SlideShare une entreprise Scribd logo
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Élaboration d’un générateur de guides d’audit : démarche et résultats
1) Présentation générale
C’est dans le cadre de la contribution à l’amélioration des méthodes et outils utilisés par les
auditeurs informatique de la STEG et en réponse aux manquements détectés lors de l’étude des
états des lieux réalisée tout en essayant d’exploiter les avantages du cadre de référence Cobit4.1
en matière d’audit des SI, que se situe ce travail. La solution à proposer sera matérialiser en un
générateur de guides d’audit traduisant l’approche Cobit, permettant ainsi aux auditeurs de
planifier, cadrer et exécuter des missions d’audits cohérentes, complémentaires, opérantes dans
une même logique, couvrant l’intégralité des activités des SI, alignées sur les exigences métiers au
niveau le plus général et ouvertes sur les bonnes pratiques d’autres référentiels et normes plus
spécifiques.
L’élément central sur lequel se base l’approche Cobit4.1 en matière d’audit des SI ce sont les
« objectifs de contrôle ». Pour auditer un élément des SI il faut tout d’abord selon cette l’approche
identifier les objectifs de contrôle lui sont associés (il s’agit du principe de cadrage selon la
terminologie Cobit) et par la suite les évaluer afin de détecter les points de faiblesses des contrôles
mis en place, des éventuelles dysfonctionnements et/ou des risques potentiels. Une autre avantage
de ces objectifs de contrôle ce qu’ils font référence à des bonnes pratiques d’un nombre de cadres
et normes internationales ce qui va permettre aux auditeurs d’approfondir leurs missions et les
enrichir par des évaluations et des investigations plus détaillées.
Plusieurs autres éléments s’intègrent d’une manière ou d’une autre dans le volet audit de cadre de
référence Cobit4.1 (voir Annexe 1), le produit à réaliser (le générateur de guides d’audit) va se
baser principalement sur les éléments suivants :
Les processus Cobit4.1 et leurs description
Les objectifs métiers et les objectifs informatiques
Les objectifs de contrôles, leurs descriptions et les pratiques de contrôle associées
Les tableaux RACI
Les critères d’information définis par Cobit4.1
Les différentes procédures d’évaluation des contrôles, de leurs résultats et des impacts de
leurs faiblesses
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Le générateur de guides d’audit est un outil qui va aider les auditeurs informatiques de la STEG à
planifier, organiser et exécuter différentes missions d’audits cohérentes et œuvrant dans une même
logique selon l’approche de cadre de référence Cobit4.1. Ce générateur comprend :
Un guide générique : qui présentera une plateforme depuis de laquelle vont être générés
différents questionnaires en réponse à un éventail de missions. Cette plateforme sera établi
intégralement à partir de la documentation Cobit4.1 en la matière, elle présentera tous les
objectifs de contrôles Cobit4.1 et offrira un grand nombre d’évaluations associées à chacun
de ces objectifs sous forme de questions soutenus par des renseignements et des conseils.
Une carte de correspondance « Missions - Objectifs de contrôle » : c’est une carte clé qui
permettra d’identifier les principaux objectifs de contrôle qui devront être évalués en réponse
à une mission bien déterminée. Sur la base de ces objectifs identifiés, un questionnaire
spécifique à la mission fixée sera généré par la suite.
Un ensemble de tables de mappage : ces tables vont permettre aux auditeurs d’affiner leurs
missions d’audit en se référant aux bonnes pratiques des autres cadres de références et
normes internationales qui traitent le même objet d’une telle ou telle mission d’audit. Le
cadre de référence Cobit4.1 offre cet avantage via ses objectifs de contrôle qui s’alignent sur
les bonnes pratiques d’un grand nombre de standards et normes internationales.
2) Le guide générique (la plateforme de questionnaires d’audit)
Cette plateforme à la quelle vont se référer les auditeurs informatiques de la STEG pour préparer
leurs missions d’audit, comportera un ensemble des évaluations couvrant tous les processus et
objectifs de contrôle de Cobit. Ces questionnaires génériques seront implémentés en feuilles Excel
sur la base des conseils et des procédures d’évaluation proposés par des experts en la matière et
édictés dans le guide d’audit Cobit4.1. L’organisation de cette plateforme va être de la manière
suivante :
Une feuille Excel pour chaque domaine de processus Cobit4.1, cette feuille va comporter
toutes les évaluations et questions portant sur l’ensemble des processus de ce domaine et les
objectifs de contrôle leurs sont associés. Ainsi on aura quatre feuilles correspondant aux
quatre domaines suivants :
Planifier et Organiser (PO)
Acquérir et Implémenter (AI)
Délivrer et Supporter (DS)
Evaluer et Surveiller (SE)
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Pour chaque objectif de contrôle de chaque processus un ensemble d’évaluations sera
présenté afin de vérifier l’efficacité des contrôles internes implémentés par rapport aux
bonnes pratiques édictés par le cadre de référence Cobit4.1.
En plus de ces quatre domaines qui couvrent l’ensemble des activités des SI, une feuille
Excel sera dédiée aux évaluations concernant les contrôles applicatifs (CA) qui sont à la
charge de la DSI et qui concernent le reporting financier et la sécurité des données et
transactions financières (ces contrôles sont issus du cadre de référence de contrôle interne
COSO en réponse aux exigences de la loi SOX et adoptés par Cobit4.1).
À remarquer que les différentes évaluations que ce soit ceux portant sur les processus, les objectifs
de contrôles associés ou les contrôles applicatifs (CA) sont issus des conseils et des procédures
d’évaluation élaborés par les experts dans le guide d’audit Cobit4.1.
Description du guide générique et ses composants
Ce guide générique va mettre en œuvre plusieurs éléments de Cobit qui s’intègrent d’une manière
et d’une autre au volet audit de cadre de référence Cobit4.1. L’élément pivot autour duquel
s’organise l’approche audit de Cobit est les « Objectifs de contrôle » (l’élément 3 de la Figure 25),
ces objectifs décrivent « les exigences minimales pour garantir un contrôle efficace de chaque
processus relatif aux SI ». Au niveau de ce guide générique on va respecter le modèle processus
de Cobit4.1 qui est structuré en « Processus » (l’élément 2 de la Figure 25) groupés par
« Domaine » (l’élément 1 de la Figure 25) afin de présenter tous les objectifs de contrôles. Pour
chaque processus et pour chaque objectif de contrôle une description sera présentée permettant
aux auditeurs de mieux comprendre le champ d’application et l’utilité de chacun de ces éléments.
En réalité, ce guide n’est pas à utiliser tel qu’il est, les clés d’exploitation de ce guide seront dans
la carte de correspondance « Missions - Objectifs de contrôle » qui va permettre de cadrer les
missions d’audit et de générer des questionnaires spécifiques en fonction de type de mission défini.
Et à fin de guider les auditeurs informatiques dans leurs investigations lors de la phase d’exécution,
des tests et des évaluations seront présentés au moyen de ce guide générique sous forme de
« Questions types » (l’élément 4 de la Figure 25) et qui traduisent les conseils et les procédures
d’évaluation proposés par des experts dans le guide d’audit Cobit4.1. Ces questions ont pour but
de vérifier si les dispositifs de contrôles implémentés et relatives à un objectif de contrôle bien
déterminé répondent aux exigences du cadre de référence Cobit4.1 en réalisant une « Evaluation »
(l’élément 6 de la Figure 25) de ceux-ci par une réponse affirmative de type Oui/Non.
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
En assistance aux travaux d’investigation des auditeurs un nombre des « Méthodes et des conseils »
(l’élément 5 de la Figure 25) seront mis à leur disposition afin de les aider à bien évaluer les
objectifs de contrôle en question. Ces conseils et méthodes sont mentionnés à titre indicatif, chaque
auditeur peut se confier à d’autres méthodes, ses propres outils et son expérience en la matière.
Les évaluations et les tests à effectuées peuvent faire intervenir des audités qui sont généralement
les responsables des processus concernés par la mission en question. Ainsi dans ce guide et en se
basant sur les tableaux RACI, une rubrique dénommée « Responsables » rattachée à la description
de chaque processus (faisant partie de l’élément 2 de la Figure 25) mentionnera les responsables
clés d’un tel ou tel processus vers qui l’auditeur peut s’orienter pour demander des explications ou
des réponses à ses interrogations.
Enfin une rubrique « Observations et remarques » (l’élément 7 de la Figure 25) sera consacrée
aux auditeurs afin d’inscrire leurs remarques et observations sur l’ensemble des évaluations faites
à chacun des objectifs de contrôle. Ces remarques et observations en plus des résultats des
évaluations vont former la base des opinions et recommandations qu’ils vont mentionner dans le
rapport d’audit qu’ils vont rédiger en fin de leurs missions.
Á remarque que dans ce guide générique les contrôles applicatifs (CA) seront groupés dans un
domaine titré « Contrôles Applicatifs » qui sera implémenté en une feuille Excel à part et qui peut
être accédée par la barre de navigation d’en bas (l’élément 8 de la Figure 25). Cette barre de
navigation permettra aussi de se déplacer entre les différents composants de ce générateur : la
plateforme des questionnaires, la carte clé et les tables de mappage (sous forme d’Annexes).
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Figure 1 : Le guide générique (la plateforme de questionnaires d'audit)
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
3) La carte de correspondance « Missions - Objectifs de contrôle »
Cette carte est la pièce maitresse de ce générateur de guides d’audit, elle va présenter une clé qui
permettra de générer des questionnaires spécifiques à des missions bien déterminées. Sous
contrainte de temps, on n’a pas pu développer largement cette carte. Le choix a été fixé sur la
mission « Audit de la sécurité globale des SI » afin de mettre en œuvre l’approche Cobit4.1 en
matière d’audit. Le choix de cette mission s’avère plus que judicieux, vu l’importance de la sécurité
des SI pour la STEG qui opère dans un secteur assez sensible et aussi en raison de la nature de
cette mission qui traverse les SI de bout en bout ce qui va permettre de mettre en application toutes
les particularités et les avantages de cadre de référence fédérateur Cobit4.1.
a) Etude de cas : « Audit de la sécurité globale des SI »
Approche Cobit4.1 en matière de la sécurité des systèmes d’information
Les SI d’entreprise se confrontent à un grand nombre de risques de différents types qui attaquent
l’intégrité, la confidentialité, la disponibilité, la traçabilité des informations, ainsi que la sécurité
physique et logique des dispositifs matériels et logiciels et autres éléments et dimensions des SI.
Le tableau suivant expose plusieurs exemples de ces risques en les groupant par famille.
Tableau 1 : Les familles de risques pouvant contrarier le fonctionnement des SI
Famille des risques Exemples
Risques stratégiques Défaillance de la stratégie numérique et de sécurité
Mauvaise organisation (failles organisationnelles)
Risques humains Manque des compétences, d’adhésion à la politique de l’entreprise
Mauvaise utilisation (erreurs d’exécution)
Malveillance, négligence
Divulgation des données critiques
Abus, usurpation des droits, fraude
Accès non autorisés
Indisponibilité ou départ d’un homme clé
Risques physiques Vols ou destruction du matériel informatique
Dommages matériels et logiciels (exemple : altération des BD)
Sinistres : incendies, inondations ….
Déni de service à cause de saturation
Maintenance insuffisante
Risques logiques Dysfonctionnements des applications et systèmes
Applications et systèmes non conformes aux spécifications
Erreurs de conception, bogues logiciels
Pertes des données
Risques externes
(risques réseaux)
Espionnage : analyse de trafic, intrusion
Virus, programmes malveillants
Vols et altération des données
Risques liés aux
partenaires
Externalisation
Défaillance d’un fournisseur pou d’un prestataire de service
Risques juridiques Contrats avec les prestataires et les sous-traitants.
Nouvelles réglementations.
Evolution des structures juridiques.
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Selon ce tableau les risques informatiques sont de plusieurs origines : stratégique, managériale,
opérationnel (utilisateurs des SI), comme ils infectent presque toutes les ressources des SI : les
informations, les applications, les équipements, les installations ainsi que les processus de
management. En raison de tous ces faits, la sécurité des SI s’impose comme un besoin vital pour
les entreprises afin de se protéger contre cette variété des risques, d’assurer la continuité de leurs
activités et de garantir leurs pérennités.
Le cadre de référence Cobit 4.1 répond parfaitement à la mission « Audit de la sécurité globale
des SI » par son modèle processus qui couvre l’ensemble des activités et les différentes ressources
des SI. Avec ses nombreux avantages, tels que : l’alignement de ses bonnes pratiques sur les
besoins des métiers et l’intégration des plusieurs bonnes pratiques d’autres référentiels d’audit
(notamment la norme ISO 27002 en matière de sécurité de l’information) il offre aux auditeurs un
cadre générale pour évaluer la sécurité des SI.
Selon l’approche Cobit 4.1 les exigences en matière de la sécurité des SI doivent couvrir et
satisfaire trois critères parmi les sept critères d’information qu’il définit, à savoir : la
confidentialité, l’intégrité et la disponibilité (voir Figure 26), et cela afin de s’assurer d’une
manière générale que :
Les SI sont disponibles et utilisables en cas de besoin, et qu’ils peuvent résister aux attaques
et être récupérés suite à des échecs (disponibilité).
L'information est observé par ou divulguée à uniquement ceux qui ont le droit d’accès
(confidentialité).
L'information est protégée contre toute modification non autorisée ou d'une altération de
sorte que la précision, l'exhaustivité et la validité seront maintenues (intégrité).
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Figure 2 : Les exigences du cadre de référence Cobit4.1 en matière de la sécurité des SI (critères
d’information)
Cadrage de la mission « Audit de la sécurité globale des SI »
Le principe de cadrage des objectifs de contrôles selon l’approche Cobit4.1 consiste à identifier
ceux qui répondent aux besoins en sécurité des SI (pour ce cas d’étude), dans une démarche
descendante allant des exigences métiers vers les processus en passant par les objectifs
informatiques (principe de cascade des objectifs comme décrit dans la Figure 12). Les auditeurs
peuvent se référer ainsi aux tableaux présentés par le cadre de référence Cobit4.1 (voir Annexe1)
qui permettent de faire les liens entre les objectifs métiers, les objectifs informatiques et les
processus Cobit à fin d’appliquer ce principe. Ils doivent tout d’abord fixer les objectifs
informatiques, ceux qui traitent l’objet à auditer ou le thème de la mission d’audit, afin d’identifier
l’ensemble des processus informatiques œuvrant à la réalisation de ces objectifs. Par la suite les
auditeurs devront extraire les objectifs de contrôle en relation étroite avec le sujet de la mission
parmi l’ensemble des objectifs de contrôle des processus identifiés et cela peut être réalisé sur la
base des descriptions de chaque objectif de contrôle et/ou les énoncés des valeurs et des risques
lui sont associées.
Démarche de cadrage suivie :
La démarche qu’on va suivre s’inspire largement du processus de cadrage décrit par le cadre de
référence Cobit4.1. Dans cette démarche on va commencer du générale vers le personnalisé, en
passant par différents niveaux de cadrage qui sont :
Premier niveau de cadrage « Cadrage de haut niveau » :
Dans cette étape nous allons nous référé au tableau reliant les objectifs informatiques au
processus Cobit4.1 (voir Figure 27), en choisissant comme inducteur pour ce cadrage initial de
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
cette mission les critères d’information qui répondent aux exigences de la sécurité des SI à
savoir : la confidentialité, l’intégrité et la disponibilité. Ceci va nous permettre d’identifier en
premier lieu tous les processus concernés par la mission (les processus encadrés en rouge dans
la Figure 27) et par conséquent tous les objectifs de contrôle leurs sont associés. On parle alors
de la sécurité globale des SI, une sécurité qui touche tous les niveaux organisationnels et les
différentes ressources de l’entreprise, cela est bien remarqué par le grand nombre des processus
et objectifs de contrôle identifiés.
À remarquer que selon le même tableau décrit, les processus Cobit sont qualifiés soit de
prioritaire (P) ou de secondaire (S) par rapport aux différents objectifs informatiques. Dans cette
première étape de cadrage on va prendre en compte tous les processus que ce soit prioritaires
(P) ou secondaire (S) tout en préservant ces indications pour une étape ultérieure.
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Figure 3 : Cadrage de haut niveau de la mission « Audit de la sécurité globale des SI »
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Deuxième niveau de cadrage : « Identification des objectifs de contrôle initiaux »
Une fois les processus informatiques fixés, la suite consiste à identifier les objectifs de contrôle
qui sont en rapport direct avec la mission parmi l’ensemble des objectifs des processus
sélectionnés. Une manière de faire consiste à parcourir tous les processus sélectionnés et à la
lumière de la description de chaque objectif de contrôle extraire ceux qui correspondent le plus
à la mission et qui vont être objets des évaluations à effectuées par les auditeurs. Le résultat de
cette étape sera un tableau qui comprendra tous les objectifs de contrôle en question groupés
par processus et par domaine (Tableau 17). À ces objectifs de contrôle nous ajouterons la liste
des contrôles applicatifs (CA) répondant aux exigences de Reporting financier et qui concernent
les données et transactions financières automatisées.
Troisième niveau de cadrage : « Affinement du cadrage »
Cobit4.1 présente une démarche trop élaborée pour l’affinement du processus de cadrage, cette
démarche consiste à ne garder parmi les objectifs de contrôle identifiés dans le premier niveau
que ceux qui sont critiques (dont la non-atteinte aura des effets significatifs sur le bon
fonctionnement des SI et par conséquent sur la pérennité de l’entreprise) et qui correspondent
aux ressources les plus impliquées par la mission. Ainsi dans ce cas d’étude en se référant au
tableau résultant de l’étape précédente (Tableau 17) on va restreindre la liste des objectifs de
contrôle identifiés en se limitant aux processus prioritaires (P) pour un premier niveau
d’affinement ce qui va donner lieu à une liste plus restreinte des processus et des objectifs de
contrôle (mentionnés en surbrillance dans le même tableau 17). Pour restreindre plus encore le
périmètre de cette mission on peut se référer aux descriptifs de ces objectifs de contrôle et/ou
les énoncés des risques et des valeurs leurs sont associés afin de déterminer ceux les plus
critiques et qui correspondant aux ressources les plus impliquées par cette mission comme
décrit dans la démarche Cobit.
Ce processus de cadrage permet de limiter le champ d’investigation pour la mission « Audit de la
sécurité globale des SI » à une liste d’objectifs de contrôle critiques. Cette liste va alimenter la
carte des correspondances « Missions - Objectifs de contrôle ». Reste que ça sera mieux de
considérer cette mission comme un cadre générale afin de planifier et d’exécuter des missions plus
spécifiques traitant chacune un volet de la sécurité des SI. Ainsi il sera judicieux qu’on opère à un
découpage de cette mission générale afin de raffiner la carte des correspondances « Missions -
Objectifs de contrôle ». Dans ce dernier cas nous allons reconsidérer tous les processus prioritaires
(P) et secondaires (S) et tous les objectifs de contrôle qui leurs sont associés.
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Tableau 2 : Liste des objectifs de contrôle correspondant à la mission « Audit de la sécurité globale des SI »
Domaine Processus Objectifs de contrôle
Planifier
et
Organiser
(PO)
PO1 : Définir un plan informatique stratégique PO1.2 : Alignement Métiers-Informatique
PO1.4 : Plan informatique stratégique
PO1.6 : Gestion de portefeuille informatique
PO2 : Définir l’architecture de l’information
(x)
PO2.1 : Modèle d’architecture de l’information de l’entreprise
PO2.2 : Dictionnaire et règles de syntaxe des données
PO2.3 : Système de classification des données
PO2.4 : Gestion de l’intégrité
PO3 : Déterminer l’orientation stratégique PO3.3 : Surveillance de l’évolution des tendances et de réglementation
PO3.4 : Standards informatiques
PO4 : Définir les processus, l’organisation et les
relations de travail
PO4.8 : Responsabilité des risques, de la sécurité et de la conformité
PO4.9 : Propriété des données et du système
PO4.10 : Supervision
PO4.11 : Séparation des tâches
PO4.13 : Personnel informatique clé
PO4.15 : Relations
PO6 : Faire connaitre les buts et orientations du
management
(xxxx)
PO6.2 : Risque informatique pour l’entreprise et cadre de contrôle
PO6.3 : Gestion des politiques informatiques
PO6.4 : Déploiement des politiques, des standards et des procédures
PO6.5 : Communication des objectifs et des orientations informatiques
PO7 : Gérer les ressources humaines et
informatiques
PO7.1 : Recrutement et maintien de personnel
PO7.2 : Compétences du personnel
PO7.3 : Affection des rôles
PO7.4 : Formation
PO7.5 : Dépendance à l’égard d’individus
PO7.6 : Procédures de sécurité concernant le personnel
PO7.7 : Evaluation des performances
PO7.8 : Changements de postes et départs
PO8 : Gérer la qualité PO8.3 : Standards de développement et d’acquisition
PO9 : Evaluer et gérer les risques
(xx)
PO9.1 : Référentiel de gestion des risques informatiques
PO9.2 : Etablissement du contexte du risque
PO9.3 : Identification des événements
PO9.4 : Évaluation du risque
PO9.5 : Réponse au risque
PO9.6 : Maintenance et surveillance du plan d’action vis-à-vis risques
Acquérir
et
Implémenter
(AI)
AI1 : Trouver des solutions informatiques AI1.1 : Définition des exigences métiers, techniques et fonctionnelles
AI1.2 : Rapport d’analyse de risques
AI1.3 : Etude de faisabilité et formulation d’alternatives
AI2 : Acquérir des applications et en assurer la
maintenance
AI2.2 : Conception détaillée
AI2.3 : Contrôles applicatifs et audibilité
AI2.4 : Sécurité et disponibilité des applications
AI2.5 : Configuration et implémentation des logiciels applicatifs acquis
AI2.6 : Mise à jour majeurs des systèmes existants
AI2.8 : Assurance qualité des logiciels
AI3 : Acquérir une infrastructure technique et en
assurer la maintenance
AI3.1 : Plan d’acquisition d’une infrastructure technique
AI3.2 : Protection et disponibilité des ressources de l’infrastructure
AI3.3 : Maintenance de l’infrastructure
AI3.4 : Environnement de test et faisabilité
AI4 : Faciliter le fonctionnement et
l’exploitation
AI4.1 : Planification pour rendre les solutions exploitables
AI4.2 : Transfer de connaissances aux métiers
AI4.3 : Transfer de connaissances aux utilisateurs finaux
AI4.4 : Transfert de connaissance aux équipes d’exploitation et support
AI5 : Acquérir des ressources informatiques AI5.2 : Gestion des contrats fournisseurs
AI5.3 : Choix des fournisseurs
AI5.4 : Acquisition des ressources informatiques
AI6 : Gérer les changements
(xx)
AI6.1 : Standards et procédures de changement
AI6.2 : Évaluation de l’impact, choix des priorités, autorisation
AI6.3 : Modification d’urgence
AI6.4 : Suivi et compte-rendu des changements
AI6.5 : Clôture et documentation des changements
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
AI7 : Installer et valider les solutions et les
modifications
(xx)
AI7.1 : Formation
AI7.2 : Plan de test
AI7.3 : Plan d’implémentation
AI7.4 : Environnement de test
AI7.5 : Conservation de système des données
AI7.6 : Tests des modifications
AI7.7 : Tests de recettes définitives
AI7.8 : Mise en production
AI7.9 : Revue post-implémentation
Délivrer
et
Supporter
(DS)
DS1 : Définir et gérer les niveaux de services DS1.3 : Contrats ou convention de services (CS)
DS1.5 : Surveillance et comptes rendu des niveaux de services
DS1.6 : Revue des conventions de services et contrats
DS2 : Gérer les services tiers DS2.3 : Gestion du risque fournisseurs
DS2.4 : Surveillance des performances fournisseurs
DS3 : Gérer la performance et la capacité x DS3.4 : Disponibilité des ressources informatiques
DS4 : Assurer un service continu
(xxx)
DS4.1 : Référentiel de continuité informatique
DS4.2 : Plans de continuité informatique
DS4.3 : Ressources informatiques critiques
DS4.4 : Maintenance du plan de continuité des SI
DS4.5 : Tests du plan de continuité des SI
DS4.8 : Reprise et redémarrage des services informatiques
DS4.9 : Stockage de sauvegardes hors site
DS5 : Assurer la sécurité du système
(xxxxx)
DS5.1 : Gestion de la sécurité informatique
DS5.2 : Plan de sécurité informatique
DS5.3 : Gestion des identités
DS5.4 : Gestion des comptes utilisateurs
DS5.5 : Tests de sécurité, vigilance et surveillance
DS5.6 : Définition des incidents de sécurité
DS5.7 : Protection de la technologie de sécurité
DS5.8 : Gestion des clefs de chiffrement
DS5.9 : Prévention, détection et neutralisation des logiciels malveillants
DS5.10 : Sécurité des réseaux
DS5.11 : Echange de données sensibles
DS9 : Gérer la configuration
(x)
DS9.1 : Référentiel de configuration et configuration de base
DS9.2 : Identification et maintenance des éléments de configuration
DS9.3 : Revue d’intégrité des configurations
DS10 : Gérer les problèmes DS10.1 : Identification et classification des problèmes
DS10.2 : Suivi et résolution des problèmes
DS10.3 : Clôture des problèmes
DS11 : Gérer les données
(xx)
DS11.1 : Exigences des métiers pour la gestion des données
DS11.2 : Dispositifs de stockage et de conservation
DS11.3 : Système de gestion de la médiathèque
DS11.4 : Mise au rebut
DS11.5 : Sauvegarde et restauration
DS11.6 : Exigences de sécurité pour la gestion des données
DS12 : Gérer l’environnement physique
(xxxx)
DS12.1 : Sélection de site et agencement
DS12.2 : Mesures de sécurité physiques
DS12.3 : Accès physique
DS12.4 : Protection contre les risques liés à l’environnement
DS12.5 : Gestion des installations matérielles
DS13 : Gérer l’exploitation
(x)
DS13.3 : Surveillance de l’infrastructure informatique
DS13.4 : Documents sensibles et dispositifs de sortie
DS13.5 : Maintenance préventive du matériel
Surveiller
et
Evaluer (SE)
SE1 : Surveiller et évaluer la performance du SI SE1.2 : Définition et collationnement des données
SE1.4 : Evaluation de la performance
SE1.5 : Comptes rendus destinés au CA et à la DG
SE1.6 : Actions correctives
SE2 : Surveiller et évaluer le contrôle interne
(xx)
SE2.1 : Surveillance de référentiel de contrôle interne
SE2.4 : Autoévaluation du contrôle
SE2.5 : Assurance du contrôle interne
SE2.6 : Contrôle interne des tiers
SE3 : S’assurer de la conformité aux obligations
externes
SE3.1 : Identification des obligations externes : lois, règlements, contrats
SE3.2 : Optimisation de la réponse aux obligations externes
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
SE3.3 : Evaluation de la conformité aux obligations externes
SE3.4 : Assurance positive de la conformité
SE4 : Mettre en place une gouvernance des SI SE4.5 : Gestion des risques
SE4.7 : Assurance indépendante
Contrôles
applicatifs
(CA)
CA1 : Autorisation et préparation des données source
CA2 : Collecte et saisie des données source
CA3 : Vérifications d'exactitude, d'exhaustivité et d'authenticité
CA4 : Intégrité et validité du traitement
CA5 : Vérification des sorties, rapprochement et traitement des erreurs
CA6 : Authentification et intégrité des transactions
Remarque :
Les processus en surbrillance sont les processus qualifiés de prioritaires (P). Le degré de priorité de chaque processus est calculé selon le
nombre de fois qu’un processus est impliqué en matière de sécurité des SI (voir Figure 27). Ce degré de priorité est mentionné par des
marques (xxx). Les contrôles applicatifs (CA) font partie des contrôles à haut degré de priorité, pour cette mission « Audit de la sécurité
globale des SI ».
Découpage de la mission « Audit de la sécurité globale des SI » en sous-missions
spécifiques
La mission type choisi pour ce cas d’étude s’étend sur le large des SI impliquant presque toutes
les ressources matérielles, logicielles, humaines ainsi que les informations et les procédures, et
touche les dimensions stratégiques et managériale des SI qui peuvent présenter des risques et des
problèmes de sécurité.
Comme discuté dans la section précédente il sera alors plus judicieux de découper cette mission
en sous-missions d’audit traitant chacune un besoin bien déterminé en sécurité. Ainsi cette mission
« Audit de la sécurité globale des SI » pourra être considérée au niveau de la phase de planification
comme un cadre pluriannuel ou annuel traitant la sécurité des SI.
Une première idée de découpage de cette mission générale consiste à s’inspirer du modèle
processus de cadre de référence Cobit4.1, et cela en traitant tous les objectifs de contrôle identifiés
soit par domaine ou par processus. Un tel découpage s’avère confus, en fait ce modèle fait
interconnecter plusieurs processus de différents domaines à fin d’opérer ensemble dans le but
d’atteindre un objectif informatique bien déterminé, ce qui rend cette idée de découpage non
pratique. Plusieurs autres modèles de découpage peuvent être établis, comme : le découpage par
structure, le découpage par fonction, le découpage par ressource, le découpage par thème.
Le découpage le plus adapté à cette mission sera celui par thème en raison des spécificités des SI,
et de la nature de la mission. Ce mode de découpage permet aussi d’intégrer toutes les différentes
missions d’audit de la sécurité des SI que les auditeurs informatiques de la STEG ont eu
généralement l’habitude à exécuter, sans tomber dans un découpage par processus trop spécifique
et non adapté.
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Parmi les nombreuses publications de l’ISACA tournant tout autour du cadre de référence
Cobit4.1, un guide du management, le « Cobit Security Baseline », fournit des conseils aux
responsables et aux conseillés en sécurité afin d’implémenter des dispositifs de contrôles
permettant d’assurer la protection des SI de tous risques. Ces conseils et directives sont élaborés
sur la base des pratiques de contrôles associées aux différents objectifs de contrôle Cobit.
En se référant à ce guide et en l’étudiant on a pu ainsi éventaillier la mission « Audit de la sécurité
globale des SI » en un nombre de sous-mission :
Audit du management de la sécurité des SI : cette mission consiste à vérifier la stratégie
sécuritaire mise en place par la direction, l’organisation des SI et les responsabilités ainsi
que le processus de communication en matière de la sécurité.
Audit des risques informatiques : cette mission consiste à vérifier le processus de gestion des
risques informatiques et l’existence d’un plan d’action pour faire face aux risques potentiels.
Audit des risques associés au personnel : cette mission consiste à vérifier le degré
d’implication du personnel dans la politique sécuritaire de l’entreprise.
Audit de la sécurité des applications et infrastructures : cette mission consiste à vérifier la
sécurité des ressources logiciels et matériels dès leurs acquisitions (ou développements pour
le cas des applications et systèmes) jusqu’à leurs implémentations et leurs mises en œuvre.
Audit de la sécurité des changements : cette mission consiste à vérifier la sécurité des
systèmes et applications lors des différents changements apportés à ceux-ci.
Audit de la sécurité des services fournis par des tiers : cette mission consiste à vérifier que
les services offerts par des tiers respectent les politiques et les procédures de l’entreprise.
Audit de la sécurité des services internes : cette mission consiste à vérifier que les services
internes fournis par les SI de l’entreprise sont toujours disponibles, fiables, récupérables en
cas d’échec protégés contre toute violation de la sécurité.
Audit de la sécurité des données et transactions : elle consiste à vérifier que les contrôles mis
en place pour assurer l’intégrité, l’accessibilité et la lisibilité des données et ceux assurant la
conformité des transactions aux règles et procédures, existent et sont efficaces.
Audit de la sécurité physique : cette mission consiste à vérifier la sécurité physique des
équipements, des installations, des constructions et les biens informatiques de l’entreprise.
Audit de la gouvernance des dispositifs de sécurité : cette mission consiste à vérifier la
performance des dispositifs de sécurité mis en place, l’existence d’une assurance
indépendante des mesures de sécurité établies et la conformité réglementaire des politiques
et procédures de sécurité avec les normes et lois en vigueur.
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Tableau 3 : Découpage de la mission « Audit de la sécurité globale des SI » en sous-missions spécifiques (1)
Type de mission d’audit Objectifs de contrôle
Audit du management de la
sécurité des SI
PO1 : 1.2, 1.4, 1.6
PO2 : 2.2, 2.3
PO3 : 3.4
PO4 : 4.8, 4.9, 4.10, 4.11, 4.15
PO6 : 6.2, 6.3, 6.4, 6.5
PO7 : 7.3
AI5 : 5.2
DS1 : 1.3, 1.5, 1.6
DS2 : 2.4
DS5 : 5.1, 5.2
Audit des risques informatiques PO2 : 2.3
PO7 : 7.4
PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6
AI1 : 1.1, 1.2
Audit des risques associés au
personnel en matière de la
sécurité des SI
PO4 : 4.13
PO7 : 7.1, 7.2, 7.5, 7.6, 7.7
AI4 : 4.1, 4.2, 4.3, 4.4
AI7 : 7.1
Audit de la sécurité des
applications et infrastructures
PO8 : 8.3
AI1 : 1.1, 1.2, 1.3
AI2 : 2.2, 2.3, 2.4, 2.5, 2.6, 2.8
AI3 : 3.1, 3.2, 3.3, 3.4
AI4 : 4.1, 4.4
AI5 : 5.2, 5.3, 5.4
AI6 : 6.1
DS5 : 5.9
DS9 : 9.1, 9.3
Audit de la sécurité des
installations et des changements
PO8 : 8.3
AI2 : 2.8
AI3 : 3.4
AI6 : 6.1, 6.2, 6.3, 6.4, 6.5
AI7 : 7.2, 7.4, 7.6, 7.7, 7.8, 7.9
Audit de la sécurité des services
fournis par des tiers
AI5 : 5.3
DS2 : 2.3, 2.4
SE2 : 2.6
Audit de la sécurité des services
internes
PO2 : 2.3
PO9 : 9.3, 9.4
DS4 : 4.1, 4.2, 4.3, 4.4, 4.5, 4.8, 4.9
DS5 : 5.2, 5.3, 5.4, 5.5, 5.6, 5.7, 5.8, 5.9, 5.10, 5.11
DS10 : 10.1, 10.2, 10.3
DS11 : 11.5, 11.6
DS12 : 12.3, 12.5
DS13 : 13.4
AC6
Audit des données et des
transactions
DS4 : 4.9
DS5 : 5.11
DS11 : 11.2, 11.4, 11.6
AC1
AC2
AC3
AC4
AC5
AC6
Audit de la sécurité physique DS12 : 12.1, 12.2, 12.3, 12.4, 12.5
Audit de la gouvernance des
dispositifs de sécurité
PO3 : 3.3
SE1 : 1.2, 1.4, 1.5, 1.6
SE2 : 2.1, 2.4, 2.5
SE3 : 3.1, 3.2, 3.3, 3.4
SE4 : 4.7
(1)
Voir Annexe2 pour une description plus détaillée de l’objectif et du périmètre de chacune de ses sous-mission.
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
b) Implémentation de la carte de correspondance « Missions - Objectifs de contrôle»
Dans ce présent travail on a choisi comme mission type « Audit de la sécurité globale des SI » à
fin de mettre en œuvre l’approche Cobit4.1 en matière d’audit des SI et de présenter un exemple à
suivre pour les auditeurs. En fait le produit de ce travail (le générateur de guides d’audit) est un
outil qui va permettre d’automatiser la phase de cadrage de la démarche d’audit Cobit4.1 au moyen
de la carte de correspondance « Missions - Objectifs de contrôle » et de fournir en résultat des
« Frameworks » (en forme de questionnaires spécifiques et des tables de mappage correspondant)
pour différentes missions d’audit.
Cette carte clé est implémentée en un fichier Excel présentant tous les objectifs de contrôle
Cobit4.1 organisée par processus et domaines (tel le modèle de processus Cobit4.1), et comportera
une liste qui regroupera tous les travaux de cadrage, celui réalisé pour le cas de cette mission type
et ceux qui seront à la charge des auditeurs de la STEG par la suite. Cette liste organisera
l’ensemble des missions d’audit en une hiérarchie de missions et de sous-missions qui en découlent
(voir Figure 28).
Le rôle de cette carte sera de présenter aux auditeurs des pistes à suivre dans leurs missions en leur
offrant des correspondances entre des missions d’audit (organisées par thème et sous thèmes) et
les objectifs de contrôle Cobit4.1 relatifs à chacune. Elle présentera ainsi des modèles de cadrage
pour un ensemble de missions d’audit et permettra de générer des questionnaires d’audit
spécifiques en fonction de type de mission fixé (voir Tutoriel Annexe 3).
Ce travail formera une base à partir de quelle sera établie une carte plus élaborée, pouvant contenir
plusieurs autres missions d’audit telles que :
Audit des projets informatiques
Audit des services informatiques
Audit des applications informatiques
Audit de la performance des SI
Audit de la qualité des SI
Audit de la gouvernance des SI …
À remarquer que tous ces missions peuvent être découpées en sous-missions comme c’était fait
pour le cas de la mission « Audit de la sécurité globale des SI », permettant ainsi de former une
hiérarchie de guides d’audit structurés, cohérents, complémentaires et œuvrant dans une même
logique.
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Figure 4 : La carte de correspondances « Missions - Objectifs de contrôle »(2)
(2)
Un tutoriel de cette application est présenté en Annexe3.
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Exemple 1 : Objectifs de contrôle correspondant à la mission générale « Audit de la sécurité
globale des SI ».
Figure 5 : La carte de correspondance « Audit de la sécurité globale des SI - Objectifs de contrôle »
(Exemple1)
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Exemple 2 : Objectifs de contrôle correspondant à la sous-mission « Audit de la sécurité des
services internes ».
Figure 6 : La carte de correspondance « Audit de la sécurité des services internes - Objectifs de contrôle »
(Exemple2)
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
4) Les tables de mappage
Une des particularités de cadre de référence Cobit4.1, c’est qu’il organise, unie et favorise la
convergence d’un grand nombre de bonnes pratiques issues de plusieurs standards et normes
internationales, lui valant ainsi le titre d’un cadre fédérateur par excellence. Cet alignement de
Cobit4.1 sur des référentiels plus spécifiques permet de mettre en place un ensemble hiérarchisé
de guides d’audit bien élaborés, traitant les SI de plus haut niveau stratégique et managériale
jusqu’au niveau opérationnel et purement technique. Le produit de ce présent travail : le
« Générateur de guides d’audit » cherche à implémenter l’approche Cobit au moyen de tous ses
sous-produits : la plateforme des questionnaires d’audit, la carte de correspondance « Missions –
Objectifs de contrôle » et notamment des tables de mappage (qui font liens entre les objectifs de
contrôle Cobit4.1 et les bonnes pratiques des autres standards et normes).
En matière de la sécurité des SI Cobit4.1 fait référence via ses objectifs contrôle aux bonnes
pratiques de plusieurs standards et normes internationales traitant ce même thème, on note
particulièrement :
le cadre de référence ITIL
la norme ISO 13335
la norme ISO 15408
la norme ISO 20000 (inspirée des bonnes pratique de cadre de référence ITIL)
la norme ISO 27002 (évoluée à partir de la norme ISO 17799)
….
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Figure 7: Les principaux standards et normes informatiques qui traitent la sécurité des SI
Pour le cas de la mission type fixée pour ce travail, la mission d’« Audit de la sécurité globale des
SI », le standards ou la norme la plus adaptée au sujet traité est essentiellement la norme ISO/CEI
27002 : 2005 de la famille des normes ISO 2700X (voir Figure 32). Cette norme est en fait un code
de bonnes pratiques pour la gestion de la sécurité de l'information qui présente trente-neuf objectifs
de contrôle qui se déclinent eux-mêmes en cent-trente-trois mesures ou bonnes pratiques destinées
à être implémentées par le management au moyen d’un « Système de Management de la Sécurité
de l'Information » (SMSI).
Figure 8 : La famille des normes ISO 2700X
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Cette norme définie la sécurité de l'information comme la « préservation de la confidentialité, de
l'intégrité et de la disponibilité », ainsi on remarque la forte similitude entre cette définition et
l’approche Cobit4.1 concernant la sécurité des SI.
Cet alignement entre Cobit et la norme ISO 27002 : 2005 permettra aux auditeurs de se référer via
une table de mappage (Tableau 19) pour chacune des sous-missions de la mission générale « Audit
de la sécurité globale des SI » à l’ensemble des bonnes pratiques de cette norme internationale afin
d’approfondir leurs missions et de détailler leurs investiguassions.
Á remarquer que cette table de mappage a été dressée par référence au guide de sécurité des
informations (« Cobit Security Baseline ») établie par l’ISACA. Plusieurs autres tables de mappage
peuvent être aussi dressées, alignant ainsi les objectifs de contrôles Cobit4.1 identifiés pour la
mission générale « Audit de la sécurité des SI » et ses sous-missions dérivées avec les bonnes
pratiques des autres référentiels concernés, tel que : ITILV3, ISO 13335, ISO 15408, ISO 20000
…
Tableau 4 : Table de mappage Cobit 4.1 - ISO/CEI 27002
Type de mission d’audit ISO/CEI 27002 : 2005 Objectifs de contrôle
Cobit 4.1
Audit du management de la sécurité
des SI
4.1, 4.2
5.1
6.1, 6.2
7.1
10.1, 10.2, 10.8
15.2
PO1 : 1.2, 1.4, 1.6
PO2 : 2.2, 2.3
PO3 : 3.4
PO4 : 4.8, 4.9, 4.10, 4.11, 4.15
PO6 : 6.2, 6.3, 6.4, 6.5
PO7 : 7.3
AI5 : 5.2
DS1 : 1.3, 1.5, 1.6
DS2 : 2.4
DS5 : 5.1, 5.2
Audit des risques informatiques 4.1, 4.2
6.1
8.2
PO2 : 2.3
PO7 : 7.4
PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6
AI1 : 1.1, 1.2
Audit des risques associés au
personnel en matière de la sécurité
des SI
8.1, 8.2
10.1
PO4 : 4.13
PO7 : 7.1, 7.2, 7.5, 7.6, 7.7
AI4 : 4.1, 4.2, 4.3, 4.4
AI7 : 7.1
Audit de la sécurité des applications
et infrastructures
9.2
11.4, 11.5
12.1, 12.2, 12.4, 12.5,
12.6
PO8 : 8.3
AI1 : 1.1, 1.2, 1.3
AI2 : 2.2, 2.3, 2.4, 2.5, 2.6, 2.8
AI3 : 3.1, 3.2, 3.3, 3.4
AI4 : 4.1, 4.4
AI5 : 5.2, 5.3, 5.4
AI6 : 6.1
DS5 : 5.9
DS9 : 9.1, 9, 9.3
Audit de la sécurité des installations
et des changements
10.1, 10.3
12.5
PO8 : 8.3
AI2 : 2.8
AI3 : 3.4
AI6 : 6.1, 6.2, 6.3, 6.4, 6.5
AI7 : 7.2, 7.4, 7.6, 7.7, 7.8, 7.9
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Audit de la sécurité des services
fournis par des tiers
6.2
10.2
15.2
AI5 : 5.3
DS2 : 2.3, 2.4
SE2 : 2.6
Audit de la sécurité des services
internes
4.1, 4.2
6.2
7.2
9.2
10.1, 10.3, 10.4, 10.5,
10.8, 10.9, 10.10
11.1, 11.2, 11.4
12.3, 12.4
13.1, 13.2
14.1
PO2 : 2.3
PO9 : 9.3, 9.4
DS4 : 4.1, 4.2, 4.3, 4.4, 4.5, 4.8, 4.9
DS5 : 5.2 ,5.3, 5.4, 5.5, 5.6, 5.7,
5.8, 5.9, 5.10, 5.11
DS10 : 10.1, 10.2, 10.3
DS11 : 11.5, 11.6
DS12 : 12.3, 12.5
DS13 : 13.4
AC6
Audit des données et des transactions 7.2
9.2
10.7, 10.8
11.2, 11.6
15.2
DS4 : 4.9
DS5 : 5.11
DS11 : 11.2, 11.4, 11.6
AC1
AC2
AC3
AC4
AC5
AC6
Audit de la sécurité physique 9.1, 9.2
12.3, 12.5
DS12 : 12.1, 12.2, 12.3, 12.4, 12.5
Audit de la gouvernance des
dispositifs de sécurité
4.1
10.10
15.1, 15.2, 15.3
PO3 : 3.3
SE1 : 1.2, 1.4, 1.5, 1.6
SE2 : 2.1, 2.4, 2.5
SE3 : 3.1, 3.2, 3.3, 3.4
SE4 : 4.7
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Annexe 2 : Tableau descriptif des sous-missions de la mission
générale « Audit de la sécurité globale des SI »
Type de mission d’audit Description Objectifs de contrôle
Audit du management de la
sécurité des SI
Cette mission consiste à vérifier :
La stratégie de sécurité et l’architecture de l’information, c.-à-d. :
que les données, les services et les transactions critiques (en se basant
sur les exigences et les risques métiers) sont bien identifiés et
considérées dans la stratégie de sécurité de l’entreprise
que les exigences de sécurité (telles que : l’authenticité, la
confidentialité, la disponibilité, la limitation d’accès, la validité, le
sauvegarde et la récupération) des données sont prises en compte dans
l’établissement de la stratégie globale de sécurité des SI
que des investissements de sécurité (matériels et logiciels) sont étudiés
et pris en compte
PO1 : 1.2, 1.4,
1.6
PO2 : 2.2, 2.3
PO3 : 3.4
PO4 : 4.9
DS5 : 5.1, 5.2
L’organisation des SI et les responsabilités en matière de sécurité c.-à-d. :
que les responsabilités sont assignées, communiquées et bien
appréhendées
le niveau de risque
que les responsabilités ne sont pas attribuer à une seule personne
que les ressources nécessaires pour exercer les responsabilités sont
disponibles et efficaces
PO4 : 4.8, 4.10,
4.11, 4.15
PO7 : 7.3
La communication des objectifs et les orientations de gestion en matière de
sécurité c.-à-d. :
que les règles de base répondant aux exigences et aux incidents de
sécurité sont bien communiquées aux employés et que ces derniers
adhérent aussi bien aux politiques de l’entreprise en ce qui concerne la
sécurité des SI
que les directives de sécurité sont en ligne avec les objectifs de
l'entreprise
PO6 : 6.2, 6.3,
6.4, 6.5
DS5 : 5.2
La sécurité des différents niveaux de service : c.-à-d. :
que des exigences de sécurité et des revus réguliers de la conformité
des niveaux de services internes et les services fournis par des tiers
sont établis et respectés
AI5 : 5.2
DS1 : 1.3, 1.5,
1.6
DS2 : 2.4
Audit des risques
informatiques
Cette mission consiste à vérifier :
le processus de gestion des risques informatiques de l’entreprise et les
mesures envisagées par la direction de l’entreprise
l’existence d’un plan d’action afin de répondre aux risques potentiels
le niveau d’implication du personnel dans le processus de gestion des
risques des SI
PO2 : 2.3
PO7 : 7.4
PO9 : 9.1, 9.2,
9.3, 9.4, 9.5, 9.6
AI1 : 1.1, 1.2
Audit des risques associés
au personnel en matière de
la sécurité des SI
Cette mission consiste à vérifier :
le degré d’implication du personnel aux politiques de sécurité établies par
la direction
les compétences du personnel en matière de sécurité générale des SI
qu’aucune tache clé de sécurité ne soit attribuée à une seule personne
PO4 : 4.13
PO7 : 7.1, 7.2,
7.5, 7.6, 7.7
que les membres du personnel savent intégrer la sécurité dans les
procédures quotidiennes
qu’une documentation et des formations sont fournies aux membres du
personnel en matière de la sécurité
AI4 : 4.1, 4.2,
4.3, 4.4
AI7 : 7.1
Audit de la sécurité des
applications et
infrastructures
Cette mission a pour but de vérifier :
l’existence des évaluations de sécurité lors de l’acquisition des nouvelles
applications AI1 : 1.1, 1.2, 1.3
AI5 : 5.2, 5.3
que les solutions informatiques acquises sont fonctionnels et que les
exigences de sécurité sont spécifiées et compatibles avec les systèmes
AI1 : 1.1, 1.2
AI2 : 2.2, 2.4
AI4 : 4.1, 4.4
AI5 : 5.3, 5.4
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
que les développeurs et les fournisseurs d’applications ou infrastructures
prennent en compte les exigences de l’entreprise en matière de sécurité, et
que l’entreprise à déployer tous les moyens pour les faire adhérer à ses
politiques de sécurité
PO8 : 8.3
AI2 : 2.3, 2.4,
2.5, 2.6, 2.8
AI3 : 3.1, 3.4
l’existence et l’efficacité des patchs de sécurité pour l’infrastructure
que des mesures additionnelles nécessaires pour maintenir la sécurité de
l’infrastructure sont documentées
AI3 : 3.2, 3.3
AI6 : 6.1
DS5 : 5.9
que des mises à jour régulières et des inventaires complets des
configurations des applications et du matériel sont exécutés
que tous les logiciels installés sont légales, autorisés (possèdent des
licences d’utilisation)
DS9 : 9.1, 9, 9.3
Audit de la sécurité des
installations et des
changements
Cette mission consiste à vérifier :
les impacts des changements (correctifs inclus) sur l’intégrité des
données (perte des données), la disponibilité des services et la validité
des transactions
AI2 : 2.8
AI3 : 3.4
AI6 : 6.1, 6.2
AI7 : 7.2, 7.4, 7.6
que tous les changements, y compris les correctifs et les modifications
d'urgence sont documentés et autorisés
AI6 : 6.2, 6.3,
6.4, 6.5
que les systèmes nouvellement installés et les différents changements
ont été objet des tests de sécurité
PO8 : 8.3
AI3 : 3.4
AI7 : 7.2, 7.4,
7.6, 7.8
que les résultats des tests faits répondent aux exigences métiers et aux
politiques et procédures de l’entreprise en matière de sécurité des SI
AI7 : 7.7, 7.8, 7.9
Audit de la sécurité des
services fournis par des
tiers
Cette mission consiste à vérifier :
que les fournisseurs de services tiers respectent les politiques de
sécurité de l’entreprise et emploient des personnes qualifiés
la dépendance aux fournisseurs des services tiers est bien gérée par les
politiques et les procédures de sécurité de l’entreprise
que les contrats avec les fournisseurs de services tiers permettent
d’exécuter des missions d’audit et des revues (SysTrust, SAS70,
ISA402)
AI5 : 5.3
DS2 : 2.3, 2.4
SE2 : 2.6
Audit de la sécurité des
services internes
Cette mission consiste à vérifier :
que des fonctions, des informations et des ressources critiques sont
disponible pour maintenir la continuité des services offerts en cas d’un
incident de sécurité
PO2 : 2.3
PO9 : 9.3, 9.4
DS4 : 4.1, 4.3
DS5 : 5.6
DS10 : 10.1,
10.2, 10.3
DS12 : 12.5
l'existence et la fiabilité des mesures d’urgence afin de rétablir le
service en échec et de répondre aux besoins des fournisseurs et clients
DS4 : 4.2, 4.4,
4.8
que les éléments de récupération des services (informations,
documentation et ressources critiques) sont bien sauvegarder dans des
sites de sauvegarde et sont bien sécurisés, utilisables et recouvrables
DS4 : 4.5, 4.9
DS11 : 11.5, 11.6
que les accès et les privilèges d’accès (pour afficher, ajouter, modifier
ou supprimer les informations et les transactions) sont basés sur les
besoins particuliers des utilisateurs
que les droits d'accès des prestataires de services, fournisseurs et
clients sont contrôlés
DS5 : 5.3, 5.4
que les responsabilités pour gérer les comptes utilisateurs et les jetons
de sécurité (tel que : mots de passe, cartes d’accès …) et que ces
mesures sont bien identifiées, documentées et révisées périodiquement
DS5 : 5.4, 5.7,
5.8
DS13 : 13.4
que les violations de sécurité des services (tel que : accès non permis
des réseaux et systèmes, virus, logiciels malveillants ….) sont toujours
enregistrées et reportées immédiatement aux responsables de
l’entreprise
DS5 : 5.5, 5.6,
5.9
DS10 : 10.1
que les consignes de sécurité avec les partenaires commerciaux sont
adéquates et conforme aux obligations contractuelles afin de garantir
l’authenticité des transactions électroniques
DS5 : 5.11
AC6
que des mesures de protection contre les virus et les logiciels espions
sont établis et efficaces et mises à jour
DS5 : 5.9
que les mesures de sécurité des réseaux se conforment aux politiques
de l’entreprise en matière d’échange des informations
DS5 : 5.2, 5.10,
5.11
DS12: 12.3
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
que les supports électroniques permettant cet échange sont bien
sécurisés et les incidents sont détectés et suivis.
Audit des données et des
transactions
Cette consiste à vérifier :
que les contrôles mis en place pour assurer l’intégrité des données
(exactitude, l'exhaustivité et la validité) lors des opérations de saisie,
de traitement, de sauvegarde ou de la distribution existent et sont
efficaces
que les contrôles mis en place pour assurer l’authenticité et le non rejet
des transactions existent et sont efficaces
DS5 : 5.11
DS11 : 11.6
AC1, AC2
AC3, AC4
AC5, AC6
que les données sensibles ne sont pas communiquées aux personnes
non autorisées
DS11 : 11.6
AC5
AC6
que les périodes de rétention, les mesures d’archivage et les conditions
de stockage de la documentation, données et applications se
conforment aux exigences des utilisateurs et des réglementations en
vigueur
DS11 : 11.2, 11.4
que l'intégrité, l'accessibilité et la lisibilité des données sont assurées
lors de l’opération de sauvegarde
DS4 : 4.9
DS11 : 11.2
Audit de la sécurité
physique
Cette mission consiste à vérifier :
que les installations et des biens informatiques (salles des serveurs ou
de stockage des données) exposés à des risques élevés sont bien
sécurisés contres des dommages physiques
DS12 : 12.1,
12.2, 12.3, 12.4,
12.5
que les ordinateurs, équipements informatiques sont bien protégés
contre les dommages physiques et la perte des données
DS12 : 12.2,
Audit de la gouvernance
des dispositifs de sécurité
Cette mission consiste à vérifier :
La performance des dispositifs de sécurité mises en place c.-à-d. :
à quel point les contrôles de sécurité répondent aux exigences définis
et remédient aux vulnérabilités des SI en matière de sécurité
que les mécanismes de sécurité fonctionnent efficacement et que des
mesures de détection des faiblesses de ces mécanismes sont prévues et
exécutées (telles que la détection d'intrusion, les tests de pénétration et
le stress, et l'essai des plans d'urgence)
que toutes les violations et les exceptions sont documentées et suivies
conformément aux politiques de sécurité de l’entreprise
que contrôles clés de sécurité sont toujours surveillés aux exigences et
politiques
SE1 : 1.2, 1.4,
1.5, 1.6
SE2 : 2.1, 2.4
L’existence d’une assurance indépendante c.-à-d. :
que des évaluations indépendantes (de la part des experts en la
matière) sont prévues pour vérifier les mesures de sécurité établies et
le niveau de l’adéquation de ceux-ci avec les lois, règlementations et
les obligations contractuelles
SE2 : 2.5
SE4 : 4.7
La conformité réglementaire des politiques et dispositifs de sécurité avec les
normes et lois en vigueur c.-à-d. :
que des tâches et des activités sont établies pour garantir la conformité
des dispositifs de sécurité avec les réglementations en vigueur
que le personnel adhère aux politiques de l’entreprise en matière de la
sécurité et est sensibles aux obligations sécuritaires
PO3 : 3.3
SE3 : 3.1, 3.2,
3.3, 3.4
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Annexe 3 : Tutoriel de l’application « Générateur des guides
d’audit »
Présentation :
Ce produit (le générateur de guide d’audit) présente une implémentation de l’approche Cobit4.1 en matière d’audit
des SI. C’est un outil qui permet d’automatiser certains des travaux et tâches des auditeurs des SI en leur proposant
des modèles de cadrage des missions et la possibilité de générer des guides (questionnaires) d’audit spécifiques basées
sur les conseils et les procédures d’évaluation Cobit. Il offre aussi des tables de mappages permettant d’élargir les
champs des investigations par référence à un ensemble de standards informatiques et normes internationales.
Barre de navigation :
Cette barre permet de naviguer entre les différents composants de générateur de guides d’audit :
La carte des correspondances « Missions – Objectifs de contrôle » (élément 1)
Le guide générique ou la plateforme des questionnaires d’audit groupés par domaine : PO, AI, DS, SE et
CA (élément 2)
Le questionnaire (guide) généré (élément 3)
Les tables de mappage sous forme d’annexes (élément 4)
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Mode d'emploi :
Le point d’entrée afin de généré un guide d’audit (un questionnaire) spécifique à une mission bien déterminée c’est la
carté clé ou la carte des correspondances « Missions - Objectifs de contrôle ». Cette carte présente l’ensemble des
objectifs de contrôles Cobit groupés par processus et domaine (en reproduction au modèle processus de Cobit4.1).
Cette carte offre au moyen d’une liste déroulante un ensemble de missions organisées hiérarchiquement (des missions
traitant la sécurité des SI, un thème choisi lors de ce stage à titre d’exemple afin d’élaborer ce générateur de guides
d’audit). Dans cette première version, cette liste comporte cet ensemble réduit de missions, cependant elle peut être
élargie ultérieurement suite à des travaux de cadrage portant sur d’autres thèmes ou éléments des SI.
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Cette carte clé offre des modèles de cadrage, comme pour le cas de l’exemple choisi « Sous-mission : Audit de la
sécurité des applications et infrastructures ». Le processus de cadrage selon l’approche d’audit du cadre de référence
Cobit4.1 consiste à déterminer pour chaque mission les objectifs de contrôles Cobit les plus critiques, dont les
évaluations vont permettre de décerner les faiblesses des dispositifs de contrôle mis en place et associées au élément
d’étude ainsi que les risques potentiels correspondant. Ces modèles offrent aux auditeurs des SI des pistes à suivre,
néanmoins ceux-ci peuvent les affiner en fonction de leurs besoins en audit et les ressources de l’entreprise déployées.
L’avantage de cette application, ne s’arrête pas au fait d’offrir des modèles de cadrage des missions d’audit, mais aussi
de générer des guides d’audit sous forme de questionnaires spécifiques selon la mission sélectionnée. Ces
questionnaires vont être générer à partir du guide générique (la plateforme décrite auparavant).
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)
Les questionnaires ainsi générés vont présenter aux auditeurs un ensemble des évaluations sous forme de questions
inspirés des différents conseils et procédures d’évaluation de guide d’audit Cobit4.1 et qui ont été établis par des
experts en matière des SI. Ces questionnaires vont assister les auditeurs lors de leurs activités d’investigation tout en
leur offrant plusieurs indices et conseils issus des différents éléments de cadre de référence Cobit4.1 et ses divers
publications, tels que : les descriptions des processus et des leurs objectifs de contrôle correspondant, les responsables
clés des processus concernés par la mission en cours, des conseils et des méthodes d’audit (à titre indicatif) …
En plus des questionnaires générés sur la base des modèles de cadrage prédéfinis, un ensemble de tables de mappage
seront aussi présentés afin de donner aux auditeurs la possibilité d’approfondir leurs investigations en se référant à
des standards et normes plus détaillés. En fait le cadre de référence Cobit est un cadre fédérateur qui harmonie et unie
un ensemble de bonnes pratiques d’autres référentiels au moyen de ses objectifs de contrôle.

Contenu connexe

Tendances

Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
Annick Franck Monyie Fouda
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
Anthony Delannoy
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
Arsène Ngato
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
Harold NGUEGANG
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
Yann Riviere CCSK, CISSP, CRISC, CISM
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Cobit5 - Outil de la performance
Cobit5   - Outil de la performanceCobit5   - Outil de la performance
Cobit5 - Outil de la performance
Antoine Vigneron
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
hpfumtchum
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
Hajar958801
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 

Tendances (20)

Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...Effets du système de management de la sécurité de l'information sur la perfor...
Effets du système de management de la sécurité de l'information sur la perfor...
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Cobit5 - Outil de la performance
Cobit5   - Outil de la performanceCobit5   - Outil de la performance
Cobit5 - Outil de la performance
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 

Similaire à Générateur de guides d’audit informatique (based on cobit methodology)

Présentation asmq
Présentation asmqPrésentation asmq
Présentation asmq
hajar ELouariachi
 
Présentation 04 IHEC CARTHAGE COBIT.PPT
Présentation 04  IHEC CARTHAGE COBIT.PPTPrésentation 04  IHEC CARTHAGE COBIT.PPT
Présentation 04 IHEC CARTHAGE COBIT.PPT
IbrahimNjeh2
 
COBIT
COBIT COBIT
Cycle de vie des logiciels.ppt
Cycle de vie des logiciels.pptCycle de vie des logiciels.ppt
Cycle de vie des logiciels.ppt
hbadir
 
[Important] Cycle de vie des logiciels.ppt
[Important] Cycle de vie des logiciels.ppt[Important] Cycle de vie des logiciels.ppt
[Important] Cycle de vie des logiciels.ppt
testuser715939
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
穆罕 默德穆罕
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
穆罕 默德穆罕
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche générale
Ammar Sassi
 
Prise de position___audit_interne_qualite__mai_2004__1
Prise de position___audit_interne_qualite__mai_2004__1Prise de position___audit_interne_qualite__mai_2004__1
Prise de position___audit_interne_qualite__mai_2004__1saray1990
 
Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financier
gadour youssef
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financier
alaoui rachida
 
350992916-Tableau-SE.pptx lololooooooooooooooooooooo
350992916-Tableau-SE.pptx lololooooooooooooooooooooo350992916-Tableau-SE.pptx lololooooooooooooooooooooo
350992916-Tableau-SE.pptx lololooooooooooooooooooooo
azizabhaj
 
Methodologie et technique de l'audit
Methodologie et technique de l'auditMethodologie et technique de l'audit
Methodologie et technique de l'auditAbdelhak Essoulahi
 
Présenataion Conférence en ingénierie de systèmes.pdf
Présenataion Conférence en ingénierie de systèmes.pdfPrésenataion Conférence en ingénierie de systèmes.pdf
Présenataion Conférence en ingénierie de systèmes.pdf
omdaiji
 
Les exigences de documentation d’ISO 9001:2008
Les exigences de documentation d’ISO 9001:2008Les exigences de documentation d’ISO 9001:2008
Les exigences de documentation d’ISO 9001:2008
sarah Benmerzouk
 
Iso 9001 approche processus
Iso 9001 approche processusIso 9001 approche processus
Iso 9001 approche processusazfgr
 
2015-04-29 Jean Cloutier Structure de découpage de projet
2015-04-29 Jean Cloutier Structure de découpage de projet2015-04-29 Jean Cloutier Structure de découpage de projet
2015-04-29 Jean Cloutier Structure de découpage de projet
PMI Lévis-Québec
 

Similaire à Générateur de guides d’audit informatique (based on cobit methodology) (20)

Tutoriel
TutorielTutoriel
Tutoriel
 
Présentation asmq
Présentation asmqPrésentation asmq
Présentation asmq
 
audit 2009
 audit 2009 audit 2009
audit 2009
 
Présentation 04 IHEC CARTHAGE COBIT.PPT
Présentation 04  IHEC CARTHAGE COBIT.PPTPrésentation 04  IHEC CARTHAGE COBIT.PPT
Présentation 04 IHEC CARTHAGE COBIT.PPT
 
COBIT
COBIT COBIT
COBIT
 
Cycle de vie des logiciels.ppt
Cycle de vie des logiciels.pptCycle de vie des logiciels.ppt
Cycle de vie des logiciels.ppt
 
[Important] Cycle de vie des logiciels.ppt
[Important] Cycle de vie des logiciels.ppt[Important] Cycle de vie des logiciels.ppt
[Important] Cycle de vie des logiciels.ppt
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche générale
 
Prise de position___audit_interne_qualite__mai_2004__1
Prise de position___audit_interne_qualite__mai_2004__1Prise de position___audit_interne_qualite__mai_2004__1
Prise de position___audit_interne_qualite__mai_2004__1
 
Audit compatble et financier
Audit compatble et financierAudit compatble et financier
Audit compatble et financier
 
Audit comptable et financier
Audit comptable et financierAudit comptable et financier
Audit comptable et financier
 
350992916-Tableau-SE.pptx lololooooooooooooooooooooo
350992916-Tableau-SE.pptx lololooooooooooooooooooooo350992916-Tableau-SE.pptx lololooooooooooooooooooooo
350992916-Tableau-SE.pptx lololooooooooooooooooooooo
 
Methodologie et technique de l'audit
Methodologie et technique de l'auditMethodologie et technique de l'audit
Methodologie et technique de l'audit
 
Présenataion Conférence en ingénierie de systèmes.pdf
Présenataion Conférence en ingénierie de systèmes.pdfPrésenataion Conférence en ingénierie de systèmes.pdf
Présenataion Conférence en ingénierie de systèmes.pdf
 
Les exigences de documentation d’ISO 9001:2008
Les exigences de documentation d’ISO 9001:2008Les exigences de documentation d’ISO 9001:2008
Les exigences de documentation d’ISO 9001:2008
 
Iso 9001 approche processus
Iso 9001 approche processusIso 9001 approche processus
Iso 9001 approche processus
 
2015-04-29 Jean Cloutier Structure de découpage de projet
2015-04-29 Jean Cloutier Structure de découpage de projet2015-04-29 Jean Cloutier Structure de découpage de projet
2015-04-29 Jean Cloutier Structure de découpage de projet
 
Manuel mase
Manuel maseManuel mase
Manuel mase
 

Dernier

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 

Dernier (6)

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 

Générateur de guides d’audit informatique (based on cobit methodology)

  • 1. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Élaboration d’un générateur de guides d’audit : démarche et résultats 1) Présentation générale C’est dans le cadre de la contribution à l’amélioration des méthodes et outils utilisés par les auditeurs informatique de la STEG et en réponse aux manquements détectés lors de l’étude des états des lieux réalisée tout en essayant d’exploiter les avantages du cadre de référence Cobit4.1 en matière d’audit des SI, que se situe ce travail. La solution à proposer sera matérialiser en un générateur de guides d’audit traduisant l’approche Cobit, permettant ainsi aux auditeurs de planifier, cadrer et exécuter des missions d’audits cohérentes, complémentaires, opérantes dans une même logique, couvrant l’intégralité des activités des SI, alignées sur les exigences métiers au niveau le plus général et ouvertes sur les bonnes pratiques d’autres référentiels et normes plus spécifiques. L’élément central sur lequel se base l’approche Cobit4.1 en matière d’audit des SI ce sont les « objectifs de contrôle ». Pour auditer un élément des SI il faut tout d’abord selon cette l’approche identifier les objectifs de contrôle lui sont associés (il s’agit du principe de cadrage selon la terminologie Cobit) et par la suite les évaluer afin de détecter les points de faiblesses des contrôles mis en place, des éventuelles dysfonctionnements et/ou des risques potentiels. Une autre avantage de ces objectifs de contrôle ce qu’ils font référence à des bonnes pratiques d’un nombre de cadres et normes internationales ce qui va permettre aux auditeurs d’approfondir leurs missions et les enrichir par des évaluations et des investigations plus détaillées. Plusieurs autres éléments s’intègrent d’une manière ou d’une autre dans le volet audit de cadre de référence Cobit4.1 (voir Annexe 1), le produit à réaliser (le générateur de guides d’audit) va se baser principalement sur les éléments suivants : Les processus Cobit4.1 et leurs description Les objectifs métiers et les objectifs informatiques Les objectifs de contrôles, leurs descriptions et les pratiques de contrôle associées Les tableaux RACI Les critères d’information définis par Cobit4.1 Les différentes procédures d’évaluation des contrôles, de leurs résultats et des impacts de leurs faiblesses
  • 2. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Le générateur de guides d’audit est un outil qui va aider les auditeurs informatiques de la STEG à planifier, organiser et exécuter différentes missions d’audits cohérentes et œuvrant dans une même logique selon l’approche de cadre de référence Cobit4.1. Ce générateur comprend : Un guide générique : qui présentera une plateforme depuis de laquelle vont être générés différents questionnaires en réponse à un éventail de missions. Cette plateforme sera établi intégralement à partir de la documentation Cobit4.1 en la matière, elle présentera tous les objectifs de contrôles Cobit4.1 et offrira un grand nombre d’évaluations associées à chacun de ces objectifs sous forme de questions soutenus par des renseignements et des conseils. Une carte de correspondance « Missions - Objectifs de contrôle » : c’est une carte clé qui permettra d’identifier les principaux objectifs de contrôle qui devront être évalués en réponse à une mission bien déterminée. Sur la base de ces objectifs identifiés, un questionnaire spécifique à la mission fixée sera généré par la suite. Un ensemble de tables de mappage : ces tables vont permettre aux auditeurs d’affiner leurs missions d’audit en se référant aux bonnes pratiques des autres cadres de références et normes internationales qui traitent le même objet d’une telle ou telle mission d’audit. Le cadre de référence Cobit4.1 offre cet avantage via ses objectifs de contrôle qui s’alignent sur les bonnes pratiques d’un grand nombre de standards et normes internationales. 2) Le guide générique (la plateforme de questionnaires d’audit) Cette plateforme à la quelle vont se référer les auditeurs informatiques de la STEG pour préparer leurs missions d’audit, comportera un ensemble des évaluations couvrant tous les processus et objectifs de contrôle de Cobit. Ces questionnaires génériques seront implémentés en feuilles Excel sur la base des conseils et des procédures d’évaluation proposés par des experts en la matière et édictés dans le guide d’audit Cobit4.1. L’organisation de cette plateforme va être de la manière suivante : Une feuille Excel pour chaque domaine de processus Cobit4.1, cette feuille va comporter toutes les évaluations et questions portant sur l’ensemble des processus de ce domaine et les objectifs de contrôle leurs sont associés. Ainsi on aura quatre feuilles correspondant aux quatre domaines suivants : Planifier et Organiser (PO) Acquérir et Implémenter (AI) Délivrer et Supporter (DS) Evaluer et Surveiller (SE)
  • 3. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Pour chaque objectif de contrôle de chaque processus un ensemble d’évaluations sera présenté afin de vérifier l’efficacité des contrôles internes implémentés par rapport aux bonnes pratiques édictés par le cadre de référence Cobit4.1. En plus de ces quatre domaines qui couvrent l’ensemble des activités des SI, une feuille Excel sera dédiée aux évaluations concernant les contrôles applicatifs (CA) qui sont à la charge de la DSI et qui concernent le reporting financier et la sécurité des données et transactions financières (ces contrôles sont issus du cadre de référence de contrôle interne COSO en réponse aux exigences de la loi SOX et adoptés par Cobit4.1). À remarquer que les différentes évaluations que ce soit ceux portant sur les processus, les objectifs de contrôles associés ou les contrôles applicatifs (CA) sont issus des conseils et des procédures d’évaluation élaborés par les experts dans le guide d’audit Cobit4.1. Description du guide générique et ses composants Ce guide générique va mettre en œuvre plusieurs éléments de Cobit qui s’intègrent d’une manière et d’une autre au volet audit de cadre de référence Cobit4.1. L’élément pivot autour duquel s’organise l’approche audit de Cobit est les « Objectifs de contrôle » (l’élément 3 de la Figure 25), ces objectifs décrivent « les exigences minimales pour garantir un contrôle efficace de chaque processus relatif aux SI ». Au niveau de ce guide générique on va respecter le modèle processus de Cobit4.1 qui est structuré en « Processus » (l’élément 2 de la Figure 25) groupés par « Domaine » (l’élément 1 de la Figure 25) afin de présenter tous les objectifs de contrôles. Pour chaque processus et pour chaque objectif de contrôle une description sera présentée permettant aux auditeurs de mieux comprendre le champ d’application et l’utilité de chacun de ces éléments. En réalité, ce guide n’est pas à utiliser tel qu’il est, les clés d’exploitation de ce guide seront dans la carte de correspondance « Missions - Objectifs de contrôle » qui va permettre de cadrer les missions d’audit et de générer des questionnaires spécifiques en fonction de type de mission défini. Et à fin de guider les auditeurs informatiques dans leurs investigations lors de la phase d’exécution, des tests et des évaluations seront présentés au moyen de ce guide générique sous forme de « Questions types » (l’élément 4 de la Figure 25) et qui traduisent les conseils et les procédures d’évaluation proposés par des experts dans le guide d’audit Cobit4.1. Ces questions ont pour but de vérifier si les dispositifs de contrôles implémentés et relatives à un objectif de contrôle bien déterminé répondent aux exigences du cadre de référence Cobit4.1 en réalisant une « Evaluation » (l’élément 6 de la Figure 25) de ceux-ci par une réponse affirmative de type Oui/Non.
  • 4. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) En assistance aux travaux d’investigation des auditeurs un nombre des « Méthodes et des conseils » (l’élément 5 de la Figure 25) seront mis à leur disposition afin de les aider à bien évaluer les objectifs de contrôle en question. Ces conseils et méthodes sont mentionnés à titre indicatif, chaque auditeur peut se confier à d’autres méthodes, ses propres outils et son expérience en la matière. Les évaluations et les tests à effectuées peuvent faire intervenir des audités qui sont généralement les responsables des processus concernés par la mission en question. Ainsi dans ce guide et en se basant sur les tableaux RACI, une rubrique dénommée « Responsables » rattachée à la description de chaque processus (faisant partie de l’élément 2 de la Figure 25) mentionnera les responsables clés d’un tel ou tel processus vers qui l’auditeur peut s’orienter pour demander des explications ou des réponses à ses interrogations. Enfin une rubrique « Observations et remarques » (l’élément 7 de la Figure 25) sera consacrée aux auditeurs afin d’inscrire leurs remarques et observations sur l’ensemble des évaluations faites à chacun des objectifs de contrôle. Ces remarques et observations en plus des résultats des évaluations vont former la base des opinions et recommandations qu’ils vont mentionner dans le rapport d’audit qu’ils vont rédiger en fin de leurs missions. Á remarque que dans ce guide générique les contrôles applicatifs (CA) seront groupés dans un domaine titré « Contrôles Applicatifs » qui sera implémenté en une feuille Excel à part et qui peut être accédée par la barre de navigation d’en bas (l’élément 8 de la Figure 25). Cette barre de navigation permettra aussi de se déplacer entre les différents composants de ce générateur : la plateforme des questionnaires, la carte clé et les tables de mappage (sous forme d’Annexes).
  • 5. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Figure 1 : Le guide générique (la plateforme de questionnaires d'audit)
  • 6. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) 3) La carte de correspondance « Missions - Objectifs de contrôle » Cette carte est la pièce maitresse de ce générateur de guides d’audit, elle va présenter une clé qui permettra de générer des questionnaires spécifiques à des missions bien déterminées. Sous contrainte de temps, on n’a pas pu développer largement cette carte. Le choix a été fixé sur la mission « Audit de la sécurité globale des SI » afin de mettre en œuvre l’approche Cobit4.1 en matière d’audit. Le choix de cette mission s’avère plus que judicieux, vu l’importance de la sécurité des SI pour la STEG qui opère dans un secteur assez sensible et aussi en raison de la nature de cette mission qui traverse les SI de bout en bout ce qui va permettre de mettre en application toutes les particularités et les avantages de cadre de référence fédérateur Cobit4.1. a) Etude de cas : « Audit de la sécurité globale des SI » Approche Cobit4.1 en matière de la sécurité des systèmes d’information Les SI d’entreprise se confrontent à un grand nombre de risques de différents types qui attaquent l’intégrité, la confidentialité, la disponibilité, la traçabilité des informations, ainsi que la sécurité physique et logique des dispositifs matériels et logiciels et autres éléments et dimensions des SI. Le tableau suivant expose plusieurs exemples de ces risques en les groupant par famille. Tableau 1 : Les familles de risques pouvant contrarier le fonctionnement des SI Famille des risques Exemples Risques stratégiques Défaillance de la stratégie numérique et de sécurité Mauvaise organisation (failles organisationnelles) Risques humains Manque des compétences, d’adhésion à la politique de l’entreprise Mauvaise utilisation (erreurs d’exécution) Malveillance, négligence Divulgation des données critiques Abus, usurpation des droits, fraude Accès non autorisés Indisponibilité ou départ d’un homme clé Risques physiques Vols ou destruction du matériel informatique Dommages matériels et logiciels (exemple : altération des BD) Sinistres : incendies, inondations …. Déni de service à cause de saturation Maintenance insuffisante Risques logiques Dysfonctionnements des applications et systèmes Applications et systèmes non conformes aux spécifications Erreurs de conception, bogues logiciels Pertes des données Risques externes (risques réseaux) Espionnage : analyse de trafic, intrusion Virus, programmes malveillants Vols et altération des données Risques liés aux partenaires Externalisation Défaillance d’un fournisseur pou d’un prestataire de service Risques juridiques Contrats avec les prestataires et les sous-traitants. Nouvelles réglementations. Evolution des structures juridiques.
  • 7. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Selon ce tableau les risques informatiques sont de plusieurs origines : stratégique, managériale, opérationnel (utilisateurs des SI), comme ils infectent presque toutes les ressources des SI : les informations, les applications, les équipements, les installations ainsi que les processus de management. En raison de tous ces faits, la sécurité des SI s’impose comme un besoin vital pour les entreprises afin de se protéger contre cette variété des risques, d’assurer la continuité de leurs activités et de garantir leurs pérennités. Le cadre de référence Cobit 4.1 répond parfaitement à la mission « Audit de la sécurité globale des SI » par son modèle processus qui couvre l’ensemble des activités et les différentes ressources des SI. Avec ses nombreux avantages, tels que : l’alignement de ses bonnes pratiques sur les besoins des métiers et l’intégration des plusieurs bonnes pratiques d’autres référentiels d’audit (notamment la norme ISO 27002 en matière de sécurité de l’information) il offre aux auditeurs un cadre générale pour évaluer la sécurité des SI. Selon l’approche Cobit 4.1 les exigences en matière de la sécurité des SI doivent couvrir et satisfaire trois critères parmi les sept critères d’information qu’il définit, à savoir : la confidentialité, l’intégrité et la disponibilité (voir Figure 26), et cela afin de s’assurer d’une manière générale que : Les SI sont disponibles et utilisables en cas de besoin, et qu’ils peuvent résister aux attaques et être récupérés suite à des échecs (disponibilité). L'information est observé par ou divulguée à uniquement ceux qui ont le droit d’accès (confidentialité). L'information est protégée contre toute modification non autorisée ou d'une altération de sorte que la précision, l'exhaustivité et la validité seront maintenues (intégrité).
  • 8. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Figure 2 : Les exigences du cadre de référence Cobit4.1 en matière de la sécurité des SI (critères d’information) Cadrage de la mission « Audit de la sécurité globale des SI » Le principe de cadrage des objectifs de contrôles selon l’approche Cobit4.1 consiste à identifier ceux qui répondent aux besoins en sécurité des SI (pour ce cas d’étude), dans une démarche descendante allant des exigences métiers vers les processus en passant par les objectifs informatiques (principe de cascade des objectifs comme décrit dans la Figure 12). Les auditeurs peuvent se référer ainsi aux tableaux présentés par le cadre de référence Cobit4.1 (voir Annexe1) qui permettent de faire les liens entre les objectifs métiers, les objectifs informatiques et les processus Cobit à fin d’appliquer ce principe. Ils doivent tout d’abord fixer les objectifs informatiques, ceux qui traitent l’objet à auditer ou le thème de la mission d’audit, afin d’identifier l’ensemble des processus informatiques œuvrant à la réalisation de ces objectifs. Par la suite les auditeurs devront extraire les objectifs de contrôle en relation étroite avec le sujet de la mission parmi l’ensemble des objectifs de contrôle des processus identifiés et cela peut être réalisé sur la base des descriptions de chaque objectif de contrôle et/ou les énoncés des valeurs et des risques lui sont associées. Démarche de cadrage suivie : La démarche qu’on va suivre s’inspire largement du processus de cadrage décrit par le cadre de référence Cobit4.1. Dans cette démarche on va commencer du générale vers le personnalisé, en passant par différents niveaux de cadrage qui sont : Premier niveau de cadrage « Cadrage de haut niveau » : Dans cette étape nous allons nous référé au tableau reliant les objectifs informatiques au processus Cobit4.1 (voir Figure 27), en choisissant comme inducteur pour ce cadrage initial de
  • 9. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) cette mission les critères d’information qui répondent aux exigences de la sécurité des SI à savoir : la confidentialité, l’intégrité et la disponibilité. Ceci va nous permettre d’identifier en premier lieu tous les processus concernés par la mission (les processus encadrés en rouge dans la Figure 27) et par conséquent tous les objectifs de contrôle leurs sont associés. On parle alors de la sécurité globale des SI, une sécurité qui touche tous les niveaux organisationnels et les différentes ressources de l’entreprise, cela est bien remarqué par le grand nombre des processus et objectifs de contrôle identifiés. À remarquer que selon le même tableau décrit, les processus Cobit sont qualifiés soit de prioritaire (P) ou de secondaire (S) par rapport aux différents objectifs informatiques. Dans cette première étape de cadrage on va prendre en compte tous les processus que ce soit prioritaires (P) ou secondaire (S) tout en préservant ces indications pour une étape ultérieure.
  • 10. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Figure 3 : Cadrage de haut niveau de la mission « Audit de la sécurité globale des SI »
  • 11. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Deuxième niveau de cadrage : « Identification des objectifs de contrôle initiaux » Une fois les processus informatiques fixés, la suite consiste à identifier les objectifs de contrôle qui sont en rapport direct avec la mission parmi l’ensemble des objectifs des processus sélectionnés. Une manière de faire consiste à parcourir tous les processus sélectionnés et à la lumière de la description de chaque objectif de contrôle extraire ceux qui correspondent le plus à la mission et qui vont être objets des évaluations à effectuées par les auditeurs. Le résultat de cette étape sera un tableau qui comprendra tous les objectifs de contrôle en question groupés par processus et par domaine (Tableau 17). À ces objectifs de contrôle nous ajouterons la liste des contrôles applicatifs (CA) répondant aux exigences de Reporting financier et qui concernent les données et transactions financières automatisées. Troisième niveau de cadrage : « Affinement du cadrage » Cobit4.1 présente une démarche trop élaborée pour l’affinement du processus de cadrage, cette démarche consiste à ne garder parmi les objectifs de contrôle identifiés dans le premier niveau que ceux qui sont critiques (dont la non-atteinte aura des effets significatifs sur le bon fonctionnement des SI et par conséquent sur la pérennité de l’entreprise) et qui correspondent aux ressources les plus impliquées par la mission. Ainsi dans ce cas d’étude en se référant au tableau résultant de l’étape précédente (Tableau 17) on va restreindre la liste des objectifs de contrôle identifiés en se limitant aux processus prioritaires (P) pour un premier niveau d’affinement ce qui va donner lieu à une liste plus restreinte des processus et des objectifs de contrôle (mentionnés en surbrillance dans le même tableau 17). Pour restreindre plus encore le périmètre de cette mission on peut se référer aux descriptifs de ces objectifs de contrôle et/ou les énoncés des risques et des valeurs leurs sont associés afin de déterminer ceux les plus critiques et qui correspondant aux ressources les plus impliquées par cette mission comme décrit dans la démarche Cobit. Ce processus de cadrage permet de limiter le champ d’investigation pour la mission « Audit de la sécurité globale des SI » à une liste d’objectifs de contrôle critiques. Cette liste va alimenter la carte des correspondances « Missions - Objectifs de contrôle ». Reste que ça sera mieux de considérer cette mission comme un cadre générale afin de planifier et d’exécuter des missions plus spécifiques traitant chacune un volet de la sécurité des SI. Ainsi il sera judicieux qu’on opère à un découpage de cette mission générale afin de raffiner la carte des correspondances « Missions - Objectifs de contrôle ». Dans ce dernier cas nous allons reconsidérer tous les processus prioritaires (P) et secondaires (S) et tous les objectifs de contrôle qui leurs sont associés.
  • 12. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Tableau 2 : Liste des objectifs de contrôle correspondant à la mission « Audit de la sécurité globale des SI » Domaine Processus Objectifs de contrôle Planifier et Organiser (PO) PO1 : Définir un plan informatique stratégique PO1.2 : Alignement Métiers-Informatique PO1.4 : Plan informatique stratégique PO1.6 : Gestion de portefeuille informatique PO2 : Définir l’architecture de l’information (x) PO2.1 : Modèle d’architecture de l’information de l’entreprise PO2.2 : Dictionnaire et règles de syntaxe des données PO2.3 : Système de classification des données PO2.4 : Gestion de l’intégrité PO3 : Déterminer l’orientation stratégique PO3.3 : Surveillance de l’évolution des tendances et de réglementation PO3.4 : Standards informatiques PO4 : Définir les processus, l’organisation et les relations de travail PO4.8 : Responsabilité des risques, de la sécurité et de la conformité PO4.9 : Propriété des données et du système PO4.10 : Supervision PO4.11 : Séparation des tâches PO4.13 : Personnel informatique clé PO4.15 : Relations PO6 : Faire connaitre les buts et orientations du management (xxxx) PO6.2 : Risque informatique pour l’entreprise et cadre de contrôle PO6.3 : Gestion des politiques informatiques PO6.4 : Déploiement des politiques, des standards et des procédures PO6.5 : Communication des objectifs et des orientations informatiques PO7 : Gérer les ressources humaines et informatiques PO7.1 : Recrutement et maintien de personnel PO7.2 : Compétences du personnel PO7.3 : Affection des rôles PO7.4 : Formation PO7.5 : Dépendance à l’égard d’individus PO7.6 : Procédures de sécurité concernant le personnel PO7.7 : Evaluation des performances PO7.8 : Changements de postes et départs PO8 : Gérer la qualité PO8.3 : Standards de développement et d’acquisition PO9 : Evaluer et gérer les risques (xx) PO9.1 : Référentiel de gestion des risques informatiques PO9.2 : Etablissement du contexte du risque PO9.3 : Identification des événements PO9.4 : Évaluation du risque PO9.5 : Réponse au risque PO9.6 : Maintenance et surveillance du plan d’action vis-à-vis risques Acquérir et Implémenter (AI) AI1 : Trouver des solutions informatiques AI1.1 : Définition des exigences métiers, techniques et fonctionnelles AI1.2 : Rapport d’analyse de risques AI1.3 : Etude de faisabilité et formulation d’alternatives AI2 : Acquérir des applications et en assurer la maintenance AI2.2 : Conception détaillée AI2.3 : Contrôles applicatifs et audibilité AI2.4 : Sécurité et disponibilité des applications AI2.5 : Configuration et implémentation des logiciels applicatifs acquis AI2.6 : Mise à jour majeurs des systèmes existants AI2.8 : Assurance qualité des logiciels AI3 : Acquérir une infrastructure technique et en assurer la maintenance AI3.1 : Plan d’acquisition d’une infrastructure technique AI3.2 : Protection et disponibilité des ressources de l’infrastructure AI3.3 : Maintenance de l’infrastructure AI3.4 : Environnement de test et faisabilité AI4 : Faciliter le fonctionnement et l’exploitation AI4.1 : Planification pour rendre les solutions exploitables AI4.2 : Transfer de connaissances aux métiers AI4.3 : Transfer de connaissances aux utilisateurs finaux AI4.4 : Transfert de connaissance aux équipes d’exploitation et support AI5 : Acquérir des ressources informatiques AI5.2 : Gestion des contrats fournisseurs AI5.3 : Choix des fournisseurs AI5.4 : Acquisition des ressources informatiques AI6 : Gérer les changements (xx) AI6.1 : Standards et procédures de changement AI6.2 : Évaluation de l’impact, choix des priorités, autorisation AI6.3 : Modification d’urgence AI6.4 : Suivi et compte-rendu des changements AI6.5 : Clôture et documentation des changements
  • 13. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) AI7 : Installer et valider les solutions et les modifications (xx) AI7.1 : Formation AI7.2 : Plan de test AI7.3 : Plan d’implémentation AI7.4 : Environnement de test AI7.5 : Conservation de système des données AI7.6 : Tests des modifications AI7.7 : Tests de recettes définitives AI7.8 : Mise en production AI7.9 : Revue post-implémentation Délivrer et Supporter (DS) DS1 : Définir et gérer les niveaux de services DS1.3 : Contrats ou convention de services (CS) DS1.5 : Surveillance et comptes rendu des niveaux de services DS1.6 : Revue des conventions de services et contrats DS2 : Gérer les services tiers DS2.3 : Gestion du risque fournisseurs DS2.4 : Surveillance des performances fournisseurs DS3 : Gérer la performance et la capacité x DS3.4 : Disponibilité des ressources informatiques DS4 : Assurer un service continu (xxx) DS4.1 : Référentiel de continuité informatique DS4.2 : Plans de continuité informatique DS4.3 : Ressources informatiques critiques DS4.4 : Maintenance du plan de continuité des SI DS4.5 : Tests du plan de continuité des SI DS4.8 : Reprise et redémarrage des services informatiques DS4.9 : Stockage de sauvegardes hors site DS5 : Assurer la sécurité du système (xxxxx) DS5.1 : Gestion de la sécurité informatique DS5.2 : Plan de sécurité informatique DS5.3 : Gestion des identités DS5.4 : Gestion des comptes utilisateurs DS5.5 : Tests de sécurité, vigilance et surveillance DS5.6 : Définition des incidents de sécurité DS5.7 : Protection de la technologie de sécurité DS5.8 : Gestion des clefs de chiffrement DS5.9 : Prévention, détection et neutralisation des logiciels malveillants DS5.10 : Sécurité des réseaux DS5.11 : Echange de données sensibles DS9 : Gérer la configuration (x) DS9.1 : Référentiel de configuration et configuration de base DS9.2 : Identification et maintenance des éléments de configuration DS9.3 : Revue d’intégrité des configurations DS10 : Gérer les problèmes DS10.1 : Identification et classification des problèmes DS10.2 : Suivi et résolution des problèmes DS10.3 : Clôture des problèmes DS11 : Gérer les données (xx) DS11.1 : Exigences des métiers pour la gestion des données DS11.2 : Dispositifs de stockage et de conservation DS11.3 : Système de gestion de la médiathèque DS11.4 : Mise au rebut DS11.5 : Sauvegarde et restauration DS11.6 : Exigences de sécurité pour la gestion des données DS12 : Gérer l’environnement physique (xxxx) DS12.1 : Sélection de site et agencement DS12.2 : Mesures de sécurité physiques DS12.3 : Accès physique DS12.4 : Protection contre les risques liés à l’environnement DS12.5 : Gestion des installations matérielles DS13 : Gérer l’exploitation (x) DS13.3 : Surveillance de l’infrastructure informatique DS13.4 : Documents sensibles et dispositifs de sortie DS13.5 : Maintenance préventive du matériel Surveiller et Evaluer (SE) SE1 : Surveiller et évaluer la performance du SI SE1.2 : Définition et collationnement des données SE1.4 : Evaluation de la performance SE1.5 : Comptes rendus destinés au CA et à la DG SE1.6 : Actions correctives SE2 : Surveiller et évaluer le contrôle interne (xx) SE2.1 : Surveillance de référentiel de contrôle interne SE2.4 : Autoévaluation du contrôle SE2.5 : Assurance du contrôle interne SE2.6 : Contrôle interne des tiers SE3 : S’assurer de la conformité aux obligations externes SE3.1 : Identification des obligations externes : lois, règlements, contrats SE3.2 : Optimisation de la réponse aux obligations externes
  • 14. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) SE3.3 : Evaluation de la conformité aux obligations externes SE3.4 : Assurance positive de la conformité SE4 : Mettre en place une gouvernance des SI SE4.5 : Gestion des risques SE4.7 : Assurance indépendante Contrôles applicatifs (CA) CA1 : Autorisation et préparation des données source CA2 : Collecte et saisie des données source CA3 : Vérifications d'exactitude, d'exhaustivité et d'authenticité CA4 : Intégrité et validité du traitement CA5 : Vérification des sorties, rapprochement et traitement des erreurs CA6 : Authentification et intégrité des transactions Remarque : Les processus en surbrillance sont les processus qualifiés de prioritaires (P). Le degré de priorité de chaque processus est calculé selon le nombre de fois qu’un processus est impliqué en matière de sécurité des SI (voir Figure 27). Ce degré de priorité est mentionné par des marques (xxx). Les contrôles applicatifs (CA) font partie des contrôles à haut degré de priorité, pour cette mission « Audit de la sécurité globale des SI ». Découpage de la mission « Audit de la sécurité globale des SI » en sous-missions spécifiques La mission type choisi pour ce cas d’étude s’étend sur le large des SI impliquant presque toutes les ressources matérielles, logicielles, humaines ainsi que les informations et les procédures, et touche les dimensions stratégiques et managériale des SI qui peuvent présenter des risques et des problèmes de sécurité. Comme discuté dans la section précédente il sera alors plus judicieux de découper cette mission en sous-missions d’audit traitant chacune un besoin bien déterminé en sécurité. Ainsi cette mission « Audit de la sécurité globale des SI » pourra être considérée au niveau de la phase de planification comme un cadre pluriannuel ou annuel traitant la sécurité des SI. Une première idée de découpage de cette mission générale consiste à s’inspirer du modèle processus de cadre de référence Cobit4.1, et cela en traitant tous les objectifs de contrôle identifiés soit par domaine ou par processus. Un tel découpage s’avère confus, en fait ce modèle fait interconnecter plusieurs processus de différents domaines à fin d’opérer ensemble dans le but d’atteindre un objectif informatique bien déterminé, ce qui rend cette idée de découpage non pratique. Plusieurs autres modèles de découpage peuvent être établis, comme : le découpage par structure, le découpage par fonction, le découpage par ressource, le découpage par thème. Le découpage le plus adapté à cette mission sera celui par thème en raison des spécificités des SI, et de la nature de la mission. Ce mode de découpage permet aussi d’intégrer toutes les différentes missions d’audit de la sécurité des SI que les auditeurs informatiques de la STEG ont eu généralement l’habitude à exécuter, sans tomber dans un découpage par processus trop spécifique et non adapté.
  • 15. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Parmi les nombreuses publications de l’ISACA tournant tout autour du cadre de référence Cobit4.1, un guide du management, le « Cobit Security Baseline », fournit des conseils aux responsables et aux conseillés en sécurité afin d’implémenter des dispositifs de contrôles permettant d’assurer la protection des SI de tous risques. Ces conseils et directives sont élaborés sur la base des pratiques de contrôles associées aux différents objectifs de contrôle Cobit. En se référant à ce guide et en l’étudiant on a pu ainsi éventaillier la mission « Audit de la sécurité globale des SI » en un nombre de sous-mission : Audit du management de la sécurité des SI : cette mission consiste à vérifier la stratégie sécuritaire mise en place par la direction, l’organisation des SI et les responsabilités ainsi que le processus de communication en matière de la sécurité. Audit des risques informatiques : cette mission consiste à vérifier le processus de gestion des risques informatiques et l’existence d’un plan d’action pour faire face aux risques potentiels. Audit des risques associés au personnel : cette mission consiste à vérifier le degré d’implication du personnel dans la politique sécuritaire de l’entreprise. Audit de la sécurité des applications et infrastructures : cette mission consiste à vérifier la sécurité des ressources logiciels et matériels dès leurs acquisitions (ou développements pour le cas des applications et systèmes) jusqu’à leurs implémentations et leurs mises en œuvre. Audit de la sécurité des changements : cette mission consiste à vérifier la sécurité des systèmes et applications lors des différents changements apportés à ceux-ci. Audit de la sécurité des services fournis par des tiers : cette mission consiste à vérifier que les services offerts par des tiers respectent les politiques et les procédures de l’entreprise. Audit de la sécurité des services internes : cette mission consiste à vérifier que les services internes fournis par les SI de l’entreprise sont toujours disponibles, fiables, récupérables en cas d’échec protégés contre toute violation de la sécurité. Audit de la sécurité des données et transactions : elle consiste à vérifier que les contrôles mis en place pour assurer l’intégrité, l’accessibilité et la lisibilité des données et ceux assurant la conformité des transactions aux règles et procédures, existent et sont efficaces. Audit de la sécurité physique : cette mission consiste à vérifier la sécurité physique des équipements, des installations, des constructions et les biens informatiques de l’entreprise. Audit de la gouvernance des dispositifs de sécurité : cette mission consiste à vérifier la performance des dispositifs de sécurité mis en place, l’existence d’une assurance indépendante des mesures de sécurité établies et la conformité réglementaire des politiques et procédures de sécurité avec les normes et lois en vigueur.
  • 16. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Tableau 3 : Découpage de la mission « Audit de la sécurité globale des SI » en sous-missions spécifiques (1) Type de mission d’audit Objectifs de contrôle Audit du management de la sécurité des SI PO1 : 1.2, 1.4, 1.6 PO2 : 2.2, 2.3 PO3 : 3.4 PO4 : 4.8, 4.9, 4.10, 4.11, 4.15 PO6 : 6.2, 6.3, 6.4, 6.5 PO7 : 7.3 AI5 : 5.2 DS1 : 1.3, 1.5, 1.6 DS2 : 2.4 DS5 : 5.1, 5.2 Audit des risques informatiques PO2 : 2.3 PO7 : 7.4 PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6 AI1 : 1.1, 1.2 Audit des risques associés au personnel en matière de la sécurité des SI PO4 : 4.13 PO7 : 7.1, 7.2, 7.5, 7.6, 7.7 AI4 : 4.1, 4.2, 4.3, 4.4 AI7 : 7.1 Audit de la sécurité des applications et infrastructures PO8 : 8.3 AI1 : 1.1, 1.2, 1.3 AI2 : 2.2, 2.3, 2.4, 2.5, 2.6, 2.8 AI3 : 3.1, 3.2, 3.3, 3.4 AI4 : 4.1, 4.4 AI5 : 5.2, 5.3, 5.4 AI6 : 6.1 DS5 : 5.9 DS9 : 9.1, 9.3 Audit de la sécurité des installations et des changements PO8 : 8.3 AI2 : 2.8 AI3 : 3.4 AI6 : 6.1, 6.2, 6.3, 6.4, 6.5 AI7 : 7.2, 7.4, 7.6, 7.7, 7.8, 7.9 Audit de la sécurité des services fournis par des tiers AI5 : 5.3 DS2 : 2.3, 2.4 SE2 : 2.6 Audit de la sécurité des services internes PO2 : 2.3 PO9 : 9.3, 9.4 DS4 : 4.1, 4.2, 4.3, 4.4, 4.5, 4.8, 4.9 DS5 : 5.2, 5.3, 5.4, 5.5, 5.6, 5.7, 5.8, 5.9, 5.10, 5.11 DS10 : 10.1, 10.2, 10.3 DS11 : 11.5, 11.6 DS12 : 12.3, 12.5 DS13 : 13.4 AC6 Audit des données et des transactions DS4 : 4.9 DS5 : 5.11 DS11 : 11.2, 11.4, 11.6 AC1 AC2 AC3 AC4 AC5 AC6 Audit de la sécurité physique DS12 : 12.1, 12.2, 12.3, 12.4, 12.5 Audit de la gouvernance des dispositifs de sécurité PO3 : 3.3 SE1 : 1.2, 1.4, 1.5, 1.6 SE2 : 2.1, 2.4, 2.5 SE3 : 3.1, 3.2, 3.3, 3.4 SE4 : 4.7 (1) Voir Annexe2 pour une description plus détaillée de l’objectif et du périmètre de chacune de ses sous-mission.
  • 17. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) b) Implémentation de la carte de correspondance « Missions - Objectifs de contrôle» Dans ce présent travail on a choisi comme mission type « Audit de la sécurité globale des SI » à fin de mettre en œuvre l’approche Cobit4.1 en matière d’audit des SI et de présenter un exemple à suivre pour les auditeurs. En fait le produit de ce travail (le générateur de guides d’audit) est un outil qui va permettre d’automatiser la phase de cadrage de la démarche d’audit Cobit4.1 au moyen de la carte de correspondance « Missions - Objectifs de contrôle » et de fournir en résultat des « Frameworks » (en forme de questionnaires spécifiques et des tables de mappage correspondant) pour différentes missions d’audit. Cette carte clé est implémentée en un fichier Excel présentant tous les objectifs de contrôle Cobit4.1 organisée par processus et domaines (tel le modèle de processus Cobit4.1), et comportera une liste qui regroupera tous les travaux de cadrage, celui réalisé pour le cas de cette mission type et ceux qui seront à la charge des auditeurs de la STEG par la suite. Cette liste organisera l’ensemble des missions d’audit en une hiérarchie de missions et de sous-missions qui en découlent (voir Figure 28). Le rôle de cette carte sera de présenter aux auditeurs des pistes à suivre dans leurs missions en leur offrant des correspondances entre des missions d’audit (organisées par thème et sous thèmes) et les objectifs de contrôle Cobit4.1 relatifs à chacune. Elle présentera ainsi des modèles de cadrage pour un ensemble de missions d’audit et permettra de générer des questionnaires d’audit spécifiques en fonction de type de mission fixé (voir Tutoriel Annexe 3). Ce travail formera une base à partir de quelle sera établie une carte plus élaborée, pouvant contenir plusieurs autres missions d’audit telles que : Audit des projets informatiques Audit des services informatiques Audit des applications informatiques Audit de la performance des SI Audit de la qualité des SI Audit de la gouvernance des SI … À remarquer que tous ces missions peuvent être découpées en sous-missions comme c’était fait pour le cas de la mission « Audit de la sécurité globale des SI », permettant ainsi de former une hiérarchie de guides d’audit structurés, cohérents, complémentaires et œuvrant dans une même logique.
  • 18. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Figure 4 : La carte de correspondances « Missions - Objectifs de contrôle »(2) (2) Un tutoriel de cette application est présenté en Annexe3.
  • 19. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Exemple 1 : Objectifs de contrôle correspondant à la mission générale « Audit de la sécurité globale des SI ». Figure 5 : La carte de correspondance « Audit de la sécurité globale des SI - Objectifs de contrôle » (Exemple1)
  • 20. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Exemple 2 : Objectifs de contrôle correspondant à la sous-mission « Audit de la sécurité des services internes ». Figure 6 : La carte de correspondance « Audit de la sécurité des services internes - Objectifs de contrôle » (Exemple2)
  • 21. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) 4) Les tables de mappage Une des particularités de cadre de référence Cobit4.1, c’est qu’il organise, unie et favorise la convergence d’un grand nombre de bonnes pratiques issues de plusieurs standards et normes internationales, lui valant ainsi le titre d’un cadre fédérateur par excellence. Cet alignement de Cobit4.1 sur des référentiels plus spécifiques permet de mettre en place un ensemble hiérarchisé de guides d’audit bien élaborés, traitant les SI de plus haut niveau stratégique et managériale jusqu’au niveau opérationnel et purement technique. Le produit de ce présent travail : le « Générateur de guides d’audit » cherche à implémenter l’approche Cobit au moyen de tous ses sous-produits : la plateforme des questionnaires d’audit, la carte de correspondance « Missions – Objectifs de contrôle » et notamment des tables de mappage (qui font liens entre les objectifs de contrôle Cobit4.1 et les bonnes pratiques des autres standards et normes). En matière de la sécurité des SI Cobit4.1 fait référence via ses objectifs contrôle aux bonnes pratiques de plusieurs standards et normes internationales traitant ce même thème, on note particulièrement : le cadre de référence ITIL la norme ISO 13335 la norme ISO 15408 la norme ISO 20000 (inspirée des bonnes pratique de cadre de référence ITIL) la norme ISO 27002 (évoluée à partir de la norme ISO 17799) ….
  • 22. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Figure 7: Les principaux standards et normes informatiques qui traitent la sécurité des SI Pour le cas de la mission type fixée pour ce travail, la mission d’« Audit de la sécurité globale des SI », le standards ou la norme la plus adaptée au sujet traité est essentiellement la norme ISO/CEI 27002 : 2005 de la famille des normes ISO 2700X (voir Figure 32). Cette norme est en fait un code de bonnes pratiques pour la gestion de la sécurité de l'information qui présente trente-neuf objectifs de contrôle qui se déclinent eux-mêmes en cent-trente-trois mesures ou bonnes pratiques destinées à être implémentées par le management au moyen d’un « Système de Management de la Sécurité de l'Information » (SMSI). Figure 8 : La famille des normes ISO 2700X
  • 23. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Cette norme définie la sécurité de l'information comme la « préservation de la confidentialité, de l'intégrité et de la disponibilité », ainsi on remarque la forte similitude entre cette définition et l’approche Cobit4.1 concernant la sécurité des SI. Cet alignement entre Cobit et la norme ISO 27002 : 2005 permettra aux auditeurs de se référer via une table de mappage (Tableau 19) pour chacune des sous-missions de la mission générale « Audit de la sécurité globale des SI » à l’ensemble des bonnes pratiques de cette norme internationale afin d’approfondir leurs missions et de détailler leurs investiguassions. Á remarquer que cette table de mappage a été dressée par référence au guide de sécurité des informations (« Cobit Security Baseline ») établie par l’ISACA. Plusieurs autres tables de mappage peuvent être aussi dressées, alignant ainsi les objectifs de contrôles Cobit4.1 identifiés pour la mission générale « Audit de la sécurité des SI » et ses sous-missions dérivées avec les bonnes pratiques des autres référentiels concernés, tel que : ITILV3, ISO 13335, ISO 15408, ISO 20000 … Tableau 4 : Table de mappage Cobit 4.1 - ISO/CEI 27002 Type de mission d’audit ISO/CEI 27002 : 2005 Objectifs de contrôle Cobit 4.1 Audit du management de la sécurité des SI 4.1, 4.2 5.1 6.1, 6.2 7.1 10.1, 10.2, 10.8 15.2 PO1 : 1.2, 1.4, 1.6 PO2 : 2.2, 2.3 PO3 : 3.4 PO4 : 4.8, 4.9, 4.10, 4.11, 4.15 PO6 : 6.2, 6.3, 6.4, 6.5 PO7 : 7.3 AI5 : 5.2 DS1 : 1.3, 1.5, 1.6 DS2 : 2.4 DS5 : 5.1, 5.2 Audit des risques informatiques 4.1, 4.2 6.1 8.2 PO2 : 2.3 PO7 : 7.4 PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6 AI1 : 1.1, 1.2 Audit des risques associés au personnel en matière de la sécurité des SI 8.1, 8.2 10.1 PO4 : 4.13 PO7 : 7.1, 7.2, 7.5, 7.6, 7.7 AI4 : 4.1, 4.2, 4.3, 4.4 AI7 : 7.1 Audit de la sécurité des applications et infrastructures 9.2 11.4, 11.5 12.1, 12.2, 12.4, 12.5, 12.6 PO8 : 8.3 AI1 : 1.1, 1.2, 1.3 AI2 : 2.2, 2.3, 2.4, 2.5, 2.6, 2.8 AI3 : 3.1, 3.2, 3.3, 3.4 AI4 : 4.1, 4.4 AI5 : 5.2, 5.3, 5.4 AI6 : 6.1 DS5 : 5.9 DS9 : 9.1, 9, 9.3 Audit de la sécurité des installations et des changements 10.1, 10.3 12.5 PO8 : 8.3 AI2 : 2.8 AI3 : 3.4 AI6 : 6.1, 6.2, 6.3, 6.4, 6.5 AI7 : 7.2, 7.4, 7.6, 7.7, 7.8, 7.9
  • 24. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Audit de la sécurité des services fournis par des tiers 6.2 10.2 15.2 AI5 : 5.3 DS2 : 2.3, 2.4 SE2 : 2.6 Audit de la sécurité des services internes 4.1, 4.2 6.2 7.2 9.2 10.1, 10.3, 10.4, 10.5, 10.8, 10.9, 10.10 11.1, 11.2, 11.4 12.3, 12.4 13.1, 13.2 14.1 PO2 : 2.3 PO9 : 9.3, 9.4 DS4 : 4.1, 4.2, 4.3, 4.4, 4.5, 4.8, 4.9 DS5 : 5.2 ,5.3, 5.4, 5.5, 5.6, 5.7, 5.8, 5.9, 5.10, 5.11 DS10 : 10.1, 10.2, 10.3 DS11 : 11.5, 11.6 DS12 : 12.3, 12.5 DS13 : 13.4 AC6 Audit des données et des transactions 7.2 9.2 10.7, 10.8 11.2, 11.6 15.2 DS4 : 4.9 DS5 : 5.11 DS11 : 11.2, 11.4, 11.6 AC1 AC2 AC3 AC4 AC5 AC6 Audit de la sécurité physique 9.1, 9.2 12.3, 12.5 DS12 : 12.1, 12.2, 12.3, 12.4, 12.5 Audit de la gouvernance des dispositifs de sécurité 4.1 10.10 15.1, 15.2, 15.3 PO3 : 3.3 SE1 : 1.2, 1.4, 1.5, 1.6 SE2 : 2.1, 2.4, 2.5 SE3 : 3.1, 3.2, 3.3, 3.4 SE4 : 4.7
  • 25. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Annexe 2 : Tableau descriptif des sous-missions de la mission générale « Audit de la sécurité globale des SI » Type de mission d’audit Description Objectifs de contrôle Audit du management de la sécurité des SI Cette mission consiste à vérifier : La stratégie de sécurité et l’architecture de l’information, c.-à-d. : que les données, les services et les transactions critiques (en se basant sur les exigences et les risques métiers) sont bien identifiés et considérées dans la stratégie de sécurité de l’entreprise que les exigences de sécurité (telles que : l’authenticité, la confidentialité, la disponibilité, la limitation d’accès, la validité, le sauvegarde et la récupération) des données sont prises en compte dans l’établissement de la stratégie globale de sécurité des SI que des investissements de sécurité (matériels et logiciels) sont étudiés et pris en compte PO1 : 1.2, 1.4, 1.6 PO2 : 2.2, 2.3 PO3 : 3.4 PO4 : 4.9 DS5 : 5.1, 5.2 L’organisation des SI et les responsabilités en matière de sécurité c.-à-d. : que les responsabilités sont assignées, communiquées et bien appréhendées le niveau de risque que les responsabilités ne sont pas attribuer à une seule personne que les ressources nécessaires pour exercer les responsabilités sont disponibles et efficaces PO4 : 4.8, 4.10, 4.11, 4.15 PO7 : 7.3 La communication des objectifs et les orientations de gestion en matière de sécurité c.-à-d. : que les règles de base répondant aux exigences et aux incidents de sécurité sont bien communiquées aux employés et que ces derniers adhérent aussi bien aux politiques de l’entreprise en ce qui concerne la sécurité des SI que les directives de sécurité sont en ligne avec les objectifs de l'entreprise PO6 : 6.2, 6.3, 6.4, 6.5 DS5 : 5.2 La sécurité des différents niveaux de service : c.-à-d. : que des exigences de sécurité et des revus réguliers de la conformité des niveaux de services internes et les services fournis par des tiers sont établis et respectés AI5 : 5.2 DS1 : 1.3, 1.5, 1.6 DS2 : 2.4 Audit des risques informatiques Cette mission consiste à vérifier : le processus de gestion des risques informatiques de l’entreprise et les mesures envisagées par la direction de l’entreprise l’existence d’un plan d’action afin de répondre aux risques potentiels le niveau d’implication du personnel dans le processus de gestion des risques des SI PO2 : 2.3 PO7 : 7.4 PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6 AI1 : 1.1, 1.2 Audit des risques associés au personnel en matière de la sécurité des SI Cette mission consiste à vérifier : le degré d’implication du personnel aux politiques de sécurité établies par la direction les compétences du personnel en matière de sécurité générale des SI qu’aucune tache clé de sécurité ne soit attribuée à une seule personne PO4 : 4.13 PO7 : 7.1, 7.2, 7.5, 7.6, 7.7 que les membres du personnel savent intégrer la sécurité dans les procédures quotidiennes qu’une documentation et des formations sont fournies aux membres du personnel en matière de la sécurité AI4 : 4.1, 4.2, 4.3, 4.4 AI7 : 7.1 Audit de la sécurité des applications et infrastructures Cette mission a pour but de vérifier : l’existence des évaluations de sécurité lors de l’acquisition des nouvelles applications AI1 : 1.1, 1.2, 1.3 AI5 : 5.2, 5.3 que les solutions informatiques acquises sont fonctionnels et que les exigences de sécurité sont spécifiées et compatibles avec les systèmes AI1 : 1.1, 1.2 AI2 : 2.2, 2.4 AI4 : 4.1, 4.4 AI5 : 5.3, 5.4
  • 26. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) que les développeurs et les fournisseurs d’applications ou infrastructures prennent en compte les exigences de l’entreprise en matière de sécurité, et que l’entreprise à déployer tous les moyens pour les faire adhérer à ses politiques de sécurité PO8 : 8.3 AI2 : 2.3, 2.4, 2.5, 2.6, 2.8 AI3 : 3.1, 3.4 l’existence et l’efficacité des patchs de sécurité pour l’infrastructure que des mesures additionnelles nécessaires pour maintenir la sécurité de l’infrastructure sont documentées AI3 : 3.2, 3.3 AI6 : 6.1 DS5 : 5.9 que des mises à jour régulières et des inventaires complets des configurations des applications et du matériel sont exécutés que tous les logiciels installés sont légales, autorisés (possèdent des licences d’utilisation) DS9 : 9.1, 9, 9.3 Audit de la sécurité des installations et des changements Cette mission consiste à vérifier : les impacts des changements (correctifs inclus) sur l’intégrité des données (perte des données), la disponibilité des services et la validité des transactions AI2 : 2.8 AI3 : 3.4 AI6 : 6.1, 6.2 AI7 : 7.2, 7.4, 7.6 que tous les changements, y compris les correctifs et les modifications d'urgence sont documentés et autorisés AI6 : 6.2, 6.3, 6.4, 6.5 que les systèmes nouvellement installés et les différents changements ont été objet des tests de sécurité PO8 : 8.3 AI3 : 3.4 AI7 : 7.2, 7.4, 7.6, 7.8 que les résultats des tests faits répondent aux exigences métiers et aux politiques et procédures de l’entreprise en matière de sécurité des SI AI7 : 7.7, 7.8, 7.9 Audit de la sécurité des services fournis par des tiers Cette mission consiste à vérifier : que les fournisseurs de services tiers respectent les politiques de sécurité de l’entreprise et emploient des personnes qualifiés la dépendance aux fournisseurs des services tiers est bien gérée par les politiques et les procédures de sécurité de l’entreprise que les contrats avec les fournisseurs de services tiers permettent d’exécuter des missions d’audit et des revues (SysTrust, SAS70, ISA402) AI5 : 5.3 DS2 : 2.3, 2.4 SE2 : 2.6 Audit de la sécurité des services internes Cette mission consiste à vérifier : que des fonctions, des informations et des ressources critiques sont disponible pour maintenir la continuité des services offerts en cas d’un incident de sécurité PO2 : 2.3 PO9 : 9.3, 9.4 DS4 : 4.1, 4.3 DS5 : 5.6 DS10 : 10.1, 10.2, 10.3 DS12 : 12.5 l'existence et la fiabilité des mesures d’urgence afin de rétablir le service en échec et de répondre aux besoins des fournisseurs et clients DS4 : 4.2, 4.4, 4.8 que les éléments de récupération des services (informations, documentation et ressources critiques) sont bien sauvegarder dans des sites de sauvegarde et sont bien sécurisés, utilisables et recouvrables DS4 : 4.5, 4.9 DS11 : 11.5, 11.6 que les accès et les privilèges d’accès (pour afficher, ajouter, modifier ou supprimer les informations et les transactions) sont basés sur les besoins particuliers des utilisateurs que les droits d'accès des prestataires de services, fournisseurs et clients sont contrôlés DS5 : 5.3, 5.4 que les responsabilités pour gérer les comptes utilisateurs et les jetons de sécurité (tel que : mots de passe, cartes d’accès …) et que ces mesures sont bien identifiées, documentées et révisées périodiquement DS5 : 5.4, 5.7, 5.8 DS13 : 13.4 que les violations de sécurité des services (tel que : accès non permis des réseaux et systèmes, virus, logiciels malveillants ….) sont toujours enregistrées et reportées immédiatement aux responsables de l’entreprise DS5 : 5.5, 5.6, 5.9 DS10 : 10.1 que les consignes de sécurité avec les partenaires commerciaux sont adéquates et conforme aux obligations contractuelles afin de garantir l’authenticité des transactions électroniques DS5 : 5.11 AC6 que des mesures de protection contre les virus et les logiciels espions sont établis et efficaces et mises à jour DS5 : 5.9 que les mesures de sécurité des réseaux se conforment aux politiques de l’entreprise en matière d’échange des informations DS5 : 5.2, 5.10, 5.11 DS12: 12.3
  • 27. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) que les supports électroniques permettant cet échange sont bien sécurisés et les incidents sont détectés et suivis. Audit des données et des transactions Cette consiste à vérifier : que les contrôles mis en place pour assurer l’intégrité des données (exactitude, l'exhaustivité et la validité) lors des opérations de saisie, de traitement, de sauvegarde ou de la distribution existent et sont efficaces que les contrôles mis en place pour assurer l’authenticité et le non rejet des transactions existent et sont efficaces DS5 : 5.11 DS11 : 11.6 AC1, AC2 AC3, AC4 AC5, AC6 que les données sensibles ne sont pas communiquées aux personnes non autorisées DS11 : 11.6 AC5 AC6 que les périodes de rétention, les mesures d’archivage et les conditions de stockage de la documentation, données et applications se conforment aux exigences des utilisateurs et des réglementations en vigueur DS11 : 11.2, 11.4 que l'intégrité, l'accessibilité et la lisibilité des données sont assurées lors de l’opération de sauvegarde DS4 : 4.9 DS11 : 11.2 Audit de la sécurité physique Cette mission consiste à vérifier : que les installations et des biens informatiques (salles des serveurs ou de stockage des données) exposés à des risques élevés sont bien sécurisés contres des dommages physiques DS12 : 12.1, 12.2, 12.3, 12.4, 12.5 que les ordinateurs, équipements informatiques sont bien protégés contre les dommages physiques et la perte des données DS12 : 12.2, Audit de la gouvernance des dispositifs de sécurité Cette mission consiste à vérifier : La performance des dispositifs de sécurité mises en place c.-à-d. : à quel point les contrôles de sécurité répondent aux exigences définis et remédient aux vulnérabilités des SI en matière de sécurité que les mécanismes de sécurité fonctionnent efficacement et que des mesures de détection des faiblesses de ces mécanismes sont prévues et exécutées (telles que la détection d'intrusion, les tests de pénétration et le stress, et l'essai des plans d'urgence) que toutes les violations et les exceptions sont documentées et suivies conformément aux politiques de sécurité de l’entreprise que contrôles clés de sécurité sont toujours surveillés aux exigences et politiques SE1 : 1.2, 1.4, 1.5, 1.6 SE2 : 2.1, 2.4 L’existence d’une assurance indépendante c.-à-d. : que des évaluations indépendantes (de la part des experts en la matière) sont prévues pour vérifier les mesures de sécurité établies et le niveau de l’adéquation de ceux-ci avec les lois, règlementations et les obligations contractuelles SE2 : 2.5 SE4 : 4.7 La conformité réglementaire des politiques et dispositifs de sécurité avec les normes et lois en vigueur c.-à-d. : que des tâches et des activités sont établies pour garantir la conformité des dispositifs de sécurité avec les réglementations en vigueur que le personnel adhère aux politiques de l’entreprise en matière de la sécurité et est sensibles aux obligations sécuritaires PO3 : 3.3 SE3 : 3.1, 3.2, 3.3, 3.4
  • 28. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Annexe 3 : Tutoriel de l’application « Générateur des guides d’audit » Présentation : Ce produit (le générateur de guide d’audit) présente une implémentation de l’approche Cobit4.1 en matière d’audit des SI. C’est un outil qui permet d’automatiser certains des travaux et tâches des auditeurs des SI en leur proposant des modèles de cadrage des missions et la possibilité de générer des guides (questionnaires) d’audit spécifiques basées sur les conseils et les procédures d’évaluation Cobit. Il offre aussi des tables de mappages permettant d’élargir les champs des investigations par référence à un ensemble de standards informatiques et normes internationales. Barre de navigation : Cette barre permet de naviguer entre les différents composants de générateur de guides d’audit : La carte des correspondances « Missions – Objectifs de contrôle » (élément 1) Le guide générique ou la plateforme des questionnaires d’audit groupés par domaine : PO, AI, DS, SE et CA (élément 2) Le questionnaire (guide) généré (élément 3) Les tables de mappage sous forme d’annexes (élément 4)
  • 29. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Mode d'emploi : Le point d’entrée afin de généré un guide d’audit (un questionnaire) spécifique à une mission bien déterminée c’est la carté clé ou la carte des correspondances « Missions - Objectifs de contrôle ». Cette carte présente l’ensemble des objectifs de contrôles Cobit groupés par processus et domaine (en reproduction au modèle processus de Cobit4.1). Cette carte offre au moyen d’une liste déroulante un ensemble de missions organisées hiérarchiquement (des missions traitant la sécurité des SI, un thème choisi lors de ce stage à titre d’exemple afin d’élaborer ce générateur de guides d’audit). Dans cette première version, cette liste comporte cet ensemble réduit de missions, cependant elle peut être élargie ultérieurement suite à des travaux de cadrage portant sur d’autres thèmes ou éléments des SI.
  • 30. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Cette carte clé offre des modèles de cadrage, comme pour le cas de l’exemple choisi « Sous-mission : Audit de la sécurité des applications et infrastructures ». Le processus de cadrage selon l’approche d’audit du cadre de référence Cobit4.1 consiste à déterminer pour chaque mission les objectifs de contrôles Cobit les plus critiques, dont les évaluations vont permettre de décerner les faiblesses des dispositifs de contrôle mis en place et associées au élément d’étude ainsi que les risques potentiels correspondant. Ces modèles offrent aux auditeurs des SI des pistes à suivre, néanmoins ceux-ci peuvent les affiner en fonction de leurs besoins en audit et les ressources de l’entreprise déployées. L’avantage de cette application, ne s’arrête pas au fait d’offrir des modèles de cadrage des missions d’audit, mais aussi de générer des guides d’audit sous forme de questionnaires spécifiques selon la mission sélectionnée. Ces questionnaires vont être générer à partir du guide générique (la plateforme décrite auparavant).
  • 31. Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information". © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/) Les questionnaires ainsi générés vont présenter aux auditeurs un ensemble des évaluations sous forme de questions inspirés des différents conseils et procédures d’évaluation de guide d’audit Cobit4.1 et qui ont été établis par des experts en matière des SI. Ces questionnaires vont assister les auditeurs lors de leurs activités d’investigation tout en leur offrant plusieurs indices et conseils issus des différents éléments de cadre de référence Cobit4.1 et ses divers publications, tels que : les descriptions des processus et des leurs objectifs de contrôle correspondant, les responsables clés des processus concernés par la mission en cours, des conseils et des méthodes d’audit (à titre indicatif) … En plus des questionnaires générés sur la base des modèles de cadrage prédéfinis, un ensemble de tables de mappage seront aussi présentés afin de donner aux auditeurs la possibilité d’approfondir leurs investigations en se référant à des standards et normes plus détaillés. En fait le cadre de référence Cobit est un cadre fédérateur qui harmonie et unie un ensemble de bonnes pratiques d’autres référentiels au moyen de ses objectifs de contrôle.