SlideShare une entreprise Scribd logo
1  sur  17
Télécharger pour lire hors ligne
CONFÉRENCE
AIX en PROVENCE
« L’INFORMATIQUE ET LA FRAUDE »
21/05/2015 | www.noelpons.fr | 1
PLAN DE LA CONFÉRENCE
 L’intelligence et l’informatique
 L’approche de la cartographie applicative
 Quelques problèmes récurrents
 Les risques des systèmes
21/05/2015 | www.noelpons.fr | 2
21/05/2015
L’INTELLIGENCE ET
L’INFORMATIQUE
| www.noelpons.fr | 3
LES RISQUES MAJEURS
 A-t’on évalué ce qui constitue l’essence même
d’une société (stratification des fichiers) ?
 Connaît-on bien ses sous traitants (risque de vol
de données) ?
 A-t’on analysé les termes des contrats (clauses
d’auditabilité etc.)
 A-t’on bien évalué les problèmes de sécurité ?
21/05/2015 | www.noelpons.fr | 4
LES RISQUES MAJEURS DES
NOUVEAUX OUTILS
 L’espionnage économique
 Le « cloud computing »
 Les pratiques frauduleuses du trading à haute
fréquence
 Le risque majeur de l’internet :
 La mise en réseau croissante de l'économie, des
États et des individus sur Internet
 Les problématiques de sécurité
21/05/2015 | www.noelpons.fr | 5
LES RISQUES MAJEURS DES
NOUVEAUX OUTILS
 Les attaques touchant les systèmes d’information
internes
 Les rapports avec les collaborateurs
 Les contrats liés aux sous-traitants techniques
 La chaîne d’approvisionnement
 Les technologies de rupture et les chocs externes
(ex. : incendie ou catastrophes naturelles).
21/05/2015 | www.noelpons.fr | 6
21/05/2015
L’APPROCHE DE LA
CARTOGRAPHIE APPLICATIVE
| www.noelpons.fr | 7
APPROCHE DE LA
CARTOGRAPHIE APPLICATIVE
 Documentation
 La répartition organisationnelle ce qui permet de comprendre qui
sont les décideurs
 L’existence d’une charte informatique:
 date de la dernière mise à jour
 les documents qui pourraient être assimilés à une charte
 la procédure d'acceptation de cette charte..
 La maintenance des logiciels (contrats, disponibilité des
systèmes et continuité de l’activité, langage concernant chaque
logiciel)
 .
21/05/2015 | www.noelpons.fr | 8
APPROCHE DE LA
CARTOGRAPHIE APPLICATIVE
 Procédure
 Les processus de gestion des droits (habilitations / sécurité
logique) et la politique informatique (changement de mot de
passe, téléchargement, mises à jour...)
 La procédure de gestion des incidents et les critères d’efficacité
 Carto
 Les logiciels utilisés ainsi que les déversements réalisés
 Quelles sont les données en entrées et celle exportées ?
 Quels sont les traitements ?
 fréquence du déversement ?
 la gestion des interfaces contrôles embarqués,gestion des rejets,
fréquence...)
 A-t-on identifié et dissocié les informations confidentielles ?
 Exportées auprès de qui ?
| www.noelpons.fr | 921/05/2015
21/05/2015
QUELQUES PROBLÈMES
RÉCURRENTS
| www.noelpons.fr | 10
QUELQUES PROBLÈMES
RÉCURRENTS
 Revues du contrôle interne, quelques anomalies :
 Contrôle des fichiers d’interface exemples de constats:
 Des contrôles sur les fichiers d’interface sont effectués hors de
l’échange de données informatisées par l’intermédiaire de scripts
 L’exhaustivité de l’intégration de tous les dossiers dans l’application n’est
pas assuré
 Le fichier transmis en production est filtré pour ne conserver que les
lignes correctes et les lignes corrigées
 Les lignes mises de côté sont retraitées sans contrôle ni validation
 Le risque de transmission d’un fichier erroné est donc présent
21/05/2015 | www.noelpons.fr | 11
QUELQUES PROBLÈMES
RÉCURRENTS
 Revues du contrôle interne, quelques anomalies :
 Modification des fichiers d’interface : exemples de constats
 La modification des fichiers d’interface ne respecte pas le principe de
non correction des données.
 La réalisation de corrections est erronée et le retraitement des lignes
écartées est oublié
 Les lignes en anomalie ne sont pas communiquées aux utilisateurs
 Recommandations
 Documenter les contrôles effectués qui sont validés par le métier
 Lister les anomalies récurrentes afin de les traiter dans le Système
d’information
21/05/2015 | www.noelpons.fr | 12
QUELQUES PROBLÈMES
RÉCURRENTS
 Revues du contrôle interne, quelques anomalies:
 Retraitement des anomalies
 Les dossiers non intégrés ou rejetés sont stockés dans une table dédiée
 Les lignes sont corrigées manuellement ou via des scripts et réintégrées
dans le système au fur et à mesure sans validation du métier
 Le processus ne garantit pas que les écritures sont transmises de façon
exhaustive
 Retraitement des lignes en anomalie avec une macro Excel
 Qui l’a écrite ?
 Qui l’a validée ?
 Qui y a accès ?
 Qui la contrôle ?
 Le retraitement des lignes en erreur n’est pas industrialisé et il est
possible que la totalité des lignes en anomalie ne soit pas traitée
21/05/2015 | www.noelpons.fr | 13
QUELQUES PROBLÈMES
RÉCURRENTS
 Revues du contrôle interne, quelques anomalies:
 Résolution des incidents
 L’identification de tickets de type « anomalie » non résolus et/ou dépassant le
délai établi
 En l’absence de correction systématique des incidents, des écritures sont en
erreur ou manquantes
 Sécurité logique accès au Système
 Il n’existe pas de procédure de gestion des comptes utilisateurs
spécifiques ou non
 Les comptes utilisateurs sont créés par l’exploitation en fonction des
besoins et aucune revue des utilisateurs périodiques n’est réalisée
 Des opérations d’exploitation non autorisées peuvent être effectuées
en production (séparation entre la production et l’exploitation)
21/05/2015 | www.noelpons.fr | 14
QUELQUES PROBLÈMES
RÉCURRENTS
 Revues du contrôle interne, recommandations du retraitement des anomalies :
 Lister les anomalies récurrentes afin de les traiter dans le système
 Automatiser l’isolement des lignes en erreur et le nettoyage du fichier
 Documenter les retraitements effectués
 Mettre en place une stratégie de retraitement pour les écritures à fort impact et les
traiter dans le Système en tant que dossier en rejet
 Revues du contrôle interne, recommandations pour la résolution des incidents :
 Confirmer les délais de clôture des incidents et s’assurer de leur correcte application
par le support
 Mettre en place un suivi périodique des incidents afin de s’assurer que les écritures en
erreur sont retraitées
 Revues du contrôle interne, recommandations pour la sécurité logique et les
accès au Système :
 Identifier les utilisateurs déclarés ainsi que leur droits
 S’assurer que les droits accordés correspondent à leurs prérogatives
21/05/2015 | www.noelpons.fr | 15
21/05/2015
LES RISQUES DES SYSTÈMES
| www.noelpons.fr | 16
LES RISQUES LIÉS AUX
SYSTÈMES EUX MÊMES
 La gestion des habilitations
 La séparation des tâches
 Quand le système n’est pas complet les
utilisateurs trouvent des solutions autres
 La gestion des passe droits
 La clé générale sur internet
21/05/2015 | www.noelpons.fr | 17

Contenu connexe

Tendances

[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?Antoine Vigneron
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéChristian Charreyre
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)Vumetric
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...BEIJAFLORE
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...polenumerique33
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieApec
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31ssuser0da89f
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...StHack
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsBee_Ware
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurityYann SESE
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéAntoine Vigneron
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Lisa Lombardi
 

Tendances (20)

Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?IoT, Sécurité et Santé: un cocktail détonnant ?
IoT, Sécurité et Santé: un cocktail détonnant ?
 
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'EmbarquéMeetup Cybersécurité RGPD Conséquences dans l'Embarqué
Meetup Cybersécurité RGPD Conséquences dans l'Embarqué
 
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
La cybersécurité à l’ère de l’infonuagique et de l’industrie 4.0 (Vumetric)
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridique
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
 
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrieEtude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
Etude Apec - La cybersécurité industrielle : tendances métiers dans l'industrie
 
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
Cfcim clusim cybersecurite-mesures-accompagnement_2017-03-31
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Maitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industrielsMaitriser la ssi pour les systèmes industriels
Maitriser la ssi pour les systèmes industriels
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels? Quels subsides pour vous aider à faire face aux cybercriminels?
Quels subsides pour vous aider à faire face aux cybercriminels?
 
ENFIN Cyber !
ENFIN Cyber !ENFIN Cyber !
ENFIN Cyber !
 

En vedette

Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitaleAntoine Vigneron
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteAntoine Vigneron
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Antoine Vigneron
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieAntoine Vigneron
 
Les enjeux de la transformation numérique
Les enjeux de la transformation numériqueLes enjeux de la transformation numérique
Les enjeux de la transformation numériqueAntoine Vigneron
 
Gouvernance et architecture des données - Groupe PSA
Gouvernance et architecture des données - Groupe PSAGouvernance et architecture des données - Groupe PSA
Gouvernance et architecture des données - Groupe PSAAntoine Vigneron
 
Cybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesCybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesAntoine Vigneron
 
Challenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital eraChallenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital eraAntoine Vigneron
 
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
IFACI, Gestion de crise et continuité d'activité - 21 mai  2015IFACI, Gestion de crise et continuité d'activité - 21 mai  2015
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015Antoine Vigneron
 
Meeting the challenges of big data
Meeting the challenges of big dataMeeting the challenges of big data
Meeting the challenges of big dataAntoine Vigneron
 
Cloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratiqueCloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratiqueAntoine Vigneron
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesAntoine Vigneron
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataAntoine Vigneron
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...Antoine Vigneron
 
Baccou Bonneville Consultants Service Offering
Baccou Bonneville Consultants Service OfferingBaccou Bonneville Consultants Service Offering
Baccou Bonneville Consultants Service OfferingAlterest
 
Certification audit interne
Certification audit interneCertification audit interne
Certification audit interneRida El Baakili
 
Fabrication d’une antenne mobile bibande 145 & 435 MHz
Fabrication d’une antenne mobile bibande 145 & 435 MHzFabrication d’une antenne mobile bibande 145 & 435 MHz
Fabrication d’une antenne mobile bibande 145 & 435 MHzwebmasterref68
 

En vedette (19)

Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simplicite
 
Protéger ses données: mission impossible?
Protéger ses données: mission impossible?Protéger ses données: mission impossible?
Protéger ses données: mission impossible?
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussie
 
Les enjeux de la transformation numérique
Les enjeux de la transformation numériqueLes enjeux de la transformation numérique
Les enjeux de la transformation numérique
 
Gouvernance et architecture des données - Groupe PSA
Gouvernance et architecture des données - Groupe PSAGouvernance et architecture des données - Groupe PSA
Gouvernance et architecture des données - Groupe PSA
 
Cybercriminalité: menaces et parades
Cybercriminalité: menaces et paradesCybercriminalité: menaces et parades
Cybercriminalité: menaces et parades
 
Cloud and compliance REX
Cloud and compliance REXCloud and compliance REX
Cloud and compliance REX
 
Challenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital eraChallenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital era
 
CAMERA
CAMERACAMERA
CAMERA
 
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
IFACI, Gestion de crise et continuité d'activité - 21 mai  2015IFACI, Gestion de crise et continuité d'activité - 21 mai  2015
IFACI, Gestion de crise et continuité d'activité - 21 mai 2015
 
Meeting the challenges of big data
Meeting the challenges of big dataMeeting the challenges of big data
Meeting the challenges of big data
 
Cloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratiqueCloud Computing et Protection des Données - Guide pratique
Cloud Computing et Protection des Données - Guide pratique
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériques
 
Lexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big DataLexpresse de la Banque Postale - Privacy et Big Data
Lexpresse de la Banque Postale - Privacy et Big Data
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
 
Baccou Bonneville Consultants Service Offering
Baccou Bonneville Consultants Service OfferingBaccou Bonneville Consultants Service Offering
Baccou Bonneville Consultants Service Offering
 
Certification audit interne
Certification audit interneCertification audit interne
Certification audit interne
 
Fabrication d’une antenne mobile bibande 145 & 435 MHz
Fabrication d’une antenne mobile bibande 145 & 435 MHzFabrication d’une antenne mobile bibande 145 & 435 MHz
Fabrication d’une antenne mobile bibande 145 & 435 MHz
 

Similaire à L'informatique et la fraude Aix-en-Provence

Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Anasse Ej
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 pptjeehane
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquechammem
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilCyber Security Alliance
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 polenumerique33
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojetAyoub Rouzi
 
La Duck Conf 2018 : "Big Data : guide de survie des architectures"
La Duck Conf 2018 : "Big Data : guide de survie des architectures"La Duck Conf 2018 : "Big Data : guide de survie des architectures"
La Duck Conf 2018 : "Big Data : guide de survie des architectures"OCTO Technology
 
Administration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptxAdministration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptxJordaniMike
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIArsène Ngato
 
Chapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptChapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptNajah Idrissi Moulay Rachid
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasEyesOpen Association
 
An15 g formation-aix-administration-systeme-ii-determination-des-incidents
An15 g formation-aix-administration-systeme-ii-determination-des-incidentsAn15 g formation-aix-administration-systeme-ii-determination-des-incidents
An15 g formation-aix-administration-systeme-ii-determination-des-incidentsCERTyou Formation
 
chapitre1 supervision industrielle.pdf
chapitre1     supervision industrielle.pdfchapitre1     supervision industrielle.pdf
chapitre1 supervision industrielle.pdfMINKAIssam
 
Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfTAFEMBLANC
 
Presentation BMIA
Presentation BMIAPresentation BMIA
Presentation BMIAPMarsaud
 
Sparxent |NetworkD LANDesk User Group 2009 Présentation Leroy Merlin 26 Nov 2009
Sparxent |NetworkD LANDesk User Group 2009 Présentation Leroy Merlin 26 Nov 2009Sparxent |NetworkD LANDesk User Group 2009 Présentation Leroy Merlin 26 Nov 2009
Sparxent |NetworkD LANDesk User Group 2009 Présentation Leroy Merlin 26 Nov 2009Michelet
 

Similaire à L'informatique et la fraude Aix-en-Provence (20)

Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatique
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
Cisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4   operations maintenance et support des systèmes d’informationCisa domaine 4   operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’information
 
Cacti
CactiCacti
Cacti
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Rapport nagios miniprojet
Rapport nagios miniprojetRapport nagios miniprojet
Rapport nagios miniprojet
 
Qualite1
Qualite1Qualite1
Qualite1
 
La Duck Conf 2018 : "Big Data : guide de survie des architectures"
La Duck Conf 2018 : "Big Data : guide de survie des architectures"La Duck Conf 2018 : "Big Data : guide de survie des architectures"
La Duck Conf 2018 : "Big Data : guide de survie des architectures"
 
Administration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptxAdministration_et_Supervision_RESEAU (1).pptx
Administration_et_Supervision_RESEAU (1).pptx
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SI
 
Chapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptChapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.ppt
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVas
 
An15 g formation-aix-administration-systeme-ii-determination-des-incidents
An15 g formation-aix-administration-systeme-ii-determination-des-incidentsAn15 g formation-aix-administration-systeme-ii-determination-des-incidents
An15 g formation-aix-administration-systeme-ii-determination-des-incidents
 
chapitre1 supervision industrielle.pdf
chapitre1     supervision industrielle.pdfchapitre1     supervision industrielle.pdf
chapitre1 supervision industrielle.pdf
 
Audit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdfAudit Des Systemes d_Information.pdf
Audit Des Systemes d_Information.pdf
 
Presentation BMIA
Presentation BMIAPresentation BMIA
Presentation BMIA
 
Sparxent |NetworkD LANDesk User Group 2009 Présentation Leroy Merlin 26 Nov 2009
Sparxent |NetworkD LANDesk User Group 2009 Présentation Leroy Merlin 26 Nov 2009Sparxent |NetworkD LANDesk User Group 2009 Présentation Leroy Merlin 26 Nov 2009
Sparxent |NetworkD LANDesk User Group 2009 Présentation Leroy Merlin 26 Nov 2009
 

Plus de Antoine Vigneron

La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesAntoine Vigneron
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASAntoine Vigneron
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notairesAntoine Vigneron
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?Antoine Vigneron
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@PostAntoine Vigneron
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreAntoine Vigneron
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
La transition numérique un des facteurs clé vers une performance globale des...
 La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...Antoine Vigneron
 

Plus de Antoine Vigneron (10)

La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usages
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDAS
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notaires
 
Bitcoin et le bitcoin
Bitcoin et le bitcoinBitcoin et le bitcoin
Bitcoin et le bitcoin
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?
 
CIO advisory English
CIO advisory English CIO advisory English
CIO advisory English
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@Post
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendre
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
La transition numérique un des facteurs clé vers une performance globale des...
 La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...
 

L'informatique et la fraude Aix-en-Provence

  • 1. CONFÉRENCE AIX en PROVENCE « L’INFORMATIQUE ET LA FRAUDE » 21/05/2015 | www.noelpons.fr | 1
  • 2. PLAN DE LA CONFÉRENCE  L’intelligence et l’informatique  L’approche de la cartographie applicative  Quelques problèmes récurrents  Les risques des systèmes 21/05/2015 | www.noelpons.fr | 2
  • 4. LES RISQUES MAJEURS  A-t’on évalué ce qui constitue l’essence même d’une société (stratification des fichiers) ?  Connaît-on bien ses sous traitants (risque de vol de données) ?  A-t’on analysé les termes des contrats (clauses d’auditabilité etc.)  A-t’on bien évalué les problèmes de sécurité ? 21/05/2015 | www.noelpons.fr | 4
  • 5. LES RISQUES MAJEURS DES NOUVEAUX OUTILS  L’espionnage économique  Le « cloud computing »  Les pratiques frauduleuses du trading à haute fréquence  Le risque majeur de l’internet :  La mise en réseau croissante de l'économie, des États et des individus sur Internet  Les problématiques de sécurité 21/05/2015 | www.noelpons.fr | 5
  • 6. LES RISQUES MAJEURS DES NOUVEAUX OUTILS  Les attaques touchant les systèmes d’information internes  Les rapports avec les collaborateurs  Les contrats liés aux sous-traitants techniques  La chaîne d’approvisionnement  Les technologies de rupture et les chocs externes (ex. : incendie ou catastrophes naturelles). 21/05/2015 | www.noelpons.fr | 6
  • 7. 21/05/2015 L’APPROCHE DE LA CARTOGRAPHIE APPLICATIVE | www.noelpons.fr | 7
  • 8. APPROCHE DE LA CARTOGRAPHIE APPLICATIVE  Documentation  La répartition organisationnelle ce qui permet de comprendre qui sont les décideurs  L’existence d’une charte informatique:  date de la dernière mise à jour  les documents qui pourraient être assimilés à une charte  la procédure d'acceptation de cette charte..  La maintenance des logiciels (contrats, disponibilité des systèmes et continuité de l’activité, langage concernant chaque logiciel)  . 21/05/2015 | www.noelpons.fr | 8
  • 9. APPROCHE DE LA CARTOGRAPHIE APPLICATIVE  Procédure  Les processus de gestion des droits (habilitations / sécurité logique) et la politique informatique (changement de mot de passe, téléchargement, mises à jour...)  La procédure de gestion des incidents et les critères d’efficacité  Carto  Les logiciels utilisés ainsi que les déversements réalisés  Quelles sont les données en entrées et celle exportées ?  Quels sont les traitements ?  fréquence du déversement ?  la gestion des interfaces contrôles embarqués,gestion des rejets, fréquence...)  A-t-on identifié et dissocié les informations confidentielles ?  Exportées auprès de qui ? | www.noelpons.fr | 921/05/2015
  • 11. QUELQUES PROBLÈMES RÉCURRENTS  Revues du contrôle interne, quelques anomalies :  Contrôle des fichiers d’interface exemples de constats:  Des contrôles sur les fichiers d’interface sont effectués hors de l’échange de données informatisées par l’intermédiaire de scripts  L’exhaustivité de l’intégration de tous les dossiers dans l’application n’est pas assuré  Le fichier transmis en production est filtré pour ne conserver que les lignes correctes et les lignes corrigées  Les lignes mises de côté sont retraitées sans contrôle ni validation  Le risque de transmission d’un fichier erroné est donc présent 21/05/2015 | www.noelpons.fr | 11
  • 12. QUELQUES PROBLÈMES RÉCURRENTS  Revues du contrôle interne, quelques anomalies :  Modification des fichiers d’interface : exemples de constats  La modification des fichiers d’interface ne respecte pas le principe de non correction des données.  La réalisation de corrections est erronée et le retraitement des lignes écartées est oublié  Les lignes en anomalie ne sont pas communiquées aux utilisateurs  Recommandations  Documenter les contrôles effectués qui sont validés par le métier  Lister les anomalies récurrentes afin de les traiter dans le Système d’information 21/05/2015 | www.noelpons.fr | 12
  • 13. QUELQUES PROBLÈMES RÉCURRENTS  Revues du contrôle interne, quelques anomalies:  Retraitement des anomalies  Les dossiers non intégrés ou rejetés sont stockés dans une table dédiée  Les lignes sont corrigées manuellement ou via des scripts et réintégrées dans le système au fur et à mesure sans validation du métier  Le processus ne garantit pas que les écritures sont transmises de façon exhaustive  Retraitement des lignes en anomalie avec une macro Excel  Qui l’a écrite ?  Qui l’a validée ?  Qui y a accès ?  Qui la contrôle ?  Le retraitement des lignes en erreur n’est pas industrialisé et il est possible que la totalité des lignes en anomalie ne soit pas traitée 21/05/2015 | www.noelpons.fr | 13
  • 14. QUELQUES PROBLÈMES RÉCURRENTS  Revues du contrôle interne, quelques anomalies:  Résolution des incidents  L’identification de tickets de type « anomalie » non résolus et/ou dépassant le délai établi  En l’absence de correction systématique des incidents, des écritures sont en erreur ou manquantes  Sécurité logique accès au Système  Il n’existe pas de procédure de gestion des comptes utilisateurs spécifiques ou non  Les comptes utilisateurs sont créés par l’exploitation en fonction des besoins et aucune revue des utilisateurs périodiques n’est réalisée  Des opérations d’exploitation non autorisées peuvent être effectuées en production (séparation entre la production et l’exploitation) 21/05/2015 | www.noelpons.fr | 14
  • 15. QUELQUES PROBLÈMES RÉCURRENTS  Revues du contrôle interne, recommandations du retraitement des anomalies :  Lister les anomalies récurrentes afin de les traiter dans le système  Automatiser l’isolement des lignes en erreur et le nettoyage du fichier  Documenter les retraitements effectués  Mettre en place une stratégie de retraitement pour les écritures à fort impact et les traiter dans le Système en tant que dossier en rejet  Revues du contrôle interne, recommandations pour la résolution des incidents :  Confirmer les délais de clôture des incidents et s’assurer de leur correcte application par le support  Mettre en place un suivi périodique des incidents afin de s’assurer que les écritures en erreur sont retraitées  Revues du contrôle interne, recommandations pour la sécurité logique et les accès au Système :  Identifier les utilisateurs déclarés ainsi que leur droits  S’assurer que les droits accordés correspondent à leurs prérogatives 21/05/2015 | www.noelpons.fr | 15
  • 16. 21/05/2015 LES RISQUES DES SYSTÈMES | www.noelpons.fr | 16
  • 17. LES RISQUES LIÉS AUX SYSTÈMES EUX MÊMES  La gestion des habilitations  La séparation des tâches  Quand le système n’est pas complet les utilisateurs trouvent des solutions autres  La gestion des passe droits  La clé générale sur internet 21/05/2015 | www.noelpons.fr | 17