PARTIE 1 : CADRE
THEORIQUE DE L'ETUDE
La sécurité des systèmes d'information
est un domaine très vaste puisqu'elle fait appel à toutes les
entités de l'entreprise et à des connaissances techniques et
technologiques de pointe. L'une des forces et en même temps une
problématique du monde des affaires actuel est l'évolution
constante des technologies de l'information. Il est vrai que plus les
technologies évoluent, plus elles offrent une plus grande
mobilité aux utilisateurs et révolutionnent les habitudes et les
façons de travailler. Cependant elles sont empreintes de risques de plus
en plus forts. Il faudrait donc trouver des solutions de
sécurité de l'information pour mieux préserver la
sécurité des systèmes d'information et aussi les
intérêts de l'entreprise.
Dans cette quête de solutions et bonnes pratiques de
sécurité, l'entreprise dispose d'agents régulateurs et
garant des dispositifs de contrôle interne tel que l'audit interne. A cet
effet, des auteurs divers ont développés plusieurs
théories et avis mettant en exergue le rôle de l'audit interne
dans la sécurité informationnelle. Nous nous sommes par
conséquent atteler à présenter ces différentes
opinions dans notre cadre théorique afin de mieux apprécier le
concept de l'audit interne dans la sécurité des systèmes
d'information de l'entreprise.
CHAPITRE 1 : CADRE
CONCEPTUEL DE L'AUDIT INTERNE ET DE LA SECURITE DE L'INFORMATION
«Parce qu'il décuple la qualité et la
rapidité des décisions, le système d'information est
aujourd'hui au coeur des processus, des produits et du management de
l'entreprise : il est devenu un actif stratégique». Cette phrase de
Deyrieux (2004) traduit bien l'importance du système d'information pour
les entreprises. Pour fonctionner correctement, les entreprises doivent
s'assurer de la continuité et de la qualité de service de leur
système d'information. En effet le système d'information est une
organisation des ressources destinées à traiter l'information,
soit pour produire, soit pour piloter.Le but de la sécurité de
l'information est de mettre en place des méthodes et des technologies
afin d'éliminer, ou du moins de minimiser, les menaces qui planent sur
le système d'information.En outre, la complexité des
systèmes informatiques, leur interconnexion en réseaux internes
et externes, les applications informatisées et développées
à l'aide de méthodologies et techniques de pointe et leur
rôle stratégique pour la survie de l'entreprise, rendent de plus
en plus nécessaires les missions d'audit interne permettant de
répondre aux interrogations des dirigeants d'entreprise.
L'auditeur interne doit être alerté devant
l'évolution sans cesse croissante des technologies de l'information et
les risques y afférent pour toute organisation qu'elle soit de grande ou
de petite taille. Il va devoir appréhender cette nouvelle dimension
technologique afin de mieux remplir son rôle d'informateur et de
conseiller auprès de la direction générale et du conseil
d'administration.
A travers différentes étapes, nous aborderons
les notions d'audit interne et de sécurité de l'information.
Ensuite nous établirons une relation entre ces deux concepts afin de
faire ressortir la contribution de l'audit interne, de par ses missions et
objectifs, au maintien de la sécurité de l'information au sein
même d'un organisme de crédit notamment la banque.
1.1 Historique et cadre
de référence de l'audit interne
La création de la fonction d'audit interne dans les
entreprises s'inscrit dans un cadre plus général de la notion
d'audit. Bertin (2007 : 17 - 18) dans son ouvrage nous décrit
l'historique de l'audit interne. En effet, le précurseur de l'audit
connu sous le nom de révision des comptes, a été
institué par la loi du 24 juillet 1867 en France. On parlait de
révision des comptes avant de lui préférer le nom
« audit ». Le manuel du CIA (rédigé par
l'IIA) explique que l'audit a véritablement évolué
après la deuxième guerre mondiale (1945). Progressivement, le
terme « audit » connu un élargissement plus
qu'important. Etant premièrement axé essentiellement sur les
aspects financiers et comptables, il a commencé par couvrir toutes les
activités opérationnelles et stratégiques de l'entreprise.
Il considérait l'image de rigueur de l'entreprise, les risques
liés aux différentes activités, les politiques et plans,
les instabilités de l'environnement et les complexités des
paramètres de gestion et de contrôle.
Cependant les crises économiques de 1929 aux USA et
l'instauration de la loi Sarbanes-Oxley (SOX) et de la LSF ont
déclenché une diversité d'audit notamment l'audit interne
et l'audit externe appelé également audit comptable et financier.
La SOX a été établie pour règlementer et rendre
obligatoire les pratiques de l'audit au sein des entreprises. Renard
(2010 : 36) explique que la fonction d'audit interne n'est
réellement apparue en France dans les entreprises qu'à partir de
1960 et un peu partout dans le monde à partir de 1980. Car dans un souci
de réduction des charges dues à la récession
économique, les entreprises en vinrent finalement à
suggérer de faire assumer certains des travaux préparatoires des
cabinets d'audit externes, par leur propre personnel. De plus le besoin
était présent de disposer en interne d'un outil
d'évaluation et d'amélioration des processus de management des
risques, de contrôle et de gouvernement d'entreprise.
Aujourd'hui l'audit interne a pénétré
tous les domaines, toutes les fonctions, activités, opérations,
tous les stades décisionnels de l'entreprise. A travers les notions et
missions de l'audit interne et les responsabilités des auditeurs
internes, nous verront quel est le rôle de l'audit interne dans une
organisation et en quoi est-il important.
|