SlideShare une entreprise Scribd logo
CISA
Exploitation, Entretien et
 Soutien des Systèmes
     d’Information
Objectifs
   A la fin de cette leçon ,vous serez capable de :

   Évaluer les pratiques de gestion de niveau de services pour s’assurer que
    les niveaux de services des fournisseurs internes et externes sont définis et
    gérés.
   Evaluer la gestion des opération des SI pour s’assurer que les fonctions de
    support des TI sont alignées aux besoins de l’entreprise.
   Evaluer les pratiques d’administration des données pour s’assurer de
    l’intégrité et de l’optimisation des bases de données de l’organisation.
   Evaluer les pratiques de gestion des changement, de gestion de la
    configuration et de gestion des versions pour fournir l’assurance que les
    changement apportés à l’environnement de production de l’organisation
    sont bien contrôlés et documentés.
   Evaluer les pratiques de gestion des problèmes et de gestion des incidents
    pour fournir l’assurance que les incidents et problèmes sont enregistrés,
    analysés et résolus en temps opportun.
Opérations des SI
    Gestion des opérations des SI
 Attribution des ressources : S’assurer que les
  ressources nécessaires sont disponibles pour
  effectuer les activités prévues par les fonctions
  des SI.
 Normes et procédures : Etablir les normes et les
  procédures nécessaires pour toutes les opérations
  et conformité avec les stratégies et les politiques
  globales de l’entreprise.
 Contrôle des processus : Surveiller et mesurer
  l’efficience des processus d’opération des SI pour
  que ces processus soient améliorés dans le
  temps
Opérations des SI
     Gestion des services des TI
   Bureau de service
   Gestion des incidents
   Gestion des problèmes
   Gestion de la configuration
   Gestion des changements
   Gestion des versions
   Gestion des niveaux de service
   Gestion financière des TI
   Gestion des capacités
   Gestion de la continuité des services de TI
   Gestion de la disponibilité
Opérations des SI
    Vérification du niveau de service
 Rapport d’exception : rapport automatisé énumérant toutes
  les applications ne s’étant pas terminé avec succès ou
  n’ayant pas fonctionné convenablement.
 Journaux de système et d’application : journaux générés
  par divers systèmes et applications fournissant des
  informations concernant les activités effectuées et les
  évènements anormaux.
 Rapport sur les problèmes de l’opérateur : rapport manuel
  utilisé par les opérateurs pour consigner les problèmes liés
  aux opérations informatiques et leurs solutions.
 Horaires de travail des opérateurs : horaires habituellement
  définis par le groupe de gestion des SI pour aider à planifier
  les ressources humaines.
Opérations des SI
    Infrastructure des opérations
   L’exécution et la surveillance des tâches prévues
   La sauvegarde de copies de secours en temps opportun
   La surveillance des intrusions non autorisées et de
    l’utilisation des données sensibles
   La surveillance et la vérification de l’étendue de la
    conformité aux procédures d’opération des TI, telles
    qu’établies par la gestion des SI de l’entreprise.
   La participation au test des plan de reprise après sinistre
   La surveillance de la performance, de la capacité, de la
    disponibilité et de l’échec des ressources
    informationnelles;
   La gestion du dépannage et des incidents
Opérations des SI
    Surveillance de l’utilisation des ressources
   Gestion des incidents : Améliore la continuité des
    services grâce à la réduction ou l’élimination des
    nuisances causées par les perturbations des services
    des TI. Les étapes sont la détection, la classification,
    l’assignation aux spécialistes, la résolution et la
    fermeture des dossiers d’incidents.
   Gestion des problèmes : Vise à résoudre les problèmes
    par l’enquête et l’analyse en profondeur d’un incident
    majeur ou de plusieurs incidents de nature similaire afin
    d’en identifier la cause principale. L’une des méthodes
    d’analyse est le développement d’un diagramme
    Ishikawa grâce à des séances de brainstorming par les
    parties concernées.
Opérations des SI
          Centre d’assistance
 Documenter les incidents des utilisateurs et
  débuter le processus de résolution de problème
 Prioriser les problèmes et les faire suivre au
  personnel des TI adéquat, ou les transmettre à la
  gestion des TI au besoin
 Effectuer un suivi des incidents non résolus
 Conclure les incidents résolus, en notant
  l’autorisation de clore l’incident obtenue auprès de
  l’utilisateur
Opérations des SI
Processus de gestion des modifications
   La documentation des systèmes, opérations et programmes est
    complète, à jour et en conformité avec les normes établies;
   Les instructions de préparation de travaux, d’ordonnancement et
    d’opération ont été établies;
   Les résultats de test des systèmes et des programmes ont été
    examinés et approuvés par le service de gestion des utilisateurs et les
    responsables du projet;
   La conversion des fichiers de données, lorsque cela s’avère nécessaire,
    a été effectuée de façon rigoureuse et complète, comme en fait foi
    l’examen et l’approbation par le service de gestion des utilisateurs;
   Tous les aspects de la livraison des travaux ont été testés, examinés et
    approuvés par le personnel de contrôle et des opérations;
   Les risques d’impacts négatifs sur les opérations de l’entreprise sont
    examinés et un plan de retour en arrière est mis en place afin d’annuler
    les modifications si cela s’avère nécessaire
Opérations des SI
         Gestion des versions
 Versions majeures : Contient habituellement un
  changement important ou un ajout de nouvelles
  fonctionnalité et surpasse habituellement toutes
  les mises à niveau mineures précédentes.
 Versions mineures : Mises à niveaux comportant
  habituellement de petites améliorations et
  corrections et surpasse habituellement toutes les
  versions d’urgence précédentes.
 Versions d’urgence (patch) : Contient
  habituellement la correction d’un petit nombre de
  problèmes connus afin de prévenir une
  interruption des fonctions critiques de l’entreprise.
Opérations des SI
        Planification de versions
   L’obtention d’un consensus sur le contenu de la
    versions;
   L’entente sur la stratégie de sortie
   La production d’un échéancier de haut niveau pour la
    version
   La planification des niveaux de ressources
   L’entente sur les rôles et responsabilités de chacun
   La production des plans de retrait
   Le développement d’un plan de qualité pour la version
   L’acceptation de la planification par les groupes de
    soutien et le client
Opérations des SI
       Assurance de la qualité
 Le personnel d’assurance de la qualité vérifie que
  les modifications au systèmes sont autorisées,
  testées et implantées de façon contrôlée avant
  d’être introduite dans l’environnement de
  production.
 A l’aide de logiciel de bibliothèque, le personnel
  d’assurance qualité supervise également la
  maintenance appropriée des versions du
  programme et du code source pour en vérifier
  l’intégrité.
Opérations des SI
Gestion de la sécurité de l’information
   Evaluation des risques portant sur les actifs
    informationnels;
   Analyse des répercussions sur les opérations
    (BIA);
   Mise en place des politiques, procédures et
    normes liées à la sécurité de l’information;
   Evaluation régulière de la sécurité
   Mise en place d’un processus de gestion des
    vulnérabilités.
Opérations des SI
 Nettoyage des supports de données
 Identifier les types de supports utilisés pour le
  stockage de l’information
 Cibler les techniques de nettoyage pour les
  supports approuvés en fonction du niveau de
  sensibilité de l’information et des exigences de
  protection.
Structure matérielle des SI
    Composantes et architectures
   Composantes de traitement : L’unité centrale de
    traitement est la composante centrale d’un
    ordinateur et est composé d’une unité
    arithmétique et logique, d’une unité de contrôle
    et d’une mémoire interne.
   Composantes d’entée-sortie : servent à
    transmettre les instructions ou informations à
    l’ordinateur ainsi qu’à afficher ou enregistrer les
    sorties générées par l’ordinateur.
Structure matérielle des SI
          Type d’ordinateurs
   Superordinateurs
   Ordinateurs centraux
   Serveurs haut de gamme et milieu de gamme
   Ordinateurs personnels
   Ordinateurs clients légers
   Ordinateurs bloc-notes ou portatifs
   Téléphones intelligents et ANP
Structure matérielle des SI
Dispositifs dorsaux communs pour les entreprises
   Serveur d’impression
   Serveur de fichiers
   Serveur d’application
   Serveur Web
   Serveur mandataires (Proxy)
   Serveur de base de données
   Serveur monofonctionnels
       Coupe-feu
       Système de détection d’intrusion
       Système de prévention d’intrusion
       Commutateurs
       Routeurs
       Réseau privé virtuel
       Equilibreur de charges
Structure matérielle des SI
               Bus USB
   Norme de bus série pour relier des appareils à un hôte.
   Conçue pour permettre le branchement de plusieurs
    périphériques à une interface de connexion unique et
    pour améliorer les capacités de branchement à chaud;
   Permet d’alimenter en énergie des appareils à faible
    consommation d’énergie sans recourir à une source de
    courant externe;
   Permet d’utiliser de nombreux appareils sans devoir
    installer de pilotes propres au fabricant pour chacun
    d’eux.
Structure matérielle des SI
          Bus USB - Risques
   Virus et autres logiciels malveillants

   Vol de données

   Perte de données et du support

   Corruption des données

   Perte de confidentialité
Structure matérielle des SI
Bus USB – Contrôle de sécurité
   Chiffrement
   Contrôle granulaire
   Eduquer le personnel de sécurité
   Faire respecter la politique de verrouillage des
    ordinateurs
   Mettre à jour la politique antivirus
   Utiliser uniquement des appareils sécurisés
   Inscrire vos coordonnées
Structure matérielle des SI
Identification par radiofréquence
   RFID se sert des ondes radio pour identifier des objets
    étiquetés dans un rayon limité.
   L’étiquette consiste en une puce et une antenne.
   La puce emmagasine l’information ainsi qu’une
    identification du produit.
   L’antenne constitue l’autre partie de l’étiquette, laquelle
    transmet l’information au lecteur RFID
   Plusieurs applications :
       Gestion des actifs
       Suivi
       Vérification de l’authenticité
       Correspondance
       Contrôle des processus
    
        Contrôle d’accès
       Gestion de la chaîne d’approvisionnement
Structure matérielle des SI
           RFID – Risques
   Risque pour les processus d’entreprise

   Risque pour les renseignements d’entreprise

   Risque pour la confidentialité

   Risque pour l’externalité
Structure matérielle des SI
      RFID - Contrôle de sécurité
   Administratif : Supervision de la sécurité du système
    RFID;

   Opérationnel : Actions effectuées quotidiennement par
    les administrateurs et utilisateurs du système;

   Technique : Recours à la technologie pour surveiller et
    restreindre les actions pouvant être effectuées au sein
    du système.
Structure matérielle des SI
    Programme de maintenance du matériel
   Renseignements fiables relatifs à l’entreprise de
    service pour chaque matériel qui requiert un
    entretien
   Programme formel d’entretien approuvé par la
    direction;
   Coûts d’entretien
   Historique des entretiens effectués (planifiés,
    non planifiés, effectués et exceptionnels)
Structure matérielle des SI
Procédures de surveillance du matériel
 Rapports de disponibilité : Indiquent les périodes
  durant lesquelles l’ordinateur fonctionne et qu’il est à
  la disposition des utilisateurs ou d’autres processus.
 Rapports d’erreur du matériel : Montrent les
  défaillances de l’UCT, des E/S, de l’alimentation et du
  stockage.
 Rapports d’utilisation : Informent sur l’utilisation de
  la machine et de ses périphériques.
 Rapports de gestion des actifs : Font état de
  l’inventaire des équipements branchés au réseau
  comme les PC, serveurs, routeurs et autres appareils.
Structure matérielle des SI
          Gestion de la capacité
   Planification et suivi des ressources informatiques et de
    réseau pour garantir que les ressources disponibles sont
    utilisées de façon efficace.
   Tient compte des prévisions dictées par les expériences
    antérieures tout en prenant en considération la
    croissance de l’entreprise et les agrandissements futurs.
   Les renseignements suivants sont essentiels :
       L’utilisation de l’UCT
       L’utilisation de la capacité de stockage de l’ordinateur
       L’utilisation des télécommunications, du réseau local et de la largeur de bande
        du réseau étendu
       L’utilisation des canaux d’E/S
       Le nombre d’utilisateurs
       Les nouvelles technologies disponibles
       Les nouvelles applications disponibles
       Les SLA
Architecture et logiciels des SI
       Système d’exploitation
   Traitement des interruptions
   Création et destruction de processus
   Commutation de l’état de processus
   Répartition
   Synchronisation du processus
   Communication interprocessus
   Soutien des processus d’E/S
   Allocation de la mémoire
Architecture et logiciels des SI
    Système de gestion de base de données
   L’indépendance des données pour les systèmes d’applications
   La facilité de support et la flexibilité à satisfaire les exigences
    relatives aux modifications des données
   L’efficience du traitement des transactions
   La réduction de la redondance des données
   La capacité d’optimiser la cohérence des données
   La capacité de minimiser les coûts de maintenance grâce au
    partage des données
   L’occasion de mettre en œuvre les normes liées aux données ou
    à la programmation
   L’occasion de mettre en œuvre la sécurité des données
   La disponibilité des vérifications de l’intégrité des données
    stockées
   La facilitation de l’accès ponctuel des utilisateurs aux données
Architecture et logiciels des SI
    Système de gestion de base de données
   Dictionnaire des données
   Modèle de base :
    
        Hiérarchique
    
        Réseau
    
        Relationnelle
   Contrôles de la base de données
       Etablissement de mise en œuvre de normes
       Etablissement et implantation de procédures de sauvegarde et
        de récupération
    
        Etablissement des niveaux de contrôles d’accès
    
        Etablissement de contrôles afin de garantir l’exactitude,
        l’exhaustivité et la cohérence des données
    
        Utilisation de points de contrôle de base de données
    
        …
Architecture et logiciels des SI
                   Programmes utilitaires
   Cinq domaines fonctionnels :
    
        La compréhension des systèmes d’applications
    
        L’évaluation de la qualité des données
    
        Les tests de programmes
    
        L’assistance à la conception rapide de programmes
    
        L’amélioration de l’efficience opérationnelle
   Utilitaires sur PC
    
        Vérification, nettoyage et défragmentation de disques
    
        Définition de normes du système de fichiers
    
        Initialisation des volumes de données
    
        Sauvegarde et restauration des images du système
    
        Reconstruction ou restauration des fichiers effacés
    
        Test des unités et périphériques du systèmes
    
        …
Architecture et logiciels des SI
        Licences de logiciels
   Centralisation du contrôle et de l’installation des logiciels
   Restriction des disques durs et ports USB sur les PC
   Installation de logiciels de comptage sur le réseau local
   Utilisation des licences Site (fonction du nombre
    d’utilisateur plutôt que d’un utilisateur ou d’une machine
    en particulier)
   Utilisation de licences d’utilisation concurrente (fonction
    du nombre d’utilisateur accédant au logiciel au même
    moment)
   Examen régulier des PC utilisateurs
Infrastructure du réseau des SI
         Type de réseau
   Réseaux personnels (PAN)

   Réseau locaux (LAN)

   Réseaux étendus (WAN)

   Réseaux métropolitains (MAN)

   Réseaux de stockage (SAN)
Infrastructure du réseau des SI
        Services réseau
   Système de fichiers réseau
   Services de courriel
   Services d’impression
   Services d’accès à distance
   Services d’annuaire
   Gestion du réseau
   Protocole DHCP
   Système de nom de domaine (DNS)
Infrastructure du réseau des SI
Architecture du modèle de référence OSI
             Couche d’application

            Couche de présentation

              Couche de session

             Couche de transport

               Couche réseau

             Couche de liaison de
                  données

               Couche physique
Infrastructure du réseau des SI
                 Média de transmission
Cuivre          Utilisé pour de courtes              Bon marché                          Facile à mettre sous écoute
                distances (< 60 mètres)              Simple à installer                  Facile à raccorder
                Soutien la voix et les données       Facile à se procurer                Diaphonie
                                                     Simple à modifier                   Perturbation
                                                                                         Bruit

Câble coaxial   Soutient les données et les          Facile à installer                  épais
                vidéos                               Simple                              Cher
                                                     Facile à se procurer                Ne soutien pas beaucoup de LAN
                                                                                         Sensible à distance
                                                                                         Difficile à modifier

Fibre optique   Utilisé pour les longues distances   Grande capacité de bande            Cher
                Soutient les données vocales, les    passante                            Difficile à raccorder
                images et les vidéos                 Sécuritaire                         Difficile à modifier
                                                     Difficile à mettre sous écoute
                                                     Pas de diaphonie
                                                     Plus petit et léger que le cuivre


Systèmes de     Utilisé pour de courtes distances    Bon marché                          Facile à mettre sous écoute
radio                                                                                    Perturbation
communication                                                                            Bruit
Réseaux         Ligne de vision d’onde porteuse      Bon marché                          Facile à mettre sous écoute
hertziens       pour les signaux de données          Simple à installer                  Perturbation
                                                     Disponible                          Bruit
Faisceaux       Utilise les transporteurs pour       Grande bande passante et            Facile à mettre sous écoute
hertziens par   envoyer l’information                différentes fréquences              Perturbation
satellite                                                                                Bruit
Infrastructure du réseau des SI
     Composantes du LAN
   Répéteurs
   Concentrateurs
   Ponts
   Commutateur de couche liaison de données
   Routeurs
   Passerelles
Infrastructure du réseau des SI
Audit des opérations et de l’infrastructure
Plan de reprise après sinistre
            RPO et RTO
   L’OPR quantifie de façon efficace la quantité tolérable de
    données perdues en cas d’interruption.
   L’OTR est déterminé en fonction de la période d’arrêt
    acceptable en cas d’interruption des opérations.


                               Interruption
    Recovery Point Objective                  Recovery Time Objective




       1           1      1                      1  1        1
       Week       Day   Hour                   Hour Day     Week
Plan de reprise après sinistre
        Stratégie de reprise
   Centre de secours immédiat
   Centre de secours intermédiaire
   Salle blanche (ou vide)
   Centre de traitement informatique redondant
   Centre mobile
   Accord de réciprocité avec d’autres
    organisations
Plan de reprise après sinistre
        Méthodes de reprise
   Applications
    
        Grappe active-passive
    
        Grappe active-active
   Données
       RAID
   Réseaux de télécommunication
    
        Redondance
       Réacheminement
       Acheminement divers
       Diversité du réseau sur les longues distances
    
        Protection des circuits du dernier kilomètre
    
        Restauration de la voix
Plan de reprise après sinistre
Elaboration des plans de reprise
   Les procédures de déclaration d’un sinistre
   Les critères d’activation du plan
   Les liens avec les plans d’ensemble
   Les personnes responsables de chaque fonction du plan
   Les équipes de reprise et leurs responsabilités
   Les listes de coordonnées et de communication
   Les scénarios de reprise
   Le processus de reprise global
   Les procédures de reprise de chaque système
   Les coordonnées des fournisseurs importants
   La liste des ressources requises pour la reprise
Plan de reprise après sinistre
  Sauvegarde et restauration
 Quoi ?
  
      Définir les données à sauvegarder
 Comment ?
     Quel type de sauvegarde réaliser
 Quand ?
     Établir la périodicité
 Où ?
  
      Déterminer le support à utiliser
Plan de reprise après sinistre
     Sauvegarde et restauration
   Sauvegarde complète :
       Sauve l’ensemble des fichiers du disque dur, en un seul bloc.
       Souvent de très longue durée
       Oblige un temps de non utilisation du serveur
       Récupération très longue, surtout s’il faut chercher un seul fichier
   Sauvegarde incrémentale :
       Sauve seulement les fichiers modifiés depuis la dernière opération de
        sauvegarde, quelque soit son type.
       La récupération des fichiers implique une série de restaurations en
        remontant dans le temps jusqu’à sauvegarde complète du dossier.
   Sauvegarde différentielle :
       Sauve tous les fichiers modifiés depuis la précédente sauvegarde
        complète, indépendamment de leur modification.
       Le temps de sauvegarde peut être long et augmente à chaque
        sauvegarde.
    
Plan de reprise après sinistre
            Sauvegarde et restauration
          Prévoir un planning de sauvegarde, en fonction :
           
                 des données : OS, annuaires, données utilisateurs…
           
                 des disponibilités de la PR.
          Exemple de planning :
          En semaine 3, on utilise les bandes de la semaine 1 et
           en semaine 4, celles de la semaine 2
            L       M       M       J       V        S      D    L       M       M       J       V        S      D

Type       Diff.   Diff.   Diff.   Diff.   Diff.   Compl.       Diff.   Diff.   Diff.   Diff.   Diff.   Compl.

Bandes      L1     M1      M1       J1     V1      COMP1         L2     M2      M2       J2     V2      COMP2
Plan de reprise après sinistre
   Sauvegarde et restauration
Les bandes
     Les cartouches DAT, 4 & 8 mm, de 2GB à 1.3
      TB compressé
     Les cartouches DLT et SuperDLT, de 15 GB à
      2,4TB compressé.
 Les disques durs
  
      NAS (Network Attached Storage)
  
      SAN (Storage Attached Network)
      • Les sauvegardes se font sur des disques durs
        implantés dans un serveur spécifique dédié.
      • L’administration se fait par interface web.
Remerciements
   Pour IBT ( Institute of Business and Technology)
   BP: 15441 Douala - Cameroun
   Par Arsène Edmond NGATO, CISA, CISM,
    PMP, OCP 10g/11g
   Téléphone- 99183886
   Email- arsenengato@yahoo.fr
   Sources : Manuel de préparation CISA 2012,
    Divers articles téléchargés sur Internet.
Question type examen
    Lequel des énoncés suivants constitue la MEILLEURE
     méthode pour déterminer le niveau de performance
     offert par d’autres installations similaires de traitement
     des données ?

A. La satisfaction de l’utilisateur
B. L’atteinte des objectifs
C. L’analyse comparative
D. La planification de la capacité et de la croissance
Question type examen
    Pour les systèmes critiques de mission ayant une faible
     tolérance à l‘interruption et un coût de rétablissement
     élevé, l’auditeur des SI devrait, en principe,
     recommander l’utilisation de laquelle des options de
     reprise suivante?


A. Un centre mobile
B. Un centre de secours intermédiaire
C. Une salle blanche
D. Un centre de secours immédiat
Question type examen
    Un département des TI universitaire et un bureau des services
     financiers ont conclu un accord de niveau de service (SLA) selon
     lequel la disponibilité doit dépasser 98% chaque mois. Le bureau
     des services financiers a analysé la disponibilité et a noté qu’elle
     dépassait 98% pour chacun des 12 derniers mois, mais que la
     moyenne était de seulement 93% lors de la fermeture de fin de
     mois. Laquelle des options suivantes constitue l’action la PLUS
     appropriée que le bureau des services financiers doit
     entreprendre ?


A. Renégocier l’accord
B. Informer le département des TI que l’accord ne répond pas aux
   exigences relatives à la disponibilité
C. Acquérir de nouvelles ressources informatiques
D. Rationaliser le processus de fermeture de fin de mois.
Question type examen
    Laquelle des méthodes suivantes est la PLUS efficace
     pour qu’un auditeur des SI puisse tester le processus de
     gestion des modifications apportées aux programmes ?

A. Le traçage de l’information générée par le système vers
   la documentation de la gestion des modifications
B. L’examen de la documentation de gestion des
   modifications pour vérifier l’exactitude
C. Le traçage de la documentation de la gestion des
   modifications vers une piste d’audit générée par le
   système
D. L’examen de la documentation de gestion des
   modifications pour vérifier l’intégrité.
Question type examen
    L’objectif principal de la planification de la capacité est
     de s’assurer que :

A. Les ressources disponibles sont pleinement utilisées
B. De nouvelles ressources dévouées aux nouvelles
   applications seront ajoutées au moment opportun
C. Les ressources disponibles sont utilisées de façon
   efficace et efficiente
D. Le pourcentage d’utilisation des ressources ne passe
   pas sous la barre de 85%.
Question type examen
    L’avantage PRINCIPAL de la normalisation de la base
     de données est :


A. La minimisation, dans les tables, de la redondance de
   l’information requise pour satisfaire les besoins des
   utilisateurs
B. La capacité de répondre à plus de requêtes
C. L’optimisation de l’intégrité de la base de données en
   fournissant de l’information dans plus d’une table
D. La minimisation du temps de réponse grâce au
   traitement plus rapide de l’information
Question type examen
    Lequel des points suivants permettrait à une entreprise
     d’étendre son intranet à ses partenaires commerciaux à
     l’aide d’Internet ?

A. Réseau privé virtuel
B. Client-serveur
C. Accès par ligne commuté
D. Fournisseur de services de réseau
Question type examen
    La classification d’une application logicielle en fonction
     de sa criticité dans le cadre d’un plan de continuité des
     opérations de SI est déterminée par :

A. La nature de l’entreprise et la valeur de l’application pour
   l’entreprise
B. Le coût de remplacement de l’application
C. Le soutien offert par le fournisseur relativement à
   l’application
D. Les menaces et vulnérabilités associées à l’application.
Question type examen
    Lors de la réalisation d’un audit concernant la sécurité
     de la base de données client-serveur, l’auditeur du
     secteur des SI doit être SURTOUT informé de la
     disponibilité des éléments suivants :


A. Les installations du système
B. Les générateurs de programmes d’applications
C. La documentation traitant de la sécurité des systèmes
D. L’accès aux procédures stockées
Question type examen
    Lors de la revue du réseau utilisé pour les
     communications Internet, un auditeur du secteur des SI
     doit D’ABORD vérifier :

A. La validation des occurrences de modification des mots
   de passe
B. L’architecture de l’application client-serveur
C. L’architecture réseau et la conception
D. La protection des coupe-feux et les serveurs
   mandataires
Question type examen
    Un auditeur des SI doit être impliqué dans :

A. L’observation des test de plan de reprise après sinistre
B. Le développement du plan de reprise après sinistre
C. Le maintien du plan de reprise après sinistre
D. L’examen des exigences de reprise après sinistre
   relatives aux contrats avec les fournisseurs
Question type examen
    La période nécessaire au rétablissement des fonctions
     de traitement de l’information repose sur :

A. La criticité des processus touchés
B. La qualité des données traitées
C. La nature du sinistre
D. Les applications centrales

Contenu connexe

Tendances

Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
Ammar Sassi
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
hpfumtchum
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
Franck Franchin
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
Arsène Ngato
 
Système d'Information (S.I.) dans l’entreprise
Système d'Information (S.I.) dans l’entrepriseSystème d'Information (S.I.) dans l’entreprise
Système d'Information (S.I.) dans l’entreprise
Communauté d'agglomération du Pays de Grasse
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'information
Oumaima Karim
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Le système d’information de l’entreprise
Le système d’information de l’entrepriseLe système d’information de l’entreprise
Le système d’information de l’entreprise
Lee Schlenker
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
PRONETIS
 
Mise en-place-d-une-gestion-electronique-de-document
Mise en-place-d-une-gestion-electronique-de-documentMise en-place-d-une-gestion-electronique-de-document
Mise en-place-d-une-gestion-electronique-de-document
Cyrille Roméo Bakagna
 

Tendances (20)

Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Controle interne
Controle interneControle interne
Controle interne
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Système d'Information (S.I.) dans l’entreprise
Système d'Information (S.I.) dans l’entrepriseSystème d'Information (S.I.) dans l’entreprise
Système d'Information (S.I.) dans l’entreprise
 
Les systèmes d'information
Les systèmes d'informationLes systèmes d'information
Les systèmes d'information
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Audit des projets informatiques
 
Le système d’information de l’entreprise
Le système d’information de l’entrepriseLe système d’information de l’entreprise
Le système d’information de l’entreprise
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Mise en-place-d-une-gestion-electronique-de-document
Mise en-place-d-une-gestion-electronique-de-documentMise en-place-d-une-gestion-electronique-de-document
Mise en-place-d-une-gestion-electronique-de-document
 
Cisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4   operations maintenance et support des systèmes d’informationCisa domaine 4   operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’information
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 

En vedette

Passing CISA
Passing CISAPassing CISA
Passing CISA
anilbabladi
 
Cisa exam mock test questions-1
Cisa exam mock test questions-1Cisa exam mock test questions-1
Cisa exam mock test questions-1
Hemang Doshi
 
Cscu (non atc) v2 (usd)
Cscu (non atc) v2 (usd)Cscu (non atc) v2 (usd)
Cscu (non atc) v2 (usd)
Tiger Virani
 
Cscu power point
Cscu power pointCscu power point
Cscu power point
tabercreative
 
Cscu exam-info-and-test-objective
Cscu exam-info-and-test-objectiveCscu exam-info-and-test-objective
Cscu exam-info-and-test-objective
Tiger Virani
 
CISA exam 100 practice question
CISA exam 100 practice questionCISA exam 100 practice question
CISA exam 100 practice question
Arshad A Javed
 
Alphorm.com support Formation OneNote 2016 Prise de notes professionnelles
Alphorm.com support Formation OneNote 2016 Prise de notes professionnellesAlphorm.com support Formation OneNote 2016 Prise de notes professionnelles
Alphorm.com support Formation OneNote 2016 Prise de notes professionnelles
Alphorm
 
Alphorm.com Support de la Formation Les Sciences Forensiques : L’investigati...
Alphorm.com Support de la Formation Les Sciences Forensiques  : L’investigati...Alphorm.com Support de la Formation Les Sciences Forensiques  : L’investigati...
Alphorm.com Support de la Formation Les Sciences Forensiques : L’investigati...
Alphorm
 
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-filsAlphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
Alphorm
 
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm
 
Alphorm.com Formation Excel 2016 Expert I - partie 1
Alphorm.com Formation Excel 2016 Expert I - partie 1Alphorm.com Formation Excel 2016 Expert I - partie 1
Alphorm.com Formation Excel 2016 Expert I - partie 1
Alphorm
 
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm
 
Alphorm.com Formation CEHV9 III
Alphorm.com Formation CEHV9 IIIAlphorm.com Formation CEHV9 III
Alphorm.com Formation CEHV9 III
Alphorm
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
Alphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 IIAlphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 II
Alphorm
 
Alphorm.com Formation Cisco ICND2
Alphorm.com Formation Cisco ICND2Alphorm.com Formation Cisco ICND2
Alphorm.com Formation Cisco ICND2
Alphorm
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
ISACA Chapitre de Québec
 
Alphorm.com Formation le langage SQL
Alphorm.com  Formation le langage SQLAlphorm.com  Formation le langage SQL
Alphorm.com Formation le langage SQL
Alphorm
 

En vedette (19)

Passing CISA
Passing CISAPassing CISA
Passing CISA
 
Cisa exam mock test questions-1
Cisa exam mock test questions-1Cisa exam mock test questions-1
Cisa exam mock test questions-1
 
Cscu (non atc) v2 (usd)
Cscu (non atc) v2 (usd)Cscu (non atc) v2 (usd)
Cscu (non atc) v2 (usd)
 
Cscu power point
Cscu power pointCscu power point
Cscu power point
 
Cscu exam-info-and-test-objective
Cscu exam-info-and-test-objectiveCscu exam-info-and-test-objective
Cscu exam-info-and-test-objective
 
CISA exam 100 practice question
CISA exam 100 practice questionCISA exam 100 practice question
CISA exam 100 practice question
 
Alphorm.com support Formation OneNote 2016 Prise de notes professionnelles
Alphorm.com support Formation OneNote 2016 Prise de notes professionnellesAlphorm.com support Formation OneNote 2016 Prise de notes professionnelles
Alphorm.com support Formation OneNote 2016 Prise de notes professionnelles
 
Alphorm.com Support de la Formation Les Sciences Forensiques : L’investigati...
Alphorm.com Support de la Formation Les Sciences Forensiques  : L’investigati...Alphorm.com Support de la Formation Les Sciences Forensiques  : L’investigati...
Alphorm.com Support de la Formation Les Sciences Forensiques : L’investigati...
 
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-filsAlphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
Alphorm.com ressources-formation-hacking-et-securite-reseaux-sans-fils
 
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
 
Alphorm.com Formation Excel 2016 Expert I - partie 1
Alphorm.com Formation Excel 2016 Expert I - partie 1Alphorm.com Formation Excel 2016 Expert I - partie 1
Alphorm.com Formation Excel 2016 Expert I - partie 1
 
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
 
Alphorm.com Formation CEHV9 III
Alphorm.com Formation CEHV9 IIIAlphorm.com Formation CEHV9 III
Alphorm.com Formation CEHV9 III
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Alphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 IIAlphorm.com Formation CEHV9 II
Alphorm.com Formation CEHV9 II
 
Alphorm.com Formation Cisco ICND2
Alphorm.com Formation Cisco ICND2Alphorm.com Formation Cisco ICND2
Alphorm.com Formation Cisco ICND2
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Alphorm.com Formation le langage SQL
Alphorm.com  Formation le langage SQLAlphorm.com  Formation le langage SQL
Alphorm.com Formation le langage SQL
 

Similaire à Exploitation Entretien et Soutien des SI

Chapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptChapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.ppt
Najah Idrissi Moulay Rachid
 
Sifaris architecture
Sifaris architectureSifaris architecture
Sifaris architectureSIFARIS
 
Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.
Jérôme Boulon
 
Le m _tier_de_dba_797144552
Le m _tier_de_dba_797144552Le m _tier_de_dba_797144552
Le m _tier_de_dba_797144552
Algeria JUG
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatique
chammem
 
DSI, c'est vous le chef d'orchestre!
DSI, c'est vous le chef d'orchestre!DSI, c'est vous le chef d'orchestre!
DSI, c'est vous le chef d'orchestre!
Microsoft Ideas
 
Km502 g formation-ibm-infosphere-information-server-administration
Km502 g formation-ibm-infosphere-information-server-administrationKm502 g formation-ibm-infosphere-information-server-administration
Km502 g formation-ibm-infosphere-information-server-administrationCERTyou Formation
 
Dev ops Monitoring
Dev ops   MonitoringDev ops   Monitoring
Dev ops Monitoring
Michel HUBERT
 
Le métier d’administrateur de
Le métier d’administrateur deLe métier d’administrateur de
Le métier d’administrateur deAlgeria JUG
 
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Technologia Formation
 
AD Audit Plus
AD Audit PlusAD Audit Plus
AD Audit Plus
PGSoftware
 
Automatisation de la production
Automatisation de la productionAutomatisation de la production
Automatisation de la production
New Caledonian Government
 
DevOps Day - Monitoring
DevOps Day - MonitoringDevOps Day - Monitoring
DevOps Day - Monitoring
Radoine Douhou
 
Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2
Microsoft
 
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’IT
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’ITSystem Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’IT
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’IT
Microsoft Technet France
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
saadbourouis2
 
Implementer ITIL
Implementer ITILImplementer ITIL
Implementer ITIL
hdoornbos
 
Documentation - Database Tuning (Oracle)
Documentation - Database Tuning (Oracle)Documentation - Database Tuning (Oracle)
Documentation - Database Tuning (Oracle)
BD3C
 

Similaire à Exploitation Entretien et Soutien des SI (20)

Chapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptChapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.ppt
 
Sifaris architecture
Sifaris architectureSifaris architecture
Sifaris architecture
 
Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.
 
Le m _tier_de_dba_797144552
Le m _tier_de_dba_797144552Le m _tier_de_dba_797144552
Le m _tier_de_dba_797144552
 
PFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatiquePFE : ITIL - Gestion de parc informatique
PFE : ITIL - Gestion de parc informatique
 
DSI, c'est vous le chef d'orchestre!
DSI, c'est vous le chef d'orchestre!DSI, c'est vous le chef d'orchestre!
DSI, c'est vous le chef d'orchestre!
 
It metrics part 2
It metrics part 2It metrics part 2
It metrics part 2
 
Km502 g formation-ibm-infosphere-information-server-administration
Km502 g formation-ibm-infosphere-information-server-administrationKm502 g formation-ibm-infosphere-information-server-administration
Km502 g formation-ibm-infosphere-information-server-administration
 
Dev ops Monitoring
Dev ops   MonitoringDev ops   Monitoring
Dev ops Monitoring
 
Le métier d’administrateur de
Le métier d’administrateur deLe métier d’administrateur de
Le métier d’administrateur de
 
Indispensable_IT_Operation_Consulting.PDF
Indispensable_IT_Operation_Consulting.PDFIndispensable_IT_Operation_Consulting.PDF
Indispensable_IT_Operation_Consulting.PDF
 
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
 
AD Audit Plus
AD Audit PlusAD Audit Plus
AD Audit Plus
 
Automatisation de la production
Automatisation de la productionAutomatisation de la production
Automatisation de la production
 
DevOps Day - Monitoring
DevOps Day - MonitoringDevOps Day - Monitoring
DevOps Day - Monitoring
 
Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2Migration des réseaux d agence : les apports de Windows Server 2012 R2
Migration des réseaux d agence : les apports de Windows Server 2012 R2
 
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’IT
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’ITSystem Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’IT
System Center 2012 Orchestrator: gagnez du temps et simplifiez-vous l’IT
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
 
Implementer ITIL
Implementer ITILImplementer ITIL
Implementer ITIL
 
Documentation - Database Tuning (Oracle)
Documentation - Database Tuning (Oracle)Documentation - Database Tuning (Oracle)
Documentation - Database Tuning (Oracle)
 

Dernier

Iris van Herpen. pptx
Iris         van        Herpen.      pptxIris         van        Herpen.      pptx
Iris van Herpen. pptx
Txaruka
 
Proyecto Erasmus Jardineros y jardineras de paz
Proyecto Erasmus Jardineros y jardineras de pazProyecto Erasmus Jardineros y jardineras de paz
Proyecto Erasmus Jardineros y jardineras de paz
Morzadec Cécile
 
Veille Audocdi 90 - mois de juin 2024.pdf
Veille Audocdi 90 - mois de juin 2024.pdfVeille Audocdi 90 - mois de juin 2024.pdf
Veille Audocdi 90 - mois de juin 2024.pdf
frizzole
 
cours-LasergrammetrieLe « LiDAR», de l’anglais « Light.pptx
cours-LasergrammetrieLe « LiDAR», de l’anglais « Light.pptxcours-LasergrammetrieLe « LiDAR», de l’anglais « Light.pptx
cours-LasergrammetrieLe « LiDAR», de l’anglais « Light.pptx
AbdessamadAmimi1
 
Textes de famille concernant les guerres V2.pdf
Textes de famille concernant les guerres V2.pdfTextes de famille concernant les guerres V2.pdf
Textes de famille concernant les guerres V2.pdf
Michel Bruley
 
BATIMENT 5.pptx. Fil français tourné en France
BATIMENT 5.pptx. Fil français tourné en FranceBATIMENT 5.pptx. Fil français tourné en France
BATIMENT 5.pptx. Fil français tourné en France
Txaruka
 
Bibliothèque de L'Union - Bilan de l'année 2023
Bibliothèque de L'Union - Bilan de l'année 2023Bibliothèque de L'Union - Bilan de l'année 2023
Bibliothèque de L'Union - Bilan de l'année 2023
Bibliothèque de L'Union
 

Dernier (7)

Iris van Herpen. pptx
Iris         van        Herpen.      pptxIris         van        Herpen.      pptx
Iris van Herpen. pptx
 
Proyecto Erasmus Jardineros y jardineras de paz
Proyecto Erasmus Jardineros y jardineras de pazProyecto Erasmus Jardineros y jardineras de paz
Proyecto Erasmus Jardineros y jardineras de paz
 
Veille Audocdi 90 - mois de juin 2024.pdf
Veille Audocdi 90 - mois de juin 2024.pdfVeille Audocdi 90 - mois de juin 2024.pdf
Veille Audocdi 90 - mois de juin 2024.pdf
 
cours-LasergrammetrieLe « LiDAR», de l’anglais « Light.pptx
cours-LasergrammetrieLe « LiDAR», de l’anglais « Light.pptxcours-LasergrammetrieLe « LiDAR», de l’anglais « Light.pptx
cours-LasergrammetrieLe « LiDAR», de l’anglais « Light.pptx
 
Textes de famille concernant les guerres V2.pdf
Textes de famille concernant les guerres V2.pdfTextes de famille concernant les guerres V2.pdf
Textes de famille concernant les guerres V2.pdf
 
BATIMENT 5.pptx. Fil français tourné en France
BATIMENT 5.pptx. Fil français tourné en FranceBATIMENT 5.pptx. Fil français tourné en France
BATIMENT 5.pptx. Fil français tourné en France
 
Bibliothèque de L'Union - Bilan de l'année 2023
Bibliothèque de L'Union - Bilan de l'année 2023Bibliothèque de L'Union - Bilan de l'année 2023
Bibliothèque de L'Union - Bilan de l'année 2023
 

Exploitation Entretien et Soutien des SI

  • 1. CISA Exploitation, Entretien et Soutien des Systèmes d’Information
  • 2. Objectifs  A la fin de cette leçon ,vous serez capable de :  Évaluer les pratiques de gestion de niveau de services pour s’assurer que les niveaux de services des fournisseurs internes et externes sont définis et gérés.  Evaluer la gestion des opération des SI pour s’assurer que les fonctions de support des TI sont alignées aux besoins de l’entreprise.  Evaluer les pratiques d’administration des données pour s’assurer de l’intégrité et de l’optimisation des bases de données de l’organisation.  Evaluer les pratiques de gestion des changement, de gestion de la configuration et de gestion des versions pour fournir l’assurance que les changement apportés à l’environnement de production de l’organisation sont bien contrôlés et documentés.  Evaluer les pratiques de gestion des problèmes et de gestion des incidents pour fournir l’assurance que les incidents et problèmes sont enregistrés, analysés et résolus en temps opportun.
  • 3. Opérations des SI Gestion des opérations des SI  Attribution des ressources : S’assurer que les ressources nécessaires sont disponibles pour effectuer les activités prévues par les fonctions des SI.  Normes et procédures : Etablir les normes et les procédures nécessaires pour toutes les opérations et conformité avec les stratégies et les politiques globales de l’entreprise.  Contrôle des processus : Surveiller et mesurer l’efficience des processus d’opération des SI pour que ces processus soient améliorés dans le temps
  • 4. Opérations des SI Gestion des services des TI  Bureau de service  Gestion des incidents  Gestion des problèmes  Gestion de la configuration  Gestion des changements  Gestion des versions  Gestion des niveaux de service  Gestion financière des TI  Gestion des capacités  Gestion de la continuité des services de TI  Gestion de la disponibilité
  • 5. Opérations des SI Vérification du niveau de service  Rapport d’exception : rapport automatisé énumérant toutes les applications ne s’étant pas terminé avec succès ou n’ayant pas fonctionné convenablement.  Journaux de système et d’application : journaux générés par divers systèmes et applications fournissant des informations concernant les activités effectuées et les évènements anormaux.  Rapport sur les problèmes de l’opérateur : rapport manuel utilisé par les opérateurs pour consigner les problèmes liés aux opérations informatiques et leurs solutions.  Horaires de travail des opérateurs : horaires habituellement définis par le groupe de gestion des SI pour aider à planifier les ressources humaines.
  • 6. Opérations des SI Infrastructure des opérations  L’exécution et la surveillance des tâches prévues  La sauvegarde de copies de secours en temps opportun  La surveillance des intrusions non autorisées et de l’utilisation des données sensibles  La surveillance et la vérification de l’étendue de la conformité aux procédures d’opération des TI, telles qu’établies par la gestion des SI de l’entreprise.  La participation au test des plan de reprise après sinistre  La surveillance de la performance, de la capacité, de la disponibilité et de l’échec des ressources informationnelles;  La gestion du dépannage et des incidents
  • 7. Opérations des SI Surveillance de l’utilisation des ressources  Gestion des incidents : Améliore la continuité des services grâce à la réduction ou l’élimination des nuisances causées par les perturbations des services des TI. Les étapes sont la détection, la classification, l’assignation aux spécialistes, la résolution et la fermeture des dossiers d’incidents.  Gestion des problèmes : Vise à résoudre les problèmes par l’enquête et l’analyse en profondeur d’un incident majeur ou de plusieurs incidents de nature similaire afin d’en identifier la cause principale. L’une des méthodes d’analyse est le développement d’un diagramme Ishikawa grâce à des séances de brainstorming par les parties concernées.
  • 8. Opérations des SI Centre d’assistance  Documenter les incidents des utilisateurs et débuter le processus de résolution de problème  Prioriser les problèmes et les faire suivre au personnel des TI adéquat, ou les transmettre à la gestion des TI au besoin  Effectuer un suivi des incidents non résolus  Conclure les incidents résolus, en notant l’autorisation de clore l’incident obtenue auprès de l’utilisateur
  • 9. Opérations des SI Processus de gestion des modifications  La documentation des systèmes, opérations et programmes est complète, à jour et en conformité avec les normes établies;  Les instructions de préparation de travaux, d’ordonnancement et d’opération ont été établies;  Les résultats de test des systèmes et des programmes ont été examinés et approuvés par le service de gestion des utilisateurs et les responsables du projet;  La conversion des fichiers de données, lorsque cela s’avère nécessaire, a été effectuée de façon rigoureuse et complète, comme en fait foi l’examen et l’approbation par le service de gestion des utilisateurs;  Tous les aspects de la livraison des travaux ont été testés, examinés et approuvés par le personnel de contrôle et des opérations;  Les risques d’impacts négatifs sur les opérations de l’entreprise sont examinés et un plan de retour en arrière est mis en place afin d’annuler les modifications si cela s’avère nécessaire
  • 10. Opérations des SI Gestion des versions  Versions majeures : Contient habituellement un changement important ou un ajout de nouvelles fonctionnalité et surpasse habituellement toutes les mises à niveau mineures précédentes.  Versions mineures : Mises à niveaux comportant habituellement de petites améliorations et corrections et surpasse habituellement toutes les versions d’urgence précédentes.  Versions d’urgence (patch) : Contient habituellement la correction d’un petit nombre de problèmes connus afin de prévenir une interruption des fonctions critiques de l’entreprise.
  • 11. Opérations des SI Planification de versions  L’obtention d’un consensus sur le contenu de la versions;  L’entente sur la stratégie de sortie  La production d’un échéancier de haut niveau pour la version  La planification des niveaux de ressources  L’entente sur les rôles et responsabilités de chacun  La production des plans de retrait  Le développement d’un plan de qualité pour la version  L’acceptation de la planification par les groupes de soutien et le client
  • 12. Opérations des SI Assurance de la qualité  Le personnel d’assurance de la qualité vérifie que les modifications au systèmes sont autorisées, testées et implantées de façon contrôlée avant d’être introduite dans l’environnement de production.  A l’aide de logiciel de bibliothèque, le personnel d’assurance qualité supervise également la maintenance appropriée des versions du programme et du code source pour en vérifier l’intégrité.
  • 13. Opérations des SI Gestion de la sécurité de l’information  Evaluation des risques portant sur les actifs informationnels;  Analyse des répercussions sur les opérations (BIA);  Mise en place des politiques, procédures et normes liées à la sécurité de l’information;  Evaluation régulière de la sécurité  Mise en place d’un processus de gestion des vulnérabilités.
  • 14. Opérations des SI Nettoyage des supports de données  Identifier les types de supports utilisés pour le stockage de l’information  Cibler les techniques de nettoyage pour les supports approuvés en fonction du niveau de sensibilité de l’information et des exigences de protection.
  • 15. Structure matérielle des SI Composantes et architectures  Composantes de traitement : L’unité centrale de traitement est la composante centrale d’un ordinateur et est composé d’une unité arithmétique et logique, d’une unité de contrôle et d’une mémoire interne.  Composantes d’entée-sortie : servent à transmettre les instructions ou informations à l’ordinateur ainsi qu’à afficher ou enregistrer les sorties générées par l’ordinateur.
  • 16. Structure matérielle des SI Type d’ordinateurs  Superordinateurs  Ordinateurs centraux  Serveurs haut de gamme et milieu de gamme  Ordinateurs personnels  Ordinateurs clients légers  Ordinateurs bloc-notes ou portatifs  Téléphones intelligents et ANP
  • 17. Structure matérielle des SI Dispositifs dorsaux communs pour les entreprises  Serveur d’impression  Serveur de fichiers  Serveur d’application  Serveur Web  Serveur mandataires (Proxy)  Serveur de base de données  Serveur monofonctionnels  Coupe-feu  Système de détection d’intrusion  Système de prévention d’intrusion  Commutateurs  Routeurs  Réseau privé virtuel  Equilibreur de charges
  • 18. Structure matérielle des SI Bus USB  Norme de bus série pour relier des appareils à un hôte.  Conçue pour permettre le branchement de plusieurs périphériques à une interface de connexion unique et pour améliorer les capacités de branchement à chaud;  Permet d’alimenter en énergie des appareils à faible consommation d’énergie sans recourir à une source de courant externe;  Permet d’utiliser de nombreux appareils sans devoir installer de pilotes propres au fabricant pour chacun d’eux.
  • 19. Structure matérielle des SI Bus USB - Risques  Virus et autres logiciels malveillants  Vol de données  Perte de données et du support  Corruption des données  Perte de confidentialité
  • 20. Structure matérielle des SI Bus USB – Contrôle de sécurité  Chiffrement  Contrôle granulaire  Eduquer le personnel de sécurité  Faire respecter la politique de verrouillage des ordinateurs  Mettre à jour la politique antivirus  Utiliser uniquement des appareils sécurisés  Inscrire vos coordonnées
  • 21. Structure matérielle des SI Identification par radiofréquence  RFID se sert des ondes radio pour identifier des objets étiquetés dans un rayon limité.  L’étiquette consiste en une puce et une antenne.  La puce emmagasine l’information ainsi qu’une identification du produit.  L’antenne constitue l’autre partie de l’étiquette, laquelle transmet l’information au lecteur RFID  Plusieurs applications :  Gestion des actifs  Suivi  Vérification de l’authenticité  Correspondance  Contrôle des processus  Contrôle d’accès  Gestion de la chaîne d’approvisionnement
  • 22. Structure matérielle des SI RFID – Risques  Risque pour les processus d’entreprise  Risque pour les renseignements d’entreprise  Risque pour la confidentialité  Risque pour l’externalité
  • 23. Structure matérielle des SI RFID - Contrôle de sécurité  Administratif : Supervision de la sécurité du système RFID;  Opérationnel : Actions effectuées quotidiennement par les administrateurs et utilisateurs du système;  Technique : Recours à la technologie pour surveiller et restreindre les actions pouvant être effectuées au sein du système.
  • 24. Structure matérielle des SI Programme de maintenance du matériel  Renseignements fiables relatifs à l’entreprise de service pour chaque matériel qui requiert un entretien  Programme formel d’entretien approuvé par la direction;  Coûts d’entretien  Historique des entretiens effectués (planifiés, non planifiés, effectués et exceptionnels)
  • 25. Structure matérielle des SI Procédures de surveillance du matériel  Rapports de disponibilité : Indiquent les périodes durant lesquelles l’ordinateur fonctionne et qu’il est à la disposition des utilisateurs ou d’autres processus.  Rapports d’erreur du matériel : Montrent les défaillances de l’UCT, des E/S, de l’alimentation et du stockage.  Rapports d’utilisation : Informent sur l’utilisation de la machine et de ses périphériques.  Rapports de gestion des actifs : Font état de l’inventaire des équipements branchés au réseau comme les PC, serveurs, routeurs et autres appareils.
  • 26. Structure matérielle des SI Gestion de la capacité  Planification et suivi des ressources informatiques et de réseau pour garantir que les ressources disponibles sont utilisées de façon efficace.  Tient compte des prévisions dictées par les expériences antérieures tout en prenant en considération la croissance de l’entreprise et les agrandissements futurs.  Les renseignements suivants sont essentiels :  L’utilisation de l’UCT  L’utilisation de la capacité de stockage de l’ordinateur  L’utilisation des télécommunications, du réseau local et de la largeur de bande du réseau étendu  L’utilisation des canaux d’E/S  Le nombre d’utilisateurs  Les nouvelles technologies disponibles  Les nouvelles applications disponibles  Les SLA
  • 27. Architecture et logiciels des SI Système d’exploitation  Traitement des interruptions  Création et destruction de processus  Commutation de l’état de processus  Répartition  Synchronisation du processus  Communication interprocessus  Soutien des processus d’E/S  Allocation de la mémoire
  • 28. Architecture et logiciels des SI Système de gestion de base de données  L’indépendance des données pour les systèmes d’applications  La facilité de support et la flexibilité à satisfaire les exigences relatives aux modifications des données  L’efficience du traitement des transactions  La réduction de la redondance des données  La capacité d’optimiser la cohérence des données  La capacité de minimiser les coûts de maintenance grâce au partage des données  L’occasion de mettre en œuvre les normes liées aux données ou à la programmation  L’occasion de mettre en œuvre la sécurité des données  La disponibilité des vérifications de l’intégrité des données stockées  La facilitation de l’accès ponctuel des utilisateurs aux données
  • 29. Architecture et logiciels des SI Système de gestion de base de données  Dictionnaire des données  Modèle de base :  Hiérarchique  Réseau  Relationnelle  Contrôles de la base de données  Etablissement de mise en œuvre de normes  Etablissement et implantation de procédures de sauvegarde et de récupération  Etablissement des niveaux de contrôles d’accès  Etablissement de contrôles afin de garantir l’exactitude, l’exhaustivité et la cohérence des données  Utilisation de points de contrôle de base de données  …
  • 30. Architecture et logiciels des SI Programmes utilitaires  Cinq domaines fonctionnels :  La compréhension des systèmes d’applications  L’évaluation de la qualité des données  Les tests de programmes  L’assistance à la conception rapide de programmes  L’amélioration de l’efficience opérationnelle  Utilitaires sur PC  Vérification, nettoyage et défragmentation de disques  Définition de normes du système de fichiers  Initialisation des volumes de données  Sauvegarde et restauration des images du système  Reconstruction ou restauration des fichiers effacés  Test des unités et périphériques du systèmes  …
  • 31. Architecture et logiciels des SI Licences de logiciels  Centralisation du contrôle et de l’installation des logiciels  Restriction des disques durs et ports USB sur les PC  Installation de logiciels de comptage sur le réseau local  Utilisation des licences Site (fonction du nombre d’utilisateur plutôt que d’un utilisateur ou d’une machine en particulier)  Utilisation de licences d’utilisation concurrente (fonction du nombre d’utilisateur accédant au logiciel au même moment)  Examen régulier des PC utilisateurs
  • 32. Infrastructure du réseau des SI Type de réseau  Réseaux personnels (PAN)  Réseau locaux (LAN)  Réseaux étendus (WAN)  Réseaux métropolitains (MAN)  Réseaux de stockage (SAN)
  • 33. Infrastructure du réseau des SI Services réseau  Système de fichiers réseau  Services de courriel  Services d’impression  Services d’accès à distance  Services d’annuaire  Gestion du réseau  Protocole DHCP  Système de nom de domaine (DNS)
  • 34. Infrastructure du réseau des SI Architecture du modèle de référence OSI Couche d’application Couche de présentation Couche de session Couche de transport Couche réseau Couche de liaison de données Couche physique
  • 35. Infrastructure du réseau des SI Média de transmission Cuivre Utilisé pour de courtes Bon marché Facile à mettre sous écoute distances (< 60 mètres) Simple à installer Facile à raccorder Soutien la voix et les données Facile à se procurer Diaphonie Simple à modifier Perturbation Bruit Câble coaxial Soutient les données et les Facile à installer épais vidéos Simple Cher Facile à se procurer Ne soutien pas beaucoup de LAN Sensible à distance Difficile à modifier Fibre optique Utilisé pour les longues distances Grande capacité de bande Cher Soutient les données vocales, les passante Difficile à raccorder images et les vidéos Sécuritaire Difficile à modifier Difficile à mettre sous écoute Pas de diaphonie Plus petit et léger que le cuivre Systèmes de Utilisé pour de courtes distances Bon marché Facile à mettre sous écoute radio Perturbation communication Bruit Réseaux Ligne de vision d’onde porteuse Bon marché Facile à mettre sous écoute hertziens pour les signaux de données Simple à installer Perturbation Disponible Bruit Faisceaux Utilise les transporteurs pour Grande bande passante et Facile à mettre sous écoute hertziens par envoyer l’information différentes fréquences Perturbation satellite Bruit
  • 36. Infrastructure du réseau des SI Composantes du LAN  Répéteurs  Concentrateurs  Ponts  Commutateur de couche liaison de données  Routeurs  Passerelles
  • 37. Infrastructure du réseau des SI Audit des opérations et de l’infrastructure
  • 38. Plan de reprise après sinistre RPO et RTO  L’OPR quantifie de façon efficace la quantité tolérable de données perdues en cas d’interruption.  L’OTR est déterminé en fonction de la période d’arrêt acceptable en cas d’interruption des opérations. Interruption Recovery Point Objective Recovery Time Objective 1 1 1 1 1 1 Week Day Hour Hour Day Week
  • 39. Plan de reprise après sinistre Stratégie de reprise  Centre de secours immédiat  Centre de secours intermédiaire  Salle blanche (ou vide)  Centre de traitement informatique redondant  Centre mobile  Accord de réciprocité avec d’autres organisations
  • 40. Plan de reprise après sinistre Méthodes de reprise  Applications  Grappe active-passive  Grappe active-active  Données  RAID  Réseaux de télécommunication  Redondance  Réacheminement  Acheminement divers  Diversité du réseau sur les longues distances  Protection des circuits du dernier kilomètre  Restauration de la voix
  • 41. Plan de reprise après sinistre Elaboration des plans de reprise  Les procédures de déclaration d’un sinistre  Les critères d’activation du plan  Les liens avec les plans d’ensemble  Les personnes responsables de chaque fonction du plan  Les équipes de reprise et leurs responsabilités  Les listes de coordonnées et de communication  Les scénarios de reprise  Le processus de reprise global  Les procédures de reprise de chaque système  Les coordonnées des fournisseurs importants  La liste des ressources requises pour la reprise
  • 42. Plan de reprise après sinistre Sauvegarde et restauration  Quoi ?  Définir les données à sauvegarder  Comment ?  Quel type de sauvegarde réaliser  Quand ?  Établir la périodicité  Où ?  Déterminer le support à utiliser
  • 43. Plan de reprise après sinistre Sauvegarde et restauration  Sauvegarde complète :  Sauve l’ensemble des fichiers du disque dur, en un seul bloc.  Souvent de très longue durée  Oblige un temps de non utilisation du serveur  Récupération très longue, surtout s’il faut chercher un seul fichier  Sauvegarde incrémentale :  Sauve seulement les fichiers modifiés depuis la dernière opération de sauvegarde, quelque soit son type.  La récupération des fichiers implique une série de restaurations en remontant dans le temps jusqu’à sauvegarde complète du dossier.  Sauvegarde différentielle :  Sauve tous les fichiers modifiés depuis la précédente sauvegarde complète, indépendamment de leur modification.  Le temps de sauvegarde peut être long et augmente à chaque sauvegarde. 
  • 44. Plan de reprise après sinistre Sauvegarde et restauration  Prévoir un planning de sauvegarde, en fonction :  des données : OS, annuaires, données utilisateurs…  des disponibilités de la PR.  Exemple de planning :  En semaine 3, on utilise les bandes de la semaine 1 et en semaine 4, celles de la semaine 2 L M M J V S D L M M J V S D Type Diff. Diff. Diff. Diff. Diff. Compl. Diff. Diff. Diff. Diff. Diff. Compl. Bandes L1 M1 M1 J1 V1 COMP1 L2 M2 M2 J2 V2 COMP2
  • 45. Plan de reprise après sinistre Sauvegarde et restauration Les bandes  Les cartouches DAT, 4 & 8 mm, de 2GB à 1.3 TB compressé  Les cartouches DLT et SuperDLT, de 15 GB à 2,4TB compressé.  Les disques durs  NAS (Network Attached Storage)  SAN (Storage Attached Network) • Les sauvegardes se font sur des disques durs implantés dans un serveur spécifique dédié. • L’administration se fait par interface web.
  • 46. Remerciements  Pour IBT ( Institute of Business and Technology)  BP: 15441 Douala - Cameroun  Par Arsène Edmond NGATO, CISA, CISM, PMP, OCP 10g/11g  Téléphone- 99183886  Email- arsenengato@yahoo.fr  Sources : Manuel de préparation CISA 2012, Divers articles téléchargés sur Internet.
  • 47. Question type examen  Lequel des énoncés suivants constitue la MEILLEURE méthode pour déterminer le niveau de performance offert par d’autres installations similaires de traitement des données ? A. La satisfaction de l’utilisateur B. L’atteinte des objectifs C. L’analyse comparative D. La planification de la capacité et de la croissance
  • 48. Question type examen  Pour les systèmes critiques de mission ayant une faible tolérance à l‘interruption et un coût de rétablissement élevé, l’auditeur des SI devrait, en principe, recommander l’utilisation de laquelle des options de reprise suivante?  A. Un centre mobile B. Un centre de secours intermédiaire C. Une salle blanche D. Un centre de secours immédiat
  • 49. Question type examen  Un département des TI universitaire et un bureau des services financiers ont conclu un accord de niveau de service (SLA) selon lequel la disponibilité doit dépasser 98% chaque mois. Le bureau des services financiers a analysé la disponibilité et a noté qu’elle dépassait 98% pour chacun des 12 derniers mois, mais que la moyenne était de seulement 93% lors de la fermeture de fin de mois. Laquelle des options suivantes constitue l’action la PLUS appropriée que le bureau des services financiers doit entreprendre ?  A. Renégocier l’accord B. Informer le département des TI que l’accord ne répond pas aux exigences relatives à la disponibilité C. Acquérir de nouvelles ressources informatiques D. Rationaliser le processus de fermeture de fin de mois.
  • 50. Question type examen  Laquelle des méthodes suivantes est la PLUS efficace pour qu’un auditeur des SI puisse tester le processus de gestion des modifications apportées aux programmes ? A. Le traçage de l’information générée par le système vers la documentation de la gestion des modifications B. L’examen de la documentation de gestion des modifications pour vérifier l’exactitude C. Le traçage de la documentation de la gestion des modifications vers une piste d’audit générée par le système D. L’examen de la documentation de gestion des modifications pour vérifier l’intégrité.
  • 51. Question type examen  L’objectif principal de la planification de la capacité est de s’assurer que : A. Les ressources disponibles sont pleinement utilisées B. De nouvelles ressources dévouées aux nouvelles applications seront ajoutées au moment opportun C. Les ressources disponibles sont utilisées de façon efficace et efficiente D. Le pourcentage d’utilisation des ressources ne passe pas sous la barre de 85%.
  • 52. Question type examen  L’avantage PRINCIPAL de la normalisation de la base de données est :  A. La minimisation, dans les tables, de la redondance de l’information requise pour satisfaire les besoins des utilisateurs B. La capacité de répondre à plus de requêtes C. L’optimisation de l’intégrité de la base de données en fournissant de l’information dans plus d’une table D. La minimisation du temps de réponse grâce au traitement plus rapide de l’information
  • 53. Question type examen  Lequel des points suivants permettrait à une entreprise d’étendre son intranet à ses partenaires commerciaux à l’aide d’Internet ? A. Réseau privé virtuel B. Client-serveur C. Accès par ligne commuté D. Fournisseur de services de réseau
  • 54. Question type examen  La classification d’une application logicielle en fonction de sa criticité dans le cadre d’un plan de continuité des opérations de SI est déterminée par : A. La nature de l’entreprise et la valeur de l’application pour l’entreprise B. Le coût de remplacement de l’application C. Le soutien offert par le fournisseur relativement à l’application D. Les menaces et vulnérabilités associées à l’application.
  • 55. Question type examen  Lors de la réalisation d’un audit concernant la sécurité de la base de données client-serveur, l’auditeur du secteur des SI doit être SURTOUT informé de la disponibilité des éléments suivants :  A. Les installations du système B. Les générateurs de programmes d’applications C. La documentation traitant de la sécurité des systèmes D. L’accès aux procédures stockées
  • 56. Question type examen  Lors de la revue du réseau utilisé pour les communications Internet, un auditeur du secteur des SI doit D’ABORD vérifier : A. La validation des occurrences de modification des mots de passe B. L’architecture de l’application client-serveur C. L’architecture réseau et la conception D. La protection des coupe-feux et les serveurs mandataires
  • 57. Question type examen  Un auditeur des SI doit être impliqué dans : A. L’observation des test de plan de reprise après sinistre B. Le développement du plan de reprise après sinistre C. Le maintien du plan de reprise après sinistre D. L’examen des exigences de reprise après sinistre relatives aux contrats avec les fournisseurs
  • 58. Question type examen  La période nécessaire au rétablissement des fonctions de traitement de l’information repose sur : A. La criticité des processus touchés B. La qualité des données traitées C. La nature du sinistre D. Les applications centrales

Notes de l'éditeur

  1. Les pratiques d’exploitation, d’entretien et de soutien des SI sont importantes pour garantir aux utilisateurs et aux gestionnaires que les services escomptés seront rendus. Les attentes relatives aux niveau de service découlent des objectifs d’affaires de l’organisation. La prestation des services TI comprend les activités des SI, les services des TI ainsi que la gestion des SI et des groupes responsables de leur soutien. L’objectif de ce domaine est de garantir que le candidat au titre de CISA comprend et peut fournir l’assurance que les processus d’exploitation, d’entretien et de soutien des SI respecteront les objectifs stratégiques de l’organisation. Ce domaine représente 23 % des questions de l’examen CISA (soit environ 46 questions).
  2. Les opérations des SI comprennent le soutien quotidien de l’environnement matériel et logiciel des SI d’une organisation. Cette fonction est particulièrement importante lorsque des tâches informatiques volumineuses et centralisées sont effectuées régulièrement à des fins commerciales, pour réaliser des travaux ou pour effectuer des mises à jour. Le groupe de gestion des opérations des SI à la responsabilité de toutes les opérations du service des SI. Les fonctions de gestion des opérations sont les suivantes :
  3. La gestion des services des TI est un concept qui regroupe les processus et les procédures qui assurent la prestation efficiente et efficace des services des TI à l’entreprise. La gestion des services des TI se concentre sur les initiatives de l’entreprise et couvre la gestion de l’infrastructure des applications des TI qui soutiennent et offrent ces services. Cela inclut le perfectionnement des services de TI pour répondre aux besoins changeants de l’entreprise ainsi que l’évaluation et la démonstration des améliorations à la qualité des services de TI offerts, en même temps qu’une réduction du coût du service à long terme.
  4. Les caractéristiques des services de TI servent à définir l’accord sur les niveaux de service. Les caractéristiques à considérer lors de la prestation de ces services incluent l’exactitude, l’exhaustivité, la ponctualité et la sécurité. Plusieurs outils sont disponibles pour surveiller l’efficience et l’efficacité des services fournis par le personnel des SI. Ces outils comprennent :
  5. Les opérations de TI constituent des processus et des activités qui soutiennent et gèrent l’ensemble de l’infrastructure, des systèmes, des applications et des données en TI, en mettant l’accent sur les activités au quotidien. Le personnel des opérations de TI s’occupent du fonctionnement exact et rigoureux du réseau, des systèmes et des applications, ainsi que de la prestation de services de TI de qualité aux utilisateurs professionnels et aux clients. Les tâches du personnel des opérations de TI comprennent :
  6. Les ressources informatiques, comme tout autre actif organisationnel, doivent être utilisées de telle sorte que l’organisation entière en tire profit. Il s’agit entre autres de donner l’information au personnel autorisé au moment et à l’endroit requis, et à un coût identifiable et vérifiable. Les ressources informatiques comprennent le matériel, les logiciels, les télécommunications, les réseaux, les applications et les données. La gestion des problèmes et la gestion des incidents sont liées, mais utilisent différentes méthodes et ont différents objectifs. L’objectif de la gestion des problèmes consiste à réduire le nombre et la sévérité des incidents, tandis que l’objectif de la gestion des incidents consiste à retourner le processus affecté à sa condition normale aussi rapidement que possible afin de minimiser l’impact sur l’entreprise.
  7. La fonction de soutien technique a pour responsabilité de fournir une expertise des systèmes de production afin de déterminer les changements ou les développements à apporter aux systèmes, et d’aider à résoudre les problèmes. De plus, le soutien technique doit informer la direction sur les technologies disponibles dont pourrait tirer parti l’ensemble des opérations. L’objectif principal du centre d’assistance est d’apporter un appui à l’utilisateur. Le personnel du centre d’assistance doit veiller à ce que tous les incidents liés au matériel ou aux logiciels soient bien documentés et traités en fonction des priorités établies par la direction. Les fonction de base sont les suivantes :
  8. La procédure de contrôle des modifications fait partie de la fonction plus générale des modifications et sont établies par le service de gestion des SI afin de contrôler le mouvement des applications depuis l’environnement de test, où s’effectue le développement et la maintenance, vers l’environnement de production. La gestion des changements sert également lors des changements de matériel, de la mise à niveau vers les dernières versions des applications prêtes à être utilisées et de la configuration des divers périphériques réseau (coupe-feux, routeurs, commutateurs). Les procédures associées à ce processus de migration permettent de garantir que :
  9. La gestion des nouvelles versions d’un logiciel est le processus par lequel un logiciel est mis à la disposition des utilisateurs. Le terme « version » est utilisé pour décrire un ensemble de changements autorisés. La version comprend habituellement plusieurs corrections de problèmes et amélioration au service. 1- Le fait de regrouper plusieurs changements facilite l’exécution de tests plus complets ainsi que la formation utilisateur prévue. 2- Les versions mineures sont généralement utilisées pour régler les petit problèmes de fiabilité ou de fonctionnalité qui ne peuvent attendre la prochaine version majeure. 3- En fonction de l’urgence de la version, des activités limitées de test et de gestion de version sont effectuées avant l’implantation. De tels changement doivent être évités autant que possible, car ils augmentent le risque d’introduction d’erreurs.
  10. L’organisation doit décider de l’approche la plus appropriée, en fonction de la taille et de la nature des systèmes, du nombre et de la fréquence des versions requises, ainsi que de tout besoin spécial des utilisateurs, par exemple, si une mise en place par phases est requise sur une période de temps plus longue. Toutes les versions doivent posséder un identificateur unique pouvant être utilisé par le service en charge de la gestion de la configuration. La planification des versions implique :
  11. La gestion de la sécurité de l’information assure l’opération continue des TI et la sécurité des processus et des données de l’entreprise. Les processus de sécurité de l’information doivent être intégrées à tous les processus d’opération des TI et comprend : Complément au chapitre 5.
  12. Un programme efficace de nettoyage des supports de données définit les moyens de contrôle, les techniques et les procédés nécessaire pour préserver la confidentialité de l’information sensible stockée sur les supports de données qui seront réutilisés, déplacés ou jetés. En général, le nettoyage comprend l’expurgation de l’information enregistrée sur les supports de données afin d’offrir une assurance raisonnable que le contenu restant ne pourra pas être récupéré ou restauré.
  13. Cette section constitue une introduction aux plateformes matérielles qui composent les systèmes d’information dans les entreprises d’aujourd’hui et les facteurs clés de l’audit comme la gestion de la capacité, la surveillance du système, la maintenance du matérielle et les étapes normales dans l’acquisition de nouveaux matériels. Les composantes matérielles d’un SI comprennent différentes composantes interdépendantes qui exécutent des fonctions précises et qui peuvent être classées comme composantes de traitement ou d’E/S. 1- La carte-mère, la mémoire vive (RAM) et la mémoire morte (ROM) sont aussi des composantes clés d’un ordinateur. 2- Certaines composantes, comme le clavier et la souris ,sont des dispositifs d’entrée seulement, tandis que d’autres, comme l’écran tactile, servent à l’entrée et à la sortie. Les imprimantes sont des dispositifs de sortie seulement.
  14. Plusieurs critères, basés sur la puissance de traitement, la taille et l’architecture, peuvent servir à classer les ordinateurs. 1- Ordinateurs de très grande taille et onéreux qui possèdent la plus grande rapidité de traitement pour exécuter des tâches spécialisées ou pour être utilisés dans des domaines qui exigent une importante puissance de traitement comme l’exécution de calcul mathématiques ou logiques complexes. 2- Ordinateurs de grandes tailles destinés à l’exécution de tâches générales et qui sont conçus pour partager leur puissance de traitement et leurs installations avec des milliers d’utilisateurs internes ou externes. 3- Systèmes multitraitement capables de supporter simultanément des milliers d’utilisateurs. 4- Petits systèmes informatisés, appelés PC ou poste de travail, qui sont conçus pour les utilisateurs individuels, dont le prix est relativement bas et qui emploie la technologie des microprocesseurs qui consiste à intégrer toute l’UCT sur une puce. 5- Ordinateurs personnels dont les caractéristiques matérielles sont habituellement minimales (ex poste de travail sans disque), car la majeure partie du traitement se fait à l’échelle du serveur et par le biais d’un logiciel, comme MS Terminal Services ou Citrix Presentation Server, afin d’accéder à une série d’application. 6- Ordinateurs personnels de poids léger, facile à transporter et alimentés par une connexion ordinaire. 7- Terminaux de poche qui permettent à l’utilisateur de se servir d’un petit appareil informatique de la taille d’une calculatrice comme agenda électronique et organisateur personnel.
  15. 1- Les serveurs d’impression permettent aux entreprises de grouper les ressources d’impression afin de réaliser des économies. 2- Ils procurent à l’ensemble de l’organisation l’accès aux fichiers et aux programmes. Des référentiels de documents peuvent être centralisés dans quelques emplacements au sein de l’entreprise et contrôlés par le biais d’une matrice de contrôle d’accès. 3- Abrite les programmes logiciels qui fournissent aux ordinateurs clients l’accès aux applications, y compris le traitement de la logique de gestion et de communication avec la base de données de l’application. 4- Par l’entremise des pages Web, ils fournissent de l’information de des services aux clients externes et aux employés en interne. 5- Ils procurent un lien intermédiaire entre les utilisateurs et les ressources. Contrairement à l’accès direct, les serveurs mandataires accèderont aux services au nom d’un utilisateur. 6- Ils emmagasinent les données brutes et ils servent de référentiel. Se concentre sur le stockage de l’information plutôt que sur sa présentation. 7- Ils fournissent un service spécifique et sont normalement incapables de faire fonctionner d’autres services. Ils sont beaucoup plus petits, beaucoup plus rapides et très efficaces.
  16. Ie « prêt à l’utilisation » ou encore « plug and play » : un appareil peut être branché et débranché sans qu’on doivent redémarrer l’ordinateur ni éteindre l’appareil.
  17. 1- des utilisateurs peuvent apporter des documents infectés de la maison au travail, ou encore ouvrir un document d’entreprise sur leur ordinateur personnel infecté, mettre à jour le document et le transmettre à un serveur de fichier d’entreprise. 2- tout ordinateur non verrouillé laissé sans surveillance et muni d’un port USB devient vulnérable aux activités criminelles. 3- La plupart des clé USB n’ont pas de dispositif de sécurité. Si vous perdez votre clé USB en vous rendant au travail, quiconque la trouve pourrait accéder aux données qu’elle contient. 4- A cause de sa petite taille pratique et de sa grande capacité logique, la clé USB peut accueillir un grand volume de données. Certains renseignements qu’elles contiennent sont confidentiels et les données risques d’être perdues si la clé est égarée.
  18. 1- Rend les données sur une clé USB inutile sans clé de chiffrement requise. Il s’agit généralement d’un mot de passe fort, mais il peut aussi s’agir d’une caractéristique biométrique comme l’empreinte digitale du pouce. 2- Il existe des produits permettant une gestion centralisée des ports 3- Le personnel responsable de la sécurité physique doit savoir à quoi ressemble ces appareils, comment ils fonctionnent et quel risque ils représentent. 4- Dans un environnement à risque élevé, l’intervalle de verrouillage automatique des postes de travail doit être de cinq minutes ou moins 5- Configurer le logiciel antivirus pour balayer toutes les clés branchées et supports amovibles, et les utilisateurs doivent prendre l’habitude des faire un nettoyage antiviral avant de les ouvrir. 6- Assurez vous de n’acheter que les appareils munis des dispositifs de sécurité pour les utilisateurs ayant accès à des données sensibles. 7- Dans l’éventualité où vous la perdiez ou égariez votre clé USB, l’inclusion d’un petit fichier texte lisible contenant vos coordonnées pourrait vous aider à la récupérer. Il serait prudent de ne pas y inclure le nom de votre entreprise et de simplement faire référence à un numéro de téléphone et boîte postale. Il serait également prudent d’inclure une mise en garde juridique identifiant clairement l’information contenue sur la clé comme étant confidentielle et protégée par la loi.
  19. 1- Les systèmes de gestion des actifs qui emploient la technologie RFID offrent des avantages considérables par rapport aux systèmes papier ou à code à barres, y compris la possibilité de lire l’identificateur de plusieurs articles presque simultanément sans suivi optique ni contact physique. 2- Les systèmes de gestion des actifs à RFID servent à déterminer l’emplacement d’un article ou, plus exactement, l’emplacement du dernier lecteur ayant détecté la présence de l’étiquette associée à l’article. 3- L’étiquette sert de preuve de la source pour l’article sur lequel elle est apposée. 4- 5- 6- Le système utilise la RFID pour vérifier automatiquement si un individu est autorisé à accéder à des installations physiques ou accéder logiquement à un système de TI.
  20. 1- Une attaque directe sur les composants du système RFID pourrait nuire aux processus d’entreprise que le système RFID a été conçu pour faciliter 2- Un adversaire ou concurrent pourrait obtenir un accès non autorisé à de l’information produite par RFID et s’en servir contre l’organisation se servant du système RFID. 3- Les droits et les attentes quant à la confidentialité individuelle pourrait être compromis si le système RFID utilise de l’information jugée personnellement identifiables à des fins autres que celles voulues ou comprises à l’origine. 4- La technologie RFID pourrait présenter un risque pour les systèmes, actifs et individus non reliés à la RFID car les communications par RFID sont invisibles pour les opérateurs et les utilisateurs.
  21. 1- Par exemple mettre à jour les politiques existantes pour aborder l’implantation de la RFID 2- Par exemple, les systèmes RFID ont besoin de contrôles opérationnels qui assurent la sécurité physique des systèmes et leur utilisation adéquate. 3- Par exemple des contrôles techniques sont nécessaires pour s’assurer de la protection des données contenues sur les étiquettes, l’autodestruction des étiquettes et la protection des communications sans fil.
  22. Pour assurer le bon fonctionnement, le matériel doit être nettoyé et entretenu régulièrement. Les exigences d’entretien varient selon la complexité des charges de travail et leur rendement. Dans tous les cas, le programme d’entretien doit correspondre étroitement aux spécifications du fournisseur. L’entretien est également important pour le matériel de régulation de l’environnement qui contrôle la température et l’humidité, la protection contre les incendies et l’alimentation électrique. Le programme d’entretien du matériel est conçu pour documenter le rendement de cet entretien et comprend habituellement l’information suivante :
  23. Les procédures et des rapports relatifs à la surveillance efficace et efficiente de l’utilisation du matériel sont les suivantes :
  24. Le système d’exploitation renferme des programmes qui interfacent entre l’utilisateur, le processeur et les logiciels d’application. Il fournit les principaux moyens de gérer le partage et l’utilisation des ressources comme les processus, la mémoire réelle (ex. mémoire vive), la mémoire auxiliaire (ex. mémoire à disque) et les appareils d’E/S. Les principales fonctions liées aux processus de base des SE sont :
  25. Un SGBD aide à organiser, à contrôler et à utiliser les données requises par les programmes d’application. Offre la possibilité de créer et de maintenir une base de données bien organisée. La réduction de la redondance des données, la diminution du temps d’accès et la sécurisation des données sensibles représentent certaines des fonctions principales du SGBD. Les avantages d’un SGBD sont les suivants :
  26. 1- Le SGBD comprend un dictionnaire de données qui détermine les champs, leurs caractéristiques et leur utilisation. Les DD actifs requièrent des entrées pour tous les éléments de données et ils secondent l’application dans le traitement des éléments de données comme la validation des caractéristiques ou des formats d’impression. Les DD passifs sont uniquement un référentiel d’information qui peut être visualisé ou imprimé. 2- Dans le modèle hiérarchique, il existe une hiérarchie parent-enfant entre segments de données. Les relations sont des mappages de type 1:N (un à plusieurs) et des duplications sont nécessaires pour exprimer les relations vers de multiples parents. - Dans le modèle réseau, la structure de la base de données est un ensemble composé d’un type d’enregistrement maître, d’un type d’enregistrement membre et d’un nom. Les relations 1:1, 1:N et N:N sont permises mais la complexité finale représente un handicap majeur à son adoption. - Dans le modèle relationnel, les données et les relations sont organisées en tables. Une table est un ensemble de rangées, aussi connues sous le nom de n-uplet. Certains champs sont désignés comme champs principaux et facilitent ainsi la recherche de valeurs précises à travers le mécanisme d’indexation. 3- Il est primordial que l’intégrité et la disponibilité de la base de données soient maintenus. Ceci est assuré grâce aux contrôles suivants :
  27. Les programmes utilitaires sont des logiciels de base utilisés pour effectuer la maintenance et des routines fréquemment sollicitées lors des opérations de traitement courantes. Ils peuvent être classés selon l’utilisation en cinq domaines fonctionnels : 1- Générateurs de diagrammes, programme d’analyse du profil de transactions, programme d’analyse du chemin d’exécution et dictionnaire de données 2- Utilitaire de manipulation de données, utilitaire de vidage de mémoire, utilitaire de comparaison de données et fonction d’interrogation 3- Générateur de données de test, installation de débogage en ligne, analyseur de sortie et simulateur de réseau 4- Utilitaire de visualisation, copie de bibliothèque, éditeur de texte, fonction de programmation en ligne et générateur de code 5- Appareils de surveillance de l’UCT et de l’utilisation de la mémoire, programmes d’analyse des lignes de communication
  28. Les logiciels sont régis par des lois relatives aux droits d’auteurs qui doivent être respectées afin d’éviter à une entreprise d’avoir à payer des pénalités liées aux violations de droit d’auteur et d’éviter l’embarras public d’être identifiée comme une entreprise qui utilise des copies de logiciels illégales. Les options disponibles pour empêcher les violations des licences des logiciels comprennent :
  29. Les réseaux des SI ont été conçus pour répondre au besoin de partager les ressources d’information qui se trouvent sur différents appareils informatiques et qui ont permis aux entreprises d’améliorer leur procédés d’affaires et de réaliser d’importants gains de productivité. Les types de réseaux communs à toutes les entreprises se définissent comme suit : 1- Généralement, il s’agit d’un réseau micro-ordinateur utilisé pour les communications entre appareils informatique (téléphones, ANP, imprimantes, appareils photos, …) utilisés par une personne. La portée se trouve à l’intérieur d’un rayon de 33 pieds (environ 10 mètres). 2- Réseaux d’ordinateurs couvrant une zone limitée comme une maison, un bureau ou un campus. La portée est réduite mais les débits sont élevés. Les technologies couramment utilisées sont l’Ethernet et le Wi-Fi. Ce sont des réseaux d’interconnexion de LAN. 3- Réseaux d’ordinateurs couvrant une vaste zone comme une ville, une région, un pays ou un lien international. Ex. Internet. 4- WAN limités à une ville ou à une région. Les débits sont plus élevé que dans les WAN. 5- Adaptation du LAN pour la connexion d’appareils de mémoire aux serveurs et aux appareils informatiques. Les SAN centralisent le processus de stockage et d’administration des données.
  30. Les services réseaux sont des caractéristiques fonctionnelles rendues possibles grâce aux applications du système d’exploitation. Ils permettent l’utilisation ordonnées des ressources sur le réseau. Les services d’application réseau utilisées couramment dans les environnements en réseau des entreprises sont les suivants : 1- Permet aux utilisateurs de partager des fichiers et autres ressources par réseau. 2- Fournissent la capacité d’envoyer un message non structuré à un autre individu ou à un groupe de personnes. 3- Fournissent la capacité de gérer et d’exécuter des services de demandes d’impression à partir d’autres appareils du réseau en passant par un serveur d’impression. 4- Fournissent les capacités d’accès à un hôte distant 5- Stockent l’information des ressources variées sur le réseau et aide les appareils de réseau à trouver des services. 6- Fournit un ensemble de fonctions pour contrôler et entretenir le réseau. 7- Protocole utilisé par les ordinateur clients en réseau pour obtenir les adresses IP et d’autres paramètres comme la passerelle par défaut, les masques de sous-réseau et les adresses IP des DNS d’un serveur DHCP. 8- Traduit les noms des nœuds de réseau en adresse réseau IP.
  31. Le but des normes d’architecture réseau est de faciliter ce processus en fournissant un modèle de référence que les organisations peuvent utiliser pour développer les procédés de communication de réseau. La norme de performance de ce processus, le modèle de référence d’interconnexion de systèmes ouverts (OSI), a été développée par ISO en 1994. L’OSI se veut une preuve d’un modèle de concept composé de sept couches, chacune spécifiant les tâches ou les fonctions particulières spécialisées. Chaque couche est autonome et relativement indépendante des autres couches en ce qui concerne sa fonction particulière. Les fonctions des couches spécifiques du modèle OSI se définissent comme suit. 1- Fournit une interface standard pour les applications qui doivent communiquer avec les appareils du réseau (ex. imprimer des fichiers sur une imprimante connectée à un réseau, envoyer un courriel ou stocker les données sur un fichier serveur) 2- Transforme les données pour fournir une interface standard pour la couche d’application et fournit les services de communication communs comme le chiffrement, la compression de texte et le reformatage (ex. conversion du code d’échange décimal codé binaire étendu EBCDIC en code ASCII) 3- Contrôle les dialogues entre les ordinateurs, établit, gère et termine les sessions entre la couche d’application locale et distante. 4- Fournit un transfert de données fiable et transparent entre les extrémités 5- Crée un circuit virtuel entre la couche transport sur l’appareil local et la couche transport sur l’appareil distant. C’est la couche qui comprend les adresses IP et qui s’occupe du routage et du réacheminement. 6- Prévoit le transfert des données à travers une liaison physique. Elle reçoit les paquets de données de la couche réseau, les encapsule en trames et les envoie en train de bits à la couche physique. 7- Fournit l’équipement qui émet et reçoit le train de bits en tant que signaux électrique, optiques ou radio sur le medium ou le transporteur approprié.
  32. 1- Appareil de couche physique qui augmente la portée d’un réseau, ou qui connecte deux segments de réseau séparés ensemble. 2- Appareil de couche physique qui sert de centre d’un réseau possédant une topologie en étoile ou un concentrateur réseau. 3- Appareil de couche liaison de données qui sert à connecter des LAN ou à créer deux segments de réseau séparés de LAN ou de WAN à partir d’un seul segment pour réduire les domaines de collision. 4- Appareil de couche liaison de données qui peuvent diviser et interconnecter les segments réseaux et aident à réduire les domaines de collision dans les réseaux Ethernet. 5- Semblables aux ponts et aux commutateurs puisqu’ils relient deux ou plusieurs segments de réseau physique séparés. Les segments de réseau qui sont reliés par le routeur restent toutefois séparés logiquement et peuvent fonctionner comme des réseaux indépendants. 6- Agit comme un convertisseur de protocoles. Géméralement, ils connectent et convertissent entre les LAN et l’ordinateur central, ou entre les LAN et Internet, au niveau de la couche d’application du modèle OSI.
  33. Voir page 324 à 329 du Manuel de Préparation CISA 2012.
  34. Le PRS, qui appuie les activités d’entreprise et la fourniture des services de TI, est un élément de contrôle interne établi pour gérer la disponibilité et restaurer les processus et services de TI critiques en cas de perturbation. L’objectif de ce processus continu de planification est d’assurer que des contrôles rentables sont en place pour prévenir les perturbations potentielles aux TI et restaurer les capacités de TI de l’organisation en cas de perturbation. La première activité du PRS est la fixation des objectifs de reprise que sont le RPO et le RTO. Ces deux concepts sont basés sur des paramètres de temps. Plus les exigences relatives au temps sont faibles, ie. si l’OPR en en minutes, alors la duplication en temps réel ou le miroitage des données devront être mis en place comme stratégie de reprise. Si l’OTR en en minutes, la combinaison d’un centre de secours immédiat, de serveurs dédiés de rechange et de la mise en grappe doit âtre utilisée.
  35. Une stratégie de reprise des opérations détermine la meilleur façon de rétablir un système en cas d’interruption ou de sinistre et offre un soutien sur la base duquel les procédures de reprise détaillées peuvent être développées. Différentes stratégies doivent être élaborées, et toutes les solutions de rechange doivent être présentées à la direction générale. La direction générale doit sélectionner les stratégies les plus appropriées à partir des choix présentés et doit en accepter les risques inhérents. Le choix d’une stratégie de reprise des opérations repose sur les éléments suivants : La criticité du processus de gestion et les applications soutenant les processus, les coûts, le temps requis pour le rétablissement, la sécurité. 1- Installations offrant de l’espace et une infrastructure de base ainsi que tout le matériel de TI et de communications nécessaire pour soutenir les applications critiques, en plus des meubles et de l’équipement nécessaire pour le personnel. 2- Installations offrant de l’espace et une infrastructure de base, et certains ou tous les équipements de TI et de communication nécessaires y sont installés. 3- Installations offrant de l’espace et une infrastructure de base adéquate pour soutenir la reprise des opérations, mais pas de l’équipement TU ou de communications, de programmes, de données ou de soutien administratif. 4- Site entièrement redondants où les données du site de production sont reproduites en temps réel. 5- Installations de traitement modulaires montées sur des véhicules transportables, prêtes à être livrées et montées à un emplacement qui peut être spécifié lors de l’activation. 6- Ententes entre des entreprises distinctes, mais semblables, qui consentent à partager temporairement leurs installations de TI dans l’éventualité où l’une d’entre elles perdrait ses capacités de traitement.
  36. Partie du PCO, après un BIA et une évaluation des risques (ou autre méthode de détermination des risques et de l’efficacité des contrôles d’atténuation), la stratégie de reprise après sinistre est élaborée. L’implantation de cette stratégie nécessite que des changements soient apportés aux systèmes de TI, réseaux, sites de traitement des TI, structures organisationnelles (dénombrement des objectifs, rôles, postes), processus et procédures de TI. Le PRS de TI est un ensemble bien structuré de processus et de procédures visant à rendre les efforts de réponse et de reprise en cas de sinistre rapides, rentables et efficaces, afin de réaliser une synergie entre les équipes de reprise. Le plan doit être documenté et écrit dans un langage simple et facile à comprendre pour tous. Le PRS comprend typiquement : 1- Procédures de recours à la hiérarchie 2- ie dans quelles circonstances le sinistre est déclaré, quand le PRS de TI est appliqué, quels scénarios sont couverts par le plan 3- ex. Plan d’intervention d’urgence, plan de gestion de crise ou PCO de différents secteurs d’activité 4- 5- 6- Coordonnées des membres de l’équipe de reprise, des gestionnaires de la reprise, des parties prenantes, etc… 7- Perte de connectivité réseau, Perte d’un système de TI clé, Perte du site de traitement (salle serveur), Perte de données critiques, Perte d’un bureau, etc. 8- Où et quand la reprise doit avoir lieu (même site ou site de secours), ce qui doit être récupéré (système de TI, réseaux, etc.), l’ordre de reprise)
  37. Pour garantir que les activités essentielles d’une organisation ne seront pas interrompues dans l’éventualité d’un sinistre, des supports de stockage secondaires sont utilisés pour sauvegarder les fichiers d’applications logicielles et les données associées aux fins de secours. La politique de sauvegarde doit contenir les points suivants :
  38. Il existe trois grand méthodes de sauvegarde. Chacune a ses avantages et ses inconvénients. Les méthodes sont généralement combinées afin de se compléter.
  39. Les supports de sauvegarde amovibles et fixes.
  40. C : L’analyse comparative offre un moyen de déterminer le degré de rendement d’envirronements comportant des équipement pour le traitement d’informations similaires. La satisfaction de l’utilisateur est la façon d’assurer que les opérations de traitements de l’information répondent aux besoin des utilisateurs. L’atteinte des objectifs permet l’évaluation de l’efficacité au moment de comparer le rendement aux buts prédéfinis. La planification de la croissance et de la capacité s’avère essentielles, étant donné l’importance des technologies de l’information au sein des entreprises et l’évolution constante de la technologie.
  41. D : Les centres de secours immédiats sont entièrement configurés et fonctionnels en quelques heures. Les sites mobiles sont des remorques spécialement conçues pour être transportées rapidement à l’emplacement d’une entreprise ou à un autre site afin de fournir une installation de traitement des informations prête et fonctionnelle. Les centres des secours intermédiaires sont particulièrement configurés avec généralement des connexions réseau et un équipement périphérique sélectionné, tels que des lecteurs de disques et autres contrôleurs, mais sans l’ordinateur principal. Les salles blanches ne fournissent que l’environnement de base pour exploiter l’IPF. Les salles blanches sont prêtes à recevoir l’équipement, mais n’offrent aucun élément destiné à répondre à un besoin avant le fait.
  42. A : Le FSO a conclu un accord selon un SLA considéré non approprié. Afin de répondre aux besoins de l’entreprise, le FSO doit renégocier le plus rapidement possible? Il est évident que les TI répondent aux normes de disponibilité mises en place. L’acquisition de ressources informatiques supplémentaire pourrait être inutile ou entraîner des frais excessifs. La simplification des procédures de clôture de fin de mois n’est pas nécessairement possible ou n’a pas d’incidence sur la disponibilité.
  43. A : Lors des tests réalisés pour la gestion des changements, l’auditeur des SI doit toujours débuter avec de l’information crée par le système, qui inclut la date et l’heure de la dernière mise à jour du module, et de là effectuer un suivi de la documentation ayant autorisé les modifications. Effectuer le repérage en sens opposé pose le risque de ne pas détecter les modifications n’ayant pas été documentées. De la même manière, se concentrer exclusivement sur l’exactitude ou l’exhaustivité de la documentation étudiée ne garantit pas que toutes les modifications ont été documentées.
  44. C : La gestion de la capacité est la planification et le suivi des ressources informatiques pour garantir que les ressources sont disponibles et utilisées efficacement. Cela ne signifie pas que toutes les ressources doivent être utilisées à leur pleine capacité. L’utilisation à pleine capacité (100%) montre que les gestionnaire doivent considérer l’ajout de capacité. Les nouvelles applications ne nécessiteront pas toujours de nouvelles ressources, puisque la capacité existante peut suffire. L’utilisation doit habituellement tourner autour de 85 à 95%; néanmoins, des baisses occasionnelles demeurent acceptables.
  45. A : La normalisation consiste en l’élimination des données redondantes. L’objectif est donc de réduire la quantité d’information en supprimant les données répétitives dans les tables de manière à traiter les demandes des utilisateurs plus rapidement et à conserver l’intégrité des données. L’optimisation de la quantité d’information va à l’encontre des règles de la normalisation. Si un enregistrement spécifique apparaît dans plusieurs tables, l’objectif d’intégrité des données peut ne pas être respecté si cette table est mise à jour et que les autres ne le sont pas. Les règles de la normalisation préconisent l’emmagasinage des données dans une seule table pour favoriser le traitement accéléré de l’information.
  46. A : La technologie VPN permet aux partenaires externes de participer de manière sécuritaires à l’intranet en utilisant les réseaux publics ou un réseau privé partagé.
  47. A : La classification de criticité est déterminée par le rôle du système d’application dans l’appui à la stratégie de l’organisation.
  48. A : Les programmes utilitaires peuvent permettre des modifications non autorisées aux données dans la base de données client-serveur.
  49. C : La première étape de l’audit d’un réseau consiste à comprendre l’architecture et la conception du réseau.
  50. A : L’auditeur des SI doit toujours être présent lors des test des plans de reprise après sinistre afin de vérifier si les procédures de reprise permettent d’atteindre les objectifs de rétablissement, de s’assurer que les procédures de reprise sont efficaces et efficientes et pour présenter un rapport sur les résultats au besoin.
  51. A : La criticité des processus touchés par le sinistre sert de base pour déterminer le délai de rétablissement.