afai - évolution récente des référentiels

31
L ’é ’é volution r volution ré cente des r cente des réfé rentiels rentiels Jean-Louis Bleicher Régis Delayat 7 Avril 2009

description

audit informatique

Transcript of afai - évolution récente des référentiels

Page 1: afai - évolution récente des référentiels

LL’é’évolution rvolution réécente des rcente des rééfféérentiels rentiels

Jean-Louis BleicherRégis Delayat

7 Avril 2009

Page 2: afai - évolution récente des référentiels

2

Plan

§ COBIT V4.1§ COBIT Quickstart V2§ Guide d’audit informatique COBIT§ Val IT§ Risk IT§ Le Guide pratique CIGREF/ IFACI

Page 3: afai - évolution récente des référentiels

3

COBIT V4.1

Page 4: afai - évolution récente des référentiels

4

§ Synthèse§ Cadre de Référence§ Objectifs de Contrôle§ Guide de Management§ Outils de Mise en Œuvre§ Guide d'Audit

Evolution de COBIT

§ Synthèse§ Cadre de Référence§ Noyau :

• Objectifs de Contrôle• Guide de Management• Modèle de maturité

§ Annexes

§ Guide de mise en œuvre de la gouvernance des SI 2ème édition

§ Guide d’audit des SI

V3 (2000) V4.1 (2007)

Indépendant des technologies

Intégrateur de 40 référentiels dont COSO, ITIL, CMMI

Page 5: afai - évolution récente des référentiels

5

Surveiller Surveiller et Evalueret Evaluer

SE1 Surveiller et évaluer la performance des SISE2 Surveiller le contrôle interneSE3 S’assurer de la conformité réglementaireSE4 Mettre en place une gouvernance des SI

Acquérir et Acquérir et ImplémenterImplémenter

AMP1 Trouver des solutions informatiquesAMP2 Acquérir des applications et en assurer la maintenanceAMP3 Acquérir une infrastructure technique et en assurer la maintenanceAMP4 Faciliter le fonctionnement et l’utilisationAMP5 Acquérir les ressources informatiquesAMP6 Gérer les changementsAMP7 Installer et valider les solutions et les modifications

COBIT : fondements

• applications• informations• infrastructures• personnes

Ressources Informatiques

Information• efficacité• efficience• confidentialité• intégrité• disponibilité• conformité• fiabilité

Objectifs métiers

Planifier etPlanifier etOrganiserOrganiser

PO1 Définir un plan informatique stratégiquePO2 Définir l’architecture de l’informationPO3 Déterminer l’orientation technologiquePO4 Définir les processus, l’organisation et les relations de travailPO5 Gérer les investissements informatiquePO6 Faire connaître les buts et les orientations du managementPO7 Gérer les ressources humainesPO8 Gérer la qualité de l’informatiquePO9 Evaluer et gérer les risquesPO10 Gérer les projets

DS1 Définir et gérer les niveaux de serviceDS2 Gérer les services tiersDS3 Gérer la performance et la capacitéDS4 Assurer un service continuDS5 Assurer la sécurité des systèmesDS6 Identifier et imputer les coûtsDS7 Instruire et former les utilisateursDS8 Gérer le service d’assistance client et les incidentsDS9 Gérer la configurationDS10 Gérer les problèmes et les incidentsDS11 Gérer les donnéesDS12 Gérer l’environnement physiqueDS13 Gérer l’exploitation

Délivrer etDélivrer etSupporterSupporter

Page 6: afai - évolution récente des référentiels

6

Les nouveautés de COBIT V4.1

§ Objectifs de contrôle • Orientés bonnes pratiques de management• Prise en compte de ValIT et révision des OC (V3 = 318,

V4=215, V4.1= 210)• Révision des contrôles applicatifs (6 au lieu de 18) tournés

vers l’évaluation de l’efficacité des contrôles

§ Guide de management• Ajout d’entrées/sorties au niveau des processus• Présentation des activités et responsabilités associées

(tableau RACI)• Métriques basées sur une déclinaison cohérente d’objectifs

métiers, informatiques, processus et activités

Page 7: afai - évolution récente des référentiels

7

Exemple : DS5 Assurer la sécurité des systèmes

Page 8: afai - évolution récente des référentiels

8

Quickstart V2

Page 9: afai - évolution récente des référentiels

9

Les nouveautés de Quickstart V2.0

§ Version allégée de COBIT V4.1§ 4 domaines, 32 processus et 59 objectifs de contrôle

(30 processus 62 objectifs de contrôle dans QuickstartV1)

§ Bonnes pratiques de gestion revues et référencée par rapport aux activités COBIT V4.1

§ Intègre les tableaux RACI et une révision complète des objectifs et métriques

Page 10: afai - évolution récente des référentiels

10

Guide d’audit

Page 11: afai - évolution récente des référentiels

11

Les nouveautés du guide d’audit

• Basé sur COBIT V4.1 et entièrement refondu

• Guide d’audit détaillé des 34 processus COBIT et des applications - sur la base des 6 contrôles retenus par COBIT - (plus de 200 pages)

• Intègre une présentation détaillée des concepts d’audit des SI

Page 12: afai - évolution récente des référentiels

12

Guide d’Audit : démarche d’audit COBIT

PLANIFICATION

CADRAGE

EXECUTION

• Définir le périmètre d'audit des SI.• Sélectionner un cadre de référence de contrôle des SI.• Procéder à la planification de l'audit des SI en fonction des risques.• Procéder à des évaluations de haut niveau.• Définir le cadre et les objectifs généraux du projet.

Objectifs métiersObjectifs informatiques

Principaux processus informatiques et ressources informatiquesPrincipaux objectifs de contrôle

Principaux objectifs de contrôle personnalisés

Affiner la compréhension

du domaine d'audit des SI

Affiner le champ d'action des principaux objectifs de

contrôle pour le domaine d'audit

des SI

Evaluer l'efficacité des

contrôles associés aux

principaux objectifs de

contrôle

En remplacement ou en complément,

évaluer le résultat des principaux objectifs de

contrôle

Evaluer l'impact de la faiblesse des contrôles

Formuler et communiquer l’ensemble des conclusions et

recommandations

PLANS D'AUDIT DES SI CHAM

P D'ACTION ET

OBJECTIFS DÉTAILLÉS

CONCLUSIO

N DE L'AUDIT

Page 13: afai - évolution récente des référentiels

13

Plan du guide d’audit détaillé des processus

Procédures d’évaluation de l'impact des faiblesses de contrôle

Procédures d’évaluation du résultat des objectifs de contrôle

Procédures d’évaluation des contrôles

Objectifs de contrôle Enoncé des valeurs Enoncé des risques

Page 14: afai - évolution récente des référentiels

14

Exemple DS5 Assurer la sécurité des systèmes (extrait)

Page 15: afai - évolution récente des référentiels

15

Exemple DS5 Assurer la sécurité des systèmes (extrait)

Page 16: afai - évolution récente des référentiels

16

Page 17: afai - évolution récente des référentiels

17

3 domaines :

• Gouvernance de la valeur

• Gestion de portefeuille

• Gestion de l’investissement

22 processus

68 bonnes pratiques

VAL IT 2.0

Gestion de l’investissement

(GI)

Gestion de portefeuille

(GP)

Gouvernance de la valeur

(GV)

68 bonnes pratiques

25

22

21

Page 18: afai - évolution récente des référentiels

18

Les nouveautés de VAL IT 2.0

§ Référentiel• Présentation alignée sur COBIT• Modèles de maturité au niveau de chaque domaine• Restructuration des processus qui passent de 15 à 22

§ Pratiques clés de gestion clés• Elles sont plus nombreuses et passent de 40 à 68

§ Guide de management• Nouveauté de cette version • Aligné sur celui de COBIT V4.1 avec quelques différences de

présentation des objectifs et métriques modèle

§ Suppression du business case ING

Page 19: afai - évolution récente des référentiels

19

Exemple VG3 Définir les caractéristiques du portefeuille

Page 20: afai - évolution récente des référentiels

20

Page 21: afai - évolution récente des référentiels

21

Risk IT

3 domaines :

• Gouvernance du risque

• Appréciation du risque

• Traitement du risque

9 processus

47 bonnes pratiques

Présentation similaire à VAL IT, le modèle de maturité s’appliquant au domaine

Page 22: afai - évolution récente des référentiels

22

Exemple RR2 Gérer les risques informatiques

Page 23: afai - évolution récente des référentiels

23

Le contrôle interne du systèmed’information des organisations

Page 24: afai - évolution récente des référentiels

24

Contrôle Interne : Du Cadre de RContrôle Interne : Du Cadre de Rééfféérence AMF au rence AMF au Guide OpGuide Opéérationnel rationnel CigrefCigref//IfaciIfaci

Cadre de Référence AMF Charte Cigref/Ifaci Le Contrôle Interne du SI : Guide opérationnel Cigref/Ifaci

2007Janvier

2007Janvier

2007Octobre

2007Octobre

2009Mars

2009Mars

Page 25: afai - évolution récente des référentiels

25

5 principes clés du contrôle interne

1. Le management doit instaurer une culture et une dynamique du contrôle

2. Le contrôle interne doit être intégré dans les processus de l’entreprise

3. Les systèmes d’information jouent un rôle clé

4. Un principe de proportionnalité et granularité doit s’appliquer

5. Il faut être conscient de la non-exhaustivité et des limites du dispositif de contrôle

Page 26: afai - évolution récente des référentiels

26

Le contrôle interne du systLe contrôle interne du systèème dme d’’information : information : Deux parties distinctes et complDeux parties distinctes et compléémentairesmentaires

Page 27: afai - évolution récente des référentiels

27

Les processus de lLes processus de l’’entrepriseentreprise……et le Systet le Systèème me dd’’InformationInformation

Page 28: afai - évolution récente des référentiels

28

Typologie des points de contrôleTypologie des points de contrôle

Page 29: afai - évolution récente des référentiels

29

DDéémarche des travaux sur le contrôle interne marche des travaux sur le contrôle interne du systdu systèème dme d’’information de linformation de l’’entrepriseentreprise

Page 30: afai - évolution récente des référentiels

30

Démarche des travaux sur le contrôle interne de la Direction des Systèmes d’Information

§ Principes• Utilisation des référentiels existantsè point de départ = COBIT

• Identification de 6 processus IT clés• Production d’un livrable concret, utile à la DSI et à

l’audit interne§ Pour chacun des processus étudiés

• Identification des risques et points de contrôle associés

• Proposition de bonnes pratiques issues de l’expérience et la connaissance des sociétés participantes

• Adaptation au contexte laissé à l’initiative de chaque entreprise

Page 31: afai - évolution récente des référentiels

Synthèse du guide opérationnel Cigref/Ifaci

Achats

Contrôle Interne du SI

Contrôle Interne de l’Entreprise

Métiers IT (COBIT)

Ventes

Consolidation

Compétences

Projets

Maintenance &Changements

Incidents

Sécurité logique& Accès

Sous-traitance

Livrable

• Démarche

• Cartographie processus

• Processus• Etapes• Acteurs/RACI• Flow-chart• Risques• Exemples de contrôles• Bonnes pratiques

Périmètre

Processus de l’entreprise