SlideShare une entreprise Scribd logo
1  sur  19
Colloque du risq 2018 – Audit 101- Guide de survie à un audit de sécurité
Hugo Dominguez, MSc, CISA
Directeur de la sécurité et des infrastructures informatiques
Université McGill
Agenda
• Perceptions
• Type d’audit
• Les acteurs
• Le processus
• Le défi et stratégies
de survie
Perceptions
Le contexte
• Audit dans un contexte de vérification
externe des états financiers
• Audit dans un contexte de vérification
interne
• Audit mandaté par la direction
• Audit mandaté par le service des TI
• Audit de conformité des licenses*
Les acteurs
• Comité de direction /
Conseil d’administration
• Administrateur
• Comité d’audit
• Auditeur externe
• Auditeur interne
• Le vérifié
Les acteurs
• Comité de direction / Conseil d’administration
– S’assurer du respect et de la réalisation de la
mission
– S’assurer du respect des lois applicables
– Gérer les affaires financières
– Gérer la pérennité des actifs de l’entreprise
This Phoo by Unknown Author is licensed under CC BY-SA-NC
Les acteurs
• Administrateur
– Gérer les affaires avec soin et précaution et prendre
des mesures raisonnables pour gérer les risques
auxquels l’organisme peut faire face.
– Fournir leur expertise dans un domaine particulier
et s’adjoindre l’aide externe auprès d’experts au
besoin
– Mettre leurs intérêts personnels de côté lorsqu’ils
prennent des décisions.
– S’assurer du respect de toutes les lois applicables
aux activités qu’il exerce.
– S’assurer que l’organisme respecte toutes les règles
internes qu’il a créées pour lui-même. This Phoo by Unknown Author is licensed under CC BY-SA-NC
Les acteurs
• Comité d’audit
– Aider le CA dans la surveillance relatives à la qualité et l’intégrité de
l’information financière
– Relève du Conseil et a un pouvoir de recommandations
– Il exerce un rôle de vigie sur les affaires financières
– Responsable de la surveillance des activités d’audit externe, du contrôle
interne, de la gestion des risques et de la sécurité de l’information
– Surveillance de la sécurité de l’information
• Réviser l’identification et l’évaluation des risques liés à la sécurité de
l’information effectuée par la direction
• Examiner les mesures d’atténuation des risques liés à la sécurité de
l’information mises en place par la direction et s’assurer de leur
efficacité
• Veiller au respect de la politique de sécurité de l’information de l’Ordre
et s’assurer de la mise en œuvre du système de gestion de la sécurité de
l’information (SGSI) .
Les acteurs
• Auditeur interne / externe
– Contrôles vs Sécurité
– Comptabilité vs Informatique
– Meilleures pratiques vs Vulnérabilités
– Rôle par rapport à l’évaluation
Contrôle…
mon
prééécieux
Les acteurs
• Le vérifié
– Gestion des risques
– Sécurité vs Contrôles vs
Efficacité opérationnelle
– Gestion du portfolio de
projet
– Contraintes
– …
Le processus
Définiton de la
portée
Selon l’objectif du donneur
d’ouvrage
Audit
Selon une méthodologie /
référentiel
Cibler sur la portée
Validation des
recommandations
Auditeur valide ses
recommandations
(observation, risque, effort
(parfois), recommendation (à
précision variable)
Demande des commentaires
des administrateurs
Recommandations
Présentée au donneur
d’ouvrage et/ou le groupe
imputable
Plan d’action
À exécuter par le vérifié ou les
administrateurs
Défi et stratégie de survies
Votre capacité d’influence…
Définiton de la
portée
Selon l’objectif du donneur
d’ouvrage
Audit
Selon une méthodologie /
référentiel
Cibler sur la portée
Validation des
recommandations
Auditeur valide ses
recommandations
(observation, risque, effort
(parfois), recommendation (à
précision variable)
Demande des commentaires
des administrateurs
Recommandations
Présentée au donneur
d’ouvrage et/ou le groupe
imputable
Plan d’action
À exécuter par le vérifié ou les
administrateurs
Guide de survie
• Influencer la portée dans les situations
suivantes:
– Vous êtes le donneur d’ouvrage (attention avoir
des audits parfait n’aident personne)
– Vous avez une relation avec la vérification interne
et les appuyer dans la définition de la portée
– Pour le reste… hope for the best
Guide de survie
• Durant l’audit:
– Raccrocher vous à la portée pour contrôler
l’envergure des travaux
– Utiliser le vérificateur avec prudence en matière
de suggestions
Guide de survie
• À la phase des recommandations / plan
d’action:
– Fournissez vos commentaires sur la véracité
de l’observation ou modulez-la
– Votre plan d’action n’a pas à éliminer le
risque, vous pouvez le réduire
– Essayez minimalement de vous conformer à
vos normes internes
Votre capacité d’influence…
Définiton de la
portée
Selon l’objectif du donneur
d’ouvrage
Audit
Selon une méthodologie /
référentiel
Cibler sur la portée
Validation des
recommandations
Auditeur valide ses
recommandations
(observation, risque, effort
(parfois), recommendation (à
précision variable)
Demande des commentaires
des administrateurs
Recommandations
Présentée au donneur
d’ouvrage et/ou le groupe
imputable
Plan d’action
À exécuter par le vérifié ou les
administrateurs
Développer un processus
d’évaluation et de gestion des
risques auquel adhere la
direction et le CA pour moduler
les recommandations
Guide de survie
• Un processus interne de gestion des risques avec une adhesion de la
direction est la clé essentielle, le risque 0 n’existe pas.
• Documentez des normes et des guides auxquels vous pouvez vous
conformer
• La réduction des risques peut être constituée de contrôles de prevention
et/ou de détection
• Associer des demandes budgétaires aux recommandations (répondre en
disant que vous ferez les demandes budgétaires)… à l’impossible nul n’est
tenu
• Si vous avez été sages, demandez un bon vérificateurs raisonnables au
Père Noël, ça existe mais il faut avoir été très très sage…
Guide de survie
Menaces
Risque
Risque
Risque
Risque
Vulnérabilités
Contextualisées
Contexte
organisationnel
Vulnérabilités
Vulnérabilités
Stratégie de traitement
de risque
Transfert du contrôle
ou de la gestion du risque
Risque résiduel
Inacceptable

Contenu connexe

Tendances

Démarche audit si
Démarche audit siDémarche audit si
Démarche audit siAc_Business
 
Le cycle de vie de la gestion des risques
Le cycle de vie de la gestion des risquesLe cycle de vie de la gestion des risques
Le cycle de vie de la gestion des risquesPMI-Montréal
 
Et si les projets informatiques réussissaient grâce au contrôle interne!
Et si les projets informatiques réussissaient grâce au contrôle interne!Et si les projets informatiques réussissaient grâce au contrôle interne!
Et si les projets informatiques réussissaient grâce au contrôle interne!Antoine Vigneron
 
Role du Controle interne dans la mission d'audit
Role du Controle interne dans la mission d'auditRole du Controle interne dans la mission d'audit
Role du Controle interne dans la mission d'auditAymen Foudhaili
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
 
Management des risques
Management des risquesManagement des risques
Management des risquesyounes elhaiba
 
[weave] Risk and Compliance - conformité asset management
[weave] Risk and Compliance - conformité asset management[weave] Risk and Compliance - conformité asset management
[weave] Risk and Compliance - conformité asset managementonepoint x weave
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditAudit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditJihaneMozdalif
 
Gestion du risque dans un projet Agile
Gestion du risque dans un projet AgileGestion du risque dans un projet Agile
Gestion du risque dans un projet AgileBasile du Plessis
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risquesCarine Pascal
 
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?Arrow Institute
 
Le controle interne-pratique
Le controle interne-pratiqueLe controle interne-pratique
Le controle interne-pratiqueHervé Boullanger
 
2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnels2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnelsFatima Zahra z
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Christophe Pekar
 

Tendances (18)

Démarche audit si
Démarche audit siDémarche audit si
Démarche audit si
 
Le cycle de vie de la gestion des risques
Le cycle de vie de la gestion des risquesLe cycle de vie de la gestion des risques
Le cycle de vie de la gestion des risques
 
Et si les projets informatiques réussissaient grâce au contrôle interne!
Et si les projets informatiques réussissaient grâce au contrôle interne!Et si les projets informatiques réussissaient grâce au contrôle interne!
Et si les projets informatiques réussissaient grâce au contrôle interne!
 
Role du Controle interne dans la mission d'audit
Role du Controle interne dans la mission d'auditRole du Controle interne dans la mission d'audit
Role du Controle interne dans la mission d'audit
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
[weave] Risk and Compliance - conformité asset management
[weave] Risk and Compliance - conformité asset management[weave] Risk and Compliance - conformité asset management
[weave] Risk and Compliance - conformité asset management
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Risque achat , scm
Risque achat , scmRisque achat , scm
Risque achat , scm
 
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’auditAudit.. La démarche d’audit : Les étapes d’une mission d’audit
Audit.. La démarche d’audit : Les étapes d’une mission d’audit
 
Gestion du risque dans un projet Agile
Gestion du risque dans un projet AgileGestion du risque dans un projet Agile
Gestion du risque dans un projet Agile
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
 
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
 
Le controle interne-pratique
Le controle interne-pratiqueLe controle interne-pratique
Le controle interne-pratique
 
2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnels2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnels
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
 
EBIOS
EBIOSEBIOS
EBIOS
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 

Similaire à Audit 101 - Un guide de survie

Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.com
Audit g n_ral-agrad  : Téléchargeable sur www.coursdefsjes.comAudit g n_ral-agrad  : Téléchargeable sur www.coursdefsjes.com
Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.comcours fsjes
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptKhouloud Errachedi
 
cours de l'audit comptable et financier.ppt
cours de l'audit comptable et financier.pptcours de l'audit comptable et financier.ppt
cours de l'audit comptable et financier.pptHICHAMESSAOUDI2
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen ChénéNetSecure Day
 
cas audit comptable financier Exercice QCM
cas audit comptable financier Exercice QCMcas audit comptable financier Exercice QCM
cas audit comptable financier Exercice QCMjujord
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneYoussef Bensafi
 
La fonction de l'Audit au Maroc
La fonction de l'Audit au MarocLa fonction de l'Audit au Maroc
La fonction de l'Audit au MarocHafsa EL Ghazoui
 
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...
Préparation certification CIA:  introduction à l'audit interne par EL MOUDEN ...Préparation certification CIA:  introduction à l'audit interne par EL MOUDEN ...
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...Mohamed EL MOUDEN ISCAE, CIA, CISA
 
audit_financier_et_comptable.ppt
audit_financier_et_comptable.pptaudit_financier_et_comptable.ppt
audit_financier_et_comptable.pptRadhouaneAROUS1
 
Responsable qualite 10
Responsable qualite 10Responsable qualite 10
Responsable qualite 10jln94
 
Audit comptable et financier externe : Focus sur la phase de l'orientation et...
Audit comptable et financier externe : Focus sur la phase de l'orientation et...Audit comptable et financier externe : Focus sur la phase de l'orientation et...
Audit comptable et financier externe : Focus sur la phase de l'orientation et...Mar Tur
 
PMI Montréal, Symposium 2010 10 Novembre 2010
PMI Montréal, Symposium 2010 10 Novembre 2010PMI Montréal, Symposium 2010 10 Novembre 2010
PMI Montréal, Symposium 2010 10 Novembre 2010Sylvain Demers
 
Cm6.09 part2 pilotage_projet ing
Cm6.09 part2 pilotage_projet ingCm6.09 part2 pilotage_projet ing
Cm6.09 part2 pilotage_projet ingidigroupe6
 
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7  audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...7  audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...sarl ibrahim ifri
 

Similaire à Audit 101 - Un guide de survie (20)

Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.com
Audit g n_ral-agrad  : Téléchargeable sur www.coursdefsjes.comAudit g n_ral-agrad  : Téléchargeable sur www.coursdefsjes.com
Audit g n_ral-agrad : Téléchargeable sur www.coursdefsjes.com
 
Audit11
Audit11Audit11
Audit11
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
cours de l'audit comptable et financier.ppt
cours de l'audit comptable et financier.pptcours de l'audit comptable et financier.ppt
cours de l'audit comptable et financier.ppt
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné#NSD16 - rex-audit coté startup - Youen Chéné
#NSD16 - rex-audit coté startup - Youen Chéné
 
cas audit comptable financier Exercice QCM
cas audit comptable financier Exercice QCMcas audit comptable financier Exercice QCM
cas audit comptable financier Exercice QCM
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
 
audit qualité.pptx
audit qualité.pptxaudit qualité.pptx
audit qualité.pptx
 
Webconférence - Quelle Due Diligence pour quel risque ?
Webconférence - Quelle Due Diligence pour quel risque ?Webconférence - Quelle Due Diligence pour quel risque ?
Webconférence - Quelle Due Diligence pour quel risque ?
 
La fonction de l'Audit au Maroc
La fonction de l'Audit au MarocLa fonction de l'Audit au Maroc
La fonction de l'Audit au Maroc
 
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...
Préparation certification CIA:  introduction à l'audit interne par EL MOUDEN ...Préparation certification CIA:  introduction à l'audit interne par EL MOUDEN ...
Préparation certification CIA: introduction à l'audit interne par EL MOUDEN ...
 
audit_financier_et_comptable.ppt
audit_financier_et_comptable.pptaudit_financier_et_comptable.ppt
audit_financier_et_comptable.ppt
 
Responsable qualite 10
Responsable qualite 10Responsable qualite 10
Responsable qualite 10
 
07 préparer le pmp management des risques
07 préparer le pmp   management des risques07 préparer le pmp   management des risques
07 préparer le pmp management des risques
 
Audit comptable et financier externe : Focus sur la phase de l'orientation et...
Audit comptable et financier externe : Focus sur la phase de l'orientation et...Audit comptable et financier externe : Focus sur la phase de l'orientation et...
Audit comptable et financier externe : Focus sur la phase de l'orientation et...
 
PMI Montréal, Symposium 2010 10 Novembre 2010
PMI Montréal, Symposium 2010 10 Novembre 2010PMI Montréal, Symposium 2010 10 Novembre 2010
PMI Montréal, Symposium 2010 10 Novembre 2010
 
Cm6.09 part2 pilotage_projet ing
Cm6.09 part2 pilotage_projet ingCm6.09 part2 pilotage_projet ing
Cm6.09 part2 pilotage_projet ing
 
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7  audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...7  audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
7 audit-interne_une_pratique_au_service_de_la_dynamique_qualite_-_pr_p-_tria...
 

Plus de ColloqueRISQ

Blockchain Technologies : Landscape and Future Directions
Blockchain Technologies : Landscape and Future DirectionsBlockchain Technologies : Landscape and Future Directions
Blockchain Technologies : Landscape and Future DirectionsColloqueRISQ
 
Béluga : un super-ordinateur pour la science de demain
Béluga : un super-ordinateur pour la science de demainBéluga : un super-ordinateur pour la science de demain
Béluga : un super-ordinateur pour la science de demainColloqueRISQ
 
Why SD-WAN as it Moves to Mainstream Adoption?
Why SD-WAN as it Moves to Mainstream Adoption?Why SD-WAN as it Moves to Mainstream Adoption?
Why SD-WAN as it Moves to Mainstream Adoption?ColloqueRISQ
 
La révolution 5G et le projet ENCQOR
La révolution 5G et le projet ENCQORLa révolution 5G et le projet ENCQOR
La révolution 5G et le projet ENCQORColloqueRISQ
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!ColloqueRISQ
 
Votre meilleure protection est un internet canadien
Votre meilleure protection est un internet canadienVotre meilleure protection est un internet canadien
Votre meilleure protection est un internet canadienColloqueRISQ
 
Office 365 : Sécuritaire?
Office 365 : Sécuritaire?Office 365 : Sécuritaire?
Office 365 : Sécuritaire?ColloqueRISQ
 
What Nature Can Tell Us About IoT Security at Scale
What Nature Can Tell Us About IoT Security at ScaleWhat Nature Can Tell Us About IoT Security at Scale
What Nature Can Tell Us About IoT Security at ScaleColloqueRISQ
 
The Power of the NREN
The Power of the NRENThe Power of the NREN
The Power of the NRENColloqueRISQ
 
L’hyperconvergence au cœur du Software-defined data center
L’hyperconvergence au cœur du Software-defined data centerL’hyperconvergence au cœur du Software-defined data center
L’hyperconvergence au cœur du Software-defined data centerColloqueRISQ
 
Plus de darkweb, moins de problèmes pour les pirates informatiques?
Plus de darkweb, moins de problèmes pour les pirates informatiques?Plus de darkweb, moins de problèmes pour les pirates informatiques?
Plus de darkweb, moins de problèmes pour les pirates informatiques?ColloqueRISQ
 
L'humain dans la cybersécurité - Problèmes et réflexions
L'humain dans la cybersécurité - Problèmes et réflexionsL'humain dans la cybersécurité - Problèmes et réflexions
L'humain dans la cybersécurité - Problèmes et réflexionsColloqueRISQ
 
L'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéL'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéColloqueRISQ
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurColloqueRISQ
 
Threat Landscape for Education
Threat Landscape for EducationThreat Landscape for Education
Threat Landscape for EducationColloqueRISQ
 
Comment sécuriser les centres de données virtuels ou infonuagiques avec NSX
Comment sécuriser les centres de données virtuels ou infonuagiques avec NSXComment sécuriser les centres de données virtuels ou infonuagiques avec NSX
Comment sécuriser les centres de données virtuels ou infonuagiques avec NSXColloqueRISQ
 
Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)ColloqueRISQ
 
The 2018 Threat Landscape
The 2018 Threat LandscapeThe 2018 Threat Landscape
The 2018 Threat LandscapeColloqueRISQ
 
Cybersecurity Through Collaboration
Cybersecurity Through CollaborationCybersecurity Through Collaboration
Cybersecurity Through CollaborationColloqueRISQ
 
Prévention et détection des mouvements latéraux
Prévention et détection des mouvements latérauxPrévention et détection des mouvements latéraux
Prévention et détection des mouvements latérauxColloqueRISQ
 

Plus de ColloqueRISQ (20)

Blockchain Technologies : Landscape and Future Directions
Blockchain Technologies : Landscape and Future DirectionsBlockchain Technologies : Landscape and Future Directions
Blockchain Technologies : Landscape and Future Directions
 
Béluga : un super-ordinateur pour la science de demain
Béluga : un super-ordinateur pour la science de demainBéluga : un super-ordinateur pour la science de demain
Béluga : un super-ordinateur pour la science de demain
 
Why SD-WAN as it Moves to Mainstream Adoption?
Why SD-WAN as it Moves to Mainstream Adoption?Why SD-WAN as it Moves to Mainstream Adoption?
Why SD-WAN as it Moves to Mainstream Adoption?
 
La révolution 5G et le projet ENCQOR
La révolution 5G et le projet ENCQORLa révolution 5G et le projet ENCQOR
La révolution 5G et le projet ENCQOR
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
 
Votre meilleure protection est un internet canadien
Votre meilleure protection est un internet canadienVotre meilleure protection est un internet canadien
Votre meilleure protection est un internet canadien
 
Office 365 : Sécuritaire?
Office 365 : Sécuritaire?Office 365 : Sécuritaire?
Office 365 : Sécuritaire?
 
What Nature Can Tell Us About IoT Security at Scale
What Nature Can Tell Us About IoT Security at ScaleWhat Nature Can Tell Us About IoT Security at Scale
What Nature Can Tell Us About IoT Security at Scale
 
The Power of the NREN
The Power of the NRENThe Power of the NREN
The Power of the NREN
 
L’hyperconvergence au cœur du Software-defined data center
L’hyperconvergence au cœur du Software-defined data centerL’hyperconvergence au cœur du Software-defined data center
L’hyperconvergence au cœur du Software-defined data center
 
Plus de darkweb, moins de problèmes pour les pirates informatiques?
Plus de darkweb, moins de problèmes pour les pirates informatiques?Plus de darkweb, moins de problèmes pour les pirates informatiques?
Plus de darkweb, moins de problèmes pour les pirates informatiques?
 
L'humain dans la cybersécurité - Problèmes et réflexions
L'humain dans la cybersécurité - Problèmes et réflexionsL'humain dans la cybersécurité - Problèmes et réflexions
L'humain dans la cybersécurité - Problèmes et réflexions
 
L'internet des objets et la cybersécurité
L'internet des objets et la cybersécuritéL'internet des objets et la cybersécurité
L'internet des objets et la cybersécurité
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeur
 
Threat Landscape for Education
Threat Landscape for EducationThreat Landscape for Education
Threat Landscape for Education
 
Comment sécuriser les centres de données virtuels ou infonuagiques avec NSX
Comment sécuriser les centres de données virtuels ou infonuagiques avec NSXComment sécuriser les centres de données virtuels ou infonuagiques avec NSX
Comment sécuriser les centres de données virtuels ou infonuagiques avec NSX
 
Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)Sécuriser votre environnement de l'Internet des objets (IoT)
Sécuriser votre environnement de l'Internet des objets (IoT)
 
The 2018 Threat Landscape
The 2018 Threat LandscapeThe 2018 Threat Landscape
The 2018 Threat Landscape
 
Cybersecurity Through Collaboration
Cybersecurity Through CollaborationCybersecurity Through Collaboration
Cybersecurity Through Collaboration
 
Prévention et détection des mouvements latéraux
Prévention et détection des mouvements latérauxPrévention et détection des mouvements latéraux
Prévention et détection des mouvements latéraux
 

Audit 101 - Un guide de survie

  • 1. Colloque du risq 2018 – Audit 101- Guide de survie à un audit de sécurité Hugo Dominguez, MSc, CISA Directeur de la sécurité et des infrastructures informatiques Université McGill
  • 2. Agenda • Perceptions • Type d’audit • Les acteurs • Le processus • Le défi et stratégies de survie
  • 4. Le contexte • Audit dans un contexte de vérification externe des états financiers • Audit dans un contexte de vérification interne • Audit mandaté par la direction • Audit mandaté par le service des TI • Audit de conformité des licenses*
  • 5. Les acteurs • Comité de direction / Conseil d’administration • Administrateur • Comité d’audit • Auditeur externe • Auditeur interne • Le vérifié
  • 6. Les acteurs • Comité de direction / Conseil d’administration – S’assurer du respect et de la réalisation de la mission – S’assurer du respect des lois applicables – Gérer les affaires financières – Gérer la pérennité des actifs de l’entreprise This Phoo by Unknown Author is licensed under CC BY-SA-NC
  • 7. Les acteurs • Administrateur – Gérer les affaires avec soin et précaution et prendre des mesures raisonnables pour gérer les risques auxquels l’organisme peut faire face. – Fournir leur expertise dans un domaine particulier et s’adjoindre l’aide externe auprès d’experts au besoin – Mettre leurs intérêts personnels de côté lorsqu’ils prennent des décisions. – S’assurer du respect de toutes les lois applicables aux activités qu’il exerce. – S’assurer que l’organisme respecte toutes les règles internes qu’il a créées pour lui-même. This Phoo by Unknown Author is licensed under CC BY-SA-NC
  • 8. Les acteurs • Comité d’audit – Aider le CA dans la surveillance relatives à la qualité et l’intégrité de l’information financière – Relève du Conseil et a un pouvoir de recommandations – Il exerce un rôle de vigie sur les affaires financières – Responsable de la surveillance des activités d’audit externe, du contrôle interne, de la gestion des risques et de la sécurité de l’information – Surveillance de la sécurité de l’information • Réviser l’identification et l’évaluation des risques liés à la sécurité de l’information effectuée par la direction • Examiner les mesures d’atténuation des risques liés à la sécurité de l’information mises en place par la direction et s’assurer de leur efficacité • Veiller au respect de la politique de sécurité de l’information de l’Ordre et s’assurer de la mise en œuvre du système de gestion de la sécurité de l’information (SGSI) .
  • 9. Les acteurs • Auditeur interne / externe – Contrôles vs Sécurité – Comptabilité vs Informatique – Meilleures pratiques vs Vulnérabilités – Rôle par rapport à l’évaluation Contrôle… mon prééécieux
  • 10. Les acteurs • Le vérifié – Gestion des risques – Sécurité vs Contrôles vs Efficacité opérationnelle – Gestion du portfolio de projet – Contraintes – …
  • 11. Le processus Définiton de la portée Selon l’objectif du donneur d’ouvrage Audit Selon une méthodologie / référentiel Cibler sur la portée Validation des recommandations Auditeur valide ses recommandations (observation, risque, effort (parfois), recommendation (à précision variable) Demande des commentaires des administrateurs Recommandations Présentée au donneur d’ouvrage et/ou le groupe imputable Plan d’action À exécuter par le vérifié ou les administrateurs
  • 12. Défi et stratégie de survies
  • 13. Votre capacité d’influence… Définiton de la portée Selon l’objectif du donneur d’ouvrage Audit Selon une méthodologie / référentiel Cibler sur la portée Validation des recommandations Auditeur valide ses recommandations (observation, risque, effort (parfois), recommendation (à précision variable) Demande des commentaires des administrateurs Recommandations Présentée au donneur d’ouvrage et/ou le groupe imputable Plan d’action À exécuter par le vérifié ou les administrateurs
  • 14. Guide de survie • Influencer la portée dans les situations suivantes: – Vous êtes le donneur d’ouvrage (attention avoir des audits parfait n’aident personne) – Vous avez une relation avec la vérification interne et les appuyer dans la définition de la portée – Pour le reste… hope for the best
  • 15. Guide de survie • Durant l’audit: – Raccrocher vous à la portée pour contrôler l’envergure des travaux – Utiliser le vérificateur avec prudence en matière de suggestions
  • 16. Guide de survie • À la phase des recommandations / plan d’action: – Fournissez vos commentaires sur la véracité de l’observation ou modulez-la – Votre plan d’action n’a pas à éliminer le risque, vous pouvez le réduire – Essayez minimalement de vous conformer à vos normes internes
  • 17. Votre capacité d’influence… Définiton de la portée Selon l’objectif du donneur d’ouvrage Audit Selon une méthodologie / référentiel Cibler sur la portée Validation des recommandations Auditeur valide ses recommandations (observation, risque, effort (parfois), recommendation (à précision variable) Demande des commentaires des administrateurs Recommandations Présentée au donneur d’ouvrage et/ou le groupe imputable Plan d’action À exécuter par le vérifié ou les administrateurs Développer un processus d’évaluation et de gestion des risques auquel adhere la direction et le CA pour moduler les recommandations
  • 18. Guide de survie • Un processus interne de gestion des risques avec une adhesion de la direction est la clé essentielle, le risque 0 n’existe pas. • Documentez des normes et des guides auxquels vous pouvez vous conformer • La réduction des risques peut être constituée de contrôles de prevention et/ou de détection • Associer des demandes budgétaires aux recommandations (répondre en disant que vous ferez les demandes budgétaires)… à l’impossible nul n’est tenu • Si vous avez été sages, demandez un bon vérificateurs raisonnables au Père Noël, ça existe mais il faut avoir été très très sage…
  • 19. Guide de survie Menaces Risque Risque Risque Risque Vulnérabilités Contextualisées Contexte organisationnel Vulnérabilités Vulnérabilités Stratégie de traitement de risque Transfert du contrôle ou de la gestion du risque Risque résiduel Inacceptable

Notes de l'éditeur

  1. Gérer les affaires avec soin et précaution. Cela veut dire qu’ils doivent demeurer attentifs, s’efforcer à exercer un bon jugement et prendre des mesures raisonnables pour gérer les risques auxquels l’organisme peut faire face. Les administrateurs n’ont pas à être des experts, à moins qu’ils aient été choisis à cause de leur expertise dans un domaine particulier. Si les administrateurs sont confrontés à des situations qui dépassent leurs connaissances, ils doivent chercher de l’aide externe auprès d’experts. Les administrateurs doivent mettre leurs intérêts personnels de côté lorsqu’ils prennent des décisions. Les administrateurs doivent s’assurer du respect de toutes les lois applicables aux activités qu’il exerce. Les administrateurs doivent s’assurer que l’organisme respecte toutes les règles internes qu’il a créées pour lui-même.