Post on 05-Aug-2015
description
AUDIT ET CONTRÔLES INTERNES
INFORMATIQUES Approche pragmatique & bonnes
pratiques
TOUS DROITS RESERVES ©ADDED
Thibaut de la Bouvrie, Manager risques et audit des SI
CISA, CISM, ITILv3, PCI-DSS QSA, PRINCE2 et ISO 27001 LA
SOMMAIRE
L’importance des contrôles informatiques
Le cercle vertueux de l’audit informatique
Bonne pratique 1 : La justification de l’audit
Bonne pratique 2 : La préparation de l’audit
Bonne pratique 3 : La Réalisation des missions
Comment gérer dans la pratique
Questions
2 TOUS DROITS RESERVES ©ADDED
LES DIFFERENTS NIVEAUX DE CONTROLE
3
Contrôles au niveau de l’entité Ces contrôles donnent le ton et transmettent la culture de l’entreprise. Les contrôles informatiques font partie de ces contrôles qui comprennent : - Stratégies et plans d’action - Politique et procédures - Evaluation des risques - Formation - Assurance qualité - Audit interne
Contrôles généraux informatiques Contrôles intégrés dans les processus de la fonction informatique qui permettent un environnement de traitement fiable et qui permettent aussi un déroulement adéquat des contrôles d’application. Ces contrôles couvrent notamment : - le développement des applications - l’accès aux données et aux programmes - les modifications des applications - les traitements informatiques
Contrôles applicatifs Contrôles intégrés dans les applications gérant les processus métiers et qui participent aux contrôles financiers. Ces contrôles sont présents dans la plupart des applications, dans les grands progiciels standards du marché comme dans les systèmes développés spécifiquement. Ces contrôles ont pour objectifs : - l’exhaustivité - l’exactitude - l’existence et l’approbation - la présentation et l’intelligibilité
Fonction Informatique (Système d’exploitation, continuité, réseau)
Processus Métier
Finance Processus
Métier Logistique
Processus Métier
Production
Processus Métier etc…
Direction Générale
Source ISACA AFAI pour la
traduction
TOUS DROITS RESERVES ©ADDED
LE CERCLE VERTUEUX DE L’AUDIT INFORMATIQUE
4
L’audit des systèmes d’information Mettre en place une approche raisonnée et focalisée sur les principaux risques
Cartographie des risques
Elabora3on du plan d'audit
Réalisa3ons des missions
Suivi des recommanda3ons
TOUS DROITS RESERVES ©ADDED
BONNE PRATIQUE 1 : LA JUSTIFICATION DE L’AUDIT
5
Toutes les organisations n’ont pas les mêmes risques Les audits et contrôles internes à déployer doivent être alignés avec les enjeux des métiers de l’organisation. Tous les référentiels préconisent la même étape avant de démarrer un audit ou un projet :
L’analyse de risque Exemple de « fail » 2012 : -> La carte de paiement sans contact non conforme PCI-DSS
TOUS DROITS RESERVES ©ADDED
OUTIL 1 : LA CARTOGRAPHIE DES RISQUES INFORMATIQUES
6
§ Implication obligatoire du management et des métiers § Exercice à refaire régulièrement § Bénéfices :
§ Concentration sur les risques majeurs § Prise de conscience du management § Culture du risques
TOUS DROITS RESERVES ©ADDED
OUTIL 1 : LA CARTOGRAPHIE DES RISQUES INFORMATIQUES
7
Une cartographie des risques informatiques permet de classer les risques en 4 principales catégories :
A TRAITER : Risques considérés comme importants mais non ou insuffisamment maîtrisés. Ces risques doivent être traités en priorité car représentent une menace potentielle pour l’organisation. A REVOIR : Risques considérés comme importants et plutôt sous-contrôle. Ils doivent faire l’objet d’une analyse ultérieure pour valider la perception du Management quant à leur niveau de maîtrise en interne. Ces risques peuvent être intégrés au plan d’audit informatique. A SURVEILLER : Risques considérés comme moins importants et actuellement non ou insuffisamment maîtrisés. Se concentrer sur ces risques n’est pas une priorité. Cependant, ils doivent être surveillés de près pour s’assurer que leur importance n’augmente pas dans le temps. FOLLOW : Risques considérés comme moins importants et relativement bien maîtrisés. Ils sont à considérer comme une source potentielle d’optimisation des ressources. Un suivi de ces risques par l’audit interne peut s’avérer intéressant pour améliorer les processus associés.
A TRAITER
A SURVEILLER
A REVOIR
A SUIVRE
+
-‐ NIVEAU DE MAITRISE
IMPO
RTAN
CE DU RISQUE
La stratégie à adopter face à chaque risque identifié doit tenir compte de la catégorie dans
laquelle se trouve le risque
-‐ +
TOUS DROITS RESERVES ©ADDED
OUTIL 2 : LE RÉFÉRENTIEL DE RISQUE
8
Risque Typologie de
Risque Famille de
risque Non prise en compte des exigences des demandeurs dans les développements ou les acquisitions
Inadéquation des systèmes d'information
Risques opérationnels
SI et organisation SI non alignés avec la stratégie de l'entreprise et les besoins utilisateurs
Inadéquation des systèmes d'information
Risques opérationnels
Accès non autorisé à des services, applications ou données sensibles
Perte de confidentialité
Risques stratégiques
Inadéquation de la conception générale et de la conception détaillée par manque d'implication des demandeurs
Inadéquation des systèmes d'information
Risques opérationnels
Processus informatiques non standardisés / pratiques hétérogènes
Indisponibilité des SI
Risques opérationnels
Absence d'environnement de test dédié / non étanchéité des environnements de production
Indisponibilité des SI
Risques opérationnels
……… ….. …..
TOUS DROITS RESERVES ©ADDED
OUTIL 2 : LE RÉFÉRENTIEL DE RISQUE
9
Nouveaux risques apporté par l’entreprise numérique : - Les atteintes à la réputation ou à l’e-réputation - Le vol de donnée par la mobilité - Le risque systémique - La contrefaçon et les atteintes aux droits à la propriété intellectuelle - Les atteintes aux informations personnelles - La conservation des données numériques - Les risques liés aux ressources humaines - Réseaux Sociaux - Le cloud Computing
TOUS DROITS RESERVES ©ADDED
OUTIL 3 : LES METHODES D’ANALYSE DE RISQUE
10
Méthodes d’évaluation des risques sur la sécurité : • EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité 2010 -http://www.ssi.gouv.fr/fr/bonnes-pratiques/outils-methodologiques/ebios-expression-des-besoins-et-identification-des-objectifs-de-securite.html • MEHARI : Méthode harmonisée d'analyse des risques https://www.clusif.asso.fr/fr/production/mehari/ • OCTAVE • ISO 27005 Risk assessement
TOUS DROITS RESERVES ©ADDED
BONNE PRATIQUE 2 : LA PRÉPARATION DE L’AUDIT
11
A partir des risques majeurs identifiés : - Préparer le plan d’audit - Préparer pour chaque audit du plan, le programme de travail de l’audit
Quelques exemples de site pour trouver des programmes de travail : - Auditnet.org (anglais & français) : http://www.auditnet.org - Protiviti Knowledge Leader (Anglais) – http://www.knowledgeleader.com 30 jrs gratuits essai - Référentiels ISO, COBIT, etc… Adapter votre programme en fonction de vos problématiques métiers
TOUS DROITS RESERVES ©ADDED
BONNE PRATIQUE 2 : LA PRÉPARATION DE L’AUDIT
12
Faites preuve de bon sens ! Si aucun document n’est formalisé, c’est certainement qu’aucun contrôle, ou aucune sécurité n’est en place…
Audit des contrôles généraux • Contrôles basiques
Audit de sécurité • Audit des vulnérabilités • Audit de sécurité an3-‐fraude
Audit d’applica3on
Audit de pré & post implémenta3on projet Audit d’analyse de donnée
TOUS DROITS RESERVES ©ADDED
BONNE PRATIQUE 2 : LA PRÉPARATION DEL’AUDIT
13
Vérifier « L’Hygiène de la sécurité » On ne se fait pas opérer dans un hôpital s’il n’y a pas des règles d’hygiène de base ! -‐ Les poli3ques / chartes / procédures -‐ Les mots de passe -‐ Les an3virus/firewall/mise à jour -‐ Etc…
TOUS DROITS RESERVES ©ADDED
BONNE PRATIQUE 3 : LA RÉALISATION DES MISSIONS
14
L’audit des processus :
TOUS DROITS RESERVES ©ADDED
Compréhension des processus
et des outils utilisés
Analyse des processus
existants et des risques associés
Identification des contrôles
clés
Tests sur les contrôles en
place
Présentation des constats aux opérationnels
Rapport d’audit
OUTIL 4 : LA RECOMMANDATION JUSTE
15 TOUS DROITS RESERVES ©ADDED
Encore plus particulièrement pour les audits de sécurité, prendre en compte : • les aspects métiers : la sécurité pour la sécurité ne sert à rien • la difficulté de mise en œuvre et la criticité des différents constats (souvent très nombreux)
Gagner de nouveaux contrats
Partager l’informa3on
Op3miser les
processus Travailler et voyager
Minimiser les coûts de
contrôle Accéder facilement
au SI Délivrer le services
efficacement
Stopper les fuites de données
Maintenir la piste d’audit
Iden3fier les u3lisa3ons
malveillantes du SI
Auditabilité Limiter les
accès Conformité
Recommanda;on
MISSION D’AUDIT : COMMENT GÉRER DANS LA PRATIQUE
16 TOUS DROITS RESERVES ©ADDED
Pbl 1: Disponibilité des audités 1) Programme de travail détaillé envoyé 15jrs avant le démarrage de l’audit 2) Joindre la le`re de mission signé du management 3) Fixer une date/un lieu et une durée pour rencontrer l’audité 4) Si l’audité n’est jamais disponible demander à son manager de lui libérer
un créneau. 5) Privilégier une salle de réunion plutôt que le bureau pour créer un
endroit neutre et ne pas être dérangé 6) Avant de commencer l’entre3en, lui demander de couper la sonnerie du
téléphone portable
MISSION D’AUDIT : COMMENT GÉRER DANS LA PRATIQUE
17 TOUS DROITS RESERVES ©ADDED
Pbl 2 : Refus d’accepta;on des recommanda;ons 1) Exemple 1 : Poli3que de mots de passe
⇒ Démonstra3on de la rapidité pour trouver les mots de passe ⇒ John the ripper, Cain & Abel (www.oxid.it) ⇒ Illustra3on de moyens mémotechniques u3lisés pour trouver des
mots de passe long 2) Exemple 2 : Accès en lecture pour les développeurs
Classique : Tous les développeurs ont un accès en lecture sur les données des u3lisateurs Risque: Usurpa3on d’iden3té en décryptant le hash des mots de passe u3lisateurs (SAP, Oracle BS)
MISSION D’AUDIT : COMMENT GÉRER DANS LA PRATIQUE
18 TOUS DROITS RESERVES ©ADDED
Exemple de benchmarks intéressants : -‐ 78 % des viola3ons de données sont commises par des membres autorisés du
personnel de l'entreprise (source Ponemon Ins3tute – 2010) -‐ 70% des entreprises ayant subi une perte de données majeure ne survivent pas
+ 18 mois (source UK : Departement Of Trade Industry) -‐ 50% entreprises n’ont pas de fonc3on RSSI clairement iden3fiée -‐ Le coût moyen de la perte de données s'élève en france à 91€ par dossier
perdu. (source Ponemon Ins3tute – 2010). -‐ Le nombre de dossiers perdus par fuite a engendré un coût total moyen de 2
millions d'€ pour les organisa3ons vic3mes de fuite en (source Ponemon Ins3tute – 2010).
MISSION D’AUDIT : COMMENT GÉRER DANS LA PRATIQUE
19 TOUS DROITS RESERVES ©ADDED
Pbl 3 : Implica;on tardive des auditeurs dans les projets 1) Si vous êtes RSSI : Invitez-‐vous au réunion de projet dès la phase de
démarrage ou de concep3on
2) Me`ez en place une poli3que de sécurité qui couvre aussi les aspects de ges3on de projet
BONNE PRATIQUE 4 : LE SUIVI DES RECOMMANDATIONS
20
MePre en place une approche intégrée de type GRC…
TOUS DROITS RESERVES ©ADDED
Add a
for sustainable results
www.added-consulting.com
The informa3on contained in the following pages is intended solely for the addressed recipient. The recipient agrees to treat the informa3on contained in this document as confiden3al and or proprietary informa3on of Added. The recipient also agrees that this document may contain trade secrets of Added which would provide a compe33ve advantage to others. As a result, the informa3on contained in this document shall not be disclosed, used or duplicated, in whole or in part, for any purpose other than to evaluate Added.
21
tbo@added-consulting.com
+33.6.89.72.66.63
Thibaut de la Bouvrie
QUESTIONS ?
CONFIDENTIAL ©ADDED