SlideShare une entreprise Scribd logo

Audit Des Systemes d_Information.pdf

T
TAFEMBLANC

Démarche d'audit des SI

Économie & finance
1  sur  93
Télécharger pour lire hors ligne
MASNAOUI 1 Journée de Réflexion sur l’Audit ENCG Agadir, le 1 Mars 2003 Démarche d ’audit des Systèmes d ’information Nabil BAYAHYA, Directeur Associé Masnaoui Mazars
MASNAOUI 2 Plan de la présentation 1. Notions de base des de l ’audit des SI 2. Présentation de 3 domaines d ’Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Sécurité 3. Conduite d ’une mission d ’audit
MASNAOUI 3 Contexte des SI dans l ’entreprise Les systèmes d ’information ont évolué depuis les années 70 pour s ’octroyer une importance cruciale dans la vie des entreprises en tant que : Support à l ’outil de production qui contribue à la réalisation de l ’objet de l ’entreprise (système de facturation, encaissement, trésorerie, comptabilité, GPAO, GMAO ….) Référentiel du patrimoine de l ’entreprise et de son savoir faire (fichier clients, processus de gestion, KM ... ) Moyen de renforcement du contrôle et de maîtrise des processus de gestion (contrôle informatique, workflow) … . Ces constats génèrent un niveau de dépendance de l ’entreprise vis à vis de son système d ’information
MASNAOUI 4 Risques informatiques Contexte des SI dans l ’entreprise Certes, le niveau d ’intégration du SI dans les processus de gestion de l ’entreprise présente un réel tremplin pour sa croissance et son développement ... …mais, une telle intégration présente d ’inhérents risques de vulnérabilité de l ’entreprise Inadéquation au processus de gestion Non conformité aux dispositions légales Absence d ’information décisionnel le Inefficience du Contrôle Manque d ’évolutivité de l ’architecture informatique Accès non autorisés Augmentatio n des coûts informatique s Manque de Fiabilité des traitements et des données Continuité d ’exploitation de l ’entreprise ... Inefficience de la politique de sécurité Absence de compétences qualifiées
MASNAOUI 5 Préoccupations des directions générales Le système d ’information de l ’entreprise contribue-t-il à améliorer sa profitabilité ? Comment mesurer les bénéfices liés aux investissements informatiques ? La stratégie informatique est-elle conforme à la stratégie de l ’entreprise ? Peut-on diminuer les coûts des fonctions administratives en dépensant plus en informatique ? Les données produites par les applications informatiques permettent-elles de prendre des décisions efficaces ? Les applications fournissent des informations exactes, exhaustives, authentiques ? Le système informatique est-il suffisamment protégé contre les accidents, les malveillances et les erreurs ? ...
MASNAOUI 6 Problématiques du Système d ’information Les problématiques du système d ’information se manifestent tout le long de son cycle de vie selon une approche itérative: Choix et orientation du système d ’information Mise en œuvre et développement du SI Exploitation du SI Quelle adéquation avec les orientations stratégiques et le plan de développement du SI ? Comment faire évoluer le SI actuel vers le SI cible ? Quels choix technologiques retenir ? Quelle organisation pour le pilotage des projets informatiques ? …. Quelle adéquation avec les orientations stratégiques et le plan de développement du SI ? Comment faire évoluer le SI actuel vers le SI cible ? Quels choix technologiques retenir ? Quelle organisation pour le pilotage des projets informatiques ? …. Quelle adéquation entre les applications en exploitation et les besoins des utilisateurs Quelles sont les mesures de contrôles et de sécurité prises en compte dans les applications informatiques Quelles sont les procédures d ’exploitation du SI ... Quelle adéquation entre les applications en exploitation et les besoins des utilisateurs Quelles sont les mesures de contrôles et de sécurité prises en compte dans les applications informatiques Quelles sont les procédures d ’exploitation du SI ... Quelle choix pour la mise en œuvre du plan de développement du SI : Choix de progiciel, développement spécifique, solutions interfacées Quelle démarche de conduite de projet informatiques Quelle organisation et compétences pour la conduite des projets informatiques ... Quelle choix pour la mise en œuvre du plan de développement du SI : Choix de progiciel, développement spécifique, solutions interfacées Quelle démarche de conduite de projet informatiques Quelle organisation et compétences pour la conduite des projets informatiques ...
MASNAOUI 7 Périmètre des missions d ’audit des systèmes d’information REVUE DES CONTRÖLES GENERAUX INFORMATIQUES A UDIT : A PPLICATIONS I NFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION A UDIT : A LIGNEMENT S TRATEGIQUE A UDIT : F ONCTION I NFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développement du SI A UDIT : P ROJETS I NFORMATIQUES A UDIT : Sécurité et Réseaux Exploitation du SI
MASNAOUI 8 Démarche d ’audit • Objectif : S ’assurer que tout se passe bien conformément aux règles et aux usages professionnels Pour toutes les faiblesses importantes détectées, évaluer et justifier les risques, et Proposer des actions correctives • Moyens Observer, analyser et juger des faits Evaluer l ’adéquation et le fonctionnement des activités par comparaison avec un référentiel Appliquer des démarches cohérentes • Domaines Toutes les fonctions de l ’entreprise peuvent être auditées
MASNAOUI 9 Ne pas confondre audit, expertise et conseil Audit – Démarche de généraliste – Collecte de faits – Analyse de processus – Recommandations Expertise – Spécialiste d ’un domaine – Approche technique – Mesures de performances – Recherche de solutions Conseil – Connaissance d ’un domaine – Approche généraliste – Axes d ’amélioration – Pilotage du changement
MASNAOUI 10 Trois grands types d ’audits L ’audit de conformité (audit de régularité) – Vérification de l ’existence de normes – La direction générale fixe des règles et des procédures – S ’assurer qu ’elles sont effectivement appliquées – Comparaison par rapport à un référentiel L ’audit d ’efficacité (audit de progrès) – Appréciation de la qualité des règles et des procédures par rapport aux objectifs – Vérification de l ’impact de ces règles – Recommandation d ’améliorations – Etablir un plan d ’action
MASNAOUI 11 Trois grands types d ’audits L ’audit d ’efficience (audit économique) – Analyser les moyens affectés aux opérations – Apprécier l ’utilisation des ressources – Proposer des moyens d ’optimiser ces moyens Attitude réservée face aux audits sanctions
MASNAOUI 12 Quelques Référentiels de l ’audit des Systèmes d ’information COBIT (Contrôle Objectives for Information and related Technology) – Etablis par l ’ISACA (Information Systems Audit and Control Assiociation) – Traduit et diffusé par l ’AFAI (Association française de l’audit et du conseil informatique) SAC Report (Contrôle et audit du système d ’information) – Etablis par IAA – Traduit et diffusé par l ’IFACI, IAI Le référentiel ne fait pas l ’auditeur... mais il peut l ’aider
MASNAOUI 13 1. Notions de base de l ’audit des SI 2. Présentation de 3 domaines d ’Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Sécurité 3. Conduite d ’une mission d ’audit
MASNAOUI 14 Audit de la fonction informatique • Plan Questions usuelles de la direction générale concernant la fonction informatique Positionnement et structure de la fonction informatique Les bonnes pratiques concernant la fonction informatique Les points de contrôles Exemples de mission d ’audit
MASNAOUI 15 Audit de la fonction informatique • Questions usuelles de la direction générale Est-ce que les utilisateurs sont satisfaits des prestations informatiques ? Est-ce que l ’informatique perturbe vraiment le fonctionnement des services ? Est-ce que l ’informatique est correctement pilotée ? Y-a-t il un comité de direction chargé de l ’informatique ? Quel doit être le positionnement du responsable informatique ? Combien ça coûte réellement ? Et combien ça rapporte ? Faut-il décentraliser l ’informatique dans les unités ? Que doit- on garder en central ? Comment piloter de manière efficace les projets informatiques ? Est-ce que les personnes travaillant au sein du service informatique sont compétences ?
MASNAOUI 16 Audit de la fonction informatique • Positionnement et structure de la fonction informatique Le comité de planification ou de pilotage de l ’informatique Position des services informatiques dans l ’organisation & Séparation des tâches Intervention de l ’informatique dans l ’organisation et les processus Responsabilité de l ’assurance qualité Responsable de la sécurité Propriété des données et des applications Gestion du personnel informatique et des sous-traitants
MASNAOUI 17 Audit de la fonction informatique • Les bonnes pratiques concernant la fonction informatique Les relations entre la direction générale et les utilisateurs La clarté des structures et des responsabilités L ’existence de dispositifs de mesures Compétence et qualification du personnel
MASNAOUI 18 Audit de la fonction informatique • Les relations entre la direction générale et les utilisateurs La mission de la direction informatique doit être clairement définie et un document écrit doit la décrire. Les objectifs et les règles de fonctionnement de l ’informatique doivent être connus des décideurs et des utilisateurs. Un comité de direction doit prendre des décisions concernant l ’informatique et des comptes-rendus doivent être publiés. La direction de la fonction informatique doit périodiquement faire réviser les plans concernant l ’informatique
MASNAOUI 19 Audit de la fonction informatique • La clarté des structures et des responsabilités Les responsables opérationnels doivent avoir une relation de partenariat avec la fonction informatique La fonction informatique doit avoir la responsabilité de l ’architecture du système informatique La fonction informatique doit avoir la responsabilité de l ’assurance qualité du système informatique La fonction informatique doit avoir la responsabilité de la sécurité physique et logique des actifs informationnels
MASNAOUI 20 Audit de la fonction informatique • L ’existence de dispositifs de mesures C ’est un vaste programme Un suivi économique est nécessaire mais n ’est pas suffisant. Généralement c ’est un suivi budgétaire mais cela peut être aussi un mécanisme de refacturation Il faut que l ’informatique rend des comptes aux différents partenaires de l ’informatique. Mais la réalité montre que ce n ’est pas facile à faire et on parle souvent du « manque de transparence de l ’informatique ».
MASNAOUI 21 Audit de la fonction informatique • L ’existence de dispositifs de mesures Il est nécessaire de mieux communiquer sur les objectifs, les politiques mises en oeuvre, les ressources affectées et leur utilisation Et surtout il est nécessaire de contrôler l ’activité informatique : gestion de projet, CAE, gestion des investissements,...
MASNAOUI 22 Audit de la fonction informatique • Compétences et qualification du personnel Les besoins en personnel informatiques doivent périodiquement être évalués (au moins une fois par an). Une supervision effective du personnel informatique doit être faite notamment pour juger s ’il dispose des moyens pour faire son travail et s ’il est performant. Tous les postes doivent disposer d ’une description de poste mettant en avant les compétences et l ’expérience nécessaire. Il doit exister une claire séparation des tâches notamment entre la maintenance des applications et l ’exploitation.
MASNAOUI 23 Audit de la fonction informatique • Compétences et qualification du personnel Le personnel clé doit être identifié Le personnel sous contrat doit faire l ’objet d ’un contrôle particulier notamment pour s ’assurer que les actifs informationnels sont garantis.
MASNAOUI 24 Audit de la fonction informatique • Les points de contrôles Rôle des directions dans le système d ’information Existence de politique, de normes et de procédures Responsabilité du service informatique : relations maîtrise d ’oeuvre-maîtrise d ’ouvrage Existence de dispositifs de contrôle interne
MASNAOUI 25 Audit de la fonction informatique • Rôle des directions dans le système d ’information Il doit exister un comité informatique Il peut avoir différents noms : commission informatique, comité de pilotage,... Il est rattaché au directeur général Les principaux décideurs de l ’entreprise doivent y participer Il doit se réunir régulièrement L ’essentiel des orientations informatiques doit être débattu au sein de ce comité
MASNAOUI 26 Audit de la fonction informatique • Rôle des directions dans le système d ’information Un suivi régulier du schéma directeur doit être fait Etudier le positionnement de ce comité dans la structure de l ’entreprise Examiner les comptes-rendus de ce comité sur un an. Rencontrer quelques membres du comité.
MASNAOUI 27 Audit de la fonction informatique • Responsabilité du service informatique (relations maîtrise d ’oeuvre-maîtrise d ’ouvrage) Les responsabilités du service informatique doivent être clairement définies La position du service informatique dans l ’organigramme de l ’entreprise doit être claire. Le service informatique doit avoir une autorité suffisante pour faire appliquer les mesures nécessaires pour atteindre les objectifs qui lui ont été fixés.
MASNAOUI 28 Audit de la fonction informatique • Responsabilité du service informatique (relations maîtrise d ’oeuvre-maîtrise d ’ouvrage) Examiner les différents documents pour apprécier la clarté des définitions des responsabilités Interroger différents responsables pour apprécier leur degré de connaissance des responsabilités respectives Vérifier le respect de la séparation des tâches
MASNAOUI 29 Audit de la fonction informatique • Existence de dispositifs de contrôle interne On doit disposer d ’une stratégie formalisée du développement du système d ’information Les facteurs de risques doivent être repérés Des priorités doivent être fixées de manière claire Les choix doivent être faits en tenant compte des enjeux économiques Mesurer leur impact sur les performances de l ’entreprise Examiner les principales procédures de l ’entreprise et apprécier l ’impact de l ’informatique
MASNAOUI 30 Audit de la fonction informatique • Existence de dispositifs de contrôle interne Analyser les missions des auditeurs internes et externes et leurs impacts Evaluer l ’impact des procédures de l ’assurance qualité • Exemples de mission d ’audit Evaluation de l ’efficacité d ’un service informatique Audit de la procédure de suivi des coûts informatiques
MASNAOUI 31 Audit de la fonction informatique • Evaluation de l ’efficacité d ’un service informatique La direction générale a des doutes sur l ’efficacité de son service informatique En fait elle a des doutes sur les compétences du responsable informatique Effectivement le responsable a du mal à faire son travail dans de bonnes conditions Peu de contact avec la direction générale Mauvaises relations avec les utilisateurs
MASNAOUI 32 Audit de la fonction informatique • Evaluation de l ’efficacité d ’un service informatique Mise en place d ’un comité de direction trimestriel consacré à l ’informatique Redéfinition du rattachement hiérarchique Rédaction des principales politiques, procédures et normes à appliquer.
MASNAOUI 33 Audit de la fonction informatique • Audit de la procédure de suivi des coûts informatiques Il existe une comptabilité analytique permettant de suivre les coûts informatiques Les résultats de cette comptabilité sont contestés par les principaux décideurs L ’analyse de la méthode montre qu’elle est globalement bonne Ses résultats montre bien les problèmes qui se posent et notamment les erreurs qui sont commises Par contre cette CAE peut être simplifiée et améliorée
MASNAOUI 34 Audit de la fonction informatique • Audit de la procédure de suivi des coûts informatiques Rédiger chaque mois une note d ’analyse des coûts informatiques Simplifier les traitements les plus délicats Réduire le coût des opérations anormalement coûteuses
MASNAOUI 35 Audit de la fonction informatique • Exemple de mission d ’audit : Evaluation de l ’efficacité d ’un service informatique La DG a des doutes sur l ’efficacité de son service informatique En fait elle a des doutes sur les compétences du DSI Effectivement le responsable a du mal à faire son travail dans de bonnes conditions Peu de contact avec la DG Mauvaises relations avec les utilisateurs Mise en place d ’un comité de direction trimestriel consacré au SI Redéfinition du rattachement hiérarchique Rédaction des principales politiques, procédures et normes à appliquer.
MASNAOUI 36 1. Notions de base de l ’audit des SI 2. Présentation de 3 domaines d ’Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Sécurité 3. Conduite d ’une mission d ’audit
MASNAOUI 37 Audit des projets • Plan La notion de projet Particularités des projets informatiques Tenir les délais et les budgets Evaluation des risques liés aux projets Les bonnes pratiques concernant les projets informatiques Les points de contrôles Exemples de mission d ’audit
MASNAOUI 38 Audit des projets • La notion de projet Un projet c ’est d ’abord une équipe C ’est ensuite un délai – Une date de début – Une date de fin C ’est aussi une organisation spécifique Et, bien entendu, un budget particulier Rôle clé du chef de projet dans la réussite du projet C ’est une activité voisine de celle du : – Bâtiment – Ingénierie
MASNAOUI 39 Audit des projets • Particularités des projets informatiques Le pilotage des projets informatiques est une opération délicate – Dérapage sur les délais – Dérive fréquente des coûts – Nécessité de mettre en place un pilotage rigoureux La qualité des applications informatiques – Difficulté de valider la qualité d ’une application – Aspect subjectif de la qualité – Nécessité de mettre en place des procédures de certification de la qualité
MASNAOUI 40 Audit des projets • Tenir les délais et les budgets Gestion de projet : – Découper – Evaluer – Planifier – Animer – Suivre – Ajuster Découpage du projet en étape : – Conception générale – Conception détaillée – Développement – Test – Installation et déploiement – Bilan
MASNAOUI 41 Audit des projets • Mettre en place un système de pilotage efficace Un découpage en phase Un livrable à la fin de chaque phase Pilotage des phases : – Valider les résultats en fin de phase – Valider les objectifs de la phase suivante – Informer le comité de pilotage Procédure d ’assurance qualité : – Normes et standards – Contrôles – Conseils
MASNAOUI 42 Audit des projets • Evaluation des risques liés aux projets Efficacité de l ’organisation de la fonction d ’études : – Système de management – Gestion des ressources – Productivité des études – Formation Sur un ensemble de projets rechercher les causes de dérapages : – Les fonctions livrées – Les coûts – Les délais Efficacité de la méthode de conduite des projets : – La gestion de projet – Le processus de développement – L ’assurance qualité – Le système de pilotage
MASNAOUI 43 Audit des projets • Les bonnes pratiques concernant les projets informatiques Le respect des phases du projet Existence d ’une méthodologie de conduite de projets Conformité des projets aux objectifs généraux de l ’informatique et à ceux de l ’entreprise Qualité des études amonts : expression des besoins, cahier des charges Importance des tests, notamment des tests utilisateurs
MASNAOUI 44 Audit des projets • Les points de contrôles Audit du processus de développement Existence de processus, de méthodes et de standards Vérification de l ’application de la méthodologie Analyse des causes d’échecs de projet Adéquation des fonctions aux besoins des utilisateurs
MASNAOUI 45 Audit des projets • Exemple de mission d ’audit : Audit d ’un grand projet à la fin du cahier des charges Les équipes de MOE et MOA ont fini de rédiger le cahier de charges La direction s ’interroge sur le document ainsi produit L ’analyse du document montre qu’il est très complet Par contre, le projet sera très lourd et très complexe à développer Et l ’application risque de poser des problèmes de performances (accès aux bases de données) Réaliser un benchmark du système d ’interrogation d ’une transaction simple Limiter l ’intégration des fonctions Planifier la mise en place de versions successives
MASNAOUI 46 Audit des projets • Audit d ’un projet en RAD On a développé un projet vital pour l ’entreprise à l ’aide d ’une approche RAD, Rapid Application Developpement Après la mise en place réussite d ’une partie du système, le projet s ’enlise La méthode RAD permet de mettre en place rapidement une application (3mois) Par contre il faut que les utilisateurs et les informaticiens soient réellement disponibles L ’équipe mixte sature Segmenter le projet en plusieurs sous-projets Confier chaque sous-projet à une équipe différente Réaliser la partie centrale du projet de manière classique
MASNAOUI 47 1. Notions de base de l ’audit des SI 2. Présentation de 3 domaines d ’Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Sécurité 3. Conduite d ’une mission d ’audit
MASNAOUI 48 Audit de la sécurité • Plan Existence de risques importants liés aux systèmes d ’information Quatre notions fondamentales Les facteurs de limitation des risques Les bonnes pratiques concernant la sécurité Les points de contrôle Exemples de missions d ’audit
MASNAOUI 49 Audit de la sécurité • Existence de risques importants liés aux systèmes d ’information Il existe en informatique des risques importants liés à la nature même de cette activité Existence d ’un patrimoine important en matériel informatique (vol, dégradation,..) et logiciel (piratage) Importance de la valeur des données stockées et des traitements effectuées Niveau de risques importants pour l ’entreprise Il est nécessaire de mettre en place une organisation adaptée avec des outils, des hommes et des méthodes Il doit exister une politique au niveau de l ’entreprise (sécurité physique et sécurité logique) Il est nécessaire qu’il existe un responsable de la sécurité informatique
MASNAOUI 50 Audit de la sécurité • Quatre notions fondamentales La menace Le facteur de risque La manifestation du risque La maîtrise du risque
MASNAOUI 51 Audit de la sécurité • La menace Il existe de nombreuses menaces dans le domaine de l ’informatique : – Les erreurs – Les malveillances – Les accidents – .... Elles concernent : – Les biens matériels ” Les bâtiments ” Le réseau ” Les équipements informatiques
MASNAOUI 52 Audit de la sécurité • La menace – Les biens immatériels ” des logiciels (de base, applications,...) ” des données de gestion ” des ressources humaines
MASNAOUI 53 Audit de la sécurité • Le facteur de risque Un facteur de risque est une cause de vulnérabilité due à une faiblesse de l ’organisation, des méthodes, des techniques des outils ou du système de contrôle Les risques informatiques peuvent être accrus de différentes manière : – Absence de politique informatique – Faible participation des utilisateurs – Méthodes inadaptées aux objectifs – Obsolescence des techniques utilisées – Compétences insuffisantes – Faiblesse des processus de gestion – ... La médiocrité du management informatique est un facteur accroissant le niveau de risque
MASNAOUI 54 Audit de la sécurité • La manifestation du risque La destruction physique du centre de calcul (incendie, inondation,...) est spectaculaire mais en fait peu fréquente Le vrai risque est invisible Il se manifeste de différentes manières : – Pénétration du réseau par des intrus – Vols d ’informations – Concurrence faussée – Falsification des données – ... L ’entreprise victime d ’un concurrent risque de ne s ’en apercevoir que lorsqu’elle va perdre des marchés et des clients sans savoir pourquoi
MASNAOUI 55 Audit de la sécurité • La maîtrise du risque Méthodes pour identifier les risques en terme de menace ou de facteurs de risques (Marion) Identification des parades La sécurité physique – Contrôle d ’accès aux locaux – Protection incendie – ... La sécurité logique – Contrôle d ’accès aux systèmes, aux programmes, aux données – .... Importance du plan de secours permettant de faire face à la disparition totale ou partielle du système d ’information
MASNAOUI 56 Audit de la sécurité • Les facteurs de limitation des risques les bonnes pratiques concernant la sécurité sont : Existence d ’une politique du système d ’information Implication des utilisateurs Méthodes de travail et outils adaptés aux objectifs La compétence du personnel Outil de gestion efficace
MASNAOUI 57 Audit de la sécurité • Existence d ’une politique du système d ’information Une des meilleures protection contre les risques liés à la faiblesse de la sécurité repose sur la politique du système d ’information Les services informatiques ayant une vision globale de leur démarche sont les mieux protégés que les autres Cette politique doit notamment préciser les responsabilités des différents intervenants sur les systèmes informatiques Il est en particulier très important de savoir ce qui est sous la responsabilité des informaticiens et ce qui relève des utilisateurs
MASNAOUI 58 Audit de la sécurité • Implication des utilisateurs La meilleure protection du système d ’information est celle exercée par les utilisateurs Ils doivent surveiller leur matériel et la sécurité des locaux Ils contrôlent leurs données et leurs bases de données Ils veillent à ce que leurs données soient régulièrement sauvegardées Un système ainsi surveillé par ses utilisateurs est protégé contre tout la plupart des risques habituellement supportés
MASNAOUI 59 Audit de la sécurité • Méthodes de travail et outil adaptés aux objectifs Le meilleur moyen de limiter les risques liés à l ’insuffisance de sécurité et de dôter les services informatiques de méthodes de travail et des outils adaptés Ces méthodes de travail consistent à définir les tâches à effectuer et de définir de manière rationnelle l ’organisation du travail De même il est nécessaire de se doter d ’outils performants conformes aux objectifs recherchés Ainsi les personnes chargés de l ’exploitation doivent pouvoir surveiller facilement les utilisateurs présents sur le système Il est, en particulier, nécessaire de surveiller et d ’administrer le réseau
MASNAOUI 60 Audit de la sécurité • La compétence du personnel La sécurité du système d ’information dépend surtout de la compétence du personnel Plus il est compétent, plus il est à même d ’intervenir rapidement et efficacement pour limiter les risques Ceci concerne l ’exploitation mais aussi les études Il est en particulier nécessaire d ’intervenir rapidement en cas d ’incident sans prendre de risques excessifs La maintenance à la suite d ’un incident peut être l ’occasion d ’une succession de problèmes notamment si on supprime certains contrôles ou si on ne teste pas complètement les programmes modifiés
MASNAOUI 61 Audit de la sécurité • Outil de gestion efficace De même il est nécessaire que des dispositifs de gestion efficaces soient mises en place Ils ont pour but de repérer plus facilement les failles de la sécurité du système d ’information (postes de travail, réseaux, serveurs) Il est en effet important de s ’assurer que les risques potentiels sont rapidement repérés de façon qu ’ils soient corrigés le plus rapidement possible C ’est un aspect délicat car on manque d ’outil de gestion de ce type . L ’offre est en train d ’évoluer mais on ne dispose pas encore en standard, sur tous les systèmes d ’exploitation des outils de ce type.
MASNAOUI 62 Audit de la sécurité • Les points de contrôle Repérage des actifs de l ’entreprise Evaluation des menaces Mesurer les impacts Définition des parades
MASNAOUI 63 Audit de la sécurité • Repérage des actifs informationnels de l ’entreprise La base des contrôles est constituée par les inventaires physiques – Des matériels (postes de travail, serveurs,...) – Des logiciels – Des bases de données Dans la mesure du possible il faut chercher à avoir des contrôles fréquents de ces inventaires Il existe des logiciels permettant de repérer les postes de travail, les serveurs,.... Apprécier les procédures de mise à jour des inventaires Vérifier sur quelques unités la pertinence des inventaires
MASNAOUI 64 Audit de la sécurité • Evaluation des menaces Il ne sert à rien de se protéger contre des menaces qui n ’existent pas On cherche à repérer les parties du système d ’information qui sont les plus menacées Il est pour cela nécessaire de repérer : – Les disparitions ou les destructions de matériels – Les altérations de données ou de programmes – La divulgation d ’informations confidentielles S ’assurer qu’il existe un document permettant de repérer les menaces Analyser la pertinence des menaces repérer S ’assurer qu’on a bien repérer les menaces les plus sérieuses
MASNAOUI 65 Audit de la sécurité • Mesurer les impacts Identifier les types de menaces et les conséquences de ces incidents A partir des incidents recensés évaluer leur impact Etablir une cartographie du système d ’information et des risques associés Il est alors possible de construire un ou plusieurs scénarios d ’agression et d ’évaluer les points de vulnérabilité Apprécier l ’efficacité des dispositifs de sécurité en place Evaluer les impacts d ’incidents graves sur le fonctionnement de l ’entreprise et les conséquences patrimoniales
MASNAOUI 66 Audit de la sécurité • Définition des parades Face à chaque risque important il est nécessaire d ’identifier les parades possibles C ’est un moyen très efficace de diminuer le niveau des risques de l ’entreprise Type de parades possibles : – Prévention : identification à l ’accès – Dissuasion : piste d ’audit – Détection : contrôle d ’accès – Protection : plan de secours Mais la meilleure parade reste l ’audit Apprécier les différentes parades mises en oeuvre et leur impact sur le niveau de sécurité Evaluer les risques qui ne sont pas ou qui sont mal couverts
MASNAOUI 67 Audit de la sécurité • Exemples de missions d ’audit Audit de la sécurité d ’une application client-serveur Evaluation de la sécurité d ’un centre d ’exploitation
MASNAOUI 68 Audit de la sécurité • Audit de la sécurité d ’une application client-serveur La mise en place d ’une nouvelle application du type client- serveur fait apparaître différents incidents d ’exploitation L ’analyse montre qu’ils ne sont pas dus à des fragilités du logiciel de base mais au faible respect des consignes de sécurité L ’organisation de la sécurité laisse à désirer et notamment la politique des mots de passe n ’est pas respectée Définir une politique de gestion des mots de passe et la faire appliquer Mettre en place un logiciel de surveillance du réseau permettant de suivre les incidents Former le personnel à l ’application des consignes de sécurité
MASNAOUI 69 Audit de la sécurité • Evaluation de la sécurité d ’un centre d ’exploitation La direction générale demande d ’évaluer la politique de sécurité du service d ’exploitation Le service est doté d ’une politique de sécurité et elle est appliquée Les procédures en place sont efficaces Par contre les responsabilités ne sont pas clairement définies notamment en ce qui concerne la gestion des bases de données Définir de manière précise les responsabilités des utilisateurs Elargir le domaine d ’action du responsable de la sécurité Nommer un administrateur de bases de données
MASNAOUI 70 1. Notions de base de l ’audit des SI 2. Présentation de 3 domaines d ’Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Sécurité 3. Conduite d ’une mission d ’audit
MASNAOUI 71 Plan • Les 6 phases de la mission d’audit informatique Définition de la mission : Etablissement de la lettre de mission La planification de la mission La collecte des faits, la réalisation de tests,... Entretiens avec les audités Rédaction du rapport final, Présentation et discussion de ce rapport • Faut-il un rapport ? • Le rapport d’audit : la conception, la rédaction, la présentation • L’établissement des recommandations opérationnelles • Le suivi des recommandations • Comment améliorer la qualité de la démarche
MASNAOUI 72 Les six phases de la mission • L’audit informatique comme tout audit se fait en six phases : Définition de la mission : – Périmètre de la mission – Etablissement de la lettre de mission La planification de la mission La collecte des faits, la réalisation de tests,... Entretiens avec les audités Rédaction du rapport final, Présentation et discussion de ce rapport • La durée de chaque phase est variable selon la nature des questions et leur complexité
MASNAOUI 73 1 - Définition de la mission : Périmètre de la mission REVUE DES CONTRÖLES GENERAUX INFORMATIQUES A UDIT : A PPLICATIONS I NFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION A UDIT : A LIGNEMENT S TRATEGIQUE A UDIT : F ONCTION I NFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développement du SI A UDIT : P ROJETS I NFORMATIQUES A UDIT : Sécurité et Réseaux Exploitation du SI
MASNAOUI 74 Objectif: S ’assurer que l ’informatique est sous contrôle Principaux objectifs de contrôle: Stratégie informatique : pilotage des SI, schéma directeur,orientation stratégiques, plan à court Fonction informatique: positionnement, rôle, organisation et règles de contrôle (séparation des tâches) Projets informatiques: démarche de mise en œuvre, délai, planification, pilotage des projets, relation Maîtrise d’ouvrage / maîtrise d’œuvre Performance du système d ’information: disponibilité, portefeuille des bug, versioning, help desk, assistance utilisateurs Sécurité du système d ’information: sauvegarde, plan de continuité Relation avec les fournisseurs: contrats de maintenance, Livrable: Une appréciation globale du système d ’information et évaluation des risques génériques liés à l ’environnement informatique de l ’entreprise. Plan de recommandation et audit des risques spécifiques accrus REVUE DES CONTRÖLES GENERAUX INFORMATIQUES REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développemen t du SI Exploitati on du SI AUDIT : PROJETS INFORMATIQUES
MASNAOUI 75 Objectif: Auditer la coincidance de la stratégie système d ’information avec la ou les stratégies métiers de l ’entreprise afin de renforcer la valeur d ’usage du SI. Principaux objectifs de contrôle: Processus de planification stratégique a moyen et long terme: stratégie métiers, schéma directeur informatique (projets et budget investissements) Évaluation du schéma directeur: suivi des réalisations, planification, surveillance des budgets et des délais Pilotage et décision: organe de suivi et de contrôle, organes de décision et d’arbitrage, système de reporting sur l ’avancement des projets informatiques Orientations technologiques et architecture fonctionnelle: adéquation, évolutivité, opportunité, niveaux de sécurité Choix de la solution informatique: démarché de choix (cahier des charges et consultations), adéquation avec les besoins de l ’entreprise,contractualisation Livrable: Identification du niveau d ’alignement du SI à la stratégie de l ’entreprise Mesure Plan de recommandation et audit spécifique des risques accrus AUDIT : ALIGNEMENT STRATEGIQUE REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développemen t du SI Exploitati on du SI AUDIT : PROJETS INFORMATIQUES
MASNAOUI 76 Objectif: Auditer la coincidance la stratégie système d ’information sur la ou les stratégies métiers de l ’entreprise afin de renforcer la valeur d ’usage du SI. Principaux objectifs de contrôle: Rôle et positionnement de l ’informatique dans l ’entreprise : rattachement à la DG,, relation avec la maîtrise d ’ouvrage, comités informatiques Mesure et suivi de la performance: existence d ’objectif et d ’indicateurs pertinents de mesure de la performance, existence des contrats de service informatique (SLA), baromètre de satisfaction, tableaux de bord informatiques Organisation et structure de la fonction informatique: séparation des tâches, rôle et missions de chaque entités, adéquation des effectifs et des compétences avec les besoins de l ’entreprise Procédures et méthodes: règles de gestion, niveau de contrôle internes, méthodes de gestion des projets, gestion de la documentation Outsourcing: relation avec les prestataires de service, contrats, risque juridique et informatiques Livrable: Une évaluation des risques potentiels liées à la fonction informatique. Plan de recommandation de maîtrise de la fonction informatique AUDIT : FONCTION INFORMATIQUE REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développemen t du SI Exploitati on du SI AUDIT : PROJETS INFORMATIQUES
MASNAOUI 77 Objectif: Auditer l ’organisation et le pilotage de la fonction informatique Principaux objectifs de contrôle: Définition des projets: objectifs du projets, le périmètre, les interactions avec d ’autres projets, moyens humains et techniques, les délais, le budget, Structure de gestion des projets: maîtrise d ’ouvrage, maîtrise d ’œuvre, organe de suivi et de pilotage du projet, efficience des organes de décision, Planification du projet: planning directeur du projet, tableau de bord du projet,plan de charge, identification des dépassements et anticipation des blocages et des dérapages de délais Démarche de gestion de projet et plan d ’assurance qualité : livrables du projets, validation des livrables, documentation Processus d ’homologation et de tests: plan de test, PV de validation de tests Conduite de changement: évaluation des changements, plan de communication, plan de formation,reprise des données Livrable: Identification des risques projets des causes de dysfonctionnements Mesures clés pour la réussite et l ’aboutissement des projets informatiques AUDIT : PROJETS INFORMATIQUES REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développemen t du SI Exploitati on du SI AUDIT : PROJETS INFORMATIQUES
MASNAOUI 78 Objectif: Auditer l ’adéquation des applications informatiques aux exigences des utilisateurs et au standards d ’exploitation Principaux objectifs de contrôle: Performance des applications informatiques: existence de contrats de service avec les utilisateurs, disponibilité du système, continuité de service Conformité aux normes de sécurité et aux règles de contrôle interne: gestion des accès: identification et authentification, Help desk et assistance utilisateurs: intervention de maintenance, indicateurs de performance ( portefeuille de bug, délai de réponse et délai de prise en charge) Gestion des incidents et des demandes d’évolution: versioning, évolutivité par rapport aux besoins des utilisateurs, Livrable: Une identification de l ’adéquation des applications aux besoins et aux exigences d ’exploitations des utilisateurs Plan de recommandation et audit spécifique des risques accrus AUDIT : APPLICATIONS INFORMATIQUES REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développemen t du SI Exploitati on du SI AUDIT : PROJETS INFORMATIQUES
MASNAOUI 79 Objectifs: Faire converger le système d ’information avec les objectifs stratégiques de l ’entreprise Assurer la gestion intégrée et cohérente du SI, Préparer le SI à intégrer et à maîtriser les changements progressifs qui se feront dans l ’entreprise Points clés de la démarche: Formaliser les axes stratégiques de l ’entreprises: orientations métiers et SI, alignement SI, opportunités technologique Établir les cartographies existantes: métiers, fonctionnelles, applicatives et techniques du système d ’information selon un découpage Zone, quartier, ilot Établissement du plan de convergence: concevoir les cartographies cibles: métiers, fonctionnelles, applicatives et techniques Livrable: Alignement stratégique métier/ SI cartographie existantes et cibles: Métiers, fonctionnelles, applicatives, techniques Plan de convergence à mettre en œuvre URBANISATION DU SYSTEME D ’INFORMATION REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développemen t du SI Exploitati on du SI AUDIT : PROJETS INFORMATIQUES
MASNAOUI 80 1 - Définition de la mission : Etablissement de la lettre de mission • Partir des attentes du demandeur d’audit • Ne pas hésiter à passer du temps à bien les comprendre • C’est pas toujours claire dans leur tête, c’est d’ailleurs pour cela qu’ils demandent un audit • Si c’est nécessaire faire un pré-diagonstic • Etablir une liste des questions • Faire une lettre de mission (C’est un mandat au sens du Code Civil) • Souvent il faut rédiger la lettre de mission
MASNAOUI 81 2 - Planification de la mission : le choix de la démarche • Il faut dès le départ annoncer la démarche suivie • Pour l’auditeur externe rôle de la proposition • Pour l’auditeur interne rôle du plan d’audit • Il faut détailler le programme de travail • Prévoir suffisamment à l’avance la collecte des faits et les tests à organiser (délais souvent longs) • Savoir limité le nombre des entretiens (c’est un très gros consommateur de temps et de délais) • Une mission d’audit insuffisamment préparée est une mission à risque
MASNAOUI 82 3 - La collecte des faits, la réalisation des tests,... • L’auditeur ne doit prendre en compte que les faits et il doit se méfier des opinions • On ne peut pas se contenter des «dires» des audités, il faut se baser sur des faits • On s’organise pour trouver les faits dont on a besoin : Les tests, les jeux d’essais,… Les mesures de performances (temps de réponses...) Les incidents d’exploitation, les anomalies, les erreurs, les bugs,… …. • Les faits, rien que les faits, tous les faits • La mission, toute la mission, rien que la mission • Importance de la collecte de faits significatifs et si on a du mal à les obtenir nécessité d’effectuer des tests
MASNAOUI 83 4 - Entretiens avec les audités • Au contraire, spontanément les auditeurs se méfient des faits et ils ont tendance à préférer les opinions • Au cours des entretiens, ne pas se disperser. Cibler les questions • Se méfier des check-lists. Avoir une liste de thèmes • Ne pas prendre parti dans les déclarations des audités • Evaluer avec prudence les « dires » • On n’instruit pas « à charge et à décharge » • La lettre de mission vous donne un mandat. Vous représentez le demandeur d’audit • Eviter les validations d’entretiens (temps, qualité,…) • Le nombre d’entretiens est une variable importante expliquant la durée de l’opération et la charge de travail
MASNAOUI 84 5 - Faut-il un rapport ? • Il existe une curieuse mode consistant à ne pas remettre de rapport d’audit • De nombreux arguments : C’est long à faire Les décideurs n’ont pas le temps de le lire Il ne sert à rien … • Il serait préférable de faire une présentation PowerPoint • C’est une grave erreur • Il faut les deux : le rapport et la présentation
MASNAOUI 85 5 - Le rapport d’audit : la conception, la rédaction, la présentation • Le rapport d’audit est un document de référence • Importance de définir à qui il est destiné et comment il sera diffusé • Commencer à le rédiger à partir de la moitié de la mission. Sur une mission de deux mois dès la fin du 1er mois • Le corps du rapport doit, dans la mesure du possible, être traité dans l’ordre des questions d’audit se trouvant dans la lettre de mission • Les recommandations doivent être classées en mesures à court terme, à moyen terme et à long terme • Faire une synthèse en 2 pages (plus souvent 4)
MASNAOUI 86 Quelques conseils de rédaction du rapport d’audit • Etre pédagogique, expliquer les termes et les concepts utilisés • Eviter les accumulations de faits ou de remarques sans qu’apparaisse la structure d’ensemble • Faire des synthèses et des récapitulations • Ne pas porter de jugement de valeur • L’auditeur base ses appréciations sur des référentiels largement reconnus • S’il n’y a pas de référence ou si la doctrine est incertaine, il faut le signaler et dans ce cas jouer un rôle de conseil • Si on demande à l’auditeur des jugements de personne, on doit s'interdire de le faire par écrit • Faite attention à la forme et au style
MASNAOUI 87 L’établissement des recommandations opérationnelles • Il faut des mesures concrètes et faciles à mettre en oeuvre • Il faut distinguer les recommandations : A court terme, c’est-à-dire qui peuvent être mise en place sans délai et sans investissement A moyen terme, c’est-à-dire demandant des études complémentaires A long terme, qui demandent des investissements lourds ou la remise en cause des politiques antérieures • On attend de ces recommandations des progrès significatifs et substantiels
MASNAOUI 88 6 - Présentation et discussion du rapport • Il faut organiser des présentations du rapport d’audit pour Le (ou les demandeurs) d’audit Le management de l’informatique Le service informatique (encadrement ou toute l’équipe) • Dix à quinze de slides pas plus (20 à 30 minutes) • Communiquez sur l’essentiel • Vendre les recommandations en mettant en avant 4 à 6 mesures « emblématiques » • Ne pas « négocier» le contenu de la présentation (ni du rapport, ni des recommandations)
MASNAOUI 89 Bâtir un plan d’action • La liste des recommandations ne fait pas un plan d’action • Un certain nombre d’opérations complémentaires sont nécessaires : Sélectionner les mesures et les hiérarchiser Approfondir et compléter les actions Effectuer des analyses complémentaires Fixer les responsabilités …. • Le plan d’action doit être validé par le management (Comité de Direction, Comité de Pilotage, Commission informatique,…) • Souvent des spécifiques moyens doivent lui être affectés
MASNAOUI 90 Le suivi des recommandations et du plan d’action • Il est nécessaire de mettre en place un dispositif de suivi des recommandations et du plan d’action • L’expérience montre que si on ne met pas en place un suivi des recommandations, elles ne sont pas appliquées, ou du moins on applique que celles qui ne posent pas de problèmes et les autres sont laissées à leur triste sort • Il est donc nécessaire de mettre en place un suivi des mesures choisies • Faire un point périodique sur le degré de mise en place des recommandations (tous les 3 ou tous les 6 mois) • L’efficacité des audits informatiques se joue en partie sur la mise en place d’un suivi
MASNAOUI 91 Comment améliorer la qualité de la démarche ? • Un ordre de mission claire identifiant le demandeur d’audit • Des points d’échange réguliers avec le demandeur d’audit • Annoncer au départ la démarche qui sera suivie • Manifester son indépendance notamment lors des entretiens • Refuser les tentatives d’élargissement de la mission • Bétonner par des faits, des analyses… • Se méfier des ragots, des bruits, des on-dits,… • Ne pas tirer sur tout ce qui bouge • Etre positif : dire ce qui marche,… • Faire des recommandations professionnelles
MASNAOUI 92 Bibliographie • www.afai.asso.fr • www.isaca.org et surtout knet • CobiT • La Revue Audit et Conseil en Technologies de l’Information (Revue de l’AFAI) • The Information Systems Control Journal (Revue de l’ISACA) ISACA - Bookstore • CISA Review Technical Information Manuel ISACA • Information Technology Control and Audit (Gallegos, Manson, Allen-Senft - ISACA)
MASNAOUI 93 MERCI POUR VOTRE ATTENTION

Recommandé

Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
Arsène Ngato
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
Annick Franck Monyie Fouda
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
AdemKorani
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
Yann Riviere CCSK, CISSP, CRISC, CISM
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
hpfumtchum
 
Cobit
CobitCobit
Cobitmoussadiom
 

Recommandé

Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
Arsène Ngato
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
Annick Franck Monyie Fouda
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
AdemKorani
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
Yann Riviere CCSK, CISSP, CRISC, CISM
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
hpfumtchum
 
Cobit
CobitCobit
Cobitmoussadiom
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
saqrjareh
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAISACA Chapitre de Québec
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
SAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
Khouloud Errachedi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
Arsène Ngato
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
ISACA Chapitre de Québec
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Anasse Ej
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
Ismail EL Makrouz
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
ISACA Chapitre de Québec
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
Schema directeur et urbanisation du si
Schema directeur et urbanisation du siSchema directeur et urbanisation du si
Schema directeur et urbanisation du si
Abdeslam Menacere
 
Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
papediallo3
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 

Contenu connexe

Tendances

Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
ISACA Chapitre de Québec
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
saqrjareh
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
SAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
Khouloud Errachedi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
Arsène Ngato
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
ISACA Chapitre de Québec
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Anasse Ej
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
Ismail EL Makrouz
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
ISACA Chapitre de Québec
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
Schema directeur et urbanisation du si
Schema directeur et urbanisation du siSchema directeur et urbanisation du si
Schema directeur et urbanisation du si
Abdeslam Menacere
 

Tendances (20)

Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Schema directeur et urbanisation du si
Schema directeur et urbanisation du siSchema directeur et urbanisation du si
Schema directeur et urbanisation du si
 

Similaire à Audit Des Systemes d_Information.pdf

Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
papediallo3
 
Cours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURI
Mansouri Khalifa
 
[2]bis
[2]bis[2]bis
[2]bis
fofana72
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
Abdeslam Menacere
 
Gt Technologies offre de service SDSI
Gt Technologies offre de service SDSIGt Technologies offre de service SDSI
Gt Technologies offre de service SDSI
CoumbaDemeNDOYE
 
Informatisation de projets
Informatisation de projetsInformatisation de projets
Informatisation de projets
Kràlj Karel Awouzouba
 
cours-complet-dinformatique-de-gestion-pdf.pdf
cours-complet-dinformatique-de-gestion-pdf.pdfcours-complet-dinformatique-de-gestion-pdf.pdf
cours-complet-dinformatique-de-gestion-pdf.pdf
ssuserbd075f
 
COBIT
COBIT COBIT
COBIT
Hamza MERIOUT
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
Hajar958801
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
saadbourouis2
 
création de la valeur
création de la valeurcréation de la valeur
création de la valeurmoussadiom
 
création de la valeur
création de la valeurcréation de la valeur
création de la valeurmoussadiom
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
hajarbouladass
 
SI_MCC_2020_21.pptx
SI_MCC_2020_21.pptxSI_MCC_2020_21.pptx
SI_MCC_2020_21.pptx
Conferenceiwwsd
 
Ccimp rdv tic cahier des charges erp 2014
Ccimp rdv tic cahier des charges erp 2014Ccimp rdv tic cahier des charges erp 2014
Ccimp rdv tic cahier des charges erp 2014COMPETITIC
 
Comment Choisir Votre Solution BI
Comment Choisir Votre Solution BIComment Choisir Votre Solution BI
Comment Choisir Votre Solution BI
LASSA Rafik
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
InformatiqueL22022
 
Diapo - SI.ppt
Diapo - SI.pptDiapo - SI.ppt
Diapo - SI.ppt
FATIMAZAHRAJABINE1
 
Auditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAuditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilités
Alterest
 

Similaire à Audit Des Systemes d_Information.pdf (20)

Cours de Management des Systèmes d'information
Cours de Management des Systèmes d'informationCours de Management des Systèmes d'information
Cours de Management des Systèmes d'information
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Cours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURICours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURI
Cours guvernance des systèmes d'information partie 2 prof. Khalifa MANSOURI
 
[2]bis
[2]bis[2]bis
[2]bis
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
Gt Technologies offre de service SDSI
Gt Technologies offre de service SDSIGt Technologies offre de service SDSI
Gt Technologies offre de service SDSI
 
Informatisation de projets
Informatisation de projetsInformatisation de projets
Informatisation de projets
 
cours-complet-dinformatique-de-gestion-pdf.pdf
cours-complet-dinformatique-de-gestion-pdf.pdfcours-complet-dinformatique-de-gestion-pdf.pdf
cours-complet-dinformatique-de-gestion-pdf.pdf
 
COBIT
COBIT COBIT
COBIT
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
 
création de la valeur
création de la valeurcréation de la valeur
création de la valeur
 
création de la valeur
création de la valeurcréation de la valeur
création de la valeur
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
 
SI_MCC_2020_21.pptx
SI_MCC_2020_21.pptxSI_MCC_2020_21.pptx
SI_MCC_2020_21.pptx
 
Ccimp rdv tic cahier des charges erp 2014
Ccimp rdv tic cahier des charges erp 2014Ccimp rdv tic cahier des charges erp 2014
Ccimp rdv tic cahier des charges erp 2014
 
Comment Choisir Votre Solution BI
Comment Choisir Votre Solution BIComment Choisir Votre Solution BI
Comment Choisir Votre Solution BI
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
Diapo - SI.ppt
Diapo - SI.pptDiapo - SI.ppt
Diapo - SI.ppt
 
Auditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAuditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilités
 

Audit Des Systemes d_Information.pdf

  • 1. MASNAOUI 1 Journée de Réflexion sur l’Audit ENCG Agadir, le 1 Mars 2003 Démarche d ’audit des Systèmes d ’information Nabil BAYAHYA, Directeur Associé Masnaoui Mazars
  • 2. MASNAOUI 2 Plan de la présentation 1. Notions de base des de l ’audit des SI 2. Présentation de 3 domaines d ’Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Sécurité 3. Conduite d ’une mission d ’audit
  • 3. MASNAOUI 3 Contexte des SI dans l ’entreprise Les systèmes d ’information ont évolué depuis les années 70 pour s ’octroyer une importance cruciale dans la vie des entreprises en tant que : Support à l ’outil de production qui contribue à la réalisation de l ’objet de l ’entreprise (système de facturation, encaissement, trésorerie, comptabilité, GPAO, GMAO ….) Référentiel du patrimoine de l ’entreprise et de son savoir faire (fichier clients, processus de gestion, KM ... ) Moyen de renforcement du contrôle et de maîtrise des processus de gestion (contrôle informatique, workflow) … . Ces constats génèrent un niveau de dépendance de l ’entreprise vis à vis de son système d ’information
  • 4. MASNAOUI 4 Risques informatiques Contexte des SI dans l ’entreprise Certes, le niveau d ’intégration du SI dans les processus de gestion de l ’entreprise présente un réel tremplin pour sa croissance et son développement ... …mais, une telle intégration présente d ’inhérents risques de vulnérabilité de l ’entreprise Inadéquation au processus de gestion Non conformité aux dispositions légales Absence d ’information décisionnel le Inefficience du Contrôle Manque d ’évolutivité de l ’architecture informatique Accès non autorisés Augmentatio n des coûts informatique s Manque de Fiabilité des traitements et des données Continuité d ’exploitation de l ’entreprise ... Inefficience de la politique de sécurité Absence de compétences qualifiées
  • 5. MASNAOUI 5 Préoccupations des directions générales Le système d ’information de l ’entreprise contribue-t-il à améliorer sa profitabilité ? Comment mesurer les bénéfices liés aux investissements informatiques ? La stratégie informatique est-elle conforme à la stratégie de l ’entreprise ? Peut-on diminuer les coûts des fonctions administratives en dépensant plus en informatique ? Les données produites par les applications informatiques permettent-elles de prendre des décisions efficaces ? Les applications fournissent des informations exactes, exhaustives, authentiques ? Le système informatique est-il suffisamment protégé contre les accidents, les malveillances et les erreurs ? ...
  • 6. MASNAOUI 6 Problématiques du Système d ’information Les problématiques du système d ’information se manifestent tout le long de son cycle de vie selon une approche itérative: Choix et orientation du système d ’information Mise en œuvre et développement du SI Exploitation du SI Quelle adéquation avec les orientations stratégiques et le plan de développement du SI ? Comment faire évoluer le SI actuel vers le SI cible ? Quels choix technologiques retenir ? Quelle organisation pour le pilotage des projets informatiques ? …. Quelle adéquation avec les orientations stratégiques et le plan de développement du SI ? Comment faire évoluer le SI actuel vers le SI cible ? Quels choix technologiques retenir ? Quelle organisation pour le pilotage des projets informatiques ? …. Quelle adéquation entre les applications en exploitation et les besoins des utilisateurs Quelles sont les mesures de contrôles et de sécurité prises en compte dans les applications informatiques Quelles sont les procédures d ’exploitation du SI ... Quelle adéquation entre les applications en exploitation et les besoins des utilisateurs Quelles sont les mesures de contrôles et de sécurité prises en compte dans les applications informatiques Quelles sont les procédures d ’exploitation du SI ... Quelle choix pour la mise en œuvre du plan de développement du SI : Choix de progiciel, développement spécifique, solutions interfacées Quelle démarche de conduite de projet informatiques Quelle organisation et compétences pour la conduite des projets informatiques ... Quelle choix pour la mise en œuvre du plan de développement du SI : Choix de progiciel, développement spécifique, solutions interfacées Quelle démarche de conduite de projet informatiques Quelle organisation et compétences pour la conduite des projets informatiques ...
  • 7. MASNAOUI 7 Périmètre des missions d ’audit des systèmes d’information REVUE DES CONTRÖLES GENERAUX INFORMATIQUES A UDIT : A PPLICATIONS I NFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION A UDIT : A LIGNEMENT S TRATEGIQUE A UDIT : F ONCTION I NFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développement du SI A UDIT : P ROJETS I NFORMATIQUES A UDIT : Sécurité et Réseaux Exploitation du SI
  • 8. MASNAOUI 8 Démarche d ’audit • Objectif : S ’assurer que tout se passe bien conformément aux règles et aux usages professionnels Pour toutes les faiblesses importantes détectées, évaluer et justifier les risques, et Proposer des actions correctives • Moyens Observer, analyser et juger des faits Evaluer l ’adéquation et le fonctionnement des activités par comparaison avec un référentiel Appliquer des démarches cohérentes • Domaines Toutes les fonctions de l ’entreprise peuvent être auditées
  • 9. MASNAOUI 9 Ne pas confondre audit, expertise et conseil Audit – Démarche de généraliste – Collecte de faits – Analyse de processus – Recommandations Expertise – Spécialiste d ’un domaine – Approche technique – Mesures de performances – Recherche de solutions Conseil – Connaissance d ’un domaine – Approche généraliste – Axes d ’amélioration – Pilotage du changement
  • 10. MASNAOUI 10 Trois grands types d ’audits L ’audit de conformité (audit de régularité) – Vérification de l ’existence de normes – La direction générale fixe des règles et des procédures – S ’assurer qu ’elles sont effectivement appliquées – Comparaison par rapport à un référentiel L ’audit d ’efficacité (audit de progrès) – Appréciation de la qualité des règles et des procédures par rapport aux objectifs – Vérification de l ’impact de ces règles – Recommandation d ’améliorations – Etablir un plan d ’action
  • 11. MASNAOUI 11 Trois grands types d ’audits L ’audit d ’efficience (audit économique) – Analyser les moyens affectés aux opérations – Apprécier l ’utilisation des ressources – Proposer des moyens d ’optimiser ces moyens Attitude réservée face aux audits sanctions
  • 12. MASNAOUI 12 Quelques Référentiels de l ’audit des Systèmes d ’information COBIT (Contrôle Objectives for Information and related Technology) – Etablis par l ’ISACA (Information Systems Audit and Control Assiociation) – Traduit et diffusé par l ’AFAI (Association française de l’audit et du conseil informatique) SAC Report (Contrôle et audit du système d ’information) – Etablis par IAA – Traduit et diffusé par l ’IFACI, IAI Le référentiel ne fait pas l ’auditeur... mais il peut l ’aider
  • 13. MASNAOUI 13 1. Notions de base de l ’audit des SI 2. Présentation de 3 domaines d ’Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Sécurité 3. Conduite d ’une mission d ’audit
  • 14. MASNAOUI 14 Audit de la fonction informatique • Plan Questions usuelles de la direction générale concernant la fonction informatique Positionnement et structure de la fonction informatique Les bonnes pratiques concernant la fonction informatique Les points de contrôles Exemples de mission d ’audit
  • 15. MASNAOUI 15 Audit de la fonction informatique • Questions usuelles de la direction générale Est-ce que les utilisateurs sont satisfaits des prestations informatiques ? Est-ce que l ’informatique perturbe vraiment le fonctionnement des services ? Est-ce que l ’informatique est correctement pilotée ? Y-a-t il un comité de direction chargé de l ’informatique ? Quel doit être le positionnement du responsable informatique ? Combien ça coûte réellement ? Et combien ça rapporte ? Faut-il décentraliser l ’informatique dans les unités ? Que doit- on garder en central ? Comment piloter de manière efficace les projets informatiques ? Est-ce que les personnes travaillant au sein du service informatique sont compétences ?
  • 16. MASNAOUI 16 Audit de la fonction informatique • Positionnement et structure de la fonction informatique Le comité de planification ou de pilotage de l ’informatique Position des services informatiques dans l ’organisation & Séparation des tâches Intervention de l ’informatique dans l ’organisation et les processus Responsabilité de l ’assurance qualité Responsable de la sécurité Propriété des données et des applications Gestion du personnel informatique et des sous-traitants
  • 17. MASNAOUI 17 Audit de la fonction informatique • Les bonnes pratiques concernant la fonction informatique Les relations entre la direction générale et les utilisateurs La clarté des structures et des responsabilités L ’existence de dispositifs de mesures Compétence et qualification du personnel
  • 18. MASNAOUI 18 Audit de la fonction informatique • Les relations entre la direction générale et les utilisateurs La mission de la direction informatique doit être clairement définie et un document écrit doit la décrire. Les objectifs et les règles de fonctionnement de l ’informatique doivent être connus des décideurs et des utilisateurs. Un comité de direction doit prendre des décisions concernant l ’informatique et des comptes-rendus doivent être publiés. La direction de la fonction informatique doit périodiquement faire réviser les plans concernant l ’informatique
  • 19. MASNAOUI 19 Audit de la fonction informatique • La clarté des structures et des responsabilités Les responsables opérationnels doivent avoir une relation de partenariat avec la fonction informatique La fonction informatique doit avoir la responsabilité de l ’architecture du système informatique La fonction informatique doit avoir la responsabilité de l ’assurance qualité du système informatique La fonction informatique doit avoir la responsabilité de la sécurité physique et logique des actifs informationnels
  • 20. MASNAOUI 20 Audit de la fonction informatique • L ’existence de dispositifs de mesures C ’est un vaste programme Un suivi économique est nécessaire mais n ’est pas suffisant. Généralement c ’est un suivi budgétaire mais cela peut être aussi un mécanisme de refacturation Il faut que l ’informatique rend des comptes aux différents partenaires de l ’informatique. Mais la réalité montre que ce n ’est pas facile à faire et on parle souvent du « manque de transparence de l ’informatique ».
  • 21. MASNAOUI 21 Audit de la fonction informatique • L ’existence de dispositifs de mesures Il est nécessaire de mieux communiquer sur les objectifs, les politiques mises en oeuvre, les ressources affectées et leur utilisation Et surtout il est nécessaire de contrôler l ’activité informatique : gestion de projet, CAE, gestion des investissements,...
  • 22. MASNAOUI 22 Audit de la fonction informatique • Compétences et qualification du personnel Les besoins en personnel informatiques doivent périodiquement être évalués (au moins une fois par an). Une supervision effective du personnel informatique doit être faite notamment pour juger s ’il dispose des moyens pour faire son travail et s ’il est performant. Tous les postes doivent disposer d ’une description de poste mettant en avant les compétences et l ’expérience nécessaire. Il doit exister une claire séparation des tâches notamment entre la maintenance des applications et l ’exploitation.
  • 23. MASNAOUI 23 Audit de la fonction informatique • Compétences et qualification du personnel Le personnel clé doit être identifié Le personnel sous contrat doit faire l ’objet d ’un contrôle particulier notamment pour s ’assurer que les actifs informationnels sont garantis.
  • 24. MASNAOUI 24 Audit de la fonction informatique • Les points de contrôles Rôle des directions dans le système d ’information Existence de politique, de normes et de procédures Responsabilité du service informatique : relations maîtrise d ’oeuvre-maîtrise d ’ouvrage Existence de dispositifs de contrôle interne
  • 25. MASNAOUI 25 Audit de la fonction informatique • Rôle des directions dans le système d ’information Il doit exister un comité informatique Il peut avoir différents noms : commission informatique, comité de pilotage,... Il est rattaché au directeur général Les principaux décideurs de l ’entreprise doivent y participer Il doit se réunir régulièrement L ’essentiel des orientations informatiques doit être débattu au sein de ce comité
  • 26. MASNAOUI 26 Audit de la fonction informatique • Rôle des directions dans le système d ’information Un suivi régulier du schéma directeur doit être fait Etudier le positionnement de ce comité dans la structure de l ’entreprise Examiner les comptes-rendus de ce comité sur un an. Rencontrer quelques membres du comité.
  • 27. MASNAOUI 27 Audit de la fonction informatique • Responsabilité du service informatique (relations maîtrise d ’oeuvre-maîtrise d ’ouvrage) Les responsabilités du service informatique doivent être clairement définies La position du service informatique dans l ’organigramme de l ’entreprise doit être claire. Le service informatique doit avoir une autorité suffisante pour faire appliquer les mesures nécessaires pour atteindre les objectifs qui lui ont été fixés.
  • 28. MASNAOUI 28 Audit de la fonction informatique • Responsabilité du service informatique (relations maîtrise d ’oeuvre-maîtrise d ’ouvrage) Examiner les différents documents pour apprécier la clarté des définitions des responsabilités Interroger différents responsables pour apprécier leur degré de connaissance des responsabilités respectives Vérifier le respect de la séparation des tâches
  • 29. MASNAOUI 29 Audit de la fonction informatique • Existence de dispositifs de contrôle interne On doit disposer d ’une stratégie formalisée du développement du système d ’information Les facteurs de risques doivent être repérés Des priorités doivent être fixées de manière claire Les choix doivent être faits en tenant compte des enjeux économiques Mesurer leur impact sur les performances de l ’entreprise Examiner les principales procédures de l ’entreprise et apprécier l ’impact de l ’informatique
  • 30. MASNAOUI 30 Audit de la fonction informatique • Existence de dispositifs de contrôle interne Analyser les missions des auditeurs internes et externes et leurs impacts Evaluer l ’impact des procédures de l ’assurance qualité • Exemples de mission d ’audit Evaluation de l ’efficacité d ’un service informatique Audit de la procédure de suivi des coûts informatiques
  • 31. MASNAOUI 31 Audit de la fonction informatique • Evaluation de l ’efficacité d ’un service informatique La direction générale a des doutes sur l ’efficacité de son service informatique En fait elle a des doutes sur les compétences du responsable informatique Effectivement le responsable a du mal à faire son travail dans de bonnes conditions Peu de contact avec la direction générale Mauvaises relations avec les utilisateurs
  • 32. MASNAOUI 32 Audit de la fonction informatique • Evaluation de l ’efficacité d ’un service informatique Mise en place d ’un comité de direction trimestriel consacré à l ’informatique Redéfinition du rattachement hiérarchique Rédaction des principales politiques, procédures et normes à appliquer.
  • 33. MASNAOUI 33 Audit de la fonction informatique • Audit de la procédure de suivi des coûts informatiques Il existe une comptabilité analytique permettant de suivre les coûts informatiques Les résultats de cette comptabilité sont contestés par les principaux décideurs L ’analyse de la méthode montre qu’elle est globalement bonne Ses résultats montre bien les problèmes qui se posent et notamment les erreurs qui sont commises Par contre cette CAE peut être simplifiée et améliorée
  • 34. MASNAOUI 34 Audit de la fonction informatique • Audit de la procédure de suivi des coûts informatiques Rédiger chaque mois une note d ’analyse des coûts informatiques Simplifier les traitements les plus délicats Réduire le coût des opérations anormalement coûteuses
  • 35. MASNAOUI 35 Audit de la fonction informatique • Exemple de mission d ’audit : Evaluation de l ’efficacité d ’un service informatique La DG a des doutes sur l ’efficacité de son service informatique En fait elle a des doutes sur les compétences du DSI Effectivement le responsable a du mal à faire son travail dans de bonnes conditions Peu de contact avec la DG Mauvaises relations avec les utilisateurs Mise en place d ’un comité de direction trimestriel consacré au SI Redéfinition du rattachement hiérarchique Rédaction des principales politiques, procédures et normes à appliquer.
  • 36. MASNAOUI 36 1. Notions de base de l ’audit des SI 2. Présentation de 3 domaines d ’Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Sécurité 3. Conduite d ’une mission d ’audit
  • 37. MASNAOUI 37 Audit des projets • Plan La notion de projet Particularités des projets informatiques Tenir les délais et les budgets Evaluation des risques liés aux projets Les bonnes pratiques concernant les projets informatiques Les points de contrôles Exemples de mission d ’audit
  • 38. MASNAOUI 38 Audit des projets • La notion de projet Un projet c ’est d ’abord une équipe C ’est ensuite un délai – Une date de début – Une date de fin C ’est aussi une organisation spécifique Et, bien entendu, un budget particulier Rôle clé du chef de projet dans la réussite du projet C ’est une activité voisine de celle du : – Bâtiment – Ingénierie
  • 39. MASNAOUI 39 Audit des projets • Particularités des projets informatiques Le pilotage des projets informatiques est une opération délicate – Dérapage sur les délais – Dérive fréquente des coûts – Nécessité de mettre en place un pilotage rigoureux La qualité des applications informatiques – Difficulté de valider la qualité d ’une application – Aspect subjectif de la qualité – Nécessité de mettre en place des procédures de certification de la qualité
  • 40. MASNAOUI 40 Audit des projets • Tenir les délais et les budgets Gestion de projet : – Découper – Evaluer – Planifier – Animer – Suivre – Ajuster Découpage du projet en étape : – Conception générale – Conception détaillée – Développement – Test – Installation et déploiement – Bilan
  • 41. MASNAOUI 41 Audit des projets • Mettre en place un système de pilotage efficace Un découpage en phase Un livrable à la fin de chaque phase Pilotage des phases : – Valider les résultats en fin de phase – Valider les objectifs de la phase suivante – Informer le comité de pilotage Procédure d ’assurance qualité : – Normes et standards – Contrôles – Conseils
  • 42. MASNAOUI 42 Audit des projets • Evaluation des risques liés aux projets Efficacité de l ’organisation de la fonction d ’études : – Système de management – Gestion des ressources – Productivité des études – Formation Sur un ensemble de projets rechercher les causes de dérapages : – Les fonctions livrées – Les coûts – Les délais Efficacité de la méthode de conduite des projets : – La gestion de projet – Le processus de développement – L ’assurance qualité – Le système de pilotage
  • 43. MASNAOUI 43 Audit des projets • Les bonnes pratiques concernant les projets informatiques Le respect des phases du projet Existence d ’une méthodologie de conduite de projets Conformité des projets aux objectifs généraux de l ’informatique et à ceux de l ’entreprise Qualité des études amonts : expression des besoins, cahier des charges Importance des tests, notamment des tests utilisateurs
  • 44. MASNAOUI 44 Audit des projets • Les points de contrôles Audit du processus de développement Existence de processus, de méthodes et de standards Vérification de l ’application de la méthodologie Analyse des causes d’échecs de projet Adéquation des fonctions aux besoins des utilisateurs
  • 45. MASNAOUI 45 Audit des projets • Exemple de mission d ’audit : Audit d ’un grand projet à la fin du cahier des charges Les équipes de MOE et MOA ont fini de rédiger le cahier de charges La direction s ’interroge sur le document ainsi produit L ’analyse du document montre qu’il est très complet Par contre, le projet sera très lourd et très complexe à développer Et l ’application risque de poser des problèmes de performances (accès aux bases de données) Réaliser un benchmark du système d ’interrogation d ’une transaction simple Limiter l ’intégration des fonctions Planifier la mise en place de versions successives
  • 46. MASNAOUI 46 Audit des projets • Audit d ’un projet en RAD On a développé un projet vital pour l ’entreprise à l ’aide d ’une approche RAD, Rapid Application Developpement Après la mise en place réussite d ’une partie du système, le projet s ’enlise La méthode RAD permet de mettre en place rapidement une application (3mois) Par contre il faut que les utilisateurs et les informaticiens soient réellement disponibles L ’équipe mixte sature Segmenter le projet en plusieurs sous-projets Confier chaque sous-projet à une équipe différente Réaliser la partie centrale du projet de manière classique
  • 47. MASNAOUI 47 1. Notions de base de l ’audit des SI 2. Présentation de 3 domaines d ’Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Sécurité 3. Conduite d ’une mission d ’audit
  • 48. MASNAOUI 48 Audit de la sécurité • Plan Existence de risques importants liés aux systèmes d ’information Quatre notions fondamentales Les facteurs de limitation des risques Les bonnes pratiques concernant la sécurité Les points de contrôle Exemples de missions d ’audit
  • 49. MASNAOUI 49 Audit de la sécurité • Existence de risques importants liés aux systèmes d ’information Il existe en informatique des risques importants liés à la nature même de cette activité Existence d ’un patrimoine important en matériel informatique (vol, dégradation,..) et logiciel (piratage) Importance de la valeur des données stockées et des traitements effectuées Niveau de risques importants pour l ’entreprise Il est nécessaire de mettre en place une organisation adaptée avec des outils, des hommes et des méthodes Il doit exister une politique au niveau de l ’entreprise (sécurité physique et sécurité logique) Il est nécessaire qu’il existe un responsable de la sécurité informatique
  • 50. MASNAOUI 50 Audit de la sécurité • Quatre notions fondamentales La menace Le facteur de risque La manifestation du risque La maîtrise du risque
  • 51. MASNAOUI 51 Audit de la sécurité • La menace Il existe de nombreuses menaces dans le domaine de l ’informatique : – Les erreurs – Les malveillances – Les accidents – .... Elles concernent : – Les biens matériels ” Les bâtiments ” Le réseau ” Les équipements informatiques
  • 52. MASNAOUI 52 Audit de la sécurité • La menace – Les biens immatériels ” des logiciels (de base, applications,...) ” des données de gestion ” des ressources humaines
  • 53. MASNAOUI 53 Audit de la sécurité • Le facteur de risque Un facteur de risque est une cause de vulnérabilité due à une faiblesse de l ’organisation, des méthodes, des techniques des outils ou du système de contrôle Les risques informatiques peuvent être accrus de différentes manière : – Absence de politique informatique – Faible participation des utilisateurs – Méthodes inadaptées aux objectifs – Obsolescence des techniques utilisées – Compétences insuffisantes – Faiblesse des processus de gestion – ... La médiocrité du management informatique est un facteur accroissant le niveau de risque
  • 54. MASNAOUI 54 Audit de la sécurité • La manifestation du risque La destruction physique du centre de calcul (incendie, inondation,...) est spectaculaire mais en fait peu fréquente Le vrai risque est invisible Il se manifeste de différentes manières : – Pénétration du réseau par des intrus – Vols d ’informations – Concurrence faussée – Falsification des données – ... L ’entreprise victime d ’un concurrent risque de ne s ’en apercevoir que lorsqu’elle va perdre des marchés et des clients sans savoir pourquoi
  • 55. MASNAOUI 55 Audit de la sécurité • La maîtrise du risque Méthodes pour identifier les risques en terme de menace ou de facteurs de risques (Marion) Identification des parades La sécurité physique – Contrôle d ’accès aux locaux – Protection incendie – ... La sécurité logique – Contrôle d ’accès aux systèmes, aux programmes, aux données – .... Importance du plan de secours permettant de faire face à la disparition totale ou partielle du système d ’information
  • 56. MASNAOUI 56 Audit de la sécurité • Les facteurs de limitation des risques les bonnes pratiques concernant la sécurité sont : Existence d ’une politique du système d ’information Implication des utilisateurs Méthodes de travail et outils adaptés aux objectifs La compétence du personnel Outil de gestion efficace
  • 57. MASNAOUI 57 Audit de la sécurité • Existence d ’une politique du système d ’information Une des meilleures protection contre les risques liés à la faiblesse de la sécurité repose sur la politique du système d ’information Les services informatiques ayant une vision globale de leur démarche sont les mieux protégés que les autres Cette politique doit notamment préciser les responsabilités des différents intervenants sur les systèmes informatiques Il est en particulier très important de savoir ce qui est sous la responsabilité des informaticiens et ce qui relève des utilisateurs
  • 58. MASNAOUI 58 Audit de la sécurité • Implication des utilisateurs La meilleure protection du système d ’information est celle exercée par les utilisateurs Ils doivent surveiller leur matériel et la sécurité des locaux Ils contrôlent leurs données et leurs bases de données Ils veillent à ce que leurs données soient régulièrement sauvegardées Un système ainsi surveillé par ses utilisateurs est protégé contre tout la plupart des risques habituellement supportés
  • 59. MASNAOUI 59 Audit de la sécurité • Méthodes de travail et outil adaptés aux objectifs Le meilleur moyen de limiter les risques liés à l ’insuffisance de sécurité et de dôter les services informatiques de méthodes de travail et des outils adaptés Ces méthodes de travail consistent à définir les tâches à effectuer et de définir de manière rationnelle l ’organisation du travail De même il est nécessaire de se doter d ’outils performants conformes aux objectifs recherchés Ainsi les personnes chargés de l ’exploitation doivent pouvoir surveiller facilement les utilisateurs présents sur le système Il est, en particulier, nécessaire de surveiller et d ’administrer le réseau
  • 60. MASNAOUI 60 Audit de la sécurité • La compétence du personnel La sécurité du système d ’information dépend surtout de la compétence du personnel Plus il est compétent, plus il est à même d ’intervenir rapidement et efficacement pour limiter les risques Ceci concerne l ’exploitation mais aussi les études Il est en particulier nécessaire d ’intervenir rapidement en cas d ’incident sans prendre de risques excessifs La maintenance à la suite d ’un incident peut être l ’occasion d ’une succession de problèmes notamment si on supprime certains contrôles ou si on ne teste pas complètement les programmes modifiés
  • 61. MASNAOUI 61 Audit de la sécurité • Outil de gestion efficace De même il est nécessaire que des dispositifs de gestion efficaces soient mises en place Ils ont pour but de repérer plus facilement les failles de la sécurité du système d ’information (postes de travail, réseaux, serveurs) Il est en effet important de s ’assurer que les risques potentiels sont rapidement repérés de façon qu ’ils soient corrigés le plus rapidement possible C ’est un aspect délicat car on manque d ’outil de gestion de ce type . L ’offre est en train d ’évoluer mais on ne dispose pas encore en standard, sur tous les systèmes d ’exploitation des outils de ce type.
  • 62. MASNAOUI 62 Audit de la sécurité • Les points de contrôle Repérage des actifs de l ’entreprise Evaluation des menaces Mesurer les impacts Définition des parades
  • 63. MASNAOUI 63 Audit de la sécurité • Repérage des actifs informationnels de l ’entreprise La base des contrôles est constituée par les inventaires physiques – Des matériels (postes de travail, serveurs,...) – Des logiciels – Des bases de données Dans la mesure du possible il faut chercher à avoir des contrôles fréquents de ces inventaires Il existe des logiciels permettant de repérer les postes de travail, les serveurs,.... Apprécier les procédures de mise à jour des inventaires Vérifier sur quelques unités la pertinence des inventaires
  • 64. MASNAOUI 64 Audit de la sécurité • Evaluation des menaces Il ne sert à rien de se protéger contre des menaces qui n ’existent pas On cherche à repérer les parties du système d ’information qui sont les plus menacées Il est pour cela nécessaire de repérer : – Les disparitions ou les destructions de matériels – Les altérations de données ou de programmes – La divulgation d ’informations confidentielles S ’assurer qu’il existe un document permettant de repérer les menaces Analyser la pertinence des menaces repérer S ’assurer qu’on a bien repérer les menaces les plus sérieuses
  • 65. MASNAOUI 65 Audit de la sécurité • Mesurer les impacts Identifier les types de menaces et les conséquences de ces incidents A partir des incidents recensés évaluer leur impact Etablir une cartographie du système d ’information et des risques associés Il est alors possible de construire un ou plusieurs scénarios d ’agression et d ’évaluer les points de vulnérabilité Apprécier l ’efficacité des dispositifs de sécurité en place Evaluer les impacts d ’incidents graves sur le fonctionnement de l ’entreprise et les conséquences patrimoniales
  • 66. MASNAOUI 66 Audit de la sécurité • Définition des parades Face à chaque risque important il est nécessaire d ’identifier les parades possibles C ’est un moyen très efficace de diminuer le niveau des risques de l ’entreprise Type de parades possibles : – Prévention : identification à l ’accès – Dissuasion : piste d ’audit – Détection : contrôle d ’accès – Protection : plan de secours Mais la meilleure parade reste l ’audit Apprécier les différentes parades mises en oeuvre et leur impact sur le niveau de sécurité Evaluer les risques qui ne sont pas ou qui sont mal couverts
  • 67. MASNAOUI 67 Audit de la sécurité • Exemples de missions d ’audit Audit de la sécurité d ’une application client-serveur Evaluation de la sécurité d ’un centre d ’exploitation
  • 68. MASNAOUI 68 Audit de la sécurité • Audit de la sécurité d ’une application client-serveur La mise en place d ’une nouvelle application du type client- serveur fait apparaître différents incidents d ’exploitation L ’analyse montre qu’ils ne sont pas dus à des fragilités du logiciel de base mais au faible respect des consignes de sécurité L ’organisation de la sécurité laisse à désirer et notamment la politique des mots de passe n ’est pas respectée Définir une politique de gestion des mots de passe et la faire appliquer Mettre en place un logiciel de surveillance du réseau permettant de suivre les incidents Former le personnel à l ’application des consignes de sécurité
  • 69. MASNAOUI 69 Audit de la sécurité • Evaluation de la sécurité d ’un centre d ’exploitation La direction générale demande d ’évaluer la politique de sécurité du service d ’exploitation Le service est doté d ’une politique de sécurité et elle est appliquée Les procédures en place sont efficaces Par contre les responsabilités ne sont pas clairement définies notamment en ce qui concerne la gestion des bases de données Définir de manière précise les responsabilités des utilisateurs Elargir le domaine d ’action du responsable de la sécurité Nommer un administrateur de bases de données
  • 70. MASNAOUI 70 1. Notions de base de l ’audit des SI 2. Présentation de 3 domaines d ’Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Sécurité 3. Conduite d ’une mission d ’audit
  • 71. MASNAOUI 71 Plan • Les 6 phases de la mission d’audit informatique Définition de la mission : Etablissement de la lettre de mission La planification de la mission La collecte des faits, la réalisation de tests,... Entretiens avec les audités Rédaction du rapport final, Présentation et discussion de ce rapport • Faut-il un rapport ? • Le rapport d’audit : la conception, la rédaction, la présentation • L’établissement des recommandations opérationnelles • Le suivi des recommandations • Comment améliorer la qualité de la démarche
  • 72. MASNAOUI 72 Les six phases de la mission • L’audit informatique comme tout audit se fait en six phases : Définition de la mission : – Périmètre de la mission – Etablissement de la lettre de mission La planification de la mission La collecte des faits, la réalisation de tests,... Entretiens avec les audités Rédaction du rapport final, Présentation et discussion de ce rapport • La durée de chaque phase est variable selon la nature des questions et leur complexité
  • 73. MASNAOUI 73 1 - Définition de la mission : Périmètre de la mission REVUE DES CONTRÖLES GENERAUX INFORMATIQUES A UDIT : A PPLICATIONS I NFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION A UDIT : A LIGNEMENT S TRATEGIQUE A UDIT : F ONCTION I NFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développement du SI A UDIT : P ROJETS I NFORMATIQUES A UDIT : Sécurité et Réseaux Exploitation du SI
  • 74. MASNAOUI 74 Objectif: S ’assurer que l ’informatique est sous contrôle Principaux objectifs de contrôle: Stratégie informatique : pilotage des SI, schéma directeur,orientation stratégiques, plan à court Fonction informatique: positionnement, rôle, organisation et règles de contrôle (séparation des tâches) Projets informatiques: démarche de mise en œuvre, délai, planification, pilotage des projets, relation Maîtrise d’ouvrage / maîtrise d’œuvre Performance du système d ’information: disponibilité, portefeuille des bug, versioning, help desk, assistance utilisateurs Sécurité du système d ’information: sauvegarde, plan de continuité Relation avec les fournisseurs: contrats de maintenance, Livrable: Une appréciation globale du système d ’information et évaluation des risques génériques liés à l ’environnement informatique de l ’entreprise. Plan de recommandation et audit des risques spécifiques accrus REVUE DES CONTRÖLES GENERAUX INFORMATIQUES REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développemen t du SI Exploitati on du SI AUDIT : PROJETS INFORMATIQUES
  • 75. MASNAOUI 75 Objectif: Auditer la coincidance de la stratégie système d ’information avec la ou les stratégies métiers de l ’entreprise afin de renforcer la valeur d ’usage du SI. Principaux objectifs de contrôle: Processus de planification stratégique a moyen et long terme: stratégie métiers, schéma directeur informatique (projets et budget investissements) Évaluation du schéma directeur: suivi des réalisations, planification, surveillance des budgets et des délais Pilotage et décision: organe de suivi et de contrôle, organes de décision et d’arbitrage, système de reporting sur l ’avancement des projets informatiques Orientations technologiques et architecture fonctionnelle: adéquation, évolutivité, opportunité, niveaux de sécurité Choix de la solution informatique: démarché de choix (cahier des charges et consultations), adéquation avec les besoins de l ’entreprise,contractualisation Livrable: Identification du niveau d ’alignement du SI à la stratégie de l ’entreprise Mesure Plan de recommandation et audit spécifique des risques accrus AUDIT : ALIGNEMENT STRATEGIQUE REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développemen t du SI Exploitati on du SI AUDIT : PROJETS INFORMATIQUES
  • 76. MASNAOUI 76 Objectif: Auditer la coincidance la stratégie système d ’information sur la ou les stratégies métiers de l ’entreprise afin de renforcer la valeur d ’usage du SI. Principaux objectifs de contrôle: Rôle et positionnement de l ’informatique dans l ’entreprise : rattachement à la DG,, relation avec la maîtrise d ’ouvrage, comités informatiques Mesure et suivi de la performance: existence d ’objectif et d ’indicateurs pertinents de mesure de la performance, existence des contrats de service informatique (SLA), baromètre de satisfaction, tableaux de bord informatiques Organisation et structure de la fonction informatique: séparation des tâches, rôle et missions de chaque entités, adéquation des effectifs et des compétences avec les besoins de l ’entreprise Procédures et méthodes: règles de gestion, niveau de contrôle internes, méthodes de gestion des projets, gestion de la documentation Outsourcing: relation avec les prestataires de service, contrats, risque juridique et informatiques Livrable: Une évaluation des risques potentiels liées à la fonction informatique. Plan de recommandation de maîtrise de la fonction informatique AUDIT : FONCTION INFORMATIQUE REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développemen t du SI Exploitati on du SI AUDIT : PROJETS INFORMATIQUES
  • 77. MASNAOUI 77 Objectif: Auditer l ’organisation et le pilotage de la fonction informatique Principaux objectifs de contrôle: Définition des projets: objectifs du projets, le périmètre, les interactions avec d ’autres projets, moyens humains et techniques, les délais, le budget, Structure de gestion des projets: maîtrise d ’ouvrage, maîtrise d ’œuvre, organe de suivi et de pilotage du projet, efficience des organes de décision, Planification du projet: planning directeur du projet, tableau de bord du projet,plan de charge, identification des dépassements et anticipation des blocages et des dérapages de délais Démarche de gestion de projet et plan d ’assurance qualité : livrables du projets, validation des livrables, documentation Processus d ’homologation et de tests: plan de test, PV de validation de tests Conduite de changement: évaluation des changements, plan de communication, plan de formation,reprise des données Livrable: Identification des risques projets des causes de dysfonctionnements Mesures clés pour la réussite et l ’aboutissement des projets informatiques AUDIT : PROJETS INFORMATIQUES REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développemen t du SI Exploitati on du SI AUDIT : PROJETS INFORMATIQUES
  • 78. MASNAOUI 78 Objectif: Auditer l ’adéquation des applications informatiques aux exigences des utilisateurs et au standards d ’exploitation Principaux objectifs de contrôle: Performance des applications informatiques: existence de contrats de service avec les utilisateurs, disponibilité du système, continuité de service Conformité aux normes de sécurité et aux règles de contrôle interne: gestion des accès: identification et authentification, Help desk et assistance utilisateurs: intervention de maintenance, indicateurs de performance ( portefeuille de bug, délai de réponse et délai de prise en charge) Gestion des incidents et des demandes d’évolution: versioning, évolutivité par rapport aux besoins des utilisateurs, Livrable: Une identification de l ’adéquation des applications aux besoins et aux exigences d ’exploitations des utilisateurs Plan de recommandation et audit spécifique des risques accrus AUDIT : APPLICATIONS INFORMATIQUES REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développemen t du SI Exploitati on du SI AUDIT : PROJETS INFORMATIQUES
  • 79. MASNAOUI 79 Objectifs: Faire converger le système d ’information avec les objectifs stratégiques de l ’entreprise Assurer la gestion intégrée et cohérente du SI, Préparer le SI à intégrer et à maîtriser les changements progressifs qui se feront dans l ’entreprise Points clés de la démarche: Formaliser les axes stratégiques de l ’entreprises: orientations métiers et SI, alignement SI, opportunités technologique Établir les cartographies existantes: métiers, fonctionnelles, applicatives et techniques du système d ’information selon un découpage Zone, quartier, ilot Établissement du plan de convergence: concevoir les cartographies cibles: métiers, fonctionnelles, applicatives et techniques Livrable: Alignement stratégique métier/ SI cartographie existantes et cibles: Métiers, fonctionnelles, applicatives, techniques Plan de convergence à mettre en œuvre URBANISATION DU SYSTEME D ’INFORMATION REVUE DES CONTRÖLES GENERAUX INFORMATIQUES AUDIT : APPLICATIONS INFORMATIQUES URBANISATION DU SYSTEME D ’INFORMATION AUDIT : ALIGNEMENT STRATEGIQUE AUDIT : FONCTION INFORMATIQUES Choix et orientation du système d ’information Mise en œuvre et développemen t du SI Exploitati on du SI AUDIT : PROJETS INFORMATIQUES
  • 80. MASNAOUI 80 1 - Définition de la mission : Etablissement de la lettre de mission • Partir des attentes du demandeur d’audit • Ne pas hésiter à passer du temps à bien les comprendre • C’est pas toujours claire dans leur tête, c’est d’ailleurs pour cela qu’ils demandent un audit • Si c’est nécessaire faire un pré-diagonstic • Etablir une liste des questions • Faire une lettre de mission (C’est un mandat au sens du Code Civil) • Souvent il faut rédiger la lettre de mission
  • 81. MASNAOUI 81 2 - Planification de la mission : le choix de la démarche • Il faut dès le départ annoncer la démarche suivie • Pour l’auditeur externe rôle de la proposition • Pour l’auditeur interne rôle du plan d’audit • Il faut détailler le programme de travail • Prévoir suffisamment à l’avance la collecte des faits et les tests à organiser (délais souvent longs) • Savoir limité le nombre des entretiens (c’est un très gros consommateur de temps et de délais) • Une mission d’audit insuffisamment préparée est une mission à risque
  • 82. MASNAOUI 82 3 - La collecte des faits, la réalisation des tests,... • L’auditeur ne doit prendre en compte que les faits et il doit se méfier des opinions • On ne peut pas se contenter des «dires» des audités, il faut se baser sur des faits • On s’organise pour trouver les faits dont on a besoin : Les tests, les jeux d’essais,… Les mesures de performances (temps de réponses...) Les incidents d’exploitation, les anomalies, les erreurs, les bugs,… …. • Les faits, rien que les faits, tous les faits • La mission, toute la mission, rien que la mission • Importance de la collecte de faits significatifs et si on a du mal à les obtenir nécessité d’effectuer des tests
  • 83. MASNAOUI 83 4 - Entretiens avec les audités • Au contraire, spontanément les auditeurs se méfient des faits et ils ont tendance à préférer les opinions • Au cours des entretiens, ne pas se disperser. Cibler les questions • Se méfier des check-lists. Avoir une liste de thèmes • Ne pas prendre parti dans les déclarations des audités • Evaluer avec prudence les « dires » • On n’instruit pas « à charge et à décharge » • La lettre de mission vous donne un mandat. Vous représentez le demandeur d’audit • Eviter les validations d’entretiens (temps, qualité,…) • Le nombre d’entretiens est une variable importante expliquant la durée de l’opération et la charge de travail
  • 84. MASNAOUI 84 5 - Faut-il un rapport ? • Il existe une curieuse mode consistant à ne pas remettre de rapport d’audit • De nombreux arguments : C’est long à faire Les décideurs n’ont pas le temps de le lire Il ne sert à rien … • Il serait préférable de faire une présentation PowerPoint • C’est une grave erreur • Il faut les deux : le rapport et la présentation
  • 85. MASNAOUI 85 5 - Le rapport d’audit : la conception, la rédaction, la présentation • Le rapport d’audit est un document de référence • Importance de définir à qui il est destiné et comment il sera diffusé • Commencer à le rédiger à partir de la moitié de la mission. Sur une mission de deux mois dès la fin du 1er mois • Le corps du rapport doit, dans la mesure du possible, être traité dans l’ordre des questions d’audit se trouvant dans la lettre de mission • Les recommandations doivent être classées en mesures à court terme, à moyen terme et à long terme • Faire une synthèse en 2 pages (plus souvent 4)
  • 86. MASNAOUI 86 Quelques conseils de rédaction du rapport d’audit • Etre pédagogique, expliquer les termes et les concepts utilisés • Eviter les accumulations de faits ou de remarques sans qu’apparaisse la structure d’ensemble • Faire des synthèses et des récapitulations • Ne pas porter de jugement de valeur • L’auditeur base ses appréciations sur des référentiels largement reconnus • S’il n’y a pas de référence ou si la doctrine est incertaine, il faut le signaler et dans ce cas jouer un rôle de conseil • Si on demande à l’auditeur des jugements de personne, on doit s'interdire de le faire par écrit • Faite attention à la forme et au style
  • 87. MASNAOUI 87 L’établissement des recommandations opérationnelles • Il faut des mesures concrètes et faciles à mettre en oeuvre • Il faut distinguer les recommandations : A court terme, c’est-à-dire qui peuvent être mise en place sans délai et sans investissement A moyen terme, c’est-à-dire demandant des études complémentaires A long terme, qui demandent des investissements lourds ou la remise en cause des politiques antérieures • On attend de ces recommandations des progrès significatifs et substantiels
  • 88. MASNAOUI 88 6 - Présentation et discussion du rapport • Il faut organiser des présentations du rapport d’audit pour Le (ou les demandeurs) d’audit Le management de l’informatique Le service informatique (encadrement ou toute l’équipe) • Dix à quinze de slides pas plus (20 à 30 minutes) • Communiquez sur l’essentiel • Vendre les recommandations en mettant en avant 4 à 6 mesures « emblématiques » • Ne pas « négocier» le contenu de la présentation (ni du rapport, ni des recommandations)
  • 89. MASNAOUI 89 Bâtir un plan d’action • La liste des recommandations ne fait pas un plan d’action • Un certain nombre d’opérations complémentaires sont nécessaires : Sélectionner les mesures et les hiérarchiser Approfondir et compléter les actions Effectuer des analyses complémentaires Fixer les responsabilités …. • Le plan d’action doit être validé par le management (Comité de Direction, Comité de Pilotage, Commission informatique,…) • Souvent des spécifiques moyens doivent lui être affectés
  • 90. MASNAOUI 90 Le suivi des recommandations et du plan d’action • Il est nécessaire de mettre en place un dispositif de suivi des recommandations et du plan d’action • L’expérience montre que si on ne met pas en place un suivi des recommandations, elles ne sont pas appliquées, ou du moins on applique que celles qui ne posent pas de problèmes et les autres sont laissées à leur triste sort • Il est donc nécessaire de mettre en place un suivi des mesures choisies • Faire un point périodique sur le degré de mise en place des recommandations (tous les 3 ou tous les 6 mois) • L’efficacité des audits informatiques se joue en partie sur la mise en place d’un suivi
  • 91. MASNAOUI 91 Comment améliorer la qualité de la démarche ? • Un ordre de mission claire identifiant le demandeur d’audit • Des points d’échange réguliers avec le demandeur d’audit • Annoncer au départ la démarche qui sera suivie • Manifester son indépendance notamment lors des entretiens • Refuser les tentatives d’élargissement de la mission • Bétonner par des faits, des analyses… • Se méfier des ragots, des bruits, des on-dits,… • Ne pas tirer sur tout ce qui bouge • Etre positif : dire ce qui marche,… • Faire des recommandations professionnelles
  • 92. MASNAOUI 92 Bibliographie • www.afai.asso.fr • www.isaca.org et surtout knet • CobiT • La Revue Audit et Conseil en Technologies de l’Information (Revue de l’AFAI) • The Information Systems Control Journal (Revue de l’ISACA) ISACA - Bookstore • CISA Review Technical Information Manuel ISACA • Information Technology Control and Audit (Gallegos, Manson, Allen-Senft - ISACA)
  • 93. MASNAOUI 93 MERCI POUR VOTRE ATTENTION