LOGOwww.wondershare.comwww.wondershare.com
Audit de Systéme d’Information
Réalisé par: ABARKANE Mohamed BATASSE SaraBALBASIR Kacem El MALLAM Racha KHARMIZ Hafsa TOURIKI khadija
Company Logo
plan:
1. Notions de base des de l ’audit des SI
2. Domaines d ’Audit des SI
Audit de la fonction informatique
Audit des projets
Audit de la Sécurité
3. Conduite d ’une mission d ’audit
Company Logo
L’importance du SI dans l’entreprise
le souhait d’intégration des SI dans la stratégie est compréhensible et
il a plusieurs origines. Il est d’abord une conséquence du
changement dans le rôle de la fonction Systèmes d’Information:
c’est aujourd’hui une fonction distribuée dans l’entreprise ayant
comme mission d’initier ou du moins faciliter les changements
plutôt qu’une unité autonome possédant le contrôle absolu des
ressources informationnelles comme dans les années 70 et au début
des années 80.
Aujourd’hui le SI représente pour l’entreprise:
Support a l’outil de production vue que cela contribue a la réalisation
de l’objet de l’entreprise.
Référentiel du patrimoine et de son savoir faire
Moyen de renforcement du contrôle et de maîtrise des processus de
gestion
Company Logo
Le cycle de vie d’un SI dans l’entreprise
Company Logo
Les missions d’audit des SI
pour chacun des trois bases du cycle de vie d’un
SI dans l’entreprise un audit est approprié:
Company Logo
Démarche d’audit
L’audit qui est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.
Company Logo
A ne pas confondre!
Généralement on a un amalgame entre les trois concepts donc il est a savoir
Company Logo
Les types d’audit
Company Logo
Quelques référentiels de l’audit des SI
COBIT (Contrôle Objectives for Information and related Technology)Établis par l ’ISACA (Information System Audit and Control Association).Traduit et diffusé par l ’AFAI (Association française de l’audit etdu conseil informatique). SAC Report (Contrôle et audit du système d ’information)Établis par IAATraduit et diffusé par l ’IFACI, IAI l’ISO 17799 pour la sécurité de l’informationPour certains domaines informatiques bien spécifiques, il est égalementpossible de s’appuyer sur des référentiels plus ciblés.
Un référentiel d’audit correspond à un recueil de règles, procédures et/ou bonnes pratiques reconnues au plan international et sur lequel l’auditeur pourra s’appuyer pour formuler ses recommandations. Dans le domaine de l’informatique, il en existe notamment deux qui sont particulièrement répandus, à savoir
Company Logo
Audit de la fonction informatique
Organisation, planification et management de
la fonction informatique ;
Développement, acquisition, implémentation et
maintenance des applications et programmes
informatiques;
Exploitation informatique ;
Sécurité des actifs informatiques et des accès
aux ressources informatiques ;
Plan de secours informatique.
Company Logo
1- Organisation, planification et management de
la fonction informatique:
Vérifier que le plan informatique est approuvé par le comité informatique et qu’il est en ligne avec la stratégie de l’entreprise ;
Vérifier qu’un comité informatique regroupant les différentes directions de l’entreprise a été créé ;
Examiner les PV de ce comité et évaluer son rôle ;
S’assurer que la DSI établit des indicateurs de performance et des tableaux de bord, et apprécier leur pertinence.
Company Logo
2- Développement, acquisition et maintenance des applications et programmes informatiques
Déterminer les composantes, les objectifs et les
besoins des utilisateurs afin d’identifier les aspects
qui nécessitent un niveau de contrôle important.
Déterminer les zones de risques relatives aux
développements réalisés et identifier les contrôles
mis en place pour réduire le niveau des risques
identifiés ;
S’assurer que les contrôles ont été implémentés et
que les développements réalisés correspondent bien
aux besoins des utilisateurs ;
Company Logo
3- Exploitation informatique
La maîtrise des technologies utilisées;
L’existence des points de contrôle relatifs à
l’exploitation;
La qualité de la planification des opérations
d’exploitation ;
Le suivi des incidents d’exploitation suite à l’arrêt d’un
programme par exemple ;
La mise en oeuvre de tableaux de bord d’exploitation.
Company Logo
4- La sécurité des actifs informatiques et des accès aux ressources informatiques
la sécurité logique
L’existence et la bonne application d’une procédure d’accès aux
ressources informatiques
L’existence et la bonne application d’une procédure de suppression
des accès aux systèmes suite aux départs des employés.
L’existence d’une procédure de gestion et de changement des mots
de passe.
la sécurité physique
Les procédures d’accès physique au bâtiment de l’entreprise;
Les procédures d’accès spécifiques aux zones protégées (salles
"machines", imprimantes systèmes, lieu d’emplacement des
cartouches de sauvegardes, …etc.).
Company Logo
5- Plans de sauvegardes et de secours informatique
Plan de sauvegardes
o Des sauvegardes quotidiennes des données
d’exploitation sont effectuées selon un cycle de cinq ou
six jours sur sept;
o Des sauvegardes mensuelles doivent être
également effectuées;
o Des sauvegardes annuelles et décennales
effectuées notamment pour les besoins légaux ;
o Une sauvegarde externe doit être prévue et
placée dans un endroit sécurisé.
Company Logo
5 Plans de sauvegardes et de secours informatique
Plan de secours L’existence d’un plan de secours; Le DMI (Délai Maximum d’Indisponibilité) doit être
identifié par application; Un site de back up; « hot site »ayant des serveurs avec les mêmes
performances du site réel et des connexions réseaux disponibles.
« Warm site » qui est un site de back up ayant uniquement des connexions réseaux disponibles
« cold site » qui est un site disposant uniquement d’électricité et de climatisation.
Company Logo
Présentation d’un cas de revue des contrôles généraux informatiques
L'exploitation informatique
La sécurité
Le plan de secours et de sauvegardesLe plan de secours et de sauvegardes
Le développement des applicationsLe développement des applications
L'organisation de la direction informatique
Company Logo
L’audit de projet
La notion de projet :Un projet c ’est d ’abord une équipeC ’est ensuite un délai – Une date de début – Une date de finC ’est aussi une organisation spécifique Et,
bien entendu, un budget particulierRôle clé du chef de projet dans la réussite du
projet
Company Logo
L’audit de projet
Particularités des projets informatiques Le pilotage des projets informatiques est une
opération délicate – Dérapage sur les délais – Dérive fréquente des coûts – Nécessité de mettre en place un pilotage
rigoureux La qualité des applications informatiques – Difficulté de valider la qualité d ’une
application – Nécessité de mettre en place des
procédures de certification de la qualité
Company Logo
L’audit de projet
Tenir les délais et les budgets Gestion de projet : Structurer Assurer Optimiser Découpage du projet en étape : – Conception générale – Conception détaillée – Développement – Test – Installation et déploiement – Bilan
Company Logo
L’audit de projet
Mettre en place un système de pilotage efficace
Un découpage en phase
Un livrable à la fin de chaque phase
Pilotage des phases :
– Valider les résultats en fin de phase
– Valider les objectifs de la phase suivante
– Informer le comité de pilotage
Suivi des performances et de la qualité
– Normes et standards
– Contrôles
– Conseils
Company Logo
L’audit de projet
Les bonnes pratiques concernant les projets informatiques
l'existence d'une méthodologie de conduite des projets,
la conduite des projets par étapes quel que soit le modèle de gestion de projets
le respect des étapes et des phases du projet, le pilotage du développement et notamment les
rôles respectifs du chef de projet et du comité de pilotage,
la conformité du projet aux objectifs généraux de l'entreprise
Company Logo
L’audit de projet
Les points de contrôles la clarté et l’efficacité du processus de
développement -Existence de processus, de méthodes
et de standards -Vérification de l ’application de la
méthodologie -Adéquation des fonctions aux besoins
des utilisateurs
Company Logo
Audit de la sécurité
L'audit de la sécurité informatique a pour but de donner au management une assurance raisonnable du niveau de risque de l'entreprise lié à des défauts de sécurité informatique.
En effet, l'observation montre que l'informatique représente souvent un niveau élevé pour risque élevé de l'entreprise.
1.Existence de risques importants liés aux systèmes d’information
Il existe en informatique des risques importants liés même à la nature de cette activité
Existence d’un patrimoine important en matériel informatique(vol , dégradation,…) et logiciels(piratage)…
2. Il existe quatre notions fondamentales: Ces risques sont généralement liés à la conjonction de quatre notions
fondamentales :
2-1) La menace 2-2) Le facteur de risque 2-3) La manifestation de risque 2-4) La maîtrise du risque
Company Logo
La menace
Il existe de nombreuses menaces dans le domaine de l’informatique: -les erreurs ; Les malveillances ; Les accidents…Elles concernent: Les biens matériels: -le réseau ; les équipements informatiques Les biens immatériels: -des logiciels (de base, applications…)
2-2) Les causes de l’existence du facteur de risqueUn facteur de risque est une cause de vulnérabilité due à une faiblesse de l’organisation, des méthodes, des techniques des outils ou du système de contrôle.Les risques informatiques peuvent être accrus de différentes manières:
-Absence de politique informatique - Faible participation des utilisateurs - Méthodes inadaptées aux objectifs - Obsolescence des techniques utilisées - Compétences insuffisantes - Faiblesse des processus de gestion
La médiocrité du management informatique est un facteur accroissant le niveau de risque.
Company Logo
la manifestation du risque
La destruction physique du centre de calcul ( incendie, inondation,…) est spectaculaire mais en fait peu fréquente
Le vrai risque est invisible Il se manifeste de différentes manières: -pénétration du réseau par des intrus -Vols d’informations - Concurrence faussée - Falsification des données… l’entreprise victime d’un concurrent risque de ne
s’en apercevoir que lorsqu’elle va perdre des marchés et des clients sans savoir pourquoi.
Company Logo
la maîtrise du risque
Méthodes pour identifier les risques en terme de menace ou de facteurs de risques (Marion)
Identification des parades La sécurité physique -Contrôle d’accès aux locaux - protection incendie… La sécurité logique - contrôle d’accès aux systèmes, aux
programmes, aux données… Importance du plan de secours permettant de
faire face à la disparition totale ou partielle du système d’information
Company Logo
Les facteurs de limitation des risques
Les bonnes pratiques concernant la sécurité sont: Existence d’une politique du système d’informationLes services informatiques ayant une vision globale de leur
démarche sont les mieux protégés que les autresCette politique doit notamment préciser les responsabilités des
différents intervenants sur les systèmes informatiques Implication des utilisateursLa meilleure protection du SI est celle exercée par les
utilisateurs;Ils doivent surveiller leur matériel et la sécurité des locauxIls contrôlent leurs données et leurs base de données…
Company Logo
Les facteurs de limitation des risques
Méthodes de travail et outils adaptés aux objectifsLe meilleur moyen de limiter les risques liés à l’insuffisance de
sécurité est de doter les services informatiques de méthodes de travail et des outils adaptés; ces méthodes de travail consiste à définir les tâches à effectuer et de définir de manière rationnelle l’organisation du travail; De même il est nécessaire de se doter d’outils performants conformes aux objectifs recherchés.
La compétence du personnelLa sécurité du SI dépend surtout de la compétence du personnel;
plus il est compétent, plus il est à même d’intervenir rapidement et efficacement pour limiter les risques.
Outil de gestion efficaceDe même il est nécessaire que des dispositifs de gestion efficaces
soient mises en place, ils ont pour but de repérer plus facilement les failles de la sécurité informatique ( poste de travail,
Company Logo
5-Exemples de missions d’audit
5-1) Audit de la sécurité d’une application client-serveur
La mise en place d’une nouvelle application du type Client-serveur fait apparaître différents incidents d’exploitation, ainsi l’analyse montre qu’ils ne sont pas dus à des fragilités du logiciel de base mais au faible respect des consignes de sécurité.
L’organisation de la sécurité laisse à désirer et notamment la politique des mots de passe n’est pas respectée.Définir une politique de gestion des mots de passe et la faire appliquerMettre en place un logiciel de surveillance du réseau permettant de suivre les incidents.Former le personnel à l’application des consignes de sécurité.
Company Logo
Conduite d’une mission d’audit informatique
Les six Phases de la mission d’Audit :
1. Définition de la mission Périmètre de la mission Établissement de la lettre de mission
2. La planification de la mission3. La collecte des faits, la réalisation de tests,…4. Entretiens avec les audités 5. Rédaction du rapport final6. Présentation et discussion de ce rapport
Company Logo
1 - Définition de la mission : Périmètre de la mission
Company Logo
1 - Définition de la mission : Établissement de la lettre de mission
Partir des attentes du demandeur d’audit Ne pas hésiter à passer du temps à bien les
comprendre C’est pas toujours claire dans leur tête, c’est
d’ailleurs pour cela qu’ils demandent un audit Si c’est nécessaire faire un pré - diagnostic Établir une liste des questions Faire une lettre de mission (C’est un mandat
au sens du Code Civil) Souvent il faut rédiger la lettre de mission
Company Logo
2 - Planification de la mission : le choix de la démarche
Il faut dès le départ annoncer la démarche suivie
Pour l’auditeur externe rôle de la proposition Pour l’auditeur interne rôle du plan d’audit Il faut détailler le programme de travail Prévoir suffisamment à l’avance la collecte des
faits et les tests à organiser (délais souvent longs)
Savoir limité le nombre des entretiens (c’est un très gros consommateur de temps et de délais)
Une mission d’audit insuffisamment préparée est une mission à risque
Company Logo
3 - La collecte des faits, la réalisation des tests,...
L’auditeur ne doit prendre en compte que les faits et il doit se méfier des opinions
On ne peut pas se contenter des «dires» des audités, il faut se
baser sur des faits On s’organise pour trouver les faits dont on a besoin : -Les tests, les jeux d’essais,… -Les mesures de performances (temps de
réponses...) -Les incidents d’exploitation, les anomalies, les
erreurs,…
Importance de la collecte de faits significatifs et si on a du mal à les obtenir nécessité d’effectuer des tests
Company Logo
4 - Entretiens avec les audités
Au contraire, spontanément les auditeurs se méfient des faits et ils ont tendance à préférer les opinions
Au cours des entretiens, ne pas se disperser. Cibler les questions
Ne pas prendre parti dans les déclarations des audités
Evaluer avec prudence les « dires » On n’instruit pas « à charge et à décharge » La lettre de mission vous donne un mandat. Vous
représentez le demandeur d’audit Le nombre d’entretiens est une variable importante
expliquant la durée de l’opération et la charge de travail
LOGOwww.wondershare.comwww.wondershare.com
Merci pour votre attention
Top Related