LOGOwww.wondershare.comwww.wondershare.com

Audit de Systéme d’Information

Réalisé par: ABARKANE Mohamed BATASSE SaraBALBASIR Kacem El MALLAM Racha KHARMIZ Hafsa TOURIKI khadija

Company Logo

plan:

1. Notions de base des de l ’audit des SI

2. Domaines d ’Audit des SI

Audit de la fonction informatique

Audit des projets

Audit de la Sécurité

3. Conduite d ’une mission d ’audit

Company Logo

L’importance du SI dans l’entreprise

le souhait d’intégration des SI dans la stratégie est compréhensible et

il a plusieurs origines. Il est d’abord une conséquence du

changement dans le rôle de la fonction Systèmes d’Information:

c’est aujourd’hui une fonction distribuée dans l’entreprise ayant

comme mission d’initier ou du moins faciliter les changements

plutôt qu’une unité autonome possédant le contrôle absolu des

ressources informationnelles comme dans les années 70 et au début

des années 80.

Aujourd’hui le SI représente pour l’entreprise:

Support a l’outil de production vue que cela contribue a la réalisation

de l’objet de l’entreprise.

Référentiel du patrimoine et de son savoir faire

Moyen de renforcement du contrôle et de maîtrise des processus de

gestion

Company Logo

Le cycle de vie d’un SI dans l’entreprise

Company Logo

Les missions d’audit des SI

pour chacun des trois bases du cycle de vie d’un

SI dans l’entreprise un audit est approprié:

Company Logo

Démarche d’audit

L’audit qui est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.

Company Logo

A ne pas confondre!

Généralement on a un amalgame entre les trois concepts donc il est a savoir

Company Logo

Les types d’audit

Company Logo

Quelques référentiels de l’audit des SI

COBIT (Contrôle Objectives for Information and related Technology)Établis par l ’ISACA (Information System Audit and Control Association).Traduit et diffusé par l ’AFAI (Association française de l’audit etdu conseil informatique). SAC Report (Contrôle et audit du système d ’information)Établis par IAATraduit et diffusé par l ’IFACI, IAI l’ISO 17799 pour la sécurité de l’informationPour certains domaines informatiques bien spécifiques, il est égalementpossible de s’appuyer sur des référentiels plus ciblés.

Un référentiel d’audit correspond à un recueil de règles, procédures et/ou bonnes pratiques reconnues au plan international et sur lequel l’auditeur pourra s’appuyer pour formuler ses recommandations. Dans le domaine de l’informatique, il en existe notamment deux qui sont particulièrement répandus, à savoir

Company Logo

Audit de la fonction informatique

Organisation, planification et management de

la fonction informatique ;

Développement, acquisition, implémentation et

maintenance des applications et programmes

informatiques;

Exploitation informatique ;

Sécurité des actifs informatiques et des accès

aux ressources informatiques ;

Plan de secours informatique.

Company Logo

1- Organisation, planification et management de

la fonction informatique:

Vérifier que le plan informatique est approuvé par le comité informatique et qu’il est en ligne avec la stratégie de l’entreprise ;

Vérifier qu’un comité informatique regroupant les différentes directions de l’entreprise a été créé ;

Examiner les PV de ce comité et évaluer son rôle ;

S’assurer que la DSI établit des indicateurs de performance et des tableaux de bord, et apprécier leur pertinence.

Company Logo

2- Développement, acquisition et maintenance des applications et programmes informatiques

Déterminer les composantes, les objectifs et les

besoins des utilisateurs afin d’identifier les aspects

qui nécessitent un niveau de contrôle important.

Déterminer les zones de risques relatives aux

développements réalisés et identifier les contrôles

mis en place pour réduire le niveau des risques

identifiés ;

S’assurer que les contrôles ont été implémentés et

que les développements réalisés correspondent bien

aux besoins des utilisateurs ;

Company Logo

3- Exploitation informatique

La maîtrise des technologies utilisées;

L’existence des points de contrôle relatifs à

l’exploitation;

La qualité de la planification des opérations

d’exploitation ;

Le suivi des incidents d’exploitation suite à l’arrêt d’un

programme par exemple ;

La mise en oeuvre de tableaux de bord d’exploitation.

Company Logo

4- La sécurité des actifs informatiques et des accès aux ressources informatiques

la sécurité logique

L’existence et la bonne application d’une procédure d’accès aux

ressources informatiques

L’existence et la bonne application d’une procédure de suppression

des accès aux systèmes suite aux départs des employés.

L’existence d’une procédure de gestion et de changement des mots

de passe.

la sécurité physique

Les procédures d’accès physique au bâtiment de l’entreprise;

Les procédures d’accès spécifiques aux zones protégées (salles

"machines", imprimantes systèmes, lieu d’emplacement des

cartouches de sauvegardes, …etc.).

Company Logo

5- Plans de sauvegardes et de secours informatique

Plan de sauvegardes

o Des sauvegardes quotidiennes des données

d’exploitation sont effectuées selon un cycle de cinq ou

six jours sur sept;

o Des sauvegardes mensuelles doivent être

également effectuées;

o Des sauvegardes annuelles et décennales

effectuées notamment pour les besoins légaux ;

o Une sauvegarde externe doit être prévue et

placée dans un endroit sécurisé.

Company Logo

5 Plans de sauvegardes et de secours informatique

Plan de secours L’existence d’un plan de secours; Le DMI (Délai Maximum d’Indisponibilité) doit être

identifié par application; Un site de back up; « hot site »ayant des serveurs avec les mêmes

performances du site réel et des connexions réseaux disponibles.

« Warm site » qui est un site de back up ayant uniquement des connexions réseaux disponibles

« cold site » qui est un site disposant uniquement d’électricité et de climatisation.

Company Logo

Présentation d’un cas de revue des contrôles généraux informatiques

L'exploitation informatique

La sécurité

Le plan de secours et de sauvegardesLe plan de secours et de sauvegardes

Le développement des applicationsLe développement des applications

L'organisation de la direction informatique

Company Logo

L’audit de projet

La notion de projet :Un projet c ’est d ’abord une équipeC ’est ensuite un délai – Une date de début – Une date de finC ’est aussi une organisation spécifique Et,

bien entendu, un budget particulierRôle clé du chef de projet dans la réussite du

projet

Company Logo

L’audit de projet

Particularités des projets informatiques Le pilotage des projets informatiques est une

opération délicate – Dérapage sur les délais – Dérive fréquente des coûts – Nécessité de mettre en place un pilotage

rigoureux La qualité des applications informatiques – Difficulté de valider la qualité d ’une

application – Nécessité de mettre en place des

procédures de certification de la qualité

Company Logo

L’audit de projet

Tenir les délais et les budgets Gestion de projet : Structurer Assurer Optimiser Découpage du projet en étape : – Conception générale – Conception détaillée – Développement – Test – Installation et déploiement – Bilan

Company Logo

L’audit de projet

Mettre en place un système de pilotage efficace

Un découpage en phase

Un livrable à la fin de chaque phase

Pilotage des phases :

– Valider les résultats en fin de phase

– Valider les objectifs de la phase suivante

– Informer le comité de pilotage

Suivi des performances et de la qualité

– Normes et standards

– Contrôles

– Conseils

Company Logo

L’audit de projet

Les bonnes pratiques concernant les projets informatiques

l'existence d'une méthodologie de conduite des projets,

la conduite des projets par étapes quel que soit le modèle de gestion de projets 

le respect des étapes et des phases du projet, le pilotage du développement et notamment les

rôles respectifs du chef de projet et du comité de pilotage,

la conformité du projet aux objectifs généraux de l'entreprise

Company Logo

L’audit de projet

Les points de contrôles la clarté et l’efficacité du processus de

développement -Existence de processus, de méthodes

et de standards -Vérification de l ’application de la

méthodologie -Adéquation des fonctions aux besoins

des utilisateurs

Company Logo

Audit de la sécurité

L'audit de la sécurité informatique a pour but de donner au management une assurance raisonnable du niveau de risque de l'entreprise lié à des défauts de sécurité informatique.

En effet, l'observation montre que l'informatique représente souvent un niveau élevé pour risque élevé de l'entreprise.

1.Existence de risques importants liés aux systèmes d’information

Il existe en informatique des risques importants liés même à la nature de cette activité

Existence d’un patrimoine important en matériel informatique(vol , dégradation,…) et logiciels(piratage)…

2. Il existe quatre notions fondamentales: Ces risques sont généralement liés à la conjonction de quatre notions

fondamentales :

2-1) La menace 2-2) Le facteur de risque 2-3) La manifestation de risque 2-4) La maîtrise du risque

Company Logo

La menace

Il existe de nombreuses menaces dans le domaine de l’informatique: -les erreurs ; Les malveillances ; Les accidents…Elles concernent: Les biens matériels: -le réseau ; les équipements informatiques Les biens immatériels: -des logiciels (de base, applications…)

2-2) Les causes de l’existence du facteur de risqueUn facteur de risque est une cause de vulnérabilité due à une faiblesse de l’organisation, des méthodes, des techniques des outils ou du système de contrôle.Les risques informatiques peuvent être accrus de différentes manières:

-Absence de politique informatique - Faible participation des utilisateurs - Méthodes inadaptées aux objectifs - Obsolescence des techniques utilisées - Compétences insuffisantes - Faiblesse des processus de gestion

La médiocrité du management informatique est un facteur accroissant le niveau de risque.

Company Logo

la manifestation du risque

La destruction physique du centre de calcul ( incendie, inondation,…) est spectaculaire mais en fait peu fréquente

Le vrai risque est invisible Il se manifeste de différentes manières: -pénétration du réseau par des intrus -Vols d’informations - Concurrence faussée - Falsification des données… l’entreprise victime d’un concurrent risque de ne

s’en apercevoir que lorsqu’elle va perdre des marchés et des clients sans savoir pourquoi.

Company Logo

la maîtrise du risque

Méthodes pour identifier les risques en terme de menace ou de facteurs de risques (Marion)

Identification des parades La sécurité physique -Contrôle d’accès aux locaux - protection incendie… La sécurité logique - contrôle d’accès aux systèmes, aux

programmes, aux données… Importance du plan de secours permettant de

faire face à la disparition totale ou partielle du système d’information

Company Logo

Les facteurs de limitation des risques

Les bonnes pratiques concernant la sécurité sont: Existence d’une politique du système d’informationLes services informatiques ayant une vision globale de leur

démarche sont les mieux protégés que les autresCette politique doit notamment préciser les responsabilités des

différents intervenants sur les systèmes informatiques Implication des utilisateursLa meilleure protection du SI est celle exercée par les

utilisateurs;Ils doivent surveiller leur matériel et la sécurité des locauxIls contrôlent leurs données et leurs base de données…

Company Logo

Les facteurs de limitation des risques

Méthodes de travail et outils adaptés aux objectifsLe meilleur moyen de limiter les risques liés à l’insuffisance de

sécurité est de doter les services informatiques de méthodes de travail et des outils adaptés; ces méthodes de travail consiste à définir les tâches à effectuer et de définir de manière rationnelle l’organisation du travail; De même il est nécessaire de se doter d’outils performants conformes aux objectifs recherchés.

La compétence du personnelLa sécurité du SI dépend surtout de la compétence du personnel;

plus il est compétent, plus il est à même d’intervenir rapidement et efficacement pour limiter les risques.

Outil de gestion efficaceDe même il est nécessaire que des dispositifs de gestion efficaces

soient mises en place, ils ont pour but de repérer plus facilement les failles de la sécurité informatique ( poste de travail,

Company Logo

5-Exemples de missions d’audit

5-1) Audit de la sécurité d’une application client-serveur

La mise en place d’une nouvelle application du type Client-serveur fait apparaître différents incidents d’exploitation, ainsi l’analyse montre qu’ils ne sont pas dus à des fragilités du logiciel de base mais au faible respect des consignes de sécurité.

L’organisation de la sécurité laisse à désirer et notamment la politique des mots de passe n’est pas respectée.Définir une politique de gestion des mots de passe et la faire appliquerMettre en place un logiciel de surveillance du réseau permettant de suivre les incidents.Former le personnel à l’application des consignes de sécurité.

Company Logo

Conduite d’une mission d’audit informatique

Les six Phases de la mission d’Audit :

1. Définition de la mission Périmètre de la mission Établissement de la lettre de mission

2. La planification de la mission3. La collecte des faits, la réalisation de tests,…4. Entretiens avec les audités 5. Rédaction du rapport final6. Présentation et discussion de ce rapport

Company Logo

1 - Définition de la mission : Périmètre de la mission

Company Logo

1 - Définition de la mission : Établissement de la lettre de mission

Partir des attentes du demandeur d’audit Ne pas hésiter à passer du temps à bien les

comprendre C’est pas toujours claire dans leur tête, c’est

d’ailleurs pour cela qu’ils demandent un audit Si c’est nécessaire faire un pré - diagnostic Établir une liste des questions Faire une lettre de mission (C’est un mandat

au sens du Code Civil) Souvent il faut rédiger la lettre de mission

Company Logo

2 - Planification de la mission : le choix de la démarche

Il faut dès le départ annoncer la démarche suivie

Pour l’auditeur externe rôle de la proposition Pour l’auditeur interne rôle du plan d’audit Il faut détailler le programme de travail Prévoir suffisamment à l’avance la collecte des

faits et les tests à organiser (délais souvent longs)

Savoir limité le nombre des entretiens (c’est un très gros consommateur de temps et de délais)

Une mission d’audit insuffisamment préparée est une mission à risque

Company Logo

3 - La collecte des faits, la réalisation des tests,...

L’auditeur ne doit prendre en compte que les faits et il doit se méfier des opinions

On ne peut pas se contenter des «dires» des audités, il faut se

baser sur des faits On s’organise pour trouver les faits dont on a besoin : -Les tests, les jeux d’essais,… -Les mesures de performances (temps de

réponses...) -Les incidents d’exploitation, les anomalies, les

erreurs,…

Importance de la collecte de faits significatifs et si on a du mal à les obtenir nécessité d’effectuer des tests

Company Logo

4 - Entretiens avec les audités

Au contraire, spontanément les auditeurs se méfient des faits et ils ont tendance à préférer les opinions

Au cours des entretiens, ne pas se disperser. Cibler les questions

Ne pas prendre parti dans les déclarations des audités

Evaluer avec prudence les « dires » On n’instruit pas « à charge et à décharge » La lettre de mission vous donne un mandat. Vous

représentez le demandeur d’audit Le nombre d’entretiens est une variable importante

expliquant la durée de l’opération et la charge de travail

LOGOwww.wondershare.comwww.wondershare.com

Merci pour votre attention