Accueil🇫🇷Chercher

Audit informatique

L'audit informatique (en anglais Information Technology Audit ou IT Audit) a pour objectif d’identifier et d’évaluer les risques (opérationnels, financiers, de réputation notamment) associés aux activités informatiques d'une entreprise ou d'une administration. À cette fin, l’audit va se baser sur le cadre réglementaire du secteur d’activité du pays concerné (exemple le CRBF 97-02 pour une banque française), sur les référentiels de bonnes pratiques existants (exemple le référentiel CobiT), sur les benchmarks à disposition et sur l’expérience professionnelle des auditeurs impliqués.

Il existe deux grandes catégories d’audit. La première comporte les audits globaux d'entité durant lesquels toutes les activités ayant trait aux systèmes d’informations sont évaluées. La seconde catégorie correspond aux audits thématiques, ayant pour objectif la revue d’un thème informatique au sein d’une entité (la gestion de projet, la sécurité logique par exemple).

L’audit n’est pas à confondre avec l’activité de conseil qui vise, de manière générale, à améliorer le fonctionnement et la performance d'une organisation avec une éventuelle implication dans la mise en œuvre de cette amélioration. Ces deux activités, audit et conseil, ne peuvent être exercées pour une entité donnée par les mêmes acteurs afin de ne pas créer une situation favorable aux conflits d’intérêts.

Les concepts de base de l'audit informatique

La notion de contrôle est au cœur de la démarche d'audit informatique. L'objectif est de mettre en place des dispositifs de contrôle efficaces et performants permettant de maîtriser efficacement l'activité informatique. Le contrôle interne est un processus mis en œuvre à l'initiative des dirigeants de l'entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :

  1. la conformité aux lois et aux règlements,
  2. la fiabilité des informations financières,
  3. la réalisation et l'optimisation des opérations....

Il est évident que l'audit informatique s'intéresse surtout au troisième objectif.

La démarche d'audit informatique se définit à partir des préoccupations du demandeur d'audit qui peut être le directeur général, le directeur informatique, le directeur financier,… Il va pour cela mandater l'auditeur pour répondre à une liste de questions précises qui font, plus ou moins implicitement, référence à l'état des bonnes pratiques connues dans ce domaine. Cela se traduit par un document important : la lettre de mission qui précise le mandat à exécuter et qui donne les pouvoirs nécessaires à l'auditeur.

Celui-ci va ensuite s'attacher à relever des faits puis il va mener des entretiens avec les intéressés concernés. Il va ensuite s'efforcer d'évaluer ses observations par rapport à des référentiels largement reconnus. Sur cette base il va proposer des recommandations.

L'auditeur informatique va se servir de référentiels d'audit informatique lui donnant l'état des bonnes pratiques dans ce domaine. Le référentiel de base est CobiT: Control Objectives for Information and related Technology. Mais il va aussi utiliser d'autres référentiels comme : CobiT, ISO 27002, CMMi, ITIL, Val IT, Risk IT …

Différents types d'audit informatique

La démarche d'audit informatique est générale et s'applique à différents domaines comme la fonction informatique, les études informatiques, les projets informatiques, l'exploitation, la planification de l'informatique, les réseaux et les télécommunications, la sécurité informatique, les achats informatiques, l'informatique locale ou l'informatique décentralisée, la qualité de service, l'externalisation, la gestion de parc, les applications opérationnelles… Ci-dessous une présentation succincte des audits informatiques les plus fréquents.

Audit de la fonction informatique

Le but de l'audit de la fonction informatique est de répondre aux préoccupations de la direction générale ou de la direction informatique concernant l'organisation de la fonction informatique, son pilotage, son positionnement dans la structure, ses relations avec les utilisateurs, ses méthodes de travail…

Pour effectuer un audit de la fonction informatique on se base sur les bonnes pratiques connues en matière d'organisation de la fonction informatique. Elles sont nombreuses et bien connues, parmi celles-ci on peut citer :

  • la clartĂ© des structures et des responsabilitĂ©s de l'Ă©quipe informatique,
  • la dĂ©finition des relations entre la direction gĂ©nĂ©rale, les directions fonctionnelles et opĂ©rationnelles et la fonction informatique,
  • l'existence de dispositifs de mesures de l'activitĂ© et notamment d'un tableau de bord de la fonction informatique,
  • le niveau des compĂ©tences et des qualifications du personnel de la fonction.

Il existe de nombreuses autres bonnes pratiques concernant la fonction informatique. L'audit de la fonction se base sur ces pratiques dans le but d'identifier un certain nombre d'objectifs de contrĂ´le comme :

  • le rĂ´le des directions fonctionnelles et opĂ©rationnelles dans le pilotage informatique et notamment l'existence d'un comitĂ© de pilotage de l'informatique,
  • la mise en Ĺ“uvre de politiques, de normes et de procĂ©dures spĂ©cifiques Ă  la fonction,
  • la dĂ©finition des responsabilitĂ©s respectives de la fonction informatique et des unitĂ©s utilisatrices concernant les traitements, la maintenance, la sĂ©curitĂ©, les investissements, les dĂ©veloppements,….
  • l'existence de mĂ©canismes permettant de connaĂ®tre et de suivre les coĂ»ts informatiques, soit Ă  l'aide d'une comptabilitĂ© analytique, soit, Ă  dĂ©faut, grâce Ă  un mĂ©canisme de refacturation,
  • le respect des dispositifs de contrĂ´le interne comme une Ă©valuation pĂ©riodique des risques, la mesure de l'impact de l'informatique sur les performances de l'entreprise…

Ces différents objectifs de contrôle correspondent au processus PO 4 de CobiT : "Définir les processus, l'organisation et les relations de travail".

Audit des Ă©tudes informatiques

L'audit des études informatiques est un sous-ensemble de l'audit de la fonction informatique. Le but de cet audit est de s'assurer que son organisation et sa structure sont efficaces, que son pilotage est adapté, que ses différentes activités sont maîtrisées, que ses relations avec les utilisateurs se déroulent normalement,…

Pour effectuer un audit des études informatiques on se base sur la connaissance des bonnes pratiques recensées dans ce domaine. Elles sont nombreuses et connues par tous les professionnels. Parmi celles-ci on peut citer :

  • l'organisation de la fonction Ă©tudes en Ă©quipes, le choix des personnes et leur formation, leurs responsabilitĂ©s … ;
  • la mise en place d'outils et de mĂ©thodes adaptĂ©s notamment une claire identification des tâches, des plannings, des budgets, des dispositifs de suivi des Ă©tudes, un tableau de bord… ;
  • le contrĂ´le des diffĂ©rentes activitĂ©s qui ne peuvent pas ĂŞtre planifiĂ©es comme les petits projets, les projets urgents… ;
  • la mise sous contrĂ´le de la maintenance des applications opĂ©rationnelles ;
  • le suivi des activitĂ©s d'Ă©tudes Ă  partir de feuilles de temps.

Il existe de nombreuses autres bonnes pratiques concernant les études informatiques. Pour l'auditer on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de contrôle comme :

  • l'Ă©valuation de l'organisation de la fonction d'Ă©tudes informatiques et notamment la manière dont sont planifiĂ©es les diffĂ©rentes activitĂ©s d'Ă©tudes ;
  • le respect de normes en matière de documentation des applications et notamment la dĂ©finition des documents Ă  fournir avec les diffĂ©rents livrables prĂ©vues ;
  • le contrĂ´le de la sous-traitance notamment la qualitĂ© des contrats, le respect des coĂ»ts et des dĂ©lais, la qualitĂ© des livrables… ;
  • l'Ă©valuation de la qualitĂ© des livrables fournis par les diffĂ©rentes activitĂ©s d'Ă©tudes qui doivent ĂŞtre testables et vĂ©rifiables ;

Il existe de nombreux autres objectifs de contrôle concernant les études informatiques et ils sont choisis en fonction des préoccupations du demandeur d'audit.

Audit de l'exploitation

L'audit de l'exploitation a pour but de s'assurer que le ou les différents centres de production informatiques fonctionnent de manière efficace et qu'ils sont correctement gérés. Il est pour cela nécessaire de mettre en œuvre des outils de suivi de la production comme Openview d'HP, de Tivoli d'IBM,… Il existe aussi un système Open Source de gestion de la production comme Nagios. Ce sont de véritables systèmes d'information dédiés à l'exploitation.

Pour effectuer un audit de l'exploitation on se base sur la connaissance des bonnes pratiques concernant ce domaine comme :

  • la clartĂ© de l'organisation de la fonction notamment le dĂ©coupage en Ă©quipes, la dĂ©finition des responsabilitĂ©s,…
  • l'existence d'un système d'information dĂ©diĂ© Ă  l'exploitation notamment pour suivre la gestion des incidents, la gestion des ressources, la planification des travaux, les procĂ©dures d'exploitation,…
  • la mesure de l'efficacitĂ© et de la qualitĂ© des services fournies par l'exploitation informatique.

Il existe de nombreuses autres bonnes pratiques concernant l'exploitation informatique. Pour effectuer cet audit on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de contrôle comme :

  • la qualitĂ© de la planification de la production,
  • la gestion des ressources grâce Ă  des outils de mesure de la charge, des simulations, le suivi des performances,…
  • l'existence de procĂ©dures permettant de faire fonctionner l'exploitation en mode dĂ©gradĂ© de façon Ă  faire face Ă  une indisponibilitĂ© totale ou partielle du site central ou du rĂ©seau,
  • la gestion des incidents de façon Ă  les repĂ©rer et le cas Ă©chĂ©ant d'empĂŞcher qu'ils se renouvellent,
  • les procĂ©dures de sĂ©curitĂ© et de continuitĂ© de service qui doivent se traduire par un plan de secours,
  • la maĂ®trise des coĂ»ts de production grâce Ă  une comptabilitĂ© analytique permettant de calculer les coĂ»ts complets des produits ou des services fournis.

Ces différents objectifs de contrôle correspondent au processus DS 1, DS 3, DS 6, DS 12 et DS 13 de CobiT : DS 1 "Définir et gérer les niveaux de services", DS 3 "Gérer la performance et la capacité", DS 6 "Identifier et imputer les coûts", DS 12 "Gérer l'environnement physique", DS 13 "Gérer l'exploitation".

Audit des projets informatiques

L'audit des projets informatiques est un audit dont le but est de s'assurer qu'il se déroule normalement et que l'enchaînement des opérations se fait de manière logique et efficace de façon qu'on ait de fortes chances d'arriver à la fin de la phase de développement à une application qui sera performante et opérationnelle. Comme on le voit un audit d'un projet informatique ne se confond pas avec un audit des études informatiques.

Pour effectuer un audit d'un projet informatique on se base sur la connaissance des bonnes pratiques connues en ce domaine. Elles sont nombreuses et connues par tous les chefs de projets et de manière plus générale par tous professionnels concernés. Parmi celles-ci on peut citer :

  • l'existence d'une mĂ©thodologie de conduite des projets,
  • la conduite des projets par Ă©tapes quel que soit le modèle de gestion de projets : cascade, V, W ou en spirale (processus itĂ©ratif),
  • le respect des Ă©tapes et des phases du projet,
  • le pilotage du dĂ©veloppement et notamment les rĂ´les respectifs du chef de projet et du comitĂ© de pilotage,
  • la conformitĂ© du projet aux objectifs gĂ©nĂ©raux de l'entreprise,
  • la mise en place d'une note de cadrage, d'un plan de management de projet ou d'un plan de management de la qualitĂ©,
  • la qualitĂ© et la complĂ©tude des Ă©tudes amont : Ă©tude de faisabilitĂ© et analyse fonctionnelle,
  • l'importance accordĂ©e aux tests, notamment aux tests faits par les utilisateurs.

Il existe de nombreuses autres bonnes pratiques concernant la gestion de projet. Pour effectuer un audit d'un projet informatique on va se baser sur un certain nombre d'objectifs de contrĂ´le comme :

  • la clartĂ© et l'efficacitĂ© du processus de dĂ©veloppement,
  • l'existence de procĂ©dures, de mĂ©thodes et de standards donnant des instructions claires aux dĂ©veloppeurs et aux utilisateurs,
  • la vĂ©rification de l'application effective de la mĂ©thodologie,
  • la validation du pĂ©rimètre fonctionnel doit ĂŞtre faite suffisamment tĂ´t dans le processus de dĂ©veloppement,
  • la gestion des risques du projet. Une Ă©valuation des risques doit ĂŞtre faite aux Ă©tapes clĂ©s du projet.

Il existe de nombreux autres objectifs de contrôle possibles concernant l'audit de projet informatique qui sont choisis en fonction des préoccupations et des attentes du demandeur d'audit.

Ces différents objectifs de contrôle correspondent aux processus PO 10, AI 1 et AI 2 de CobiT : PO 10 "Gérer le projet" mais aussi AI 1 "Trouver des solutions informatiques" et AI 2 "Acquérir des applications et en assurer la maintenance".

Audit des applications opérationnelles

Les audits précédents sont des audits informatiques, alors que l'audit d'applications opérationnelles couvre un domaine plus large et s'intéresse au système d'information de l'entreprise. Ce sont des audits du système d'information. Ce peut être l'audit de l'application comptable, de la paie, de la facturation,…. Mais, de plus en plus souvent, on s'intéresse à l'audit d'un processus global de l'entreprise comme les ventes, la production, les achats, la logistique,…

Il est conseillé d'auditer une application de gestion tous les deux ou trois ans de façon à s'assurer qu'elle fonctionne correctement et, le cas échéant pouvoir apporter les améliorations souhaitable à cette application ou à ce processus. L'auditeur va notamment s'assurer du respect et de l'application des règles de contrôle interne. Il va en particulier vérifier que :

  • les contrĂ´les en place sont opĂ©rationnels et sont suffisants,
  • les donnĂ©es saisies, stockĂ©es ou produites par les traitements sont de bonne qualitĂ©,
  • les traitements sont efficaces et donnent les rĂ©sultats attendus,
  • l'application est correctement documentĂ©e,
  • les procĂ©dures mises en Ĺ“uvre dans le cadre de l'application sont Ă  jour et adaptĂ©es,
  • l'exploitation informatique de l'application se fait dans de bonnes conditions,
  • la fonction ou le processus couvert par l'application est efficace et productif,
  • …

Le but de l'audit d'une application opérationnelle est de donner au management une assurance raisonnable sur son fonctionnement. Ces contrôles sont, par exemple, réalisés par le Commissaire aux Comptes dans le cadre de sa mission légale d'évaluation des comptes d'une entreprise : est-ce que le logiciel utilisé est sûr, efficace et adapté ?

Pour effectuer l'audit d'une application opérationnelle on va recourir aux objectifs de contrôle les plus courants :

  • le contrĂ´le de la conformitĂ© de l'application opĂ©rationnelle par rapport Ă  la documentation utilisateur, par rapport au cahier des charges d'origine, par rapport aux besoins actuels des utilisateurs,
  • la vĂ©rification des dispositifs de contrĂ´le en place. Il doit exister des contrĂ´les suffisants sur les donnĂ©es entrĂ©es, les donnĂ©es stockĂ©es, les sorties, les traitements,… L'auditeur doit s'assurer qu'ils sont en place et donnent les rĂ©sultats attendus,
  • l'Ă©valuation de la fiabilitĂ© des traitements se fait grâce Ă  l'analyse des erreurs ou des anomalies qui surviennent dans le cadre des opĂ©rations courantes. Pour aller plus loin l'auditeur peut aussi ĂŞtre amenĂ© Ă  constituer des jeux d'essais pour s'assurer de la qualitĂ© des traitements. Il est aussi possible d'effectuer des analyses sur le contenu des principales bases de donnĂ©es afin de dĂ©tecter d'Ă©ventuelles anomalies,
  • la mesure des performances de l'application pour s'assurer que les temps de rĂ©ponse sont satisfaisants mĂŞme en pĂ©riode de forte charge. L'auditeur va aussi s'intĂ©resser au nombre d'opĂ©rations effectuĂ©es par le personnel dans des conditions normales d'utilisation.

Très souvent on demande à l'auditeur d'évaluer la régularité, la conformité, la productivité, la pérennité de l'application opérationnelle. Ce sont des questions délicates posées par le management à l'auditeur.

Audit de la sécurité informatique

L'audit de la sécurité informatique a pour but de donner au management une assurance raisonnable du niveau de risque de l'entreprise lié à des défauts de sécurité informatique. En effet, l'observation montre que l'informatique représente souvent un niveau élevé de risque pour l'entreprise. On constate actuellement une augmentation de ces risques liée au développement d'Internet. Ils sont liés à la conjonction de quatre notions fondamentales :

  1. en permanence il existe des menaces significatives concernant la sécurité informatique de l'entreprise et notamment ses biens immatériels,
  2. le facteur de risque est une cause de vulnérabilité due à une faiblesse de l'organisation, des méthodes, des techniques ou du système de contrôle,
  3. la manifestation du risque. Tôt ou tard le risque se manifeste. Il peut être physique (incendie, inondation) mais la plupart du temps il est invisible et se traduit notamment par la destruction des données, l'indisponibilité du service, le détournement de trafic,..
  4. la maîtrise du risque. Il s'agit de mettre en place des mesures permettant de diminuer le niveau des risques notamment en renforçant les contrôle d'accès, l'authentification des utilisateurs,…

Pour effectuer un audit de sécurité informatique il est nécessaire de se baser sur quelques objectifs de contrôle. Les plus courants sont :

  • repĂ©rer les actifs informationnels de l'entreprise. Ce sont des matĂ©riels informatiques, des logiciels et des bases de donnĂ©es. Il est pour cela nĂ©cessaire d'avoir des procĂ©dures de gestion efficaces et adaptĂ©es,
  • identifier les risques. Il doit exister des dispositifs de gestion adaptĂ©s permettant de surveiller les domaines Ă  risque. Cette surveillance doit ĂŞtre assurĂ©e par un RSSI, un responsable de la sĂ©curitĂ© informatique,
  • Ă©valuer les menaces. Le RSSI a la responsabilitĂ© de repĂ©rer les principaux risques liĂ©s aux diffĂ©rents domaines du système d'information. Un document doit recenser les principales menaces,
  • mesurer les impacts. Le RSSI doit Ă©tablir une cartographie des risques associĂ©s au système d'information. Il est alors envisageable de construire des scĂ©narios d'agression et d'Ă©valuer les points de vulnĂ©rabilitĂ©,
  • dĂ©finir les parades. Pour diminuer le niveau des risques il est nĂ©cessaire de prĂ©voir les dispositifs comme des contrĂ´les d'accès, le chiffrement des donnĂ©es, le plan de secours,…

Il existe de nombreux autres objectifs de contrôle concernant l'audit de la sécurité informatique qui sont choisis en fonction des préoccupations et des attentes du demandeur d'audit.

Ces différents objectifs de contrôle correspondent aux processus de CobiT DS 5 : "Assurer la sécurité des systèmes" et PO 9 "Evaluer et gérer les risques". Il existe un référentiel spécifique à la sécurité informatique : ISO 27002. C'est un code des bonnes pratiques concernant le management de la sécurité des systèmes d'information. Il est complété par la norme ISO 27001 concernant la mise en place d'un Système de Management de la sécurité de l'Information.

Voir audit de sécurité

DĂ©marche d'audit informatique

Une mission d'audit informatique se prépare. Il convient de déterminer un domaine d'études pour délimiter le champ d'investigation. En ce sens il est conseillé d'effectuer un pré-diagnostic afin de préciser les questions dont l'audit va traiter. Cela se traduit par l'établissement d'une lettre de mission détaillant les principaux points à auditer.

Pour mener à bien l'audit informatique il est recommandé de suivre six étapes suivantes :

  1. l'établissement de la lettre de mission. Ce document est rédigé et signé par le demandeur d'audit et permet de mandater l'auditeur. Il sert à identifier la liste des questions que se posent le demandeur d'audit. Très souvent l'auditeur participe à sa rédaction.
  2. la planification de la mission permet de définir la démarche détaillée qui sera suivie. Elle va se traduire par un plan d'audit ou une proposition commerciale. Ce document est rédigé par l'auditeur et il est soumis à la validation du demandeur d'audit. Une fois le consensus obtenu il est possible de passer à la troisième étape,
  3. la collecte des faits, la réalisation de tests, … Dans la plupart des audits c'est une partie importante du travail effectué par les auditeurs. Il est important d'arriver à dégager un certain nombre de faits indiscutables,
  4. les entretiens avec les audités permettent de compléter les faits collectés grâce à la prise en compte des informations détenues par les opérationnels. Cette étape peut être délicate et compliquée. Souvent, les informations collectées auprès des opérationnels ressemblent plus à des opinions qu'à un apport sur les faits recherchés,
  5. la rédaction du rapport d'audit est un long travail qui permet de mettre en avant des constatations faites par l'auditeur et les recommandations qu'il propose,
  6. la présentation et la discussion du rapport d'audit au demandeur d'audit, au management de l'entreprise ou au management de la fonction informatique.

Il peut arriver qu'à la suite de la mission d'audit il soit demandé à l'auditeur d'établir le plan d'action et éventuellement de mettre en place un suivi des recommandations.

Le non-respect de cette démarche peut entrainer une mauvaise réalisation et mise en place d'outils qui ne sont pas conformes aux réels besoins de l'entreprise.

Cette démarche est essentielle pour l'auditeur car il lui apporte des éléments fondamentaux pour le déroulement de sa mission mais celle-ci est encore plus bénéfique pour l'organisation. En effet, les acteurs audités ne sont pas passifs. Ils sont amenés à porter une réflexion sur leurs méthodes de travail et à s’intéresser au travail des autres acteurs de l'entité. Cela conduit à une cohésion d'équipe et à un apprentissage organisationnel. Il s'agit d'un facteur positif car en cas de changement les acteurs seront moins réticents.

Les référentiels d'audit informatique

Il existe différents référentiels comme :

  • CobiT : Control Objectives for Information and related Technology. C'est le principal rĂ©fĂ©rentiel des auditeurs informatiques,
  • Val IT permet d'Ă©valuer la crĂ©ation de valeur par projet ou par portefeuille de projets,
  • Risk IT a pour but d'amĂ©liorer la maĂ®trise des risques liĂ©s Ă  l'informatique (Voir page en anglais Risk IT),
  • CobiT and Applications Controls.

L'ISACA (Information Systems Audit & Control Association) qui est l'association internationale des auditeurs informatiques (notamment pour son corpus normatif et son knowledge center) et l'AFAI (Association Française de l'Audit et du conseil Informatique), qui est le chapitre français de l'ISACA, fournissent de nombreux supports.

Mais on peut aussi utiliser d'autres référentiels comme :

  • ISO 27002 qui est un code des bonnes pratiques en matière de management de la sĂ©curitĂ© des systèmes d'information,
  • CMMi : Capability Maturity Model integration qui est une dĂ©marche d'Ă©valuation de la qualitĂ© de la gestion de projet informatique,
  • ITIL qui est un recueil des bonnes pratiques concernant les niveaux et de support des services informatiques.

La certification des auditeurs informatiques

On pourrait imaginer une certification des directions informatique ou des applications informatiques. Cela n'existe pas. Il existe par contre une certification de la qualité des projets informatiques : CMMI. En matière de qualité de service fournie par l'exploitation il y a la certification sur la norme ISO 20000 qui est un sous-ensemble d'ITIL.

Il existe par contre une procédure de certification des outsourceurs : SAS 70, Statement on Auditing Standards n°70. Cette norme a été créée par l'American Institute of Certified Public Accountants (AICPA) pour éviter à ces organismes de devoir supporter successivement plusieurs audits informatiques sur des sujets voisins. Ce sont des audits réalisés par des tiers et vont s'assurer que les processus mis en œuvre offrent la qualité du service attendue.

La norme SAS 70 a été remplacée depuis par la norme ISAE 3402 (International Standards for Assurance Engagement) entrée en vigueur le . Il s'agit d'une extension de SAS 70 qui définit les standards qu'un auditeur doit suivre pour évaluer les contrôles internes contractuels d'un organisme de service.

En matière d'audit informatique on certifie les auditeurs informatiques. La certification de rĂ©fĂ©rence est le CISA, Certified Information Systems Auditor. C'est une certification professionnelle internationale. Elle est organisĂ©e par l'ISACA depuis 1978. En France elle est passĂ©e depuis 1989. Ă€ ce jour dans le monde 75 000 personnes ont le CISA dont plus de 1 000 en France. L'examen peut ĂŞtre passĂ© trois fois par an : en juin, en septembre et en dĂ©cembre, dans 11 langues diffĂ©rentes et dans 200 villes dans le monde. Il faut rĂ©pondre Ă  200 questions Ă  choix multiples en 4 heures portant sur l'audit et l'informatique. L'examen porte sur 6 domaines :

  1. les processus d'audit des systèmes d'information,
  2. la gouvernance IT,
  3. la gestion du cycle de vie des systèmes et de l'infrastructure,
  4. la fourniture et le support des services,
  5. la protection des avoirs informatiques,
  6. le plan de continuité et le plan de secours informatique

Il existe aussi une deuxième certification des auditeurs informatiques de référence depuis 2003. il s'agit d'une certification professionnelle pour les managers en sécurité de l'information : le CISM (Certified Information Security Manager) délivrée également par l'ISACA.

Le programme de la certification est composé de 5 chapitres de la sécurité de l'information :

  1. La gouvernance de la sécurité de l'information
  2. La gestion des risques de l'information
  3. L'implémentation d'un programme de sécurité de l'information
  4. La gestion d'un programme de sécurité de l'information
  5. La gestion des incidents de sécurité de l'information.

À ces certifications proposées par l'ISACA, d'autres certifications peuvent s'ajouter à la panoplie de l'auditeur informatique, notamment le CISSP sur la sécurité informatique, la certification ISO27001 lead auditor, les certifications sur ITIL, Prince2, CobIT, etc. Enfin, l'obtention du CISA permet de bénéficier d'un module de la certification CIA de l'Institute of Internal Auditors (IIA), administrée en France par l'IFACI.

Notes et références

    Voir aussi

    Articles connexes

    Liens externes

    Bibliographie
    • CobiT version 4.1 : Control Objectives for Information and related Technology, Edition française faite par l'AFAI (ISBN 2-915007-09-8)
    • Guide d'audit des systèmes d'information, Edition française faite par l'AFAI
    • Manuel de prĂ©paration CISA couramment appelĂ© le CISA Review Manual. Il est Ă©ditĂ© dans plusieurs langues. Il existe une version en français, ISACA,
    • Information Technology Control and Audit, de Gallegos, Manson et Allen-Senft, ISACA
    Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.