Maîtriser les risques informatiques

Véritable épine dorsale de l’activité de l'entreprise, le système d’information est composé de l'ensemble des logiciels et matériels participant au stockage, à la gestion, au traitement, au transport et à la diffusion de l'information au sein de l'organisation.  Le système d’information représente aujourd'hui un  levier de performance et de compétitivité pour les organisations.

L'audit informatique ou encore appelé audit des systèmes d'information consiste à évaluer les risques d'un environnement informatique ou d'une application supportant un processus métier (sécurité physique, sécurité logique, gestion des changements, supervision de l'exploitationdu plan de secours ...). Les risques identifiés par l'audit font l'objet de recommandations permettant de les maîtriser.

Notre accompagenement s'articule autour des offres de services suivantes : 

  • Revue de l'environnement de contrôle informatique et des contrôles généraux informatiques - ITGC
  • Revue ciblée de processus et tests des contrôles de détection et préventifs embarqués dans les applications - ITAC
  • Formaliation de procédures internes ( PSSI, charte informatique, politique de gestion des habilitations ...)
  • Formation et sensibilisation sur la sécurité informatique
  • Renforcement de l’activité d’audit et de contrôle interne informatique par la mise à disposition d'auditeurs expérimentés et certifiés
  • Support aux missions du commissaire aux comptes
  • Définition et mise en place de plans d'action repondant aux recommandations des commissaires aux comptes

Revue des Contrôles généraux informatiques

La revue des contrôles généraux informatiques permet d’appréhender l’environnement de contrôle interne relatif à une application, ou à un ensemble d’applications, supportant les processus métiers et l’information comptable et financière.

Les points de contrôles sont issus du référentiel COBIT (référentiel de gouvernance des systèmes d’information et de gestion des risques) qui constitue un cadre de contrôle, fondé sur un ensemble de bonnes pratiques, qui vise à aider les directions à gérer les risques (sécurité, fiabilité, conformité) et les investissements. 

Les contrôles clés sont analysés pour les applications qui doivent garantir l'intégrité des données financières et pour l’infrastructure (système d’exploitation et base de données). 

Les contrôles clés visent à identifier les axes d’amélioration de l’organisation informatique par rapport aux référentiels de bonnes pratiques, et portent sur les domaines suivants :

  • L’accès aux applications, aux systèmes et aux données,
  • Le niveau de sécurité et de séparation des tâches au sein des applications
  • La gestion des changements (suivi des évolutions des composants du SI, qu’ils soient applicatifs ou relatifs à l’infrastructure),
  • La gestion des développements et des acquisitions de nouveaux systèmes,
  • La gestion de l’exploitation (suivi des traitements et tâches relatives au maintien en condition opérationnelle du SI, y compris l’analyse et le suivi des incidents relevés et des problèmes),
  • Le Plan de Reprise d’Activité (PRA) et les mécanismes en place concourant à assurer la continuité d’activité

tests des contrôles applicatifs

 L’amélioration du contrôle interne informatique au sein des processus et des applications qui les supportent repose sur une analyse des contrôles existants, qu’ils soient manuels ou automatisés. Elle permet notamment d’identifier, pour le processus concerné :

  • Les applications concourant à ce processus,
  • Les interfaces existantes (flux entrants et sortants),
  • Les référentiels en place (données, traitements),
  • Les droits d’accès mis en œuvre et la séparation des fonctions,
  • Les traitements et contrôles automatiques réalisés au sein des applications
  • Les contrôles portant sur les opérations permettant de fiabiliser l’information (notamment financière). 
Ces contrôles peuvent s’appuyer sur des états d’exception générés automatiquement par le système et permettant d’identifier les écarts vis-à-vis des règles de gestion (ex : état des prélèvements sur une période).


Cette analyse permet de mettre en évidence l’identification des risques potentiels, qui peuvent porter par exemple sur l’existence d’interfaces multiples, la gestion de profils utilisateurs inadaptés et qui pourraient nécessiter la mise en place de procédures particulières, de revue périodique, de contrôles supplémentaires (par exemple) afin de sécuriser le flux de traitement de l’information.