PFE Audit - Compréhension de l'audit IT PDF

Summary

Ce document présente un extrait de questions et réponses sur l'audit informatique, couvrant des sujets comme la compréhension de l'audit IT, les objectifs et les étapes de l'audit, la différence entre l'audit général et celui des applications, et des notions de cybersécurité, gestion des accès et technologies d'information.

Full Transcript

**1. Compréhension de l'audit IT**

**1. Qu\'est-ce qu\'un [audit IT] et quelles en sont les
[étapes] principales ?**

**R :** Un audit IT est un processus d'évaluation des systèmes
d'information (SI) pour vérifier leur conformité, leur sécurité, leur
performance, et leur alignement avec les [objectifs de
l'entreprise].

Les étapes principales sont :

1. **Planification** : Définir le [périmètre] et les
[objectifs] de l'audit.

2. **Collecte d\'informations** : [Analyser] les
[processus], [politiques], et
[données].

3. **Évaluation des contrôles** : [Tester] les [mesures de
sécurité] et les [procédures].

4. **Identification des risques** : [Repérer] les
[failles] et [vulnérabilités].

5. **Rapport d'audit** : [Présenter] les
[constats] et [recommandations].

**2. Quels sont les principaux [objectifs] d'un audit IT ?**

**R :**- **Sécurité** : Identifier les failles pour protéger les données
et les systèmes.

**3. Pouvez-vous expliquer la [différence] entre [l'audit IT
général] et [l'audit des applications ?]**

**R :**- **Audit IT général** : Se concentre sur les
[infrastructures], les [réseaux], et les
[politiques globales] de l'entreprise ([gestion des accès,
sauvega]rdes, etc.).

**- Audit des applications** : Évalue les fonctionnalités, la sécurité,
et les performances spécifiques d'une application métier.

**4. Quels sont les principaux [cadres ou référentiels]
utilisés en audit IT (ex. COBIT, ITIL, ISO 27001) ?**

**R :**-**COBIT** : Pour la gouvernance et la gestion des SI.

**5. Comment [évalueriez]-vous les [contrôles
internes] d'un [SI]**

**R :**- **Identifier les processus critiques** (gestion des accès,
sauvegardes).

**6.Comment [identifieriez]-vous les [risques]
liés aux technologies de l'information**

**R :**- **Évaluer les actifs critiques** : Données sensibles,
applications stratégiques.

**2. Connaissances en cybersécurité**

**7.Qu'est-ce qu'une [vulnérabilité], une
[menace] et un [risque] en cybersécurité ?**

**R :**- **Vulnérabilité** : Faiblesse exploitable dans un système (ex.
[mot de passe faible]).

**9.Pouvez-vous expliquer le principe de la gestion des accès et des
identités ([IAM]) ?**

**R :** IAM (Identity and Access Management) permet de :

1. Authentifier les utilisateurs (ex. mots de passe, biométrie).

2. Gérer les autorisations (droits d'accès basés sur les rôles).

3. Assurer la traçabilité (journaux d'accès).

**10.Quels sont les [contrôles essentiels] pour [protéger un
SI] contre les [cyberattaques] ?**

**R :**

1. Authentification forte (MFA).

2. Gestion des correctifs et mises à jour.

3. Chiffrement des données.

4. Firewall, IDS/IPS (système de détection/prévention d'intrusions).

5. Sauvegardes régulières.

**11.Avez-vous déjà travaillé sur des outils d'analyse de sécurité ou de
gestion des incidents (ex. SIEM) ?**

**R :** Oui. Les outils SIEM (ex. Splunk, QRadar) centralisent les logs
pour détecter et analyser les incidents de sécurité.

**3. Bases techniques (SI et technologies)**

**12.Quels sont les principaux composants d'un système d'information ?**

**R :**

1. **Infrastructure** : Serveurs, réseaux, postes de travail.

2. **Applications** : ERP, CRM.

3. **Données** : Bases de données, fichiers.

4. **Utilisateurs** : Employés, clients.

5. **Processus** : Politiques et procédures.

**13.Quelles sont les étapes pour évaluer l'intégrité d'une base de
données ?**

**R :**

1. Vérifier les sauvegardes.

2. Examiner les droits d'accès.

3. Auditer les logs d'activités.

4. Tester la cohérence des données (requêtes SQL).

**14.Connaissez-vous des outils d'audit ou de gestion de logs (ex.
Splunk, ELK)?**

**R :** Oui.

- **Splunk** : Analyse des logs pour détecter les anomalies.

- **ELK Stack** : Centralisation et visualisation des logs.

**15.Avez-vous déjà travaillé avec des outils d'évaluation de
vulnérabilités comme Nessus ou Qualys ?**

**R :** J'ai entendue parler de ces outils, ils identifient les failles
dans les systèmes (ex. ports ouverts, logiciels obsolètes) mais
malheureusement j'ai pas eu l'opportunité d'en pratiqué.

**16.Comment vérifier la conformité d'un système aux exigences
réglementaires (ex. RGPD) ?**

**R :**

1. Vérifier la collecte et le traitement des données.

2. Garantir les droits des utilisateurs (accès, rectification).

3. Analyser les politiques de sécurité (chiffrement, sauvegarde).

**4. Gestion de projet et méthodologies**

**17.Avez-vous des connaissances en méthodologies agiles ou ITIL ?**

**R :**

- **Agile** : Méthode itérative axée sur la collaboration.

- **ITIL** : Cadre de gestion des services IT.

**19.Quels livrables fourniriez-vous à l'issue d'un audit IT ?**

**R :**

1. Rapport détaillé des constats et recommandations.

2. Plan d'action pour corriger les failles.

3. Résumé exécutif pour la direction.

**5. Études de cas et situations pratiques**

**20.Imaginez que vous auditez un système de gestion de paie. Quels
contrôles vérifieriez-vous ?**

**R :**

1. Précision des calculs (salaires, impôts).

2. Gestion des accès.

3. Sauvegarde et confidentialité des données.

**21.Que feriez-vous si vous détectiez une faille critique dans le
système d'information d'un client ?**

**R :**

1. Informer immédiatement le client.

2. Proposer des mesures d'urgence.

3. Analyser l'origine de la faille.

4. Fournir un plan d'amélioration.

**6. Questions comportementales**

**22.Racontez une expérience où vous avez résolu un problème technique
complexe.**

**R :** Lors de mon stage chez **Docker Motorcycles Maroc**, j\'ai
travaillé sur un projet visant à optimiser la performance commerciale à
travers un modèle de prédiction des ventes. L\'un des défis majeurs que
j\'ai rencontrés concernait la qualité et la structure des données
historiques de ventes. Les données contenaient des anomalies
importantes, notamment des valeurs manquantes, des incohérences, et des
données dupliquées. Ces problèmes impactaient directement la fiabilité
des modèles de Machine Learning.

Pour résoudre ce problème, j'ai adopté une approche méthodique :

1. **Analyse approfondie :** J\'ai d\'abord réalisé une analyse
exploratoire pour identifier les anomalies et comprendre la nature
des erreurs.

2. **Nettoyage des données :** J'ai effectué un nettoyage des valeurs
manquantes, normalisation les formats, et suppression les doublons.

3. **Implémentation de contrôles :** J'ai défini des règles pour
valider l\'intégrité des données avant leur ingestion dans le
modèle, comme des contrôles pour détecter les valeurs aberrantes ou
incohérentes.

4. **Résultats :** Après avoir corrigé et validé les données, j\'ai pu
entraîner un modèle de prédiction fiable, dont les performances ont
dépassé les attentes avec un R² de 0.63.

**23.Comment gérez-vous les désaccords avec un client ou un membre de
votre équipe ?**

**R :**

1. Écouter activement leurs points de vue.

2. Reformuler les problèmes pour clarifier les incompréhensions.

3. Proposer des solutions basées sur des faits et des analyses.

4. Favoriser une collaboration pour trouver un terrain d'entente.

**24.Parlez d'une fois où vous avez dû apprendre rapidement une nouvelle
technologie.**

**R :** Pendant mon stage chez WallNet, j\'ai été chargé de développer
une solution personnalisée pour la gestion des stocks en utilisant
l\'ERP Odoo, une technologie que je ne connaissais pas au départ. J\'ai
rapidement étudié la documentation, suivi des tutoriels, et créé un
module prototype pour me familiariser avec l\'outil. Grâce à cette
approche, j\'ai pu maîtriser les bases en quelques semaines et livrer
une solution complète, dans les délais prévus.

**7. Questions spécifiques à Deloitte**

**25.Pourquoi souhaitez-vous faire votre PFE chez Deloitte ?**

**R :** Deloitte est reconnu pour son expertise dans l'audit et le
conseil, sa réputation d\'excellence et son approche innovante dans le
secteur. Je suis convaincu que vos valeurs, combinées à un environnement
stimulant, me permettront non seulement de contribuer efficacement avec
mes compétences, mais aussi de grandir professionnellement au sein
d\'une équipe ambitieuse et motivante

**26.Quels sont, selon vous, les défis actuels des entreprises en
matière d'IT ?**

**R :**

1. Sécurisation des données face aux cyberattaques.

2. Conformité avec des réglementations complexes (RGPD, SOX).

3. Transition vers des infrastructures Cloud sécurisées.

4. Intégration des nouvelles technologies (IA, IoT) tout en gérant les
risques associés.

**27.Connaissez-vous les offres ou services IT spécifiques que Deloitte
propose à ses clients ?**

**R :** Oui, Deloitte propose :

1. **Audit IT** : Évaluation des contrôles internes et des risques
technologiques.

2. **Cybersécurité** : Stratégies de protection contre les
cybermenaces.

3. **Transformation digitale** : Accompagnement dans la migration vers
des solutions Cloud et l'optimisation des processus IT.

4. **Analyse des données** : Utilisation des données pour améliorer la
prise de décision.

**1. Mettez en avant vos compétences analytiques et de diagnostic**

- **Exemple (Wall Net)** :

**2. Reliez vos compétences techniques à l'évaluation des systèmes IT**

- **Exemple (Docker Motorcycles)** :

**3. Montrez votre capacité à travailler avec des outils
technologiques**

- **Exemple (Groupe OCP)** :

**4. Insistez sur vos compétences en résolution de problèmes**

- **Exemple (MyTeam Solution)** :

**5. Faites le lien avec la sécurité et la conformité**

- **Exemple général** :

Posez des questions pertinentes à la fin de l'entretien, comme :

- \"Quels types de projets un stagiaire en Audit IT pourrait-il
réaliser chez Deloitte ?\"

- \"Quels outils et méthodologies utilisez-vous généralement dans vos
audits ?\"

- \"Quelles sont les opportunités de croissance dans le domaine de
l'audit IT chez Deloitte ?\"