éditeurs, a expliqué, exemples à l’appui, la stratégie et les résultats de la

campagne de sensibilisation 2001-2002 lors de la conférence de presse du mardi 18 juin 2002.

Tout d’abord, les membres de la BSA ont choisi de montrer que la loi ne s’applique pas

seulement aux revendeurs de matériel informatique mais aussi aux sociétés utilisatrices en

multipliant les actions en justice auprès de celles-ci. Plus de 6 sociétés privées ont déjà été

contrôlées par un huissier accompagné d’un expert en informatique :

• Trois d’entre elles utilisaient des logiciels piratés : l’une a accepté l’accord à l’amiable et

les deux autres , très connues dans le secteur du tourisme et de l’industrie, doivent choisir

entre la signature d’un éventuel accord ou leur dossier sera porté devant les tribunaux.

• Pour les trois autres : la BSA attend toujours les rapports des experts et des huissiers.

En ce qui concerne les revendeurs et assembleurs de matériel informatique, les activités anti-

piratage ne se sont pas pour autant relâchées :

• Dans le procès à l’encontre de SOS informatique, le juge a ordonné la vente aux enchères

des biens du revendeur d’ici la fin du mois de juin,

• Un important revendeur à Marrakech ayant proposé du logiciel piraté à l’huissier de

justice et l’expert aura son dossier prochainement déposé en justice,

• Une équipe "d’acheteurs anonymes" désignée par Microsoft, membre de la BSA, a appelé

et visité plus de 500 revendeurs. Suite à cette opération de sensibilisation visant le réseau

de distribution, plus de 150 lettres de mises en garde furent envoyées à ceux qui avaient

proposé du logiciel sans licence. Par contre, plus de 200 lettres de félicitations furent

envoyées à ceux qui proposent un logiciel légal.

145 ANNEXES

ANNEXE 6

Pour la première fois, de nouveaux moyens ont été mis en œuvre en vue de mieux lutter contre le

piratage des logiciels. Par la mise en place d’une équipe BSA en tournée chez les sociétés

utilisatrices dans plusieurs villes du royaume, l’aspect sesibilisation ne se compose plus

seulement de courriers et d’appels mais aussi de visites sur le terrain. L’équipe BSA fournit aux

chefs d’entreprise en personne une assistance pour l’audit et une meilleure explication de la loi et

des risques encourus en cas de non respect des règles. De plus, le BMDA, signataire d’une

convention avec la BSA, effectue désormais des visites de sensibilisation au sein de sociétés

privées.

6.b : Statistiques de piratage des logiciels à travers le monde

Le taux de piratage a augmenté de 3 points au niveau mondial (40% en 2001 contre 37% en

2000) pour deux raisons principales :

• La récession économique mondiale,

• L’augmentation considérable du taux de piratage dans certains pays d’Asie comme l’Inde

avec un taux avoisinant les 70%.

Le Maroc, grâce aux actions soutenues de la BSA, quant à lui, se stabilise aux alentours de 60%

depuis 2001 maintenant une perte directe de 5,5 millions de dollars au lieu de 6 millions en 2000.

Le graphique ci-dessous synthétise par région le taux de piratage informatique de logiciels.

Taux de piratage en 2000*

0%

10%

20%

30%

40%

50%

60%

70% Maroc

Afrique

Monde

Europe

Etats-UnisCanada

* Source: IPR 1

146 ANNEXES

ANNEXE 7

Méthode d’éradication des virus informatiques

Les logiciels de détection et d’éradication des virus se basent sur trois méthodes répertoriées ci-

dessous :

Méthode scanner :

Elle repose sur l’emploi d’une table de signatures, c’est-à-dire une base de données identifiant les

virus en présence et les comparant à une bibliothèque de virus connus, qu’ils soient présents en

mémoire ou sur disque dur. Elle constitue le seul moyen efficace pour détecter et éradiquer les

virus macro mais a l’inconvénient de ne pouvoir être efficace pour lutter contre les virus inconnus

et non répertoriés.

Méthode générique :

Elle regroupe un ensemble de techniques (contrôle d’intégrité, appâts, scanner heuristique, etc.)

adaptée à la découverte de virus inconnus. Cependant, cette méthode n’est pas efficace pour lutter

contre les virus macro.

Méthode algorithmique :

Elle s’adresse essentiellement aux virus polymorphes contenant une clé de déchiffrement

employée à chaque nouvelle infection de fichiers pour lui donner une signature différente. Elle

constitue la méthode la plus sophistiquée, sans être totalement infaillible.

La méthode algorithmique doit être utilisée en complément de l’une des deux autres méthodes

décrites ci-dessus, afin de pouvoir constituer une bonne technique de protection assurant la

maîtrise du risque à un niveau faible.

Les logiciels antivirus les plus connus sur le marché sont Norton Antivirus de la société

Symantec, VirusScan de l’éditeur McAfee, Virusafe de la société CTI, F-Prot de l’éditeur ID,

Viguard de l’éditeur Tegam.

147 ANNEXES

ANNEXE 8

Procédure de sauvegarde applicable aux PME

Rappel de certaines règles relatives à la sauvegarde des données :

Types de sauvegarde :

Le principe de sauvegarde est de pouvoir disposer d’une copie de secours des données à protéger.

En effet, vu la diversité des types d’incidents pouvant survenir, les méthodes de sauvegarde à

mettre en place pour pallier à ces incidents sont nombreuses. Cette sauvegarde peut être réalisée

par fichiers, par volume ou encore incrémentale.

• La sauvegarde par fichiers est longue et fastidieuse et présente l’inconvénient des risques

d’oublis ou d’erreurs puisqu’elle n’est que sélective.

• La sauvegarde par volume consiste en une copie physique de l’ensemble du disque (données,

systèmes d’exploitation, programmes, etc.). Elle est lourde à gérer mais a comme avantage

son efficacité car le responsable informatique est sûr de ne rien avoir oublié.

• La sauvegarde incrémentale est une sauvegarde globale par fichiers, fichiers ayant été

modifiés depuis la dernière sauvegarde. Cette méthode est efficace, mais suppose au préalable

une bonne organisation de la procédure de sauvegarde.

Doivent être impérativement sauvegardés :

• Les logiciels de base,

• Les fichiers et logiciels d’application de l’environnement d’exploitation,

• Les fichiers et logiciels d’application de l’environnement d’étude en cas de développement

d’applications informatiques en cours.

Il est possible de mettre en place une procédure de sauvegarde combinant plusieurs méthodes de

sauvegarde afin de constituer un "jeu de sauvegardes". Le principe est simple et consiste à

disposer de trois séries de sauvegarde.

148 ANNEXES

ANNEXE 8

• Une série pour les sauvegardes quotidiennes (un support distinct par jour),

• Une série pour les sauvegardes hebdomadaires (un support distinct par semaine),

• Une série pour les sauvegardes mensuelles.

A cet effet, le support quotidien est réutilisé de semaine en semaine, et le support hebdomadaire

est réutilisé de mois en mois. Les sauvegardes mensuelles sont conservées intactes, les supports

n’étant plus réutilisés.

Outils de sauvegarde :

Les supports de stockage sont nombreux et performants. La disquette 3 pouces ½ dont la capacité

est de 1,4 Méga octets environ est déconseillé car ne peut gérer les gros volumes même

compressés à l’aide de l’outil "zip". Elle peut servir pour la sauvegarde temporaire de fichiers

personnels. Néanmoins, nous recommandons que la sauvegarde des fichiers personnels soit

effectuée directement sur le serveur dans un répertoire personnel sécurisé et créé à cet effet par le

responsable informatique. La centralisation des sauvegardes sur le serveur permet de pallier à un

incident sur une machine locale.

Le support de sauvegarde le plus utilisé par les entreprises est la bande magnétique ou cartouche.

L’enregistrement est automatique et consiste à opérer une sauvegarde par volume. Toutefois le

principal inconvénient dans ce type de sauvegarde réside dans la lenteur d’enregistrement et de

restauration.

Les CD-ROM constituent des solutions de sauvegardes proches du disque dur externe, mais que

les entreprises utilisent généralement plus pour l’archivage que la sauvegarde des données. La

sauvegarde peut être effectuée à l’aide d’outils proposés par le système d’exploitation du micro-

ordinateur ou de logiciels de sauvegarde qui facilite la procédure (déclenchement automatique,

programmable et différé, etc.)

149 ANNEXES

ANNEXE 8

Procédure de sauvegarde :

Sauvegarde centralisée :

Sauvegarde chaque jour des données contenus dans le serveur dans un cartouche magnétique (en

anglais "Digital Audio Tape").

Le service informatique est le responsable de cette opération centralisée.

La sauvegarde est programmée chaque jour en fin de journée à partir de 18H30.

Le service informatique doit s’assurer que les sauvegardes se sont bien déroulées, et que les

données existent bien. Cette tâche est à accomplir chaque matin à 8H30.

Les sauvegardes doivent être séparées dans des cartouches créées à cet effet :

• Cinq cartouches quotidiennes (du lundi au vendredi), réutilisées chaque semaine

• Douze cartouches mensuelles (de janvier à décembre),

• Une cartouche annuelle.

Des sauvegardes occasionnlles doivent être effectuées telle que :

• Sauvegardes mensuelles avant clôture de la paie (responsable GRH),

• Sauvegardes annuelles avant clôture de la comptabilité (responsable : DAF),

• Sauvegardes avant inventaire des stocks (responsable : DAF ou service informatique).

Les cartouches doivent être stockées dans un coffre igifugé à l’extérieur de la salle informatique.

(exemple : coffre du DAF).

Sauvegarde locale :

Chaque personne est responsable de la sauvegarde des données contenues dans sa machine

locale.

L’informatique met à la disposition de chaque utilisateur un répertoire sécurisé créé à cet effet sur

le seveur.

La sauvegarde des fichiers personnels vers le serveur est programmé chaque jour à partir de

13H00.

150 ANNEXES

ANNEXE 9

Développement d’applications informatiques

Documentation accompagant les applications informatiques :

Documentation d’étude :

La documentation d’étude doit rassembler pour chaque application tout ce qui a trait à sa

définition (analyse) et à sa composition (programmation). Celle-ci doit être constituée au fur et à

mesure des différentes étapes de la conception d’une application. Elle doit au minimum

comprendre les éléments suivants :

• Organigramme général de l’application,

• Liste et description des fichiers utilisés,

• Liste et description des états édités,

• Description des chaînes de traitement,

• Description détaillée des programmes,

• Listing des programmes sources documentés,

• Historique des opérations de maintenance.

S’il s’agit d’applications plus importantes, la documentation doit comprendre outre les points

cités ci-dessus :

• Le cahier des charges,

• La documentation de conception (analyse fonctionnelle),

• La documentation de programmation : conçue pour les programmeurs, documentation

détaillée et technique,

151 ANNEXES

ANNEXE 9

Documentation d’exploitation :

La documentation d’exploitation contient l’ensemble des informations et consignes nécessaires

au personnel d’exploitation. Celle-ci est considérée comme importante pour documenter toutes

les séquences d’exécution du programme et les procédures de reprise. Elle doit au moins détailler

par chaîne de traitement :

• La liste des procédures d’exploitation,

• La description des fichiers en entrée et en sortie et de leur supports

• La description et organigrammes des chaînes de traitement,

• Les consignes de préparation,

• La description des contrôles de l’exploitation à réaliser lors de chaque traitement,

Documentation utilisateurs :

La documentation utilisateurs contient l’ensemble des instructions à destination des utilisateurs.

Appelé communément le manuel utilisateur, elle aide à la formation des utilisateurs en donnant

une information non technique qui puisse répondre à leurs besoins et attentes et afin qu’ils

puissent remplir leur fonction efficacement. Elle doit au moins contenir.

• La description générale des applications,

• La description des transactions,

• La description des états édités,

• L’indication des messages d’anomalies qui peuvent être rencontrés.

Mode de passage de l’environnement test à l’environnement d’exploitation :

Les procédures de test des programmes comprennent quatre étapes essentielles en vue de décider

ou non le transfert de l’application développée en mode production.

152 ANNEXES

ANNEXE 9

• Installation initiale qui comprend :

- La planification de l’installation,

- L’installation des ressources,

- La formation du personnel de production et des utilisateurs,

- La mise en place et / ou adaptation procédures d’exploitation,

- La constitution des dossiers d’exploitation.

• Les tests de l’environnement de production :

- Tests sur les données opérationnelles et tests de réception,

- Décision de montée en charge au vu de ces tests.

• La montée en charge qui comprend :

- Le transfert ou utilisation de la totalité des données opérationnelles,

- Tests complémentaires avec les utilisateurs,

- Décision de la généralisation de l’application à l’ensemble des utilisateurs,

• La recette qui comprend :

- Tests de fonctionnalité de l’application,

- Tests relatifs à la protection des informations (classification des informations et contrôle

des accès),

- Tests du système de contrôle et auditabilité des applications traitant des données utilisées

dans les flux financiers de l’entreprise.

Le passage de l’environnement test d’une application ou d’un ensemble d’applications à

l’environnement d’exploitation doit être effectué en respectant les étapes suivantes :

• Bibliothèque de test contenant les programmes sources à mettre au point par les

programmeurs ou le prestataire de service et leur programmes objets exécutés pendant la

phase d’essais,

• Bibliothèque d’exploitation contenant les programmes sources mis au point et passé au stade

d’exploitation,

• Bibliothèque d’exploitation ne contenant que les programmes objets à exécuter.

153 ANNEXES

ANNEXE 10

Scénarios réalisation de risques informatiques

La présente annexe fait état de quelques scénarios de réalisation de risques informatiques à partir

de notre humble expérience, et de notre vécu.

1 Industrie : La panne occasionnée à un système informatique de contrôle des entrées en

stock dans une usine a engendré un retard dans la fabrication, des ruptures de stock de matières

premières entraînant l’arrêt de la production. La perte occasionnée suite à cette panne est 2 jours

de production ajouté aux temps gaspillé par le personnel pour tenter de reprendre les traitements

de façon manuelle.

2 Société de négoce : Un utilisateur n’a pas pris soin de couper l’arrivée d’eau suite à une

coupure de la LYDEC. A 14H30, les bureaux étaient inondés d’eau. Cette négligence humaine a

entraîné l’arrêt des ordinateurs du service administratif. La perte occasionnée suite à ce

phénomène correspondrait à la valeur de remplacement du matériel, mais surtout des données et

applications qu’il contenait (comptabilité, paie, gestion commerciale, etc.) qu’il est difficile

d’évaluer.

3 Société de service : L’écoulement d’eau du climatiseur de la salle informatique a

engendré un court-circuit dans le serveur des données. Le matériel a été endommagé, mais

heureusement l’entreprise disposait d’une sauvegarde de la veille. La perte occasionnée

correspondrait aux traitements depuis la dernière sauvegarde au moment du sinistre, à évaluer en

temps de travial.

4 Industrie : Des cambrioleurs "furieux" de ne pas avoir trouvé de l’argent dans le coffre-

fort du Directeur Financier ont subtilisé les cartouches de sauvegarde et donc toutes les données

qu’elles contenaient et saccagé les ordinateurs du département comptable. Le méfait a entraîné

des frais de remplacement de matériel et de reconstitution des médias.

5 Industrie : Une entreprise a aquis auprès d’une SSII un logiciel intégré de gestion. Les

utilisateurs n’ont pas été associé à la formation faite uniquement à l’informaticien. Le temps

gaspillé par l’informaticien pour expliquer aux différents utilisateurs les fonctionnalités du

nouveau logiciel est estimé à un mois. Perte = au moins un mois de salaire de l’informaticien.

154 ANNEXES

ANNEXE 10

6 Industrie : Une entreprise n’a pas jugé utile de protéger les postes de la Direction

Commerciale par des onduleurs. Une surtension a entraîné l’endommagement de l’ensemble des

ordinateurs et des données qu’ils contenaient, entre autre fichier client, tarification des produits,

situation des encours, etc. La perte occasionnée est estimée au temps passé pour reconstituer ces

données en étroite collaboration avec le département comptabilité, et le temps passé pour saisir à

nouveau les tarifs de vente des différents produits (200 pages).

7 Société de négoce : Un informaticien a développé une application de gestion

commerciale. Toutefois, pour l’exploitation de cette application, l’informaticien était sollicité en

permanence par les utilisateurs et surtout l’administration commerciale. Pendant son congé

annuel, ladite application est tombée en panne. Faute de pouvoir résoudre le problème,

l’administration n’a pas pu pendant une semaine traiter les commandes clients en cours. La perte

occasionnée est d’une semaine de chiffre d’affaires, mais aussi, le stock de marchandises invendu

en raison du mécontentement de certains clients qui faute d’être livrés à temps, ont renoncé à leur

commande.

8 Industrie : Une panne du système informatique pour des raisons non expliquées a entraîné

la perte de réalisation d’une vente à l’export de 300.000 Dirhams environ. Le délai de l’accréditif

ouvert par le client ayant expiré, celui-ci a préféré renoncer à ladite commande, et s’est tourné

vers une entreprise concurrente.

9 Industrie : Une grève ayant duré pendant 3 mois dans une usine, a empêché le service

informatique d’accéder à l’entreprise pour effectuer quotidiennement ses traitements

informatiques. La perte occasionnée est le retard accumulé pendant ces trois mois, et le temps

passé pour saisie et mise à jour des informations émanant des différents services (comptabilité,

service personnel, administration commerciale, etc.).

10 Société de service : L’ordinateur portable du responsable financier a été contaminé par un

virus en se connectant à Internet. Celui-ci ne disposait pas d’un logiciel antivirus. La perte

occasionnée par cette négligence est les frais engagés auprès du fournisseurs pour récupérer les

données infectés par le virus.

155 ANNEXES

ANNEXE 11

Statistiques sur la sinistralité publiées par l’APSAIRD et résultat enquête sur la sécurité

conduite par la société IDC

Statistiques sur la sinistralité publiées par l’APSAIRD :

La presse spécialisée européenne fait souvent écho de statistiques sur la sinistralité correspondant

à l’estimation des pertes dues à des sinistres déclarées ou l’estimation des pertes financières

découlant directement au manque de sécurité.

Le tableau ci-dessous fait ressortir la perception des risques informatiques et leur réalité en 1993

par les utilisateurs ainsi que la projection de la réalité au titre de l’année 1997.

Risque Perception 1993 Réalité 1993 Projection 1997

- matériel 1 3 2

- vol, sabotage matériel 2 8 8

- pannes 4 4 3

- erreurs de saisie 8 2 4

- erreurs de conception, réalisation 5 5

- erreurs d’exploitation 6 6 6

- vol, sabotage immatériel 3 1 1

- problèmes humains 3 7 7

Le tableau ci-dessus montre que les risques de vol, sabotage et pannes sont considérées comme

les plus graves alors que les risques d’erreurs de conception, d’exploitation de saisie apparaissent

aux yeux des entreprises comme peu importants. Cette association fait également ressortir que les

risques matériels sont en fait les plus redoutés par l’entreprise, même si en pratique ils

occasionnent les pertes les moins importantes, alors que les risques de fraude, sabotage

immatériel occasionnant les pertes les plus importantes sont considérés comme moins grave.

156 ANNEXES

ANNEXE 11

Résultats enquête sur la sécurité conduite par la société IDC :

Selon une étude réalisée par IDC auprès de 350 entreprises européennes pour le compte d'EDS,

société américaine spécialisée en sécurité informatique, les entreprises en Europe seraient de plus

en plus sensibilisées au problème de la sécurité de leurs systèmes d'information. Pourtant, selon

cette même enquête, toutes les mesures ne sont pas encore prises, et selon IDC, des déclarations

des responsables informatiques interrogés à la réalité, il y a parfois des différences.

Menée entre novembre et décembre 2001 dans six pays (France, Allemagne, Angleterre, Italie,

Espagne, et Afrique du Sud, sic) l’étude d'IDC a porté sur quatre axes majeurs : implication des

directions générales dans les politiques de sécurité, mise en place de plans de continuité de

service, assurance des systèmes d'information et typologie des attaques subies en 2001.

A la question posée aux responsables informatiques "Votre direction générale a-elle l'intention de

plus s'impliquer dans la stratégie de sécurité de votre entreprise en 2002 ?", 48,1% ont répondu

oui, 9,5% ne savaient pas, et 42,4% ont répondu par la négative. Un résultat en hausse sensible

par rapport à la précédente enquête menée en juin 2001, qui selon IDC tendrait à marquer une

sensibilisation plus forte des directions aux risques qu'encourent leurs sociétés. Toutefois, le

cabinet ne manque pas de relever certaines contradictions internes. Si 59,6% des entreprises

considèrent que la sécurité est une affaire de spécialistes, 54,5% reconnaissent cependant ne pas

avoir de ressources internes dédiées à cette tâche. La part du budget consacre à la sécurité reste

d'ailleurs marginale, avec par exemple, tout juste 1,6% du budget informatique en France.

Par ailleurs, si 78,8% des entreprises sondées estiment avoir suffisamment sécurisé leur système

(redondance des équipements, back up, etc.) pour assurer la continuité de service en cas de

problème, et que 66,9% déclarent avoir mis en place un plan de continuité de service, ces chiffres

pourraient refléter imparfaitement la réalité. Le cabinet juge en effet que, par rapport aux retours

d’expérience dont il bénéficie, ces taux sont anormalement élevés. Une hypothèse dont la

vraisemblance est confortée par le pourcentage de responsables informatiques qui reconnaissent

ne pas savoir si leur entreprise dispose ou non d'un tel plan (8,4%).

157 ANNEXES

ANNEXE 11

Sur la question de la couverture de leur système informatique par une assurance, 55,6% des

sociétés interrogées ont déclaré ne pas avoir souscrit de police d'assurance, 20,3% ne pas savoir,

et seulement 24,1% avoir souscrit.

Si IDC n'explique pas les raisons de ces résultats (coût des assurances, intérêt des offres, etc.), il

corrèle néanmoins certains chiffres, qui tendent à prouver que les entreprises couvertes par une

assurance sont en général celles qui accordent le plus de moyens a leur sécurité (en ressources

internes comme en plan de continuité de service).

Enfin, le panorama des attaques recensées fait ressortir que 35,2% des sociétés auraient été

victimes au moins une fois d'une attaque venue de l’extérieur. Principal type d'attaque répertorié,

les virus informatiques (78,5%), devant les erreurs d'utilisation (64,2%) et les pannes internes

(37,5%).Viennent ensuite les erreurs de conception (30,7%), les vols de matériels (29,8%), les

accidents physiques (25%), les catastrophes naturelles (22,6%), et les fraudes internes (16,3%).

Ce dernier facteur pourrait être sous-estimé, selon le responsable de la sécurité des systèmes

d'information d'EDS pour qui les attaques internes sont deux fois plus nombreuses que les

attaques externes, et tout aussi dangereuses pour les entreprises.

158 ANNEXES

ANNEXE 12

Questionnaire perception de la sécurité informatique par nos PME

1- Identification de l’entreprise :

Secteur d’activité :

Date de création :

Forme juridique :

Implantation géographique :

Téléphone :

Fax :

Chiffre d’affaires au titre de l’exercice 2001 :

o < 5 millions de dhs,

o entre 5 millions et 25 millions de dhs,

o entre 25 millions et 50 millions de dhs

o > 50 millions de dhs.

Effectif total : dont cadre,

Budget global de l’entreprise : (en millions de dirhams)

Budget informatique :


Fonction au sein de l’entreprise :

2- Plan informatique / Plan directeur :

Y a t’il un plan informatique (plan directeur) ?

o Oui :

o Non :

Si oui, est-il actualisé et validé par la Direction générale ?

o Oui :

o Non :

QUESTIONNAIRE DESTINE AUX

ENTREPRISES

159 ANNEXES

ANNEXE 12

Quelles sont les fonctions informatisées au sein de l’entreprise ? (plusieurs réponses sont possibles) :

o Comptabilité générale,

o Etablissement des états de synthèse (bilan, CPC, etc.),

o Application de la paie et gestion du personnel,

o Facturation et gestion commerciale,

o Gestion des achats et des stocks,

o Suivi et gestion de la trésorerie,

o Gestion des immobilisations,

o Autres à préciser.

Parmi ces fonctions, quelles sont celles intégrées à votre système comptable ? (plusieurs réponses sont possibles) :

o Application de la paie et gestion du personnel,

o Facturation et gestion commerciale,

o Gestion des achats et des stocks,

o Suivi et gestion de la trésorerie,

o Gestion des immobilisations,

o Autres à préciser.

L’entreprise recourt-elle au développement informatique d’application ou fait-elle appel à des applications "du marché" ?

De quoi se compose l’outil informatique de votre entreprise :

Matériel

(marque et modèle) Localisation et quantité Réseau Nombre de

terminaux

Mini système

Micro-ordinateurs

Imprimantes

Serveur de données

Modems

Autres (à préciser)

160 ANNEXES

ANNEXE 12

Lister les logiciels standard utilisés :

Logiciels applicatifs Date d’installation

Support matériel

Acheté ou développé en

interne

Comptabilité générale

Paie – gestion du personnel

Facturation – gestion commerciale

Gestion des stocks

Gestion trésorerie

Gestion des immobilisations

Autres (à préciser) 3- Organisation interne du service informatique : Votre entreprise dispose t-elle d’un service informatique ?

o Oui :

o Non :

Existe-t-il un organigramme à jour du service informatique ?

o Oui :

o Non :

Si oui, jugez vous que la séparation de fonctions au sein du service informatique ou entre informaticiens et utilisateurs est adaptée à l’organisation ?

o Oui :

o Non :

Votre entreprise recourt-elle à un prestataire de service pour l’exploitation de votre système informatique?

o Oui :

o Non :

Pensez vous que la Direction Générale exerce un contrôle sur la fonction informatique ?

o Oui :

o Non :

161 ANNEXES

ANNEXE 12

Si oui est-elle impliquée dans toutes les décisions informatiques ?

o Oui :

o Non :

Quelle est la place de l’outil micro-informatique au sein de votre entreprise ?

o Prépondérante :

o Importante :

o Peu importante :

o Négligeable :

4- Perception de la sécurité informatique au sein de votre entreprise :

Votre entreprise a-t-elle déjà fait l’objet d’un sinistre informatique ?

o Oui :

o Non :

Si oui de quel ordre :

o Vol de matériel :

o Virus informatiques :

o Erreurs de conception d’application :

o Accidents physiques :

o Autres (à spécifier) :

Arrive t-il que vos micro-ordinateurs tombent en panne ou sont rendus indisponible pour une raison ou une autre ?

o Fréquemment :

o De temps en temps :

o Jamais :

Si oui, considérez-vous être dépanné,

o Immédiatement :

o Rapidement :

o Pas assez rapidement :

o Trop lentement :

162 ANNEXES

ANNEXE 12

Pensez vous d’une manière générale que vos micro-ordinateurs sont suffisamment protégés ?

o Oui :

o Non :

Votre entreprise dispose t-elle d’une politique de sécurité adaptée à la micro-informatique ?

o Oui :

o Non :

o Ne sait pas :

Si oui quelles en sont les grandes lignes ?

Et qui en est responsable ?

o Responsable informatique :

o Responsable Administratif et Financier :

o Autres (préciser la fonction) :

Des réunions de sensibilisation sur la sécurité micro-informatique ont-elles lieu au sein de votre entreprise ?

o Régulièrement :

o De temps en temps :

o Jamais :

La Direction Générale a t-elle l’intention de s’impliquer davantage dans la sécurité liée à l’utilisation de l’outil micro-informatique ?

o Oui :

o Non :

o Ne sait pas :

Votre entreprise a t-elle souscrit une police d’assurance contre les risques spécifiques à l’informatique ?

o Oui :

o Non :

163 ANNEXES

ANNEXE 12

Quels sont selon vous les risques encourus par votre entreprise sur le plan micro-informatique ?

o Virus Informatiques :

o Vol de matériel :

o Erreur conception de logiciels :

o Absence sauvegarde régulière des données et programmes :

o Accidents physiques entraînant une perte des données :

o Autres à préciser

Quelles sont selon vous les parades possibles pour prévenir et atténuer ces risques ?

o Logiciel anti-virus :

o Mots de passe et profil utilisateurs :

o Sécurité des accès physiques et logiques :

o Sauvegarde régulière des données et programmes :

o Autres à préciser :

Quel est le budget alloué à la sécurité micro-informatique dans votre entreprise ? (en % du budget informatique total)

o < 5% :

o De 5 à 10% :

o > 10% :

Pensez vous cela suffisant :

o Directeur Général :

o Responsable informatique :

o Utilisateurs :

Faites vous appel à votre expert-comptable / commissaire aux comptes pour vous conseiller dans le choix de solutions de sécurité informatique ?

o Oui :

o Non :

o Ne sait pas :

164 ANNEXES

ANNEXE 12

Synthèse des réponses reçues :

Votre entreprise dispose t-elle d’un service informatique ?

o Oui : 72%

o Non : 28%

Existe-t-il un organigramme à jour du service informatique ?

o Oui : 45%

o Non : 24%

o N/A : 31%

Si oui, jugez vous que la séparation de fonctions au sein du service informatique ou entre informaticiens et utilisateurs est adaptée à l’organisation ?

o Oui : 42%

o Non : 6%

o N/A : 52%

Votre entreprise recourt-elle à un prestataire de service pour l’exploitation de votre système informatique?

o Oui : 60%

o Non : 40%

Pensez vous que la Direction Générale exerce un contrôle sur la fonction informatique ?

o Oui : 82%

o Non : 18%

Si oui est-elle impliquée dans toutes les décisions informatiques ?

o Oui : 85%

o Non : 15%

Quelle est la place de l’outil micro-informatique au sein de votre entreprise ?

o Prépondérante : 48%

o Importante : 46%

o Peu importante : 6%

o Négligeable :

165 ANNEXES

ANNEXE 12

Votre entreprise a-t-elle déjà fait l’objet d’un sinistre informatique ?

o Oui : 45%

o Non : 55%

Si oui de quel ordre :

o Vol de matériel : 3ème type de sinistre

o Virus informatiques : 1er type de sinistre

o Erreurs de conception d’application :

o Accidents physiques : 2ème type de sinistre

o Autres (à spécifier) :

o N/A : 58%

Arrive t-il que vos micro-ordinateurs tombent en panne ou sont rendus indisponible pour une raison ou une autre ?

o Fréquemment : 3%

o De temps en temps : 85%

o Jamais : 12%

Si oui, considérez-vous être dépanné,

o Immédiatement : 18%

o Rapidement : 52%

o Pas assez rapidement : 24%

o Trop lentement :

o N/A : 6%

Pensez vous d’une manière générale que vos micro-ordinateurs sont suffisamment protégés ?

o Oui : 67%

o Non : 33%

Votre entreprise dispose t-elle d’une politique de sécurité adaptée à la micro-informatique ?

o Oui : 64%

o Non : 24%

o Ne sait pas : 12%

Si oui quelles en sont les grandes lignes ?

166 ANNEXES

ANNEXE 12

Et qui en est responsable

o Responsable informatique : ? 1er responsable

o Responsable Administratif et Financier : 3ème responsable

o Autres (préciser la fonction) : 2ème responsable

o Ne sait pas : 9%

Des réunions de sensibilisation sur la sécurité micro-informatique ont-elles lieu au sein de votre entreprise ?

o Régulièrement : 27%

o De temps en temps : 42%

o Jamais : 15%

La Direction Générale a t-elle l’intention de s’impliquer davantage dans la sécurité liée à l’utilisation de l’outil micro-informatique ?

o Oui : 61%

o Non : 24%

o Ne sait pas : 15%

Votre entreprise a t-elle souscrit une police d’assurance contre les risques spécifiques à l’informatique ?

o Oui : 36%

o Non : 64%

Quels sont selon vous les risques encourus par votre entreprise sur le plan micro-informatique ?

o Virus Informatiques : 1er type de risque selon réponses reçues

o Vol de matériel : 4ème type de risque

o Erreur conception de logiciels : 5ème type de risque

o Absence sauvegarde régulière des données et programmes : 3ème type de risque

o Accidents physiques entraînant une perte des données : 2ème type de risque

o Autres à préciser

Quelles sont selon vous les parades possibles pour prévenir et atténuer ces risques ?

o Logiciel anti-virus : 1ère parade recensée

o Mots de passe et profil utilisateurs : 3ème parade recensée

o Sécurité des accès physiques et logiques : 3ème parade recensée

o Sauvegarde régulière des données et programmes : 2ème parade recensée

o Autres à préciser :

167 ANNEXES

ANNEXE 12

Quel est le budget alloué à la sécurité micro-informatique dans votre entreprise ? (en % du budget informatique total)

o < 5% : 64%

o De 5 à 10% : 30%

o > 10% : 6%

Pensez vous cela suffisant :

o Directeur Général : 33% des réponses ont affirmé oui

o Responsable informatique : 45% des réponses ont affirmé oui , 6% non

o Utilisateurs : 12% des réponses reçues ont affirmé oui

o Ne sait pas :

Faites vous appel à votre expert-comptable / commissaire aux comptes pour vous conseiller dans le choix de solutions de sécurité informatique ?

o Oui : 30%

o Non : 70%

o Ne sait pas :

168 ANNEXES

ANNEXE 13

Grille d’analyse du matériel et des applications logicielles

Description sommaire de l’installation de l’entreprise :

Principaux contacts avec le client :

Nom de la personne Poste occupé N° de téléphone / poste interne

Liste du matériel :

Matériel (marque et modèle) Localisation et quantité Réseau Nombre de

terminaux Mini système

Micro-ordinateurs

Imprimantes

Serveur de données

Modems

Autres (à préciser) Liste des applications :

Logiciels applicatifs Date d’installation Support matériel

Acheté ou développé en

interne Comptabilité générale

Paie – gestion du personnel

Facturation – gestion commerciale

Gestion des stocks

Gestion trésorerie

Gestion des immobilisations

Autres (à préciser)

169 ANNEXES

ANNEXE 13

Description détaillée de l’installation de l’entreprise :

Liste du matériel

Capacité du disque dur Description

(marque, modèle) Date

d’achat Date mise en service Fournisseur Total Utilisé

Taille de la mémoire

Type (1)

Durée de garantie

Contrat de maintenance

(2)

(1) Ordinateur autonome, Ordinateur en réseaux, Ordinateur portable, Imprimante, Terminaux, Serveur, Modem, Autres (à détailler)

(2) Oui ou Non

170 ANNEXES

ANNEXE 13

Liste des logiciels

Documentation Nom du logiciel Date

d’achat

Date de mise en service

Date de mise à jour

Editeur Description du logiciel Nombre

Type de logiciel

(1)

Mode de fonctionnement

(3) Conception

(2) Exploitation

(2)

Dévelop pement

Contrat de maintenance

(2)

(1) Standard ou spécifique

(2) Oui ou Non

(3) Licence Monoposte ou Réseaux.

171 ANNEXES

ANNEXE 14

Questionnaire d’audit de la sécurité micro-informatique à destination

des experts comptables

Le présent questionnaire constitue un véritable aide mémoire à l’audit de la sécurité micro-

informatique dans les PME. Il est bâti sur tableur afin de pouvoir trier les réponses par

interlocuteurs. Il comporte 5 colonnes :

• Une colonne faisant ressortir les objectifs de contrôle interne et les travaux à effectuer,

• Une colonne faisant ressortir l’interlocuteur à qui est destiné chaque question,

• Une colonne faisant ressortir la réponse de l’interlocuteur (Oui, Non ou N/A),

• Une colonne faisant ressortir l’évaluation du risque suite aux réponses reçues,

• Une colonne faisant ressortir les renvois éventuels à une feuille de travail de l’expert-

comptable au cas où une réponse nécessiterait des développements.

Il comporte quatre thèmes :

• Organisation micro-informatique et environnement de contrôle,

• Efficacité de l’environnement micro-informatique,

• Disponibilité de l’information,

• Sécurité des études et développements d’applications informatiques.

180 ANNEXES

ANNEXE 15

Questionnaire à destination des experts-comptables : sensibilisation de

l’entreprise à la sécurité micro-informatique

1- Identification du cabinet d’expertise comptable :

Cabinet :

Fondateur :

Associé Gérant :

Membre d’un réseau international :

Date de création :

Forme juridique :

Implantation géographique :

Téléphone :

Fax :

Effectif du cabinet : dont collaborateurs ,


Fonction au sein du cabinet :

2- Domaines d’intervention et nature des missions effectuées :

Quels sont les prestations offertes et domaines d’intervention de votre cabinet ? (plusieurs réponses sont possibles) : Assistance et supervision comptable, Tenue de comptabilité et établissement des déclarations fiscales et sociales, Conseil juridique et fiscal, Assistance mise en place de système d’information, Commissariat aux comptes, Audit comptable et financier, Recrutement et formation, Autres à préciser.

Quel est le chiffre d’affaires au titre de l’année 2001 ? < 1 million de dhs, entre 1 million et 10 millions de dhs, > 10 millions de dhs.

QUESTIONNAIRE DESTINE AUX

EXPERTS COMPTABLES

181 ANNEXES

ANNEXE 15

Quelle est la part relative de chaque prestation dans l’activité de votre cabinet ? (en % du chiffre d’affaires) :

Assistance et supervision comptable,

Tenue de comptabilité et établissement des déclarations fiscales et sociales,

Conseil juridique et fiscal,

Assistance mise en place de système d’information,

Commissariat aux comptes,

Audit comptable et financier,

Recrutement et formation,

Autres à préciser.

Quel est le type de clientèle que compte votre cabinet ?

Particuliers,

PME-PMI,

Groupes Nationaux,

Multinationales,

Par secteur d’activité, préciser le nombre de clients que compte votre cabinet ?

Secteur d’activité Nombre de clients Répartition géographique

Primaire :

Secondaire :

dont industrie :

Tertiaire : détaillé comme suit :

- commerce, négoce

- banque, assurance

- autres à préciser

Quelle est la forme juridique de vos clients :

Forme juridique Nombre de clients

Entreprise individuelle – commerce :

Société Anonyme :

Société à Responsabilité Limité :

Autres à préciser :

182 ANNEXES

ANNEXE 15

3- Sensibilisation de l’entreprise à la sécurité micro-informatique :

Votre cabinet utilise-t-il des outils micro-informatiques (logiciels) pour l’audit d’applications ou l’assistance à la révision comptable ?

Oui,

Non,

Si oui, sont-ils systématiquement utilisés par vos collaborateurs ?

Oui,

Non,

Lors de l’examen et de l’évaluation du processus de contrôle interne qui prévaut au sein de l’entreprise, intégrez-vous des contrôles spécifiques à la fonction informatique et / ou système informatique ?

Oui,

Non,

Avez-vous déjà effectué une mission d’audit de la sécurité micro-informatique ?

Oui,

Non,

Si oui, quel en était le prescripteur ?

Entreprise cliente,

Vous-même,

Tierce personne (à spécifier) :

Si non souhaitez-vous conduire à l’avenir une mission d’audit de la sécurité micro-informatique ?

Oui,

Non,

Est-il déjà arrivé qu’une entreprise fasse appel à vos services pour l’assister dans la mise en place d’une politique de sécurité informatique ou dans le choix d’outils de sécurité adaptés à la micro-informatique ?

Oui,

Non,

Pensez-vous disposer des compétences nécessaires (humaines et matérielles) pour conduire ce type de mission ?

Oui,

Non,

183 ANNEXES

ANNEXE 15

Si non, pensez-vous faire appel à un spécialiste en informatique si la demande d’audit de sécurité micro-informatique venait à être suscitée ?

Oui,

Non,

Pensez-vous que les entreprises ont conscience des risques et menaces qui pèsent sur leur système informatique en général et plus particulièrement l’outil micro-informatique ?

Oui,

Non,

Avez-vous déjà sensibilisé vos entreprises clientes sur les menaces et risques qui pèsent sur l’outil micro-informatique ?

Oui,

Non,

Si oui à quelle occasion ?

Audit comptable et financier,

Commissariat aux comptes,

Conseil,

Autres à préciser :

184 ANNEXES

ANNEXE 15

Synthèse des réponses reçues :

Votre cabinet utilise-t-il des outils micro-informatiques (logiciels) pour l’audit d’applications ou l’assistance à la révision comptable ?

Oui, 71%

Non, 29%

Si oui, sont-ils systématiquement utilisés par vos collaborateurs ?

Oui, 64%

Non, 21%

Non applicable, 15%

Lors de l’examen et de l’évaluation du processus de contrôle interne qui prévaut au sein de l’entreprise, intégrez-vous des contrôles spécifiques à la fonction informatique et / ou système informatique ?

Oui, 79%

Non, 21%

Avez-vous déjà effectué une mission d’audit de la sécurité micro-informatique ?

Oui, 36%

Non, 64%

Si oui, quel en était le prescripteur ?

Entreprise cliente,

Vous-même,

Tierce personne (à spécifier) :

Si non souhaitez-vous conduire à l’avenir une mission d’audit de la sécurité micro-informatique ?

Oui, 64%

Non, 15%

Non applicable, 21%

Est-il déjà arrivé qu’une entreprise fasse appel à vos services pour l’assister dans la mise en place d’une politique de sécurité informatique ou dans le choix d’outils de sécurité adaptés à la micro-informatique ?

Oui, 29%

Non, 71%

185 ANNEXES

ANNEXE 15

Pensez-vous disposer des compétences nécessaires (humaines et matérielles) pour conduire ce type de mission ?

Oui, 36%

Non, 64%

Si non, pensez-vous faire appel à un spécialiste en informatique si la demande d’audit de sécurité micro-informatique venait à être suscitée ?

Oui, 72%

Non, 14%

Non applicable, 14%

Pensez-vous que les entreprises ont conscience des risques et menaces qui pèsent sur leur système informatique en général et plus particulièrement l’outil micro-informatique ?

Oui, 36%

Non, 64%

Avez-vous déjà sensibilisé vos entreprises clientes sur les menaces et risques qui pèsent sur l’outil micro-informatique ?

Oui, 79%

Non, 21%

Si oui à quelle occasion ?

Audit comptable et financier, 1ère occasion

Commissariat aux comptes, 1ère occasion

Conseil, 2ème occasion

Autres à préciser : 3ème occasion

Ne sait pas, 21%

186 LEXIQUE FRANCAIS - ARABE

Lexique Français – Arabe

Accès وجو لActifs موجودات Alphanumérique حرفرقمي Altération تزييف Archives ربائد Assurances multirisques تأمين مخاطري Audit إفتحاص Audit externe اص إ خارجي فتحAudit sécurité informatique إفتحاص معلومياتي Automatisation إستآلة Code قنن Comptabilité اسبةمح Confidentiel آتماني Connexion وصل Conseil مجلس Contrôle a priori مراقبة قبلية Contrôle a postériori ةمراقبة بعديContrôle interne ةد مراقبة اخليCopie نسخة Dédommagement تعويض عن ضرر Dégât matériel خسارة مادية Disponibilité تيسر Disque dur رص صلبق Disquette قريص Document وثيقة



Dommage ضرر Donnée معطى Efficacité فعالية Environnement محيط Erreur غلط Expert-comptable خبير محاسب Fichier جدادية Fraude غش Habilitation لتأهي Hardware عتاد Identification مثابتة Image fidèle صورة أمينة Immobilisations مستعقرات Impact مأثر Imprimante طابعة Informatique معلومياتي Informatisation حوسبة Ingénerie هندسة Interface وجيهة Interruption إنقطاع Logiciel برنام Logiciel intégré برنام مندمج Maintenance إسطيان Malversation إختيان Matériel عتاد



Mesures de sécurité تدابير أمنية Micro-informatique معلوميات دقية Micro-ordinateur حاسوب دقي Micro-processeur دقي معلج Mini-ordinateur صغري حاسوب Mission مهمة Modem مسجاح Mot de passe سر آلمة Normes مواصفات Objectif هدف Obligation إلتزام Onduleur مموج Ordinateur حاسوب Organigramme تنظيمي هيكل Patrimoine المالية الدمة Prévention وقاية Processus سيرورة Protection حماية Risques المخاطر Saisie informatique معلومياتي مسك Sauvegarde حفظ Savoir-faire دراية Schéma directeur مديري تصميم Sécurité أمن Sensibilisation توعية



Service de sécurité األمان صلحةم SGBD المعطيات قاعدة تدبير نظام Signal d’alarme اإلندار إشارة Sinistre نكبة Software برنام Standard معياري Télétraitement بعدية معالجة Traitement informatique معلومية معالجة Traitement des données المعطيات معالجة Unité centrale آزيةمر وحدة

190 TABLE DES MATIERES

Table des matières Pages

INTRODUCTION GENERALE 1

PREMIERE PARTIE : Les risques informatiques et techniques de protection 7

INTRODUCTION 7

Chapitre 1 : Les risques informatiques : identification et moyens de maîtrise 10

1 Définitions et identification des risques informatiques 10

1.1 Définition du risque informatique 10

1.2 Identification des risques spécifiques à la micro-informatique 11

1.3 Le rôle de l’expert-comptable dans l’identification des risques 16

2 Classification des risques informatiques 17

2.1 Classification usuelle 18

2.2 Classification des risques de l’APSAIRD 19

3 La maîtrise des risques informatiques 20

3.1 Les moyens internes à l’entreprise 20

3.2 Les éléments extérieurs d’aide à la maîtrise des risques 24

Chapitre 2 : Les techniques de protection adaptées à la micro-informatique 27

1 Les techniques de sécurité assurant l’efficacité de l’environnement 27

micro-informatique

1.1 Les protections physiques 27

1.2 Les protections logiques 29

1.3 La protection des données 32

2 Les techniques de sécurité pour une information disponible 34

2.1 La disponibilité du matériel 34

2.2 La disponibilité des logiciels 35


Pages

2.3 La disponibilité des données : sauvegarde et archivage 37


3.1 Méthodes et normes de programmation 39

3.2 Elaboration et documentation 40

3.3 Règles d’exploitation des applications informatiques 41

3.4 Le contrôle des données à posteriori 43

Chapitre 3 : Impact réel et perception de la sécurité micro-informatique 45

dans les PME

1 Impact réel des risques sur le patrimoine et la pérennité des PME 45

1.1 Conséquences directes 45

1.2 Conséquences indirectes 45

1.3 Conséquences financières 46

2 Appréciation des risques micro-informatiques par les utilisateurs 47

2.1 Mise en place du questionnaire : finalités et règles d’élaboration 47

2.2 Résultats des enquêtes 50

2.3 Enseignements à tirer 52

3 Le rôle des professionnels dans la sensibilisation de l’entreprise 53

3.1 L’expert-comptable 53

3.2 Le commissaire aux comptes 55

CONCLUSION DE LA PREMIERE PARTIE 57


Pages

DEUXIEME PARTIE : Une approche d’audit de la sécurité micro-informatique 58

dans les PME

INTRODUCTION 58

Chapitre 1 : Audit de la sécurité informatique : les normes et référentiels 60

1 Les normes et référentiels marocains 60

1.1 La loi comptable et le droit fiscal 60

1.2 L’arsenal juridique 61

1.3 Le manuel des normes : Audit légal et contractuel 62

2 Les normes et référentiels internationaux 63

2.1 IFAC 63

2.2 SAC Report 65

2.3 COBIT : Control Objectives 69

3 Les recommandations de l’OECCA et de la CNCC : incidence de l’informatique 71

sur les missions d’audit

3.1 Les recommandations de l’OECCA 71

3.2 Les recommandations de la CNCC 72

Chapitre 2 : Méthodologie d’audit de la sécurité micro-informatique dans les PME 74

1 Déroulement de la mission 74

1.1 Prise de connaissance de l’entreprise et de son environnement micro-informatique 74

1.2 Analyse des risques 76

1.3 Evaluation du contrôle interne 78

2 Formulation des recommandations 81

2.1 Synthèse des dysfonctionnements : la note de synthèse et le rapport d’audit 81

2.2 La lettre de recommandations 83

2.3 Le suivi des recommandations 85


Pages

3 Particularités d’une mission d’audit de la sécurité micro-informatique 87

3.1 Les points communs aux différentes méthodes 87

3.2 Les particularités 88

3.3 Les possibilités d’application par l’expert-comptable 90

Chapitre 3 : Programme de travail et conduite de la mission par thème 93

1 Organisation micro-informatique et environnement de contrôle 93

1.1 Politique de sécurité 93

1.2 Organisation de la fonction informatique et définition des fonctions 94

1.3 Couverture des risques par l’assurance 96

2 Efficacité de l’environnement micro-informatique 97

2.1 La sécurité physique 97

2.2 La sécurité logique 98

2.3 La protection des données 99

3 Disponibilité de l’information 100

3.1 La disponibilité du matériel 100

3.2 La disponibilité des logiciels 101

3.3 La disponibilité des données : sauvegarde et archivage 102


4.1 Développement interne 103

4.2 Acquisition d’applications dites "du marché" 105


Pages

CONCLUSION DE LA DEUXIEME PARTIE 107

CONCLUSION GENERALE 108

BIBLIOGRAPHIE 111

ANNEXES 116

LEXIQUE EN ARABE 186

TABLES DES MATIERES 190

ANNEXES

ANNEXE 14

Nom du Cabinet : Questionnaire d'audit de la sécurité micro-informatique Société :Collaborateur : Date :

Inte

rloc

uteu

r

Rép

onse

(O, N

, N/A

)

Ris

que

(F, M

, E)

Réf

éren

ce P

T

1- Organisation micro-informatique et environnement de contrôle

Objectif de contrôle : Avoir l'assurance raisonnable que:

-L'utilisation de l'outil micro-informatique est efficace et adaptée à la stratégie de l'entreprise-La séparation de fonctions tant au sein du service informatique qu'entre informaticiens et utilisateurs est suffisante-Le système d'information répond aux besoins des l'activité et des différents utilisateurs

Travaux à effectuer :

1 Existe-t-il une politique de sécurité informatique découlant de la stratégie édictée par la direction générale? Si oui l'annexer auprésent questionnaire.

2 Une analyse des risques propres à la micro informatique a-t-elle été réalisée?3 La direction générale a-t-elle une perception suffisante des besoins de sécurité de son entreprise? (risques encourus, techniques

de protection existante, etc.)4 La politique de sécurité informatique définit-elle les outils d'administration de la sécurité et les infrastructures existantes?5 Existe-t-il au sein de l'entreprise un responsable sécurité? Si oui, quelle est sa position dans l'organigramme de la société?6 Le responsable sécurité dispose t-il de réel moyens pour garantir la sécurité du système informatique de l'entreprise?7 Les salariés de l'entreprise sont-ils sensibilisés aux besoins de sécurité de l'entreprise?8 Si oui, par quels moyens (affichages, notes de services, courrier électronique, etc.…)?9 La société a-t-elle contracté une assurance informatique adaptée aux risques encourus par sa micro informatique?

OBJECTIFS DE CONTRÔLE INTERNE / QUESTIONS

Page 1 de 8

ANNEXES

ANNEXE 14


Inte

rloc

uteu

r

Rép

onse

(O, N

, N/A

)

Ris

que

(F, M

, E)

Réf

éren

ce P

T


10 Existe-t-il des contrats de travail propres aux informaticiens et définissant la discrétion à observer en dehors des heures de travail,le délai de préavis à respecter, la clause relative à la formation, etc.…?

11 La structure de la cellule informatique est elle appropriée à la taille de l'entreprise? (obtenir le cas échéant copie organigramme)12 La séparation des fonctions à l'intérieur du département informatique est-elle adaptée à la taille de l'entreprise13 Les responsabilités de la fonction informatique sont-elles correctement définies et délimités? (l'informatique ne doit pas disposer

de tâches opérationnelles au sein de l'entreprise).14 Les utilisateurs sont-ils satisfaits des services rendus par le service informatique? (expliciter éventuellement les problèmes

rencontrés).15 Les utilisateurs bénéficient-ils de formations régulières à l'utilisation de l'outil micro informatique?

2- Efficacité de l'environnement micro-informatique (maîtrise des accès physiques et logiques)

Objectif de contrôle : Avoir l'assurance raisonnable que :

-Les risques de dégâts accidentels ou involontaires ainsi que les risques de vol de matériels et supports sont limités-Les données et programmes de l'entreprise ne peuvent pas faire l'objet d'accès non autorisés-S'assurer que l'environnement d'exploitation permet de garantir la confidentialité, l'intégrité et la fiabilité des systèmes informatiques


Page 2 de 8

ANNEXES

ANNEXE 14


Inte

rloc

uteu

r

Rép

onse

(O, N

, N/A

)

Ris

que

(F, M

, E)

Réf

éren

ce P

T


16 Les micro-ordinateur sont-ils protégés contre les risques d'incendie, d'inondation, de vol, etc.…?17 L'accès aux locaux de l'entreprise est-il convenablement contrôlé pour le personnel de nettoyage et personnel chargé de la

maintenance?18 Existe-t-il des contrôles mis en place afin de réduire le risque de vol de matériel ou support informatique?19 Est-il prévu un système de secours en cas de coupure du courant? (onduleurs, groupe électrogène, etc.…)20 Les onduleurs sont-ils contrôlés périodiquement? (état de la batterie)21 Les câblages réseaux sont-ils correctement isolés, protégés et répertoriés?22 Les utilisateurs sont-ils sensibilisés sur la fragilité de leur outil micro informatique?23 Existe-t-il un règlement intérieur spécifique aux risques incendie? (interdiction de fumer, évacuation, alerte des pompiers, etc.…)24 Existe-t-il des extincteurs mobiles dans la salle informatique et à proximité?25 Les supports papier et papier listings sont-ils stockés hors de la salle informatique?26 Les bureaux sont-ils fermés à clef en dehors des heures de travail ou en cas d'absence des utilisateurs?27 Les utilisateurs des ordinateurs portables sont-ils sensibilisés sur les menaces importantes pesant sur leur matériel?28 Existe-t-il une procédure formalisée en terme de déménagement ou de mouvements affectant le parc micro informatique?29 Les lecteurs disquettes des micro-ordinateurs ont-ils été désactivé?30 Les données et applications sensibles ont-elles été répertoriés?31 Les licences achetées sont-elles monopostes ou multipostes?32 Les dispositifs de contrôle d'accès permettent-ils d'identifier à l'aide de mots de passe les différents utilisateurs, d'assurer une

mise à jour des mots de passe, de laisser une trace des différents accès pour revue?33 Le responsable sécurité tient-il une liste à jour des droits d'utilisation aux différentes applications?34 L'accès aux applications est-il sécurisé au moyen de mots de passe?35 Le nombre de tentative d'accès aux applications est-il limité?

Page 3 de 8

ANNEXES

ANNEXE 14


Inte

rloc

uteu

r

Rép

onse

(O, N

, N/A

)

Ris

que

(F, M

, E)

Réf

éren

ce P

T


36 Chaque profil utilisateur est-il configuré en fonction de droits d'habilitation?37 Le responsable informatique dispose-t-il des définitions des autorisations d'accès par utilisateur?38 Existe-t-il un norme interne pour le format des mots de passe (longueur, syntaxe? etc.…)?39 Les mots de passe sont-ils changés régulièrement?40 Les mots de passe s'affichent-ils à l'écran lors de la saisie?41 Les utilisateurs sont-ils sensibilisés sur l'importance du caractère confidentiel des mots de passe?42 Les utilisateurs peuvent-ils matériellement respecter le principe de confidentialité des mots de passe dans le contexte de

l'entreprise? (problème séparation de fonctions, problème posé par les congés, etc.…)43 Lors du départ définitif d'un employé, les habilitations et mots de passe sont-ils modifiés?44 L'utilisation de données en provenance de l'extérieur (CD-Rom, disquette, fichiers, etc.…) est-elle strictement réglementée?45 La connexion à des réseaux externes à l'entreprise (Internet) est-elle réglementée?46 En cas d'accès réseau partagé, existe-t-il un serveur proxy?47 Y a-t-il une restriction des sites?48 Existe-t-il des barrières de feux (fire-walls)?49 En cas d'accès mono, existe-t-il une liste des utilisateurs ayant droit à Internet?50 Le partage des fichiers sur le PC frontal est-il actif?51 Y a-t-il un anti-virus Web?52 Les utilisateurs sont-ils sensibilisés sur les risques que les virus font courir à la société?53 La société utilise-t-elle un logiciel anti-virus?54 Chaque micro ordinateur dispose t-il d'un logiciel anti-virus?55 Ce logiciel est-il réputé? Est-il à jour?

Page 4 de 8

ANNEXES

ANNEXE 14


Inte

rloc

uteu

r

Rép

onse

(O, N

, N/A

)

Ris

que

(F, M

, E)

Réf

éren

ce P

T


56 Le logiciel anti-virus est-il toujours activé sur chaque micro ordinateur?57 Le responsable informatique contrôle-t-il inopinément que le logiciel anti-virus n'est pas désactivé par les utilisateurs?

4- Disponibilité de l'information

Objectif de contrôle : Avoir l'assurance raisonnable que :

-L'intégrité et la sécurité des matériels et logiciels sont assurées de manière satisfaisante-Tout risque d'intérruption est limité et l'activité peut être poursuivie dans un délai acceptable


58 Y a-t-il un inventaire permanent du parc de micro ordinateurs?59 Le parc micro informatique est-il cohérent, homogène?60 Existe-t-il une politique d'investissement centralisée?61 Le matériel est-il testé avant d'être installé?62 Les extensions de garantie sont-elles systématiquement choisies au moment de l'achat?63 Les matériels achetés sont-ils de marques réputés? (ou clones).64 Les mises à jours des logiciels systèmes sont-elles convenablement testées et validées préalablement à leur installation?65 S'assure t-on de la compatibilité des matériels achetés avec les matériels et logiciels déjà utilisés?66 Les achats de logiciels et matériels sont-ils soumis à une procédure d'autorisation appropriée?67 Si la maintenance est assurée en interne, le responsable informatique a-t-il les compétences suffisantes en micro informatique?

Page 5 de 8

ANNEXES

ANNEXE 14


Inte

rloc

uteu

r

Rép

onse

(O, N

, N/A

)

Ris

que

(F, M

, E)

Réf

éren

ce P

T


68 La société dispose t-elle d'un stock de dépannage en matière de pièce de rechange des micro informatiques et des périphériques?69 Si la maintenance est réalisée en externe, existe-t-il un contrat écrit entre la société et le prestataire de service?70 Les délais d'intervention et de réparation sont-ils adaptés aux impératifs de la société?71 Les prestations couvertes sont -elles adaptés aux systèmes informatiques?72 Les logiciels utilisés sont-ils réputés?73 les logiciels utilisés sont-ils homogènes? (même éditeurs ou canaux de distribution).74 Quelle est la fréquence des pannes?75 Existe-t-il un journal récapitulatif des incidents?76 La société dispose t-elle d'un copie de secours de tous les logiciels utilisés?77 Veille-t-on régulièrement à ce que la capacité des disques durs ne soit pas proche de la saturation?78 Existe-t-il des procédures permettant la sauvegarde régulière des fichiers et logiciels?79 La procédure de sauvegarde concerne-t-elle également l'archivage?80 La procédure de sauvegarde prévoit-elle le type de sauvegarde utilisé? (incrémentale, par volume, par fichiers).81 Si oui, le nombre et la fréquence des sauvegardes sont-ils suffisants?82 Existe-t-il une procédure de sauvegarde des fichiers personnels? Quel est le support utilisé? Quid centralisation des sauvegardes?83 Si oui, le responsable informatique assiste-t-il les utilisateurs dans la gestion de leur sauvegarde?84 Les sauvegardes sont elles conservées dans un endroit sécurisé (en dehors du site)?85 Le dernier jeu de sauvegardes est-il facilement accessible? Est-il placé en lieu sûr? (coffre ignufigé fermant à clef)86 Existe-t-il une procédure permettant le test de relecture des sauvegarde? Et permettant le suivi et la localisation des supports de

sauvegarde?87 Si oui, les supports de sauvegarde / archivage sont-ils testés régulièrement?88 L'utilisation de support de stockage étranger à l'entreprise est-il strictement interdit?

Page 6 de 8

ANNEXES

ANNEXE 14


Inte

rloc

uteu

r

Rép

onse

(O, N

, N/A

)

Ris

que

(F, M

, E)

Réf

éren

ce P

T


89 Existe-t-il un plan de secours adapté et documenté?90 Si oui, permet-il le redémarrage de l'activité dans un délai raisonnable?91 Le plan de back-up prévoit-il notamment le temps de reprise, les traitements back-up, les actions consécutives au test, la

restitution des données et programmes sauvegardées, etc…?

4- Sécurité des études et développements d'applications informatiques

Objectif de contrôle : Avoir l'assurance raisonnable que:

-Les systèmes fonctionnent correctement, qu'ils sont fiables et maîtrisables et qu'ils répondent aux besoins des utilisateurs-Des contrôles d'intégrité sur les données (applicable aux progiciels, applications développées en interne ou par recours à une SSII)-Tous les développements ou modifications d'applications informatiques sont autorisés, testés et documentés


92 Une méthodologie appropriée est-elle utilisée pour les développements internes et les modifications de programmes?93 Les conditions de support et de maintenance des progiciels sont-elles satisfaisantes?

Page 7 de 8

ANNEXES

ANNEXE 14


Inte

rloc

uteu

r

Rép

onse

(O, N

, N/A

)

Ris

que

(F, M

, E)

Réf

éren

ce P

T


94 Existe-t-il des contrôles appropriés lors de la mise en production de nouvelles versions de programmes?95 Le responsable informatique s'assure-t-il de l'adéquation du produit final au cahier des charges élaboré lors des phases d'étude

d'opportunité et la spécifications des besoins?96 Les systèmes informatiques et les programmes sont-ils suffisamment documentés?97 Les modifications de programmes font-elles l'objet d'autorisation? Sont-elles convenablement testés par les utilisateurs?98 La maintenance pour la correction de problèmes ou l'adjonction de nouvelles fonctionnalités est-elle appropriée?99 La qualité et la rentabilité des développements externes sont-elles correctement suivies et évalués?

100 La société veille-t-elle à ce que les supports d'origine soient livrés avec le matériel pour les logiciels préinstallés?

Page 8 de 8