Fermer la publicité
Journal d'information juridique et d'annonces légales

L'audit informatique : le radeau des CAC ?

le - - Entreprise - Chiffre

L'audit informatique : le radeau des CAC ?
@ AP - Jérôme Huber et Michel Retourne ont présenté en détails les 10 points-clés de l'audit informatique à un amphithéâtre plein à craquer.

Face au « séisme causé par l'article 9 de la loi Pacte », les commissaires aux comptes (CAC) se préparent à relever le défi avec vigueur en élaborant une nouvelle stratégie professionnelle tournant autour d'audits fiscaux, sociaux, RSE et même cyber. Ces derniers semblent fortement privilégiés par les professionnels qui sont très nombreux à se former aux “10 points-clés de l'audit informatique” proposés par la CNCC.

Salle comble pour la formation CAC 120 intitulée « Audit informatique : les 10 points-clés » proposée lors d'un atelier des Université d'été de la profession comptable.

Également accessible via les différentes compagnies régionales de commissaires aux comptes, cet atelier répond aux nouvelles exigences de formation des CAC et est pris en compte dans leur quota obligatoire de 120 heures sur 3 ans. D'où ce soudain engouement pour l'audit des cyber risques, mais pas que. En effet, l'audit informatique représente une manne financière non négligeable pour ces professionnels en pleine transition libérale.

Les intervenants Jérôme Huber et Michel Retourne ont expliqué aux CAC comment utiliser les outils de data mining (ou analyses de données) dans le cadre des missions d'audit, afin « d'en faire un atout d'excellence de sécurisation » et d'apporter ainsi une réponse efficace aux besoins des entreprises qu'ils accompagnent.

L'objectif était également de les sensibiliser au fait que la digitalisation des processus de l'entreprise est source de risques de perte de continuité d'activité ou encore de perte d'intégrité des données, si celles-ci ne sont pas suffisamment sécurisées.

Par exemple, « les contrôles d'accès sont un point noir chez tous les clients comme chez nous », témoigne l'expert-comptable Michel Retourne. « Quand on met un logiciel comptable en place, ou un ERP qui regroupe l'ensemble des fonctionnalités de l'entreprise, il faut découper précisément l'accès qu'on va donner à chaque utilisateur », explique-t-il. Le bon contrôle d'accès vise à disposer de droits proportionnels aux besoins des utilisateurs, garantir la sécurité des actifs de l'entreprise et offrir un niveau de sécurité approprié pour les transactions au sein d'un système d'information.

« En matière de risque de fraude, le principal problème est la séparation des fonctions », selon Jérôme Huber qui conseille de bien faire attention à différencier les niveaux d'accès et complexifier les mots de passe.

Même si ça paraît évident, les mots de passe sont toujours un sujet et l'ANSI donne de bonnes guide lines à adopter ». « Aujourd'hui, ce qui résiste le mieux aux attaques n'est pas un code difficile de 12 caractères de 3 types différents mais tous simplement une phrase complète comme “j'aime la mousse au chocolat” », illustre l'expert. Il faut aussi que les postes de travail se verrouillent automatiquement après quelques minutes d'inutilisation. « Ce sujet est extrêmement mal appréhendé chez tous nos clients car il est très transverse entre les différents acteurs de l'entreprise », souligne-t-il.

« Le COBIT est la bible de l'auditeur informatique », assure Jérôme Huber. Le fameux COBIT pour « Control Objectives for Information and related Technology » est en effet le référentiel international de base des bonnes pratiques d'audit informatique. Finalement, « c'est l'exercice du jugement professionnel adapté à la taille de l'entité et à l'analyse des risques qui prévaut », résume bien Michel Retourne.

Les 10 commandements

Accessible en ligne, un guide a été réalisé par la CRCC de Paris, constitué des 10 fiches pratiques sur les thèmes suivants :

  1. Ouverture sur la transformation numérique
  2. Gouvernance des systèmes d'information
  3. Contrôle des accès
  4. Conduite de projets
  5. Utilisation des outils d'audit de données
  6. Protection des données personnelles
  7. Législation fiscale et SI
  8. Exploitation des systèmes d'information
  9. Plan de continuité d'activité
  10. Cybersécurité



Anne MOREAUX
Journaliste

Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer