Le rôle de l’expert comptable face aux risques de sécurité informatique dans les PME marocaines

Partager sur Linkedin

Partager sur Facebook

Partager sur Twitter

Extraits et sommaire de ce document

Définie à l'origine comme "la confiance, tranquillité d'esprit, résultant de la pensée qu'il n’y a pas de péril à redouter"2, la sécurité est définie aujourd'hui comme "la situation dans laquelle quelqu'un, quelque chose, n'est exposée à aucun danger, à aucun risque d'agression physique, d'accident, de vol, de détérioration". La sécurité informatique étant définie comme "la propriété d'un système d'information de présenter pour son environnement comme pour lui-même des risques directs ou indirects acceptables, déterminés en fonction des dangers potentiels inhérents à sa réalisation et à sa mise en oeuvre". La notion de sécurité repose donc sur l’existence de menaces potentielles. La dépendance des entreprises à l’égard de leur système d’information et de l’outil informatique fait que l’absence de mesures de sécurité favorise l’apparition d’une vulnérabilité qui peut engendrer des préjudices entraînant des pertes potentielles pour l’entreprise. L’entreprise et les utilisateurs de manière générale ont une méconnaissance des risques informatiques liés à l’utilisation de la microinformatique. La sauvegarde des actifs de l’entreprise et la fiabilité des informations produites par le système d’information n’est pas assurée par un cadre de contrôle interne et une organisation efficiente de l’entreprise. La micro-informatique présente des risques non négligeables et qui peuvent affecter la disponibilité des applications ainsi que l’intégrité et la confidentialité des informations traitées. Il existe néanmoins des solutions pratiques pour réduire le risque encouru par les entreprises. Ces solutions couvrent les domaines organisationnels, techniques, financiers, etc. Pour garantir leur efficacité, elles doivent être mises en place par le biais d’une politique de sécurité informatique globale. La mise en place de ces solutions ne doit pas exclure leur contrôle par un organe indépendant tel que l’expert-comptable ou le commissaire aux comptes qui de par leur position d’interlocuteur et de conseiller de l’entreprise, peuvent porter un avis en toute impartialité et objectivité. Néanmoins, afin de pouvoir porter un avis en toute impartialité, et objectivité, l’expert-comptable doit disposer d’un savoir faire dans le domaine qu’il est amené à contrôler. Or l’informatique et plus précisément la micro-informatique en raison de l’évolution constante de ses performances techniques peuvent paraître aux yeux des professionnels comme un domaine réservé aux seuls spécialistes. Les professionnels ont donc tendance à faire appel à des spécialistes pour une revue informatique générale. De ce fait, le caractère généraliste qu’on pourrait associer à l’expert-comptable en matière de connaissance informatique serait associé non pas à sa formation et son savoir-faire pluridisciplinaire, mais plutôt dans sa pratique quotidienne de la profession qui fait qu’il a tendance à occulter ou plutôt négliger l’informatique dans son plan de mission.
C’est dans ce contexte qu’apparaît la problématique du sujet de mémoire proposé. Nous essaierons de répondre aux questions suivantes : Quels sont les risques liés à l’utilisation de l’outil micro-informatique ? Quelles sont les techniques de protection à mettre en oeuvre pour améliorer la sécurité micro-informatique au sein de l’entreprise ? Quel pourrait être le rôle de l’expert-comptable face aux risques de sécurité microinformatique dans les PME ? et quelle serait sa démarche de travail ? Les objectifs recherchés par le choix d’un tel sujet sont les suivants : Faire ressortir l’importance d’une bonne connaissance et maîtrise des risques réels et leurs conséquences qui pèsent sur l’entreprise, l’expert-comptable paraissant le mieux placé pour jouer auprès de la Direction Générale le rôle de sensibilisation ; Sensibiliser les professionnels sur la nécessité d’adopter une démarche par les risques lors de leurs travaux de contrôle de la sécurité micro-informatique d’une PME ; Proposer une méthodologie d’audit de la sécurité micro-informatique au sein des PME sans pour autant centrer les contrôles sur les aspects techniques, La présente méthodologie s’adresse davantage aux experts comptables conseillers qu’aux commissaires aux comptes. L’expert-comptable peut apporter son expérience et son savoir faire afin d’aider toute entreprise à détecter et analyser les risques liés à l’utilisation de l’outil microinformatique et proposer des recommandations en terme de techniques de protection appropriées. Bien que son rôle de conseiller soit général, il ne peut se substituer à l’entreprise pour mettre en place lesdites techniques de protection proposées. Le commissaire aux comptes est lui mandaté par l’assemblée générale de toute entreprise et a pour mission de certifier ses comptes. L’objectif principal serait d’obtenir l’assurance raisonnable que les états financiers audités sont réguliers et sincères et donnent une image fidèle du patrimoine, des résultats et de la situation financière de la société. Afin d’obtenir cette assurance raisonnable, le commissaire aux comptes devra mettre en oeuvre un ensemble de diligences lui permettant de conforter son opinion. Par l’examen du contrôle interne et plus précisément l’examen de l’environnement de contrôle informatique, le commissaire aux comptes jugera nécessaire ou pas d’approfondir ses travaux de contrôle. Toutefois, l’examen de l’environnement de contrôle informatique ne se focalise pas sur l’aspect risques informatiques liés à l’utilisation de l’outil micro-informatique et sécurité micro-informatique. A cet effet, à défaut de référentiels d’audit sur la sécurité micro-informatique, la méthodologie proposée dans ce mémoire est plus adaptée aux PME, car dans ce type d'organisation, la microinformatique constitue l'outil central du système d'information et en l'absence d'un service informatique, l’aspect sécurité est souvent occulté ou négligé. Néanmoins, la présente méthodologie pourrait s’appliquer également aux grandes entreprises. Les risques informatiques sont les mêmes, mais la probabilité de réalisation du risque et donc de la concrétisation d’une menace est plus importante dans une PME qu’une grande entreprise disposant d’un service informatique structuré et disposant de plus de moyens financiers. Le choix des PME s’explique également par le fait qu’elle constitue près de 90% du tissu économique marocain.
Le présent mémoire sera structuré en deux parties. La première partie traitera des risques informatiques et techniques de protection. Dans un premier chapitre, nous essaierons d’identifier les risques informatiques et moyens de maîtrise. Dans un second chapitre, nous analyserons les techniques de protection adaptées à la micro-informatique. Dans un troisième chapitre nous aborderons l’impact réel et la perception des risques chez les PME avec comme base de travail une enquête sur la sécurité informatique. Au niveau de la seconde partie, nous présenterons une approche d’audit de la sécurité microinformatique. Nous ferons ressortir dans un premier chapitre les normes et référentiels en matière d’audit de la sécurité micro-informatique. Dans un second chapitre, nous présenterons une méthodologie d’audit de la sécurité micro-informatique depuis la phase de prise de connaissance à la remise du rapport et lette de recommandations, en insistant sur les points communs et les particularités de cette méthode par rapport aux missions d’audit classiques. Enfin, dans un troisième chapitre nous traiterons plus en détail le programme de travail de l’expert-comptable et la conduite de la mission par thème. Il est utile de préciser que ce mémoire ne constitue pas un catalogue des outils de sécurité existant sur le marché. De plus, le domaine d’analyse a été volontairement restreint à la gestion de la sécurité des micro-ordinateurs autonomes ou interconnectés en réseau local. La présente étude ne portera par sur la sécurité des réseaux étendus. Nous avons néanmoins consacré un bref passage à la sécurité Internet, représentant aujourd’hui une menace importante pour les PME mais sans toutefois développer dans le détail les méthodes et moyens de défenses répertoriés à ce jour.

PREMIERE PARTIE : Les risques informatiques et techniques de protection
Chapitre 1 : Les risques informatiques : identification et moyens de maîtrise
1 Définitions et identification des risques informatiques
2 Classification des risques informatiques
3 La maîtrise des risques informatiques
Chapitre 2 : Les techniques de protection adaptées à la micro-informatique
1 Les techniques de sécurité assurant l’efficacité de l’environnement micro-informatique
2 Les techniques de sécurité pour une information disponible
3 Sécurité des études et développements d’applications informatiques
Chapitre 3 : Impact réel et perception de la sécurité micro-informatique dans les PME
1 Impact réel des risques sur le patrimoine et la pérennité des PME
2 Appréciation des risques micro-informatiques par les utilisateurs
3 Le rôle des professionnels dans la sensibilisation de l’entreprise
DEUXIEME PARTIE : Une approche d’audit de la sécurité micro-informatique dans les PME marocaines
Chapitre 1 : Audit de la sécurité informatique : les normes et référentiels
1 Les normes et référentiels marocains
2 Les normes et référentiels internationaux
3 Les recommandations de l’OECCA et de la CNCC : incidence de l’informatique sur les missions d’audit
Chapitre 2 : Méthodologie d’audit de la sécurité micro-informatique dans les PME
1 Déroulement de la mission
2 Formulation des recommandations
3 Particularités d’une mission d’audit de la sécurité micro-informatique
Chapitre 3 : Programme de travail et conduite de la mission par thème
1 Organisation micro-informatique et environnement de contrôle
2 Efficacité de l’environnement micro-informatique
3 Disponibilité de l’information
4 Sécurité des études et développements d’applications informatiques

Autres documents qui pourraient vous intéresser !

Notre plateforme contient plus de 5000 documents (dont +2500 mémoires et PFE), vous pouvez donc y trouver d'autres documents qui pourraient vous intéresser. Pour effectuer votre recherche cibleé, tapez vos mots clés dans le champ ci-dessous !