Sécurité informatique : les enjeux de l'”open source”

Posté par le

L’open source est très présent dans le monde de l’informatique “libre” (freeware en anglais) où les logiciels développés par des passionnés (seuls ou en équipes) sont distribués gratuitement ou presque. Dans ce domaine, gratuit ne rime pas avec mauvaise qualité, bien au contraire. De nombreux logiciels gratuits concurrencent férocement des logiciels payants édités par des multinationales à gros budget à commencer par LINUX contre WINDOWS. Ne nous y trompons pas l’enjeu n’est pas seulement financier, l’open source introduit la transparence que recherche bon nombre de directions informatiques d’entreprises et d’administrations (dont les militaires) sur le fonctionnement des logiciels intégrés à leurs systèmes informatiques.

En effet, l’éditeur d’un logiciel “open source” (en français code source libre) fournit, en plus du logiciel proprement dit, le code source (c’est-à-dire les lignes de programmes qui, compilées, produisent le logiciel, produit fini). Ce code source, fourni gracieusement, assure une totale transparence sur les techniques de programmation utilisées par les développeurs du logiciel. La communication du code source permet à la communauté des informaticiens de déceler d’éventuels problèmes de sécurité, de les corriger ou de signaler le problème aux développeurs pour correction. L’open source tranche donc complètement avec les logiciels propriétaires “fermés” dont le code source est tenu secret (la licence d’utilisation de ces logiciels prévoit généralement l’interdiction de la décompilation, c’est-à-dire la reconstitution du code source à partir du produit fini). En effet, l’utilisateur n’a pas connaissance directement des techniques de programmation mises en oeuvre et n’a aucun moyen de déceler d’éventuelles failles de sécurité ouvertes dans son système par ce logiciel, autrement que celles révélées dans les nombreux forums de discussion. Evidemment, l’utilisateur lambda ne dispose pas des compétences propres à analyser voire déchiffrer le code source d’un logiciel mais la communauté de développeurs bénévoles est riche d’étudiants, d’universitaires, de thésards… voire maintenant de retraités qui disposent de temps et de moyens. Cette communauté est très active à l’image de celle qui tourne autours des différents projets LINUX.

Extrait de code source en Visual C++ :

Continue reading ‘Sécurité informatique : les enjeux de l’”open source”’ »

Défaillance du contrôle interne : qui est responsable ?

Posté par le

Lorsqu’une erreur, voire une fraude découlant éventuellement sur un scandale financier, est découverte, la direction de l’entreprise se trouve confrontée à quatre sources de difficultés : isoler la faille dans les procédures, évaluer l’ampleur des dégâts (financiers et sur la pérennité de l’organisation), trouver et poursuivre les coupables et communiquer avec les tiers intéressés (notamment lorsque la fraude est médiatisée). Pour les organisations les plus averties, un plan de crise sera mis en œuvre.

Mais au final, lorsque le mécanisme de fraude aura été analysé et que les procédures auront été corrigées, que le préjudice aura été chiffré et que les fraudeurs auront été désignés, qui devra assumer la responsabilité de la négligence ? Qui devra endosser le rôle du bouc émissaire ?

Le dirigeant ?

Continue reading ‘Défaillance du contrôle interne : qui est responsable ?’ »

Qui est donc ce fraudeur que je ne saurais voir… Profil-type du fraudeur en entreprise (critères subjectifs)

Posté par le

Le fraudeur se tapit derrière un masque, une façade. Il profite des points faibles du système (voire de défaillances), il développe des stratégies de contournement. La fraude est dissimulée par des artifices (comptables, juridiques…) donnant l’illusion de la réalité et de la normalité (par rapport à la loi et aux règles de contrôle interne). Le fraudeur se construit une personnalité sage en vue d’acquérir la confiance de sa hiérarchie… et d’endormir la méfiance des auditeurs. En effet, on n’accorde pas sa confiance à n’importe qui !

Mais qui donc est le fraudeur en entreprise ?

Sans vouloir faire peur, c’est Monsieur Tout Le Monde !

Continue reading ‘Qui est donc ce fraudeur que je ne saurais voir… Profil-type du fraudeur en entreprise (critères subjectifs)’ »

Orientation du contrôle des comptes : Recherche d’anomalies et détermination de points de contrôle à partir d’une balance générale et des états financiers (cas pratique)

Posté par le

A l’aide de la revue analytique, le commissaire aux comptes (ainsi que l’expert-comptable d’ailleurs) oriente ses contrôles de comptes, prépare son programme de travail. Une analyse sommaire de la balance générale permet déjà de déceler des anomalies (par exemple un compte 486x créditeur) et de mettre en place des points de contrôle (par exemple une variation du compte 1013x doit être justifiée par des documents juridiques).

Cette analyse est aisée à automatiser. Il suffit pour ce faire d’opposer une table de points de contrôle à la balance générale. C’est précisément cette automatisation que j’ai paramétrée sur la revue analytique que j’ai interfacée avec la base de données du logiciel AUDITSOFT (cf précédent article sur ce blog) et que je me propose de vous expliquer ci-après.

La mise en œuvre de ce cas pratique nécessite ACCESS.

Continue reading ‘Orientation du contrôle des comptes : Recherche d’anomalies et détermination de points de contrôle à partir d’une balance générale et des états financiers (cas pratique)’ »

Conséquence fiscale d’un détournement par un salarié au détriment de l’entreprise : double peine en cas de négligence de la direction

Posté par le

La découverte d’un détournement au sein de l’entreprise est une mauvaise surprise et un drame révélant un excès de confiance et une trahison. L’évaluation du préjudice financier est susceptible de s’accompagner d’un retraitement fiscal. En effet, en cas de détournement, s’il est démontré que la direction de l’entreprise avait connaissance des agissements frauduleux de son salarié ou bien que l’entreprise n’a pas mis en œuvre un contrôle interne suffisant pour décourager la fraude, le préjudice subi par l’entreprise et non remboursé par le salarié indélicat n’est pas déductible du résultat imposable. Sur ce point l’arrêt du Conseil d’Etat du 5 octobre 2007 (n° 291049, 3e et 8e sections) est très clair.

Continue reading ‘Conséquence fiscale d’un détournement par un salarié au détriment de l’entreprise : double peine en cas de négligence de la direction’ »