Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.
Nouvelle réalité dans les organisations, le contrôle des actifs implique des efforts soutenus pour assurer la conformité des inventaires et surtout pouvoir faire face aux audits fournisseurs et aux risques inhérents.
Qu’il s’agisse d’instances de serveurs, de postes clients, ou d’applications, les mouvements d’actifs sont nombreux et sans fin ; au point ou plusieurs organisations ont perdu le contrôle.
Avec les audits des fournisseurs, les non-conformités ont augmenté ; coûtant des millions de dollars aux organisations.
La protection de données, La classification un premier pasAlghajati
La classification de données est une problématique répandue dans le monde scientifique car elle est à l’origine de nombreuses applications. Aujourd’hui on la rencontre dans des domaines très variés, tel que le domaine médical, industriel et celui de la sécurité. Dans ce dernier domaine, on pourra citer les applications militaires, les accès sécurisés à l’information gouvernementale et à l’information confidentielle des grandes compagnies et même les PMEs. A travers cette conférence, nous proposons un modèle pour la classification des données au niveau de l’entreprise tunisienne en fonction de leur niveau de criticité. Ladite classification aidera à déterminer les contrôles de sécurité de base pour la protection des données.
L'évolution des bonnes pratiques de sécurité de l'information et de gestion des services TI selon ITIL®2011 - ISO/CEI 20000 - COBIT®5 (2013-02-06)
Elhadji Niang (Nurun)
Effets du système de management de la sécurité de l'information sur la perfor...Harold NGUEGANG
Les entreprises dépendent de plus en plus de leur système d’information (SI). Ainsi, il faut une certaine attention de la part de la direction générale pour améliorer continuellement la qualité de son management par l’utilisation de nombreux outils et référentiels. En particulier, les actifs informationnels, noyau de tout SI, demandent à être pris très au sérieux par une sécurisation sur mesure. Il n’est plus à démontrer que l’amélioration de la qualité est l’objectif de tout bon système de management et de ses acteurs. Étant donné que la qualité d’un système à plusieurs indicateurs, il est important de déterminer les aspects du système de management de la sécurité de l’information (SMSI) sur lesquels les décideurs doivent agir afin d’atteindre les objectifs de performance. Dans cette recherche, nous nous sommes appuyés sur le modèle de succès des SI de Delone et Mclean. Nous avons supposé que le SMSI (qualité du système, de service, de l’information, et le niveau de maturité des processus de gestion des risques de sécurité de l’information) et la performance sont directement liés d’une part, et d’autre part indirectement liés par la capacité informatique de l’entreprise. Les hypothèses ont été vérifiées à l’aide du logiciel SmartPLS 3 en utilisant des données de l’enquête réalisée auprès de 136 professionnels du domaine des SI et des TI, y compris leurs sécurités. Les résultats ont confirmé nos hypothèses de recherche. Ceci traduit que la maîtrise des processus de gestions des risques de sécurité de l’information est essentielle pour une entreprise, car elle contribue fortement à la performance organisationnelle, à l’amélioration du support des SI de cette dernière, tels le management, le personnel et l’infrastructure des technologies de l’information. Ce travail a permis d’explorer la faisabilité d’utilisation du modèle de succès des SI sur le SMSI, qui est d’un grand enjeu dans ce monde, où l’Afrique est à la fois, la cible de la mobilité informationnelle, des pirates informatiques et surtout de l’économie mondiale.
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
Dans ce projet, on s’intéresse à la mise en place d’une solution de gestion de la sécurité du
réseau d’Afribone Mali. Une telle solution est composée d’un tableau de bord de sécurité du réseau,
d’une solution de gestion de logs centralisées et d’une équipe CIRT pour le pilotage de la solution.
Nouvelle réalité dans les organisations, le contrôle des actifs implique des efforts soutenus pour assurer la conformité des inventaires et surtout pouvoir faire face aux audits fournisseurs et aux risques inhérents.
Qu’il s’agisse d’instances de serveurs, de postes clients, ou d’applications, les mouvements d’actifs sont nombreux et sans fin ; au point ou plusieurs organisations ont perdu le contrôle.
Avec les audits des fournisseurs, les non-conformités ont augmenté ; coûtant des millions de dollars aux organisations.
La protection de données, La classification un premier pasAlghajati
La classification de données est une problématique répandue dans le monde scientifique car elle est à l’origine de nombreuses applications. Aujourd’hui on la rencontre dans des domaines très variés, tel que le domaine médical, industriel et celui de la sécurité. Dans ce dernier domaine, on pourra citer les applications militaires, les accès sécurisés à l’information gouvernementale et à l’information confidentielle des grandes compagnies et même les PMEs. A travers cette conférence, nous proposons un modèle pour la classification des données au niveau de l’entreprise tunisienne en fonction de leur niveau de criticité. Ladite classification aidera à déterminer les contrôles de sécurité de base pour la protection des données.
L'évolution des bonnes pratiques de sécurité de l'information et de gestion des services TI selon ITIL®2011 - ISO/CEI 20000 - COBIT®5 (2013-02-06)
Elhadji Niang (Nurun)
Effets du système de management de la sécurité de l'information sur la perfor...Harold NGUEGANG
Les entreprises dépendent de plus en plus de leur système d’information (SI). Ainsi, il faut une certaine attention de la part de la direction générale pour améliorer continuellement la qualité de son management par l’utilisation de nombreux outils et référentiels. En particulier, les actifs informationnels, noyau de tout SI, demandent à être pris très au sérieux par une sécurisation sur mesure. Il n’est plus à démontrer que l’amélioration de la qualité est l’objectif de tout bon système de management et de ses acteurs. Étant donné que la qualité d’un système à plusieurs indicateurs, il est important de déterminer les aspects du système de management de la sécurité de l’information (SMSI) sur lesquels les décideurs doivent agir afin d’atteindre les objectifs de performance. Dans cette recherche, nous nous sommes appuyés sur le modèle de succès des SI de Delone et Mclean. Nous avons supposé que le SMSI (qualité du système, de service, de l’information, et le niveau de maturité des processus de gestion des risques de sécurité de l’information) et la performance sont directement liés d’une part, et d’autre part indirectement liés par la capacité informatique de l’entreprise. Les hypothèses ont été vérifiées à l’aide du logiciel SmartPLS 3 en utilisant des données de l’enquête réalisée auprès de 136 professionnels du domaine des SI et des TI, y compris leurs sécurités. Les résultats ont confirmé nos hypothèses de recherche. Ceci traduit que la maîtrise des processus de gestions des risques de sécurité de l’information est essentielle pour une entreprise, car elle contribue fortement à la performance organisationnelle, à l’amélioration du support des SI de cette dernière, tels le management, le personnel et l’infrastructure des technologies de l’information. Ce travail a permis d’explorer la faisabilité d’utilisation du modèle de succès des SI sur le SMSI, qui est d’un grand enjeu dans ce monde, où l’Afrique est à la fois, la cible de la mobilité informationnelle, des pirates informatiques et surtout de l’économie mondiale.
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
Dans ce projet, on s’intéresse à la mise en place d’une solution de gestion de la sécurité du
réseau d’Afribone Mali. Une telle solution est composée d’un tableau de bord de sécurité du réseau,
d’une solution de gestion de logs centralisées et d’une équipe CIRT pour le pilotage de la solution.
La Compagnie des Télémates est une agence de télésecrétariat créée pour soutenir les professionnels dans la gestion de leurs tâches administratives et commerciales.
Votre télésecrétaire prend en charge à distance la saisie et le suivi de vos devis, factures, tableaux de bord...
Eolien et solaire : faisons le point en images !RTE
En 2013, 4,3% de notre consommation d’électricité provenaient des énergies solaire et éolienne. Comment sont répartis les parcs de production sur le territoire ? Quelles sont les principales tendances ? À l’occasion de la publication du panorama des énergies renouvelables, Au-delà des lignes vous propose de découvrir en images la production nationale des filières éolienne et photovoltaïque.
Multinivel para ti: Quieres éxito en Multinivel?...pues paciencia.Israel Garcia
Hay un fenómeno, incomprensible que se respira en la industria multinivel, causando sufrimientos innecesarios a mucha gente. Aunque en el fondo sabías que la profesión de MLM no es "hacerse rico rápidamente”, reconozco que a mí también me paso recuerdo, cuando estuve en mi primera empresa pensaba hacerme rico rápidamente, recuerdo con alegría porque la verdad que cuando te pegas todo el día soñando, la felicidad interior que se siente es alucinante, empecé a hacer números y no me cabían en el papel.
Club Urba-EA - Architecture d'entreprise et projets agilesClub Urba-EA
Synthèse du projet 2015 du Club Urba-EA sur la relation entre l'Architecture d'Entreprise et les Projets Agiles
Le rapport complet du projet est disponible sur le site du club Urba-EA : www.urba-ea.org
(dans l'espace membres).
Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Ma...icgfmconference
“Vue d’Ensemble de l’application de l’Outil d’Évaluation de la Passation de Marchés de l’OCDE/DAC”
Pamela Bigart, Spécialiste Principale en Passation de Marchés, Banque Mondiale
Cette présentation donnera aux participants un contexte solide sur l’outil point de référence
de l’OCDE/DAC, ses buts, aussi bien que sa structure, sur les indicateurs points de référence
et quelques leçons apprises qui en émergent.
Club Urba-EA - Vers un SI "data centric" Club Urba-EA
"Extrait du rapport du projet 2016 du Club Urba-EA "Vers un SI data centric"
Les facteurs de transformation qui mènent vers des métiers et des SI dans lesquelles les données sont "au centre" sont multiples et varient d'une organisation à l'autre. A partir d'une quinzaine de retours d'expérience, cinq facteurs sont analysés et des idées clés dégagées...."
Club numica - Tableaux de bord DSI - ISlean consultingISlean consulting
Conférence au club NUMICA (club du numérique en Champagne Ardennes) : Piloter la valeur produite pour rendre la DSI plus efficiente
23 février 2016, Reims
Listen to Prof. Roger Simnett, IAASB member and Audits of Less Complex Entities Working Group Chair, discuss the challenges and possible actions that the IAASB is exploring in its current Consultation Paper, which is open for public comment until September 12, 2019.
Listeners and stakeholders are also encouraged to share their thinking with the IAASB on less complex entities through IFAC's survey on issues relating to audits of less complex entities.
Atelier Comment choisir et déployer un ERP dans une PME - Pôle numérique CCI ...echangeurba
Atelier du Pôle Numérique de la CCI Bordeaux du 7 avril 2014 "Comment choisir et déployer un ERP dans une PME" animé avec Prodware.
ERP = Enterprise Resource Planning ou PGI = Progiciel de Gestion Intégré.
Logiciel ERP : une vue unifiée des processus de l'entreprise et de son système d'information
Objectifs :
Optimiser le pilotage de la chaine de valeur de l'entreprise
Fédérer et fluidifier son système d'information autours d’un référentiel de données communes et centralisées.
Formaliser les processus opérationnels et les circuits de validation
Mutualiser la gestion et la m-à-j des données.
Mettre à la disposition des salariés l'ensemble des données nécessaires à leurs activités.
Permettre l’accès et la diffusion des informations disponibles et actualisées en temps réel.
Etapes clés du projet de la définition des besoins jusqu'à la contractualisation
Le concept d’innovation systématique développé à l’origine pour les produits est aussi pertinent pour l’industrie des services.
Les innovations récemment observées dans le domaine de la GIA cadrent parfaitement avec les principes innovants de TRIZ.
Les incidents coûtent de plus en plus chers à traiter. Les organisations répondent souvent à cela par une augmentation des solutions technologiques (Cloud, Big Data, externalisation, outil de balayage, etc.) sans forcement mettre l’emphase sur le volet processus et le volet humain. Le résultat, on le connaît : beaucoup de technologies avec peu de résultat en cas d’incident, délai de traitement des incidents défoncés (SLA), etc.
Le but cette présentation est de comprendre le processus de gestion des incidents selon COBIT5 de l’ISACA. La présentation consistera à regarder la gestion des incidents de long en large (vision 365º) – volet conceptuel et volet opérationnel.
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIIISACA Chapitre de Québec
Les audits des contrôles de sociétés de services
SOC I – SOC II – SOC III
Par M. David Liberatore – Directeur vérification TI, Deloitte
le 31 mars 2015, ISACA-Québec
LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
31 MARS 2015 - ISACA-Québec
Déploiement d'une infrastructure à clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
MISE EN PLACE D’UNE INFRASTRUCTURE À CLÉS PUBLIQUES (ICP) ENJEUX ET CONFORMITÉ
UNE VISION PRATIQUE
par HECTOR SZABO et THOMAS PORNIN
le 31 mars 2015, ISACA-Québec
ISACA Québec : Conférence
Nous présenterons un aperçu des dix principes qui sont énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Nous discuterons ensuite de certaines sources d’information intéressantes ainsi que de certaines observations faites dans le cadre de vérifications et d’enquêtes du Commissariat à la protection de la vie privée du Canada reliées à la protection des renseignements personnels.
Nouveau cadre de gouvernance de la sécurité de l’information.
Présenté à ISACA-Québec par Mohamed Darabid du Sous-secrétariat du dirigeant principal de l’information,
Direction de l’encadrement de la sécurité de l’information.
Nouveau cadre de gouvernance de la sécurité de l'information présenté par Mohamed Darabid du Sous-secrétariat du dirigeant principal de l’information, Direction de l’encadrement de la sécurité de l’information.
2. Présentateur
Javier Bentancur, CISA, MBA
javier.bentancur@isaca-quebec.ca
http://ca.linkedin.com/in/javierbentancur
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
2
3. L’association ISACA
1969 : «EDP Auditors Association»
1984 : APVCSI à Québec
1998 : ITGI
2013 :
o
o
+ de 110.000 membres dans 180 pays
+ de 200 délégations dans 80 pays
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
3
4. Objectifs
Expliquer les guides d’audit TI d’ISACA et leur
contexte d’utilisation.
Présenter des exemples des guides.
Introduire le nouveau guide basé sur Cobit5.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
4
5. Les guides d’audit TI de l’ISACA
Normes d’audit TI et d’assurance (ITAF v2)
o
Normes et directives
Outils et techniques
o
o
o
o
o
Concepts de base d’audit TI
Livres blanc (« White papers »)
Références techniques
Programmes d’audit TI
Famille de produits Cobit 5
Cobit 5 pour l’assurance (audit TI)
o
Guide professionnel basé sur Cobit 5
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
5
7. Les normes
Définition :
o
Lignes directrices qui encadrent les professionnels
de l’audit TI et de l’assurance.
Obligation de les respecter et de les appliquer
à tout intervention professionnelle.
Concernent l’éthique, l’indépendance,
l’objectivité, la diligence, la connaissance, la
capacité et les compétences du professionnel.
Valides depuis 1-nov-2013.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
7
8. Structure des normes
Générales
(série 1000)
Performance
(série 1200)
• Conduite de la mission
Rapport
(série 1400)
4 déc 2013
• Principes directeurs de la
profession d’audit
• Types de rapports, moyens de
communication et informations
communiquées
ISACA Québec - www.isaca-quebec.ca
8
9. Liste des normes
Générales
o
o
o
o
o
o
o
o
1001 : Charte d’audit
1002 : Indépendance de l’organisation
1003 : Indépendance professionnelle
1004 : Attentes raisonnables
1005 : Conscience professionnelle
1006 : Compétence
1007 : Affirmations
1008 : Critères
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
9
10. Liste des normes
Performance
o
o
o
o
o
o
o
1201 : Planification de la mission
1202 : Évaluation du risque dans la planification
1203 : Exécution et supervision
1204 : Matérialité
1205 : Éléments probants
1206 : Utilisation du travail d’autres experts
1207 : Irrégularités et actes illégaux
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
10
12. Les directives
Définition :
o
Instructions sur l’application des normes.
Le professionnel s’y réfère lors de leurs mises en
œuvre, et fait appel à son jugement
professionnel.
Il doit être en mesure de justifier tout écart visà-vis celles-ci.
Présentement en révision.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
12
13. Structure des directives
Générales (série 2000)
o
2001 à 2008
Performance (série 2200)
o
o
2201 à 2207
2208 : Échantillonnage d’audit
Rapport (série 2400)
o
2401 à 2402
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
13
14. Norme 1001
Exemple : La charte d’audit
4 déc 2013
• 1001.1 : Définit l’objectif, la
responsabilité, l’autorité et
l’imputabilité de la fonction d’audit.
• 1001.2 : Indique que la charte d’audit
doit être approuvée par le niveau
approprié de l’organisation.
ISACA Québec - www.isaca-quebec.ca
14
15. Directive 2001
Exemple : La charte d’audit
4 déc 2013
• Suggère un mandat pour la fonction d’audit.
• Décrit le contenue de la charte d’audit :
• L’objectif, la responsabilité, l’autorité et la
réédition de comptes, etc.
• Suggère de considérer un processus
d’assurance qualité pour la mettre à jour.
• Décrit le contenu de la lettre du mandat.
• La responsabilité, l’autorité et la réédition
de comptes, etc.
ISACA Québec - www.isaca-quebec.ca
15
16. Exemple : La charte d’audit
Lien des directives avec Cobit
Norme
Directive
Cobit 4
1001 : Charte d’audit
2001
ME 4.7 – Assurance indépendante.
ME 2.5 – Assurance de contrôle
interne.
1206 : Utilisation du travail
d’autres experts
2206
ME 2.5 – Assurance de contrôle
interne.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
16
17. Conclusion et questions
Référence universelle.
En constante évolution.
Commentaires de la
communauté.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
17
19. Concepts de base d’audit TI
Objectif :
o
o
Mettre à la disposition des professionnels,
éducateurs et le public les principes concernant
l’audit TI.
Permettre l’avancement du domain de l’audit TI par
des opinions.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
19
20. Concepts de base d’audit TI
Caractéristiques :
o
o
o
Publiés depuis 2002 .
Une colonne du magazine «ISACA Journal».
Organisés selon les principes du modèle Curricula
d’ISACA pour les professionels de l’audit et
l’assurance TI.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
20
21. Concepts de base d’audit TI
Classification :
o
o
o
o
o
o
o
Processus d’audit.
Développement, acquisition, implementation et
maintenance d’applications d’affaires.
Évaluation des processus d’affaires et gestion de
risques.
Récupération aux désastres et continuité d’affaires.
Gestion, planification et organisation des SI.
Protection des actifs informationnels.
Pratiques techniques d’infrastructures et des
opérations.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
21
22. Processus d’audit TI
Exemple
4 déc 2013
•
•
•
•
•
•
Fonction d’audit TI (6).
Évidence d’audit (3).
Suivi du rapport (1).
Concepts à l’égard du contrôle interne (7).
Concepts fondamentaux d’audit (11).
Gestion de l’audit (2).
ISACA Québec - www.isaca-quebec.ca
22
23. Concepts à l’égard du
contrôle interne
Exemple
4 déc 2013
• Comment auditer une organisation de
services (rapport SOC).
• Comprendre le nouveau rapport SOC.
• Le cycle de vie du développement des
contrôles.
• Comment utiliser COSO (parties 1 et 2).
• Audit des contrôles généraux et
d’applications.
• Audit de sécurité.
ISACA Québec - www.isaca-quebec.ca
23
24. Exemple
Transformation des données pour
«CAAT»
• Introduction.
• Méthodologie «ETL» pour CAAT et
forage de données.
• Exemples.
• Outils de transformation de données.
• Conclusion.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
24
25. Conclusion et questions
Format papier et
numérique.
Lecture rapide.
Sujets d’actualité.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
25
27. Livres blanc ou « White papers »
Objectif :
o
Mettre à disposition l’information relevante et à jour
concernant des aspects pouvant impacter les
opérations des organisations.
Caractéristiques:
o
o
o
o
Flux RSS.
Commentaires (feedback).
Autres ouvrages liés.
Format numérique.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
27
28. Livres blanc 2013
Sécurité en tant que service (SAAS).
Données masives et protection de la vie privée.
Gouvernance du cloud: informations indispensables
aux conseils d’administration.
Données masives : Impacts et avantages .
Résultat de l’étude sur la sensibilisation aux menaces
avancées persistentes.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
28
29. Exemple : Gouvernance du cloud
Objectif :
o
Décrire brièvement le cloud et présenter les
questions qui permettront aux dirigeants d’évaluer
les avantages d’intégrer le cloud dans la stratégie de
leurs organisations.
Sujets :
o
o
o
La valeur du cloud.
La gouvernance du cloud.
Les informations indispensables au conseil
d’administration (les questions).
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
29
30. Exemple : Gouvernance du cloud
1
Les équipes de management ontelles élaboré un plan concernant
le cloud computing ? Ont-elles
évalué la valeur générée et les
coûts d’opportunité ?
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
30
31. Exemple : Gouvernance du cloud
2
Dans quelle mesure les plans
relatifs au cloud computing
servent-ils la mission de
l’entreprise ?
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
31
32. Exemple : Gouvernance du cloud
3
Les équipes dirigeantes ont-elles
procédé à une évaluation
systématique de la préparation de
l’organisation ?
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
32
33. Exemple : Gouvernance du cloud
4
Les équipes de management ontelles pris en compte les
investissements existants qui
pourraient être perdus dans leur
planification de mise en oeuvre du
cloud computing ?
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
33
34. Exemple : Gouvernance du cloud
5
Les équipes de management ontelles élaboré des stratégies
permettant de mesurer le retour
sur investissement de l’adoption
du cloud computing et de l’évaluer
par rapport aux risques ?
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
34
35. Livres blanc 2012
Business Continuity Management: Emerging Trends
Cloud Computing Market Maturity Study Results
Security Considerations for Cloud Computing
Calculating Cloud ROI: From the Customer Perspective
Virtualization Desktop Infrastructure (VDI)
Incident Management and Response
Guiding Principles for Cloud Computing Adoption and
Use
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
35
36. Livres blanc 2011
Mobile Payments: Risk, Security and Assurance Issues.
Web Application Security: Business and Risk
Considerations.
Geolocation: Risk, Issues and Strategies.
Data Analytics—A Practical Approach.
Leveraging XBRL for Value in Organizations.
Sustainability.
Electronic Discovery.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
36
37. À venir (2014)
Programmes d’audit (Cobit5)
Contrôle et audit du cloud
Génération de la valeur à partir des données massives
(2013)
Scénarios de risques (Cobit5 pour les risques)
Utilisation de Cobit 5 pour SOX
SAP ERP v4: aspects de sécurité, audit et contrôle
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
37
38. Conclusion et questions
Groupe de recherche.
Sujets d’actualité.
Conseils pratiques.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
38
40. Références techniques
Objectif :
o
Faciliter aux professionnels de la sécurité, de l’audit
et du contrôle des TI (et non TI) l’évaluation des
produits installés.
Caractéristiques
o
o
o
Livre format papier, payant.
Téléchargement gratuit: sommaire, programme
d’audit et questionnaire de contrôle interne.
Communauté de pratique.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
40
44. Base de données Oracle, v3, 2009
219 pages.
Sommaire (28 pages).
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
44
45. Exemple : Base de données Oracle
Architecture d’oracle DBMS.
Planification de l’audit.
Aspects de sécurité :
o
Système d’exploitation, privilèges, contrôle d’accès,
relations de confiance, réseau.
Contrôles généraux.
Programme d’audit.
Questionnaire du contrôle interne.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
45
48. Programmes d’audit TI et d’assurance
Objectif :
o
Mettre à la disposition des professionnels de
l’assurance et de l’audit TI des exemples de
programmes d’audit avec une vocation éducative.
Caractéristiques :
o
o
Modèle basé sur Cobit.
Liens avec COSO, ITAF, Cobit.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
48
49. Programmes d’audit TI et d’assurance
Gestion de crises, de changements, de continuité
d’affaires, de risques, etc.
Cloud, biométrie, VOIP, Medias sociaux, etc.
Lotus Notes, Sharepoint, Base de données MS-SQL,
MS File share, serveur de services web Apache, etc.
VPN, PKI, IPv6, Mobile computing, Active directory,
z/OS, VMWare, UNIX/Linux, etc.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
49
50. Exemple : Virtualisation avec VMware
Planification
o
o
la portée.
l’audit de l’application.
Programme d’audit
o
o
o
o
Gouvernance de l’environnement virtuel.
Préparation sur le champ.
Environnement virtuel.
Respect des normes de l’organisation.
Évaluation de la maturité.
Architecture de virtualisation.
Indicateurs de performance.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
50
51. Exemple : Virtualisation avec VMware
4 Environnement virtuel
o
4.1 Hypervisor
•
.1 Hardening guide.
•
.2 Mot de passe «Root».
•
.3 Lockdown mode.
•
.4 Protection du shell ESXi.
•
.5 Piste d’audit.
•
.6 Mises à jour de l’hypervisor.
•
.7 Séparation de fonctions.
•
.8 Mot de passe de la base de données.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
51
52. Exemple : Virtualisation avec VMware
4.1.6 Mis à jour de l’hypervisor
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
52
53. Conclusion et questions
Lien avec plusieurs
référentiels.
Technologies et sujets
variés.
Mise à jour vers Cobit 5.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
53
55. Évolution de Cobit
1996 : Cobit V1 - pour l’audit TI
1998 : Cobit V2
2000 : Cobit V3
2005 : Cobit V4
o 2007 : Cobit 4.1, Val IT, Risk IT,…
2012 : Famille de produits Cobit 5
o 2013 : Cobit 5, pour l’assurance
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
55
56. Famille de produits Cobit 5
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
56
57. Famille de produits Cobit 5
Programme d’évaluation
Process Assessment Programme.
o Self-Assessment Guide.
o Process Assessment Model.
o Assessor Guide.
o
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
57
58. Cobit 5 pour l’assurance
318 pages.
Format papier et numérique.
Volume payant.
Téléchargement :
o Présentation et brochure.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
58
59. Cobit 5 pour l’assurance
Objectifs :
o
o
o
Orienter sur comment utiliser Cobit 5 pour la
fonction d’audit et d’assurance.
Proposer une démarche d’audit basée sur les
facilitateurs de Cobit 5.
Présenter des exemples de programmes
d’assurance (d’audit).
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
59
60. Cobit 5 pour l’assurance
Table de matières :
o
o
o
o
o
o
o
Section 1 : Concepts de base sur l’assurance et application
des principes de Cobit 5.
Section 2A : Utilisation des facilitateurs de Cobit 5 pour la
gestion de la fonction d’audit ou d’assurance.
Section 2B : Réalisation des mandats d’audit en utilisant
les facilitateurs de Cobit 5.
Section 3 : Relation avec autres référentiels.
Annexe B : Guide détaillé sur les facilitateurs pour la
fonction d’audit.
Annexe C : Description détaillée des processus clés pour
l’audit.
Annexe D : Exemples de programmes d’audit.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
60
63. Perspective : La fonction d’audit
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
63
64. Les composantes de l’audit
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
64
65. Les principes appliqués à l’audit TI
1 – Les parties prenantes
2 – L’entreprise de mur à mur
3 – Un cadre de référence intégré
4 – Démarche globale
5 – Distinction entre gouvernance et gestion
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
65
66. Exemple : 1-Les parties prenantes
Interne
o
o
o
Comité d’audit.
Groupes d’audit, risque et conformité.
Direction exécutive et d’affaires.
Externe
o
o
o
o
4 déc 2013
Actionnaires.
Auditeurs externes.
Entités de réglementation.
Partenaires d’affaires et clients.
ISACA Québec - www.isaca-quebec.ca
66
68. Exemple: 1-Les parties prenantes
Caractéristiques des types d’engagements
Exemple: Indépendance
o Pas requise ou non garantie (établir les responsabilités).
o Optimiser la fonction.
o Doit être établie, vérifiée et conservée.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
68
69. Les facilitateurs et la fonction d’audit
Les facilitateurs de Cobit 5
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
69
70. Les facilitateurs et la fonction d’audit
1 - Principes, normes et cadre de références.
2 - Les processus.
3 – Les structures organisationnelles.
4 – Culture, éthique et comportement.
5 – Informations.
6 – Services, infrastructure et applications.
7 – Personnel, aptitudes et compétences.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
70
72. 1 - Principes, normes et cadres de réf.
Objectif :
o
Identifier les principes, normes et cadres de référence
nécessaires pour construire et maintenir une fonction
d’audit TI efficace et efficiente.
Les normes d’audit TI
Les bonnes pratiques
o
Le code d’éthique professionnelle.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
72
73. 2 - Les processus
Les processus clés pour la fonction d’audit
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
73
74. Exemple : Le processus EDM01
Les livrables du processus
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
74
75. Exemple : Le processus EDM01
Les indicateurs pour mesurer la performance du
processus
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
75
76. Exemple : Le processus EDM01
Les activités du processus
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
76
77. 3 – Les structures organisationnelles
Les structures pour la fonction d’audit
o
o
o
o
Comité d’audit et/ou de direction.
Direction d’audit.
Direction de conformité (interne, externe).
Audit externe.
Les bonnes pratiques
o
o
o
o
Composition.
Mandat, principes d’opération, niveaux d’autorité et de
contrôle.
Rôles et responsabilités (lien des rôles avec les processus
organisationnels).
Intrants et extrants.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
77
78. 4 – Culture, éthique et comportement
Catégories
o
o
o
Globales à l’organisation (5)
Professionnelle (8)
Gestion (10)
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
78
80. 6 - Services, infrastructure et applications
Services
o
o
o
o
o
o
o
o
Rapport et communication.
Assurance qualité.
Suivi du temps.
Engagement des ressources.
Accès à l’information.
Suivi des lois, réglementations, etc.
Risques émergents.
Évaluation de la performance.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
80
81. 6 – Services, infrastructure et applications
Applications de support
o
o
o
o
o
o
o
o
Registre des risques.
Outils techniques (CAATs).
Bibliothèque de pratiques d’audit.
Gestion documentaire.
Outils de planification.
Suivi d’incidents.
Outils d’analyse et d’échantillonnage.
Workflow.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
81
82. 7 – Personnel, aptitudes et compétences
Rôles et compétences
o
o
o
o
o
o
o
Description
Expérience
Éducation
Qualifications
Connaissance
Compétences techniques
Comportement
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
82
85. Le processus d’audit
Évaluation de la fonction d’audit TI
o
Processus MEA01, MEA02, MEA03.
Évaluation des facilitateurs
o
Démarche d’audit basé sur Cobit5.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
85
88. Exemple : Flux de travail A-2.4
A-2.4 Traduire les priorités en objectifs d’audit
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
88
89. Exemple: Flux de travail A-3
A-3 Déterminer les facilitateurs
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
89
90. Exemple : Flux de travail B-7.5
B-7.5 Évaluation des services (f6)
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
90
91. Lien avec d’autres guides
ITAF
o
Normes d’audit d’ISACA
IPPF
o
ITAF
IPPF
Normes d’audit d’IIA
SSAE16
SSAE-16
o
Normes des rapports SOC
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
91
92. Exemple : Lien avec IPPF
IPPF :
o
o
Cadre conceptuel de l’IIA qui organise les exigences
professionnelles des auditeurs.
Composition: La définition d’audit interne, le code
d’éthique et les normes d’audit interne de l’IIA.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
92
93. Exemple : Lien avec IPPF
Tableau comparatif
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
93
95. Programme d’audit - BYOD
Adaptation du processus
générique
o
o
Structuré dans 3 phases
Aligné avec Cobit5
Procédés et directives
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
95
96. Programme d’audit – BYOD
A-2.4 Traduire les priorités en objectifs d’audit
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
96
99. Exemple : Programme d’audit – BYOD
B-7.5 Évaluation des service (f6) : MDM
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
99
100. Conclusion et questions
Adaptation de Cobit 5 pour
la fonction d’audit.
Approche structuré pour la
réalisation des mandats.
Exemples de programmes
d’audit actuels.
4 déc 2013
ISACA Québec - www.isaca-quebec.ca
100