Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

ROYAUME DU MAROC I.S.C.A.E INSTITUT SUPERIEUR DE COMMERCE ET D’ADMINISTRATION D

ROYAUME DU MAROC I.S.C.A.E INSTITUT SUPERIEUR DE COMMERCE ET D’ADMINISTRATION DES ENTREPRISES PAR M. Omar SEKKAT Novembre 2002 LE ROLE DE L’EXPERT-COMPTABLE FACE AUX RISQUES DE SECURITE MICRO-INFORMATIQUE DANS LES PME – PROPOSITION D’UNE DEMARCHE D’AUDIT MEMOIRE PRESENTE POUR L’OBTENTION DU DIPLOME NATIONAL D’EXPERT-COMPTABLE MEMBRES DU JURY Président : M. Mohamed EL KHALIFA- Expert-Comptable DPLE Directeur de recherche : M. Mohamed El Moueffak- Directeur des Etudes de l’ISCAE Suffragants : M. Larbi KZAZ – Enseignant à l’ISCAE M. Ahmed BENABDELKHALEK – Expert-Comptable DPLE M. Med Khalid BENOTMANE – Expert-Comptable DPLE REMERCIEMENTS A notre jury du mémoire d’expertise comptable A notre Président du jury Monsieur Mohamed EL KHALIFA : Qui nous a fait l’honneur d’accepter la présidence de notre jury du mémoire d’expertise comptable. Qu’il trouve ici l’expression de nos hommages les plus respectueux. A Messieurs les membres du jury : Monsieur Ahmed BENABDELKHALEK, Monsieur Med Khalid BENOTMANE, Monsieur Larbi Kzaz, Qui ont bien voulu accepter de juger notre travail. Qu’ils trouvent ici l’expression de notre haute gratitude et de notre profond respect. A Monsieur le Directeur de Recherche Monsieur Mohamed EL MOUEFFAK : Qui nous fait l’honneur de diriger ce travail avec un grand intérêt et de l’enrichir avec ses précieux conseils. Qu’il trouve ici l’expression de nos hommages les plus respectueux. REMERCIEMENTS Remerciements Je tiens à remercier vivement Messieurs Azeddine BENMOUSSA, Maître de stage et Mohamed EL MOUEFFAK, Directeur de recherche, pour lesquels je demeure sincère, respectueux et reconnaissant pour le soutien moral permanent et les conseils prodigués. Mes remerciements s’adressent également à Monsieur Rachid M’RABET, le corps enseignant et tout le personnel de l’I.S.C.A.E pour les efforts déployés en vue d’assurer la continuité et la réussite du cycle d’expertise comptable. Mes remerciements s’adressent également à la profession d’expert-comptable et les entreprises qui ont bien voulu répondre favorablement aux différents questionnaires qui leurs ont été soumis, et qui de par leurs réponses m’ont permis d’enrichir et d’améliorer ce travail. Enfin je tiens à remercier mes parents et surtout mon épouse pour leur soutien moral, ainsi que l’ensemble des amis qui ont contribué de près ou de loin à la réalisation de ce travail. SOMMAIRE Sommaire Pages INTRODUCTION GENERALE 1 PREMIERE PARTIE : 7 Les risques informatiques et techniques de protection Chapitre 1 : Les risques informatiques : identification et moyens de maîtrise 10 1 Définitions et identification des risques informatiques 10 2 Classification des risques informatiques 17 3 La maîtrise des risques informatiques 20 Chapitre 2 : Les techniques de protection adaptées à la micro-informatique 27 1 Les techniques de sécurité assurant l’efficacité de l’environnement 27 micro-informatique 2 Les techniques de sécurité pour une information disponible 34 3 Sécurité des études et développements d’applications informatiques 39 Chapitre 3 : Impact réel et perception de la sécurité micro-informatique 45 dans les PME 1 Impact réel des risques sur le patrimoine et la pérennité des PME 45 2 Appréciation des risques micro-informatiques par les utilisateurs 47 3 Le rôle des professionnels dans la sensibilisation de l’entreprise 53 DEUXIEME PARTIE : 58 Une approche d’audit de la sécurité micro-informatique dans les PME Chapitre 1 : Audit de la sécurité informatique : les normes et référentiels 60 1 Les normes et référentiels marocains 60 2 Les normes et référentiels internationaux 63 3 Les recommandations de l’OECCA et de la CNCC : incidence de l’informatique 71 sur les missions d’audit SOMMAIRE Pages Chapitre 2 : Méthodologie d’audit de la sécurité micro-informatique dans les PME 74 1 Déroulement de la mission 74 2 Formulation des recommandations 81 3 Particularités d’une mission d’audit de la sécurité micro-informatique 87 Chapitre 3 : Programme de travail et conduite de la mission par thème 93 1 Organisation micro-informatique et environnement de contrôle 93 2 Efficacité de l’environnement micro-informatique 97 3 Disponibilité de l’information 100 4 Sécurité des études et développements d’applications informatiques 103 CONCLUSION GENERALE 108 BIBLIOGRAPHIE 111 ANNEXES 116 LEXIQUE EN ARABE 186 TABLES DES MATIERES 190 SIGLES ET ABREVIATIONS Sigles et Abréviations utilisés AFAI Association Française d’Audit et de Conseil Informatique AFNOR Association Française de Normalisation AII Association of Internal Auditors APSAIRD Assemblée Plénière des Sociétés d’Assurances contre l’Incendie et les Risques Divers BSA Business Software Alliance CAC Commissaire aux comptes CD-ROM Compact Disk, Read Only Memory CGNC Code Général de Normalisation Comptable CLUSIF Club de la Sécurité Informatique Français CNCC Compagnie Nationale des Commissaires aux Comptes COBIT Control Objectives Information Technology IFAC International Federation of Acountants IFACI Institut Français des Auditeurs et Consultants Internes IFEC Institut Français des Experts-comptables IS Impôt sur les Sociétés ISAs International Standard on Auditing ISACA Information Systems Audit and Control Association LAN Local Area Network (réseau local) MARION Méthode d’Analyse des Risques Informatiques Organisés par Niveaux OECCA Ordre des Experts-comptables et Comptables Agréés PME Petite et Moyenne Entreprise PMI Petit et Moyenne Industrie RIA Robinet d’Incendie Armée SAC Report System Auditing Control SSII Société de Service en Ingénierie Informatique TVA Taxe sur la Valeur Ajoutée WAN Wide Area Network (réseau étendu) 1 INTRODUCTION GENERALE L’informatique, contraction des mots information et automatique, est définie comme étant : "La science du traitement rationnel de l’information considéré comme support des connaissances et communications dans les domaines technique, économique et social", "Ensemble des applications de cette science, mettant en œuvre des matériels, des logiciels et différents éléments qui lui sont rattachés"1, L’informatique s’était fixée comme mission d’automatiser les tâches lourdes et répétitives dans la gestion des entreprises jusque-là effectuées par l’homme. Cependant en présence de l’outil informatique, les entreprises se sont vues dans l’obligation de reconsidérer leur organisation générale, d’une part en vue d’optimiser l’usage de cet outil, et d’autre part, dans le sens d’une vision globale de l’entreprise. Sur le plan matériel, le développement de la technologie des microprocesseurs a donné lieu à des machines miniaturisées, de capacités plus grande, et de moins en moins coûteuses. Cette miniaturisation des composants électroniques a permis l’apparition au cours des années 1970 de la micro-informatique. Celle-ci a connu une évolution ininterrompue de ses performances technologiques, entraînant rapidement son implantation dans les entreprises. Nous avons reporté en annexe n° 2 une description de l’évolution de la micro- informatique. Avec le développement des réseaux locaux, la micro-informatique est devenue, outre un outil de travail, un outil d’échange et de partage de données. Le micro-ordinateur a quitté son espace strictement individuel (PC : personnal computer) pour se transformer progressivement en un outil totalement intégré dans le système d’information de l’entreprise. 1 Dictionnaire Larousse Informatique INTRODUCTION GENERALE 2 INTRODUCTION GENERALE Cette mise en liaison d’unités séparées géographiquement, a permis à travers les réseaux d’augmenter l’efficacité de communication entre les micro-ordinateurs à des coûts raisonnables. Cet outil de traitement de l’information a pris une place importante dans l’entreprise, a bouleversé les habitudes de travail de chacun d’entre nous. Il est considéré par beaucoup comme possédant un haut niveau de fiabilité minimisant les risques d’erreurs et les tâches fastidieuses de contrôle, calcul ou traitements pris en charge par cet outil. Pour l’entreprise, l'informatique contribue : • A l'amélioration de sa compétitivité et la recherche d'avantages compétitifs durables, • Au respect des lois, règlements et obligations contractuelles auxquels elle est soumise. Pour maintenir cet avantage compétitif de manière durable et pour rester en conformité avec les lois, règlements et obligations contractuelles, l'entreprise doit assurer la disponibilité constante de l'ensemble de ses outils, et notamment l'outil informatique dont elle est de nos jours de plus en plus dépendante. Pour les PME, les enjeux de l'informatique sont : • La disponibilité constante de l'information à laquelle on associe la pérennité et la continuité de l'exploitation, • L’intégrité de l'information qui implique son authenticité, exactitude et exhaustivité, • La confidentialité de l'information : le système d'information doit être capable de se prémunir contre les risques d'agression visant l'indiscrétion, le détournement de l'information et la fraude. Au-delà des ces enjeux, le concept de sécurité a évolué aux rythmes des innovations technologiques comme en témoigne l'évolution même de sa définition. 3 INTRODUCTION GENERALE Définie à l'origine comme "la confiance, tranquillité d'esprit, résultant de la pensée qu'il n’y a pas de péril à redouter"2, la sécurité est définie aujourd'hui comme "la situation dans laquelle quelqu'un, quelque chose, n'est exposée à aucun danger, à aucun risque d'agression physique, d'accident, de vol, de détérioration"3. La sécurité informatique étant définie comme "la propriété d'un système d'information de présenter pour son environnement comme pour lui-même des risques directs ou indirects acceptables, déterminés en fonction des dangers potentiels inhérents à sa réalisation et à sa mise en œuvre".4 La notion de sécurité repose donc sur l’existence de menaces potentielles. La dépendance des entreprises à l’égard de leur système d’information et de l’outil informatique fait que l’absence de mesures de sécurité favorise l’apparition d’une vulnérabilité qui peut engendrer des préjudices entraînant des pertes potentielles pour l’entreprise. L’entreprise et les utilisateurs de manière générale ont une méconnaissance des risques informatiques liés à l’utilisation de la micro- informatique. La sauvegarde des actifs de l’entreprise et la fiabilité des informations produites par le système d’information n’est pas assurée par un cadre de contrôle interne et une organisation efficiente de uploads/Science et Technologie/ le-role-de-l-x27-expert-comptable-face-aux-risques-de-securite-micro-informatique-dans-les-pme-proposition-d-x27-une-demarche-d-x27-audit.pdf