GTAG - Audit des applications développées par des utilisateurs

Ce guide traite des risques liés aux tableurs ou autres bases de données développés et utilisés pour

Couverture GTAG 14

analyser des données, calculer des éléments financiers ou pour supporter des prises de décisions. Présentes dans tout type d’organisations, ces applications, développées par des utilisateurs peuvent être considérées comme critiques dès lors qu’elles ont un rôle clé dans un processus opérationnel ou financier. Il convient donc d’évaluer les risques en termes d’intégrité, de disponibilité et de confidentialité des données et de ces applications.
Le GTAG propose des pistes pour élaborer et évaluer un dispositif d’audit de ces applications critiques. Il décrit une démarche permettant de cibler les applications à risques (selon les bénéfices attendus et surtout les risques associés), ainsi qu’une proposition de programme de travail couvrant les contrôles généraux informatiques standards (sécurité des accès, traçabilité, intégrité des données, sauvegardes, gestion du changement…).
 

Questions à se poser

 

  • Quels sont les critères permettant d’identifier une application critique développée par les utilisateurs ?
  • Quels sont les risques inhérents à l’utilisation de telles applications ? Comment gérer le manque de traçabilité et sécurité liés à ce type d’application ? Comment faire face aux obligations légales et règlementaires en utilisant ce type d’application ?
  • Pour chacune des applications identifiées, quel est l’impact pour l’organisation en cas de perte d’intégrité des données, quelle est sa fréquence d’utilisation, combien de personnes l’utilisent ?
  • Pourquoi ces applications ne sont pas embarquées dans le système d’information de l’organisation ? Dans quelle mesure, l’audit interne peut-il intervenir dans la mise en place de standards de développement pour ce type d’application ?
  • Le cas échéant, comment faire entrer ces applications dans le droit commun de la production informatique (déclaration CNIL, qualification du niveau de sécurité, sauvegarde et archivage, et, surtout, identification des personnes clés car bien souvent ces applications critiques ne sont maîtrisées que par une seule personne) ?
     

Commentaires de l'IFACI

Le principal bénéfice de ce guide est de rappeler la nécessité d’évaluer les risques et d’inclure dans la démarche d’audit ces tableurs, fichiers et autres bases de données dont la criticité peut être encore trop souvent sous estimée.
Nous avons apprécié l’accent mis sur l’identification et l’appréciation des risques liés à ces applications considérées comme clé. Les propositions de démarche d’identification des applications, de critères d’évaluation de la matérialité (financière, opérationnelle ou de conformité), ainsi que la grille d’évaluation de ce risque nous semble une base pragmatique pour réaliser des travaux d’audit sur ce sujet.
L’exemple de programme de travail proposé nous semble une base de travail pertinente pour réaliser les travaux d’audit.

Enfin, dès que possible, l’auditeur pourra recommander d’intégrer ces applications au sein même du système d’information de l’organisation ce qui permettra de bénéficier de l’ensemble des mesures de contrôle mises en place et de réduire bien évidemment le nombre d’application de ce type.

 

Télécharger le GTAG en anglais