FORMATION ET

PRÉPARATION À
L’EXAMEN DU CISA
MOUHAMAD LAMINE NIASSE
EXPERT CYBERSECURITE / FORMATEUR / CONSULTANT
PCI QSA, PCI PROFESSIONNAL, CISSP, CISA, CISM, OSCP,
ISO 27001 LI, ISO 27001 LA,ISO 27005 RM, ISO 37301 LI,
CHFI, CEH, Certified PECB Trainer
INTRODUCTION

Copyright © GC Mars 2022 2

 ▶ Cette introduction abordera :
La certification CISA
P LAN
Ø

Ø Le format du cours
Ø Le format de l'examen
Ø La présentation des participants

Copyright © GC Mars 2022 3

CISA (Certified Information Systems Auditor)

▶ Le certification professionnelle CISA:

Ø Est conçue pour le personnel chargé de l'audit et de la
révision des systèmes d'information.

Ø A pour but de garantir que les systèmes sont conçus,

développés, déployés et maintenus pour répondre aux
besoins et aux objectifs de l'entreprise.

Ø Requiert une compréhension des concepts qui sous-tendent

l'audit des systèmes d'information - pas seulement les définitions

5
Domaines de connaissances de
la pratique professionnelle CISA
Processus d’audit des systèmes d’information (21%)

Gouvernance et gestion des TI (17%)

Acquisition, développement et mise en œuvre des systèmes d’information

(12%)

Opérations des systèmes d'information et résilience des entreprises (23%)

Protection des actifs informationnels (27%)

6
 QUALIFICATIONS CISA
Pour obtenir le titre du CISA, les professionnels de la sécurité de
l'information doivent :
• Passer avec succès l'examen CISA
• Soumettre une demande de certification CISA
• Avoir au moins cinq ans d'expérience professionnelle dans le domaine de
l'audit, du contrôle ou de la sécurité des systèmes d'information
(dispense de formation).

• Adhérer au code d'éthique professionnel de l'ISACA

• Adhérer à la politique de formation continue de la CISA
• Se conformer aux normes d'audit des systèmes d'information

Copyright © GC Mars 2022 7

 ▶ Cours et questions types, environ deux domaines
par jour
▶ Structure du domaine
▶ Objectifs d'apprentissage
Format ▶ Contenu

quotidien ▶
▶ Questions types
Veuillez noter que les informations de chaque
domaine se recoupent avec celles des autres
domaines - au cours du cours, nous introduirons
des sujets qui seront développés dans les
domaines suivants.

Copyright © GC Mars 2022 7

 ▶ L'examen se compose de 150 questions à choix
multiples qui couvrent les domaines de
connaissances du CISA.
L’examen ▶ Quatre heures sont allouées pour compléter
l'examen.
▶ Conditions d'éligibilité:Cinq (5) ans ou plus
d'expérience en audit, contrôle, assurance ou
sécurité des SI/TI.

Copyright © GC Mars 2022 8

Jour de l'examen

▶ Soyez à l’heure !
▶ Apportez une forme acceptable d'identification originale avec photo
(passeport, carte d'identité avec photo).
▶ Il est interdit d'apporter des notes ou des papiers à l'examen.
▶ Les résultats préliminaires seront communiqués immédiatement
après l'examen.
▶ Résultats détaillés fournis dans les dix jours.

Copyright © GC Mars 2022 9

 ▶ Lisez attentivement chaque question

Remplir les
Lisez TOUTES les réponses avant de choisir la
questions de
▶
MEILLEURE réponse.

l'examen
▶ Il n'y a pas de pénalité pour avoir deviné.
Répondez à toutes les questions

Copyright © GC Mars 2022 10

Notation de l'examen

▶ Les notes des candidats sont présentées sous la forme d'un barème
basé sur la conversion de la note brute d'un candidat à un examen
en une échelle commune.
▶ L'ISACA utilise et rapporte les scores sur une échelle commune
allant de 200 à 800. Un candidat doit obtenir un score de 450 ou
plus pour réussir l'examen.
▶ Bonne chance !

Copyright © GC Mars 2022 12

 Domaine 1: Fournir des services d'audit SI
conformément aux normes,
Processus d’audit directives et meilleures
pratiques d'audit SI afin d'aider
l'organisation à s'assurer que
des systèmes ses systèmes informatiques et
commerciaux sont protégés et
contrôlés.
d’information

Copyright © GC Mars 2022 12

 Principes et concepts fondamentaux de l’audit

Gestion des risques

Plan Planification de l'audit

Domaine 1 Réalisation de l'audit

Audit, analyse et rapport

Conclusion

Copyright © GC Mars 2022 15

Objectifs d'apprentissage

▶ Planifier un audit pour déterminer si les systèmes d'information sont

protégés, contrôlés et apportent de la valeur à l'organisation.
▶ Réaliser un audit conformément aux normes d'audit des SI et à une
stratégie d'audit des SI basée sur les risques.
▶ Communiquer l'avancement de l'audit, les conclusions, les résultats et
les recommandations aux parties prenantes.
▶ Effectuer un suivi de l'audit pour évaluer si le risque a été
suffisamment traité.

Copyright © GC Mars 2022 14

Objectifs d'apprentissage (suite)

▶ Évaluer la gestion et le suivi des contrôles informatiques.

▶ Utiliser des outils d'analyse de données pour rationaliser les processus
d'audit.
▶ Fournir des services de conseil et d'orientation à l'organisation afin
d'améliorer la qualité et le contrôle des systèmes d'information.
▶ Identifier les possibilités d'amélioration des processus dans les
politiques et pratiques informatiques de l'organisation.

Copyright © GC Mars 2022 15

 PRINCIPES ET
CONCEPTS
FONDAMENTAUX
DE L’AUDIT

Copyright © GC Mars 2022 16

Définition Systèmes d’Information

▶ Les Systèmes d’Information sont définis comme la combinaison

d'activités stratégiques, de gestion et d'exploitation, ainsi que les
processus associés, impliqués dans la collecte, le traitement, le
stockage, la distribution et l'utilisation de l'information et des
technologies connexes.

▶ Les Systèmes d’Information se distinguent des Technologies de

l’Information (TI) en ce sens qu'un système d'information comporte
une composante TI qui interagit avec les composantes du processus.

Copyright © GC Mars 2022 19

Définition de l'audit

Processus méthodique, independent et documenté, permettant

d’obtenir des preuves objectives et de les évaluer de manière
objective pour determiner dans quelle mesure les critères
d’audit sont satisfaits.

18
TYPES D’AUDITS

19
Audit interne et audit externe

22
Parties Impliquées

21
Audit du SI

L'audit des SI est l'examen formel et/ou le test des systèmes

d'information pour déterminer si :
▶ Les systèmes d'information sont conformes aux lois, règlements,
contrats et/ou directives industrielles applicables.
▶ Les systèmes d'information et les processus associés sont conformes
aux critères de gouvernance et aux politiques et procédures connexes
et pertinentes.
▶ Les données et les informations du SI ont des niveaux appropriés de
confidentialité, d'intégrité et de disponibilité.
▶ Les opérations du SI sont accomplies de manière efficace et les
objectifs d'efficacité sont atteints.

22
PRINCIPES D’AUDIT
DEONTOLOGIE
RESTITUTION IMPARTIALE
CONSCIENCE PROFESSIONNELLE
CONFIDENTIALITÉ
 INDÉPENDANCE
Il convient que les auditeurs soient indépendants de l’activité auditée
et n’aient ni parti pris, ni conflit d’intérêt dans toute la mesure
possible. Pour les audits internes, il convient que les auditeurs soient,
si possible, indépendants de la fonction auditée.
APPROCHE FONDÉE SUR LA PREUVE
 Fiabilité des preuves

Ø La fiabilité des preuves doit prendre en compte :

Ø L'indépendance du fournisseur de preuves

Ø Les qualifications du fournisseur de preuves

Ø L'objectivité de la preuve

Ø Le moment où les preuves sont fournies.

30
Ø Les preuves pertinentes doivent être identifiées
Collecte des preuves

Ø Les preuves peuvent être recueillies par :

Ø Observation
Ø Interviews
Ø Données fournies par d'autres parties
Ø Documents
Ø Résultats des tests

31
APPROCHE PAR LES RISQUES
Gestion des ressources de l'audit du SI

▶ Défis du programme d'audit

q Compétence (norme de compétence en matière d'audit)
o Compétences et connaissances nécessaires
q Formation continue
q Auditeurs spécialisés
o Outils, méthodologie

23
 GESTION DES
RISQUES

Copyright © GC Mars 2022 34

 Définition du risque

Ø Le risque est la combinaison de la probabilité d'un

événement et de ses conséquences (ISO 3100).

Ø Le risque pour l'informatique se concentre sur le risque

pour l'information,les systèmes d'information et les
processus :
Ø Confidentialité
Ø Intégrité
Ø Disponibilité

Copyright © GC Mars 2022 35

PROCESSUS DE GESTION DES RISQUES
Options de
traitement des
risques

Copyright © GC Mars 2022 37

 ▶ L'objectif de l'effort de gestion des risques est de
Risque s'assurer que tous les risques sont égaux ou
inférieurs au niveau de risque acceptable pour la
acceptable direction générale.
§ Risque résiduel

Copyright © GC Mars 2022 38

LES DIFFÉRENTS TYPES D’ANALYSE DE RISQUES
MESURES DE SECURITÉ
 ▶ Comprendre la mission, les objectifs et
les processus de l'entreprise.

▶ Comprendre les changements

dans l'activité

Étapes de la ▶ Examiner les documents de

travail antérieurs
planification ▶ Revoir les politiques,les normes et la

de l'audit structure organisationnelle

▶ Effectuer une analyse des risques

▶ Définir la portée et les objectifs de l'audit

▶ Élaborer l'approche ou la stratégie d'audit

▶ Affecter des ressources en personnel à l'audit

▶ S'occuper de la logistique de l'engagement

Copyright © GC Mars 2022 28

 Planification de l'audit

Implique une planification à court et à long terme (base annuelle)

▶ Court terme
Ø Questions d'audit à couvrir au cours de l'année
▶ A long terme
Ø Changements dans l'orientation stratégique de l'organisation
Ø Impact sur l'environnement informatique de l'organisation 24
Effets des lois sur la planification des audits

L'auditeur doit s'assurer que :

▶ Les exigences réglementaires sont établies
▶ Les responsabilités sont attribuées à des entités individuelles
▶ Les fonctions d'audit informatique de soutien financier, opérationnel
et technique sont en place.

29
Principes de COBIT 5

Ø Répondre aux besoins des parties prenantes

Ø Couvrir l'entreprise de bout en bout
Ø Appliquer un cadre unique et intégré
Ø Permettre une approche holistique
Ø Séparer la gouvernance de la gestion

Copyright © GC Mars 2022 44

Réaliser un audit des SI

Ø Une planification adéquate

Ø Évaluer le risque pour les domaines et les

systèmes généraux faisant l'objet de
l'audit.

Ø Élaborer les objectifs du programme

d'audit

Ø Élaborer des procédures d'audit pour

atteindre les objectifs du programme
d'audit

Copyright © GC Mars 2022 45

Types d'audits

Ø Le CISA doit connaître les types d'audits (qui peuvent

être réalisés en tant qu'audits internes ou externes).

Ø Audit de conformité - test des contrôles pour

démontrer l'adhésion à des normes réglementaires ou
industrielles spécifiques (PCI- DSS, ISO 27001, etc).

Ø Audit financier - évaluer l'exactitude des rapports

financiers
Ø Audit opérationnel - évaluer la structure de contrôle
interne, par exemple les contrôles des applications.

Copyright © GC Mars 2022 46

Types d'audits (suite)

Ø Audit intégré - combine les audits financiers et

opérationnels - tests de conformité des contrôles et tests de
corroboration

ØAudit administratif - évaluer les questions liées

à l'efficacité de la productivité opérationnelle.

Ø Audits des SI - déterminer si les systèmes d'information

protègent adéquatement les actifs. Contrôles internes,

appliquer la CIA, soutenir la mission de l'entreprise.

Copyright © GC Mars 2022 47

Types d'audits (suite)
Ø Audits investigation - audit spécialisé dans la découverte,
la divulgation et le suivi des crimes et des fraudes.

Ø Élaboration de preuves pour l'examen par les forces de l'ordre

Ø Nécessite l'analyse des équipements informatiques et de
réseau - ordinateurs, smartphones, routeurs, etc.

Ø Il faut respecter la chaîne de conservation - les preuves manipulées

de manière inappropriée peuvent être jugées irrecevables.

Ø Image à flux binaire des disques durs

Copyright © GC Mars 2022 48

Le processus d'audit
Ø Rassembler les preuves

Ø Évaluer les forces et les faiblesses des contrôles

Ø Sur la base des preuves recueillies

Ø Préparer un rapport d'audit qui présente les problèmes d'audit

(faiblesses du contrôle avec des recommandations pour y remédier).

Ø Présenter le rapport de manière objective à la direction

49
Documents de travail d'audit

Ø Tous les plans d'audit, les programmes, les activités, les

tests, les résultats et les incidents doivent être
correctement documentés dans les documents de travail
d'audit.

Ø Maintenir l'intégrité des documents de travail et des

résultats des tests

Ø Les documents de travail appuient les faits contenus dans

le rapport final.

Copyright © GC Mars 2022 50

Matérialité

Ø Une faiblesse détectée doit être évaluée par l'auditeur

afin de déterminer l'importance de la faiblesse
conformément à l'audit basé sur les risques et aux
contrôles internes.
Ø L'auditeur doit être conscient qu'une petite erreur, lorsqu'elle est
combinée à d'autres erreurs, peut devenir une erreur significative.

Ø Le concept d'importance relative dépend du bon jugement de

l'auditeur.

Copyright © GC Mars 2022 51

Tests de conformité et tests de
corroboration

Ø Test de conformité - vérifie l'adhésion (la conformité) aux

procédures et aux politiques.

Ø - Donne l'assurance qu'une procédure est suivie et qu'un contrôle

fonctionne de manière cohérente.

Ø Tests de corroboration - vérifie l'intégrité des transactions.

Ø - Validité des rapports financiers

Copyright © GC Mars 2022 52

Échantillonnage
Ø La population est l'ensemble des transactions à
examiner.
Ø L'échantillonnage permet de sélectionner un sous-ensemble
représentatif de l'ensemble de la population à examiner (gain de
temps et d'efforts).

Ø Les caractéristiques de l'échantillon sont utilisées pour déduire

les caractéristiques de la population entière.

Ø Le candidat CISA doit connaître les méthodes d'échantillonnage

et savoir quand les utiliser.

Copyright © GC Mars 2022 53

Approches générales de
l'échantillonnage
Ø Statistique - méthode objective de détermination de la
taille de l'échantillon et des critères, et utilise les lois
mathématiques des probabilités pour déterminer la taille
de l'échantillon.

Ø Non statistique - le jugement du vérificateur est utilisé pour

déterminer le nombre d'éléments à échantillonner basé sur un
jugement subjectif de risque plus élevé.

Copyright © GC Mars 2022 54

Risque d'échantillonnage

Ø Le risque est qu'un échantillon ne soit pas une véritable

indication de l'ensemble de la population.

Ø L'auditeur doit être conscient et chercher à atténuer ce risque.

Copyright © GC Mars 2022 55

Recours aux services d'autres auditeurs
ou experts

Ø Pénurie d'auditeurs expérimentés.

Ø Recours à des experts dans certaines technologies.

Ø Mise en réseau, fraude, sans fil, criminalistique (M édico-légal), etc .

Ø Nécessite la prise en compte des questions juridiques, des conditions
contractuelles, de la supervision, de la compétence professionnelle,
etc.

Ø Utiliser du personnel de confiance avec des accords de

confidentialité et de non-divulgation.

Ø Valider l'indépendance et l'objectivité.

Copyright © GC Mars 2022 56

Techniques d'audit assistées par
ordinateur

Utilisé pour la collecte et l'analyse des données

Ø Logiciel d'audit général
Ø Accès et organisation des fichiers, fonctions statistiques et fonctions arithmétiques
Ø Utilitaires
Ø Logiciels de débogage
Ø Données de test
Ø Systèmes experts

Copyright © GC Mars 2022 57

Évaluation de l'environnement de
contrôle

Ø Les opérations sont-elles bien contrôlées et efficaces.

§ Forces et faiblesses des contrôles
Ø Des contrôles compensatoires sont-ils en place
Ø Basé sur le jugement de l'auditeur
§ Importance des conclusions
§ Importance pour la direction
§ Impact sur les affaires

Copyright © GC Mars 2022 58

Structure et contenu du rapport d'audit

Ø Introduction - objectif de l'audit, portée, période de l'audit,

procédures d'audit

Ø Constatations de l'audit regroupées en fonction de

l'importance significative.

Ø Opinion de l'auditeur sur l'adéquation des contrôles

Ø Réserves ou appréciations de l'auditeur sur l'audit

Ø Rapport détaillé sur les conclusions et les recommandations

de l'audit

Copyright © GC Mars 2022 59

Constats
Tous les résultats significatifs doivent être rapportés
notamment :

Ø les constats

Ø les causes

Ø les risques

Ø les explications possibles basées sur les normes

60
REVUE QUALITÉ DE L’AUDIT
Communiquer les résultats de l'audit
Entretien de clôture

Ø S'assurer de l'exactitude des faits

Ø S'assurer que les recommandations sont réalistes

Ø Obtenir un accord sur les conclusions de l'audit et

recommandations

Ø Recommander des dates de mise en œuvre

Ø Élaborer un plan d'action

Copyright © GC Mars 2022 62

Présentation à la direction

63
Documentation d'audit

Devrait inclure :
Ø La planification et la préparation de la portée et de l'objectif de
l'audit
Ø La description des domaines d'audit
Ø Le programme d'audit
Ø Les étapes de l'audit et éléments probants recueillis
Ø L’utilisation des services d'autres auditeurs ou experts
Ø Les constats, conclusions et recommandations de l'audit
Ø La documentation de l'audit - justification des résultats

Copyright © GC Mars 2022 64

 Fermeture des constatations

Programme de suivi
Ø Déterminer si la direction a entrepris des mesures correctives
appropriées
Ø Planning en fonction de la criticité des résultats
Ø Nouveau test ou examen des contrôles

Copyright © GC Mars 2022 65

Auto-évaluation des contrôles

Ø Évaluation du contrôle effectuée par le personnel et la direction de

l'unité opérationnelle
Ø Déplacement de certaines fonctions d'audit vers les unités
opérationnelles
Ø Ne remplace pas l'audit
Ø Identification proactive des problèmes
Ø Amélioration des contrôles
Ø Motivation des employés
Ø Réduction des coûts

Copyright © GC Mars 2022 66

Inconvénients de l’auto-évaluation des
contrôles

Vu comme :
Ø Remplacement de l'audit

Ø Charges de travail supplémentaires

Ø Le fait de ne pas donner suite aux suggestions entraîne des
problèmes de moral.

Ø Absence de détection des contrôles faibles

Copyright © GC Mars 2022 67

Auto-évaluation des contrôles et
rôle de l'auditeur

Ø Facilitateur
Ø Guide
Ø Gestion des consultations
Ø Analyse des risques

Copyright © GC Mars 2022 68

Contrôle et audit continus

Ø Surveillance continue - assurée par des outils de gestion des SI basés

sur des procédures automatisées, par exemple, les anti-virus

Ø Audit continu - évaluation des contrôles et des risques sur une base
plus fréquente. Utilise des outils pour surveiller toutes les transactions.

Ø Ensemble, ils fournissent une assurance continue

Ø Plus de sécurité

Ø Moins de travail d'audit

Copyright © GC Mars 2022 69

Conclusion

Connaître:
Ø La planification de l'audit

Ø La réalisation d'un audit

Ø La restitution d’un audit

Ø Le risque lié à l'audit

Ø Les techniques d'audit continu

Ø L’éthique

Copyright © GC Mars 2022 70

 FIN DOMAINE 1

Copyright © GC Mars 2022 71