Audit Des Systemes d Information

Journe de Rflexion sur lAudit Dmarche d audit des Systmes d informationENCG Agadir, le 1 Mars 2003

Nabil BAYAHYA, Directeur Associ Masnaoui Mazars MASNAOUI

1

Plan de la prsentation

1. Notions de base des de l audit des SI 2. Prsentation de 3 domaines d Audit des SI

2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit3. Conduite d une mission d audit

MASNAOUI

2

Contexte des SI dans l entrepriseLes systmes d information ont volu depuis les annes 70 pour s octroyer une importance cruciale dans la vie des entreprises en tant que : Support l outil de production qui contribue la ralisation de l objet de l entreprise (systme de facturation, encaissement, trsorerie, comptabilit, GPAO, GMAO .) Rfrentiel du patrimoine de l entreprise et de son savoir faire (fichier clients, processus de gestion, KM ... ) Moyen de renforcement du contrle et de matrise des processus de gestion (contrle informatique, workflow) . Ces constats gnrent un niveau de dpendance de l entreprise vis vis de son systme d information

MASNAOUI

3

Contexte des SI dans l entrepriseCertes, le niveau d intgration du SI dans les processus de gestion de l entreprise prsente un rel tremplin pour sa croissance et son dveloppement ... mais, une telle intgration prsente d inhrents risques de vulnrabilit de l entrepriseInadquation au processus de gestion Non conformit aux dispositions lgales Absence d information dcisionnel le

...Continuit d exploitation de l entreprise Inefficience de la politique de scurit

Risques informatiques

Inefficience du Contrle

Manque Absence de d volutivit de comptences l architecture qualifies informatique Manque de Fiabilit des Accs non traitements et Augmentatio autoriss des donnes n des cots informatique s

MASNAOUI

4

Proccupations des directions gnralesLe systme d information de l entreprise contribue-t-il amliorer sa profitabilit ? Comment mesurer les bnfices lis aux investissements informatiques ? La stratgie informatique est-elle conforme la stratgie de l entreprise ? Peut-on diminuer les cots des fonctions administratives en dpensant plus en informatique ? Les donnes produites par les applications informatiques permettent-elles de prendre des dcisions efficaces ? Les applications fournissent des informations exactes, exhaustives, authentiques ? Le systme informatique est-il suffisamment protg contre les accidents, les malveillances et les erreurs ? ...

MASNAOUI

5

Problmatiques du Systme d informationLes problmatiques du systme d information se manifestent tout le long de son cycle de vie selon une approche itrative:Quelle adquation avec les orientations stratgiques et le Quelle adquation avec les orientations stratgiques et le plan de dveloppement du SI ? plan de dveloppement du SI ? Comment faire voluer le SI actuel vers le SI cible ? Comment faire voluer le SI actuel vers le SI cible ? Quels choix technologiques retenir ? Quels choix technologiques retenir ? Quelle organisation pour le pilotage des projets Quelle organisation pour le pilotage des projets informatiques ? informatiques ? . . Quelle choix pour la mise en uvre du plan de Quelle choix pour la mise en uvre du plan de dveloppement du SI : Choix de progiciel, dveloppement du SI : Choix de progiciel, dveloppement spcifique, solutions interfaces dveloppement spcifique, solutions interfaces Quelle dmarche de conduite de projet informatiques Quelle dmarche de conduite de projet informatiques Quelle organisation et comptences pour la conduite Quelle organisation et comptences pour la conduite des projets informatiques des projets informatiques ... ...Quelle adquation entre les applications en exploitation et Quelle adquation entre les les besoins des utilisateurs applications en exploitation et les besoins des utilisateurs Quelles sont les mesures de contrles et de scurit prises Quelles sont les mesures de contrles et de scurit prises en compte dans les applications informatiques en compte dans les applications informatiques Quelles sont les procdures d exploitation du SI Quelles sont les procdures d exploitation du SI ... ...

Choix et orientation du systme d information

Mise en uvre et dveloppement du SI

Exploitation du SI

MASNAOUI

6

Primtre des missions d audit des systmes dinformationChoix et orientation du systme d information Mise en uvre et dveloppement du SI

Exploitation du SI

AUDIT : ALIGNEMENT STRATEGIQUE

AUDIT : APPLICATIONS INFORMATIQUES

REVUE DES CONTRLES GENERAUX INFORMATIQUES URBANISATION DU SYSTEME D INFORMATION

AUDIT : Scurit et Rseaux

AUDIT : FONCTION INFORMATIQUES

AUDIT : PROJETS INFORMATIQUES

MASNAOUI

7

Dmarche d audit Objectif :S assurer que tout se passe bien conformment aux rgles et aux usages professionnels Pour toutes les faiblesses importantes dtectes, valuer et justifier les risques, et Proposer des actions correctives

MoyensObserver, analyser et juger des faits Evaluer l adquation et le fonctionnement des activits par comparaison avec un rfrentiel Appliquer des dmarches cohrentes

DomainesToutes les fonctions de l entreprise peuvent tre auditesMASNAOUI

8

Ne pas confondre audit, expertise et conseilAudit Dmarche de gnraliste Collecte de faits Analyse de processus Recommandations Expertise Spcialiste d un domaine Approche technique Mesures de performances Recherche de solutions Conseil Connaissance d un domaine Approche gnraliste Axes d amlioration Pilotage du changementMASNAOUI

9

Trois grands types d auditsL audit de conformit (audit de rgularit) Vrification de l existence de normes La direction gnrale fixe des rgles et des procdures S assurer qu elles sont effectivement appliques Comparaison par rapport un rfrentiel L audit d efficacit (audit de progrs) Apprciation de la qualit des rgles et des procdures par rapport aux objectifs Vrification de l impact de ces rgles Recommandation d amliorations Etablir un plan d action

MASNAOUI

10

Trois grands types d audits

L audit d efficience (audit conomique) Analyser les moyens affects aux oprations Apprcier l utilisation des ressources Proposer des moyens d optimiser ces moyens Attitude rserve face aux audits sanctions

MASNAOUI

11

Quelques Rfrentiels de l audit des Systmes d informationCOBIT (Contrle Objectives for Information and related Technology) Etablis par l ISACA (Information Systems Audit and Control Assiociation) Traduit et diffus par l AFAI (Association franaise de laudit et du conseil informatique) SAC Report (Contrle et audit du systme d information) Etablis par IAA Traduit et diffus par l IFACI, IAI

Le rfrentiel ne fait pas l auditeur... mais il peut l aiderMASNAOUI

12

1. Notions de base de l audit des SI 2. Prsentation de 3 domaines d Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit 3. Conduite d une mission d audit

MASNAOUI

13

Audit de la fonction informatique PlanQuestions usuelles de la direction gnrale concernant la fonction informatique Positionnement et structure de la fonction informatique Les bonnes pratiques concernant la fonction informatique Les points de contrles Exemples de mission d audit

MASNAOUI

14

Audit de la fonction informatique Questions usuelles de la direction gnraleEst-ce que les utilisateurs sont satisfaits des prestations informatiques ? Est-ce que l informatique perturbe vraiment le fonctionnement des services ? Est-ce que l informatique est correctement pilote ? Y-a-t il un comit de direction charg de l informatique ? Quel doit tre le positionnement du responsable informatique ? Combien a cote rellement ? Et combien a rapporte ? Faut-il dcentraliser l informatique dans les units ? Que doiton garder en central ? Comment piloter de manire efficace les projets informatiques ? Est-ce que les personnes travaillant au sein du service informatique sont comptences ?

MASNAOUI

15

Audit de la fonction informatique Positionnement et structure de la fonction informatiqueLe comit de planification ou de pilotage de l informatique Position des services informatiques dans l organisation & Sparation des tches Intervention de l informatique dans l organisation et les processus Responsabilit de l assurance qualit Responsable de la scurit Proprit des donnes et des applications Gestion du personnel informatique et des sous-traitants

MASNAOUI

16

Audit de la fonction informatique Les bonnes pratiques concernant la fonction informatiqueLes relations entre la direction gnrale et les utilisateurs La clart des structures et des responsabilits L existence de dispositifs de mesures Comptence et qualification du personnel

MASNAOUI

17

Audit de la fonction informatique Les relations entre la direction gnrale et les utilisateursLa mission de la direction informatique doit tre clairement dfinie et un document crit doit la dcrire. Les objectifs et les rgles de fonctionnement de l informatique doivent tre connus des dcideurs et des utilisateurs. Un comit de direction doit prendre des dcisions concernant l informatique et des comptes-rendus doivent tre publis. La direction de la fonction informatique doit priodiquement faire rviser les plans concernant l informatique

MASNAOUI

18

Audit de la fonction informatique La clart des structures et des responsabilitsLes responsables oprationnels doivent avoir une relation de partenariat avec la fonction informatique La fonction informatique doit avoir la responsabilit de l architecture du systme informatique La fonction informatique doit avoir la responsabilit de l assurance qualit du systme informatique La fonction informatique doit avoir la responsabilit de la scurit physique et logique des actifs informationnels

MASNAOUI

19

Audit de la fonction informatique L existence de dispositifs de mesuresC est un vaste programme Un suivi conomique est ncessaire mais n est pas suffisant. Gnralement c est un suivi budgtaire mais cela peut tre aussi un mcanisme de refacturation Il faut que l informatique rend des comptes aux diffrents partenaires de l informatique. Mais la ralit montre que ce n est pas facile faire et on parle souvent du manque de transparence de l informatique .

MASNAOUI

20

Audit de la fonction informatique L existence de dispositifs de mesuresIl est ncessaire de mieux communiquer sur les objectifs, les politiques mises en oeuvre, les ressources affectes et leur utilisation Et surtout il est ncessaire de contrler l activit informatique : gestion de projet, CAE, gestion des investissements,...

MASNAOUI

21

Audit de la fonction informatique Comptences et qualification du personnelLes besoins en personnel informatiques doivent priodiquement tre valus (au moins une fois par an). Une supervision effective du personnel informatique doit tre faite notamment pour juger s il dispose des moyens pour faire son travail et s il est performant. Tous les postes doivent disposer d une description de poste mettant en avant les comptences et l exprience ncessaire. Il doit exister une claire sparation des tches notamment entre la maintenance des applications et l exploitation.

MASNAOUI

22

Audit de la fonction informatique Comptences et qualification du personnelLe personnel cl doit tre identifi Le personnel sous contrat doit faire l objet d un contrle particulier notamment pour s assurer que les actifs informationnels sont garantis.

MASNAOUI

23

Audit de la fonction informatique Les points de contrlesRle des directions dans le systme d information Existence de politique, de normes et de procdures Responsabilit du service informatique : relations matrise d oeuvre-matrise d ouvrage Existence de dispositifs de contrle interne

MASNAOUI

24

Audit de la fonction informatique Rle des directions dans le systme d informationIl doit exister un comit informatique Il peut avoir diffrents noms : commission informatique, comit de pilotage,... Il est rattach au directeur gnral Les principaux dcideurs de l entreprise doivent y participer Il doit se runir rgulirement L essentiel des orientations informatiques doit tre dbattu au sein de ce comit

MASNAOUI

25

Audit de la fonction informatique Rle des directions dans le systme d informationUn suivi rgulier du schma directeur doit tre fait Etudier le positionnement de ce comit dans la structure de l entreprise Examiner les comptes-rendus de ce comit sur un an. Rencontrer quelques membres du comit.

MASNAOUI

26

Audit de la fonction informatique Responsabilit du service informatique (relations matrise

d oeuvre-matrise d ouvrage)Les responsabilits du service informatique doivent tre clairement dfinies La position du service informatique dans l organigramme de l entreprise doit tre claire. Le service informatique doit avoir une autorit suffisante pour faire appliquer les mesures ncessaires pour atteindre les objectifs qui lui ont t fixs.

MASNAOUI

27

Audit de la fonction informatique Responsabilit du service informatique (relations matrise

d oeuvre-matrise d ouvrage)Examiner les diffrents documents pour apprcier la clart des dfinitions des responsabilits Interroger diffrents responsables pour apprcier leur degr de connaissance des responsabilits respectives Vrifier le respect de la sparation des tches

MASNAOUI

28

Audit de la fonction informatique Existence de dispositifs de contrle interneOn doit disposer d une stratgie formalise du dveloppement du systme d information Les facteurs de risques doivent tre reprs Des priorits doivent tre fixes de manire claire Les choix doivent tre faits en tenant compte des enjeux conomiques Mesurer leur impact sur les performances de l entreprise Examiner les principales procdures de l entreprise et apprcier l impact de l informatique

MASNAOUI

29

Audit de la fonction informatique Existence de dispositifs de contrle interneAnalyser les missions des auditeurs internes et externes et leurs impacts Evaluer l impact des procdures de l assurance qualit

Exemples de mission d auditEvaluation de l efficacit d un service informatique Audit de la procdure de suivi des cots informatiques

MASNAOUI

30

Audit de la fonction informatique Evaluation de l efficacit d un service informatiqueLa direction gnrale a des doutes sur l efficacit de son service informatique En fait elle a des doutes sur les comptences du responsable informatique Effectivement le responsable a du mal faire son travail dans de bonnes conditions Peu de contact avec la direction gnrale Mauvaises relations avec les utilisateurs

MASNAOUI

31

Audit de la fonction informatique Evaluation de l efficacit d un service informatiqueMise en place d un comit de direction trimestriel consacr l informatique Redfinition du rattachement hirarchique Rdaction des principales politiques, procdures et normes appliquer.

MASNAOUI

32

Audit de la fonction informatique Audit de la procdure de suivi des cots informatiquesIl existe une comptabilit analytique permettant de suivre les cots informatiques Les rsultats de cette comptabilit sont contests par les principaux dcideurs L analyse de la mthode montre quelle est globalement bonne Ses rsultats montre bien les problmes qui se posent et notamment les erreurs qui sont commises Par contre cette CAE peut tre simplifie et amliore

MASNAOUI

33

Audit de la fonction informatique Audit de la procdure de suivi des cots informatiquesRdiger chaque mois une note d analyse des cots informatiques Simplifier les traitements les plus dlicats Rduire le cot des oprations anormalement coteuses

MASNAOUI

34

Audit de la fonction informatique Exemple de mission d audit : Evaluation de l efficacit d un service informatiqueLa DG a des doutes sur l efficacit de son service informatique En fait elle a des doutes sur les comptences du DSI Effectivement le responsable a du mal faire son travail dans de bonnes conditions Peu de contact avec la DG Mauvaises relations avec les utilisateurs Mise en place d un comit de direction trimestriel consacr au SI Redfinition du rattachement hirarchique Rdaction des principales politiques, procdures et normes appliquer.

MASNAOUI

35


MASNAOUI

36

Audit des projets PlanLa notion de projet Particularits des projets informatiques Tenir les dlais et les budgets Evaluation des risques lis aux projets Les bonnes pratiques concernant les projets informatiques Les points de contrles Exemples de mission d audit

MASNAOUI

37

Audit des projets La notion de projetUn projet c est d abord une quipe C est ensuite un dlai Une date de dbut Une date de fin

C est aussi une organisation spcifique Et, bien entendu, un budget particulier Rle cl du chef de projet dans la russite du projet C est une activit voisine de celle du : Btiment Ingnierie

MASNAOUI

38

Audit des projets

Particularits des projets informatiquesLe pilotage des projets informatiques est une opration dlicate Drapage sur les dlais Drive frquente des cots Ncessit de mettre en place un pilotage rigoureux

La qualit des applications informatiques Difficult de valider la qualit d une application Aspect subjectif de la qualit Ncessit de mettre en place des procdures de certification de la qualit

MASNAOUI

39

Audit des projets Tenir les dlais et les budgetsGestion de projet : Dcouper Evaluer Planifier Animer Suivre Ajuster

Dcoupage du projet en tape : Conception gnrale Conception dtaille Dveloppement Test Installation et dploiement Bilan

MASNAOUI

40

Audit des projets Mettre en place un systme de pilotage efficaceUn dcoupage en phase Un livrable la fin de chaque phase Pilotage des phases : Valider les rsultats en fin de phase Valider les objectifs de la phase suivante Informer le comit de pilotage

Procdure d assurance qualit : Normes et standards Contrles Conseils

MASNAOUI

41

Audit des projets Evaluation des risques lis aux projetsEfficacit de l organisation de la fonction d tudes : Systme de management Gestion des ressources Productivit des tudes Formation

Sur un ensemble de projets rechercher les causes de drapages : Les fonctions livres Les cots Les dlais

Efficacit de la mthode de conduite des projets : La gestion de projet Le processus de dveloppement L assurance qualit Le systme de pilotage

MASNAOUI

42

Audit des projets Les bonnes pratiques concernant les projets informatiquesLe respect des phases du projet Existence d une mthodologie de conduite de projets Conformit des projets aux objectifs gnraux de l informatique et ceux de l entreprise Qualit des tudes amonts : expression des besoins, cahier des charges Importance des tests, notamment des tests utilisateurs

MASNAOUI

43

Audit des projets Les points de contrlesAudit du processus de dveloppement Existence de processus, de mthodes et de standards Vrification de l application de la mthodologie Analyse des causes dchecs de projet Adquation des fonctions aux besoins des utilisateurs

MASNAOUI

44

Audit des projets Exemple de mission d audit : Audit d un grand projet la fin du cahier des chargesLes quipes de MOE et MOA ont fini de rdiger le cahier de charges La direction s interroge sur le document ainsi produit L analyse du document montre quil est trs complet Par contre, le projet sera trs lourd et trs complexe dvelopper Et l application risque de poser des problmes de performances (accs aux bases de donnes) Raliser un benchmark du systme d interrogation d une transaction simple Limiter l intgration des fonctions Planifier la mise en place de versions successivesMASNAOUI

45

Audit des projets Audit d un projet en RADOn a dvelopp un projet vital pour l entreprise l aide d une approche RAD, Rapid Application Developpement Aprs la mise en place russite d une partie du systme, le projet s enlise La mthode RAD permet de mettre en place rapidement une application (3mois) Par contre il faut que les utilisateurs et les informaticiens soient rellement disponibles L quipe mixte sature Segmenter le projet en plusieurs sous-projets Confier chaque sous-projet une quipe diffrente Raliser la partie centrale du projet de manire classiqueMASNAOUI

46


MASNAOUI

47

Audit de la scurit PlanExistence de risques importants lis aux systmes d information Quatre notions fondamentales Les facteurs de limitation des risques Les bonnes pratiques concernant la scurit Les points de contrle Exemples de missions d audit

MASNAOUI

48

Audit de la scurit Existence de risques importants lis aux systmes d informationIl existe en informatique des risques importants lis la nature mme de cette activit Existence d un patrimoine important en matriel informatique (vol, dgradation,..) et logiciel (piratage) Importance de la valeur des donnes stockes et des traitements effectues Niveau de risques importants pour l entreprise Il est ncessaire de mettre en place une organisation adapte avec des outils, des hommes et des mthodes Il doit exister une politique au niveau de l entreprise (scurit physique et scurit logique) Il est ncessaire quil existe un responsable de la scurit informatiqueMASNAOUI

49

Audit de la scurit Quatre notions fondamentalesLa menace Le facteur de risque La manifestation du risque La matrise du risque

MASNAOUI

50

Audit de la scurit La menaceIl existe de nombreuses menaces dans le domaine de l informatique : Les erreurs Les malveillances Les accidents ....

Elles concernent : Les biens matriels Les btiments Le rseau Les quipements informatiques

MASNAOUI

51

Audit de la scurit La menace Les biens immatriels des logiciels (de base, applications,...) des donnes de gestion des ressources humaines

MASNAOUI

52

Audit de la scurit Le facteur de risqueUn facteur de risque est une cause de vulnrabilit due une faiblesse de l organisation, des mthodes, des techniques des outils ou du systme de contrle Les risques informatiques peuvent tre accrus de diffrentes manire : Absence de politique informatique Faible participation des utilisateurs Mthodes inadaptes aux objectifs Obsolescence des techniques utilises Comptences insuffisantes Faiblesse des processus de gestion ...

La mdiocrit du management informatique est un facteur accroissant le niveau de risqueMASNAOUI

53

Audit de la scurit La manifestation du risqueLa destruction physique du centre de calcul (incendie, inondation,...) est spectaculaire mais en fait peu frquente Le vrai risque est invisible Il se manifeste de diffrentes manires : Pntration du rseau par des intrus Vols d informations Concurrence fausse Falsification des donnes ...

L entreprise victime d un concurrent risque de ne s en apercevoir que lorsquelle va perdre des marchs et des clients sans savoir pourquoi

MASNAOUI

54

Audit de la scurit La matrise du risqueMthodes pour identifier les risques en terme de menace ou de facteurs de risques (Marion) Identification des parades La scurit physique Contrle d accs aux locaux Protection incendie ...

La scurit logique Contrle d accs aux systmes, aux programmes, aux donnes ....

Importance du plan de secours permettant de faire face la disparition totale ou partielle du systme d information

MASNAOUI

55

Audit de la scurit Les facteurs de limitation des risquesles bonnes pratiques concernant la scurit sont : Existence d une politique du systme d information Implication des utilisateurs Mthodes de travail et outils adapts aux objectifs La comptence du personnel Outil de gestion efficace

MASNAOUI

56

Audit de la scurit Existence d une politique du systme d informationUne des meilleures protection contre les risques lis la faiblesse de la scurit repose sur la politique du systme d information Les services informatiques ayant une vision globale de leur dmarche sont les mieux protgs que les autres Cette politique doit notamment prciser les responsabilits des diffrents intervenants sur les systmes informatiques Il est en particulier trs important de savoir ce qui est sous la responsabilit des informaticiens et ce qui relve des utilisateurs

MASNAOUI

57

Audit de la scurit Implication des utilisateursLa meilleure protection du systme d information est celle exerce par les utilisateurs Ils doivent surveiller leur matriel et la scurit des locaux Ils contrlent leurs donnes et leurs bases de donnes Ils veillent ce que leurs donnes soient rgulirement sauvegardes Un systme ainsi surveill par ses utilisateurs est protg contre tout la plupart des risques habituellement supports

MASNAOUI

58

Audit de la scurit Mthodes de travail et outil adapts aux objectifsLe meilleur moyen de limiter les risques lis l insuffisance de scurit et de dter les services informatiques de mthodes de travail et des outils adapts Ces mthodes de travail consistent dfinir les tches effectuer et de dfinir de manire rationnelle l organisation du travail De mme il est ncessaire de se doter d outils performants conformes aux objectifs recherchs Ainsi les personnes chargs de l exploitation doivent pouvoir surveiller facilement les utilisateurs prsents sur le systme Il est, en particulier, ncessaire de surveiller et d administrer le rseau

MASNAOUI

59

Audit de la scurit La comptence du personnelLa scurit du systme d information dpend surtout de la comptence du personnel Plus il est comptent, plus il est mme d intervenir rapidement et efficacement pour limiter les risques Ceci concerne l exploitation mais aussi les tudes Il est en particulier ncessaire d intervenir rapidement en cas d incident sans prendre de risques excessifs La maintenance la suite d un incident peut tre l occasion d une succession de problmes notamment si on supprime certains contrles ou si on ne teste pas compltement les programmes modifis

MASNAOUI

60

Audit de la scurit Outil de gestion efficaceDe mme il est ncessaire que des dispositifs de gestion efficaces soient mises en place Ils ont pour but de reprer plus facilement les failles de la scurit du systme d information (postes de travail, rseaux, serveurs) Il est en effet important de s assurer que les risques potentiels sont rapidement reprs de faon qu ils soient corrigs le plus rapidement possible C est un aspect dlicat car on manque d outil de gestion de ce type . L offre est en train d voluer mais on ne dispose pas encore en standard, sur tous les systmes d exploitation des outils de ce type.

MASNAOUI

61

Audit de la scurit Les points de contrleReprage des actifs de l entreprise Evaluation des menaces Mesurer les impacts Dfinition des parades

MASNAOUI

62

Audit de la scurit Reprage des actifs informationnels de l entrepriseLa base des contrles est constitue par les inventaires physiques Des matriels (postes de travail, serveurs,...) Des logiciels Des bases de donnes

Dans la mesure du possible il faut chercher avoir des contrles frquents de ces inventaires Il existe des logiciels permettant de reprer les postes de travail, les serveurs,.... Apprcier les procdures de mise jour des inventaires Vrifier sur quelques units la pertinence des inventaires

MASNAOUI

63

Audit de la scurit Evaluation des menacesIl ne sert rien de se protger contre des menaces qui n existent pas On cherche reprer les parties du systme d information qui sont les plus menaces Il est pour cela ncessaire de reprer : Les disparitions ou les destructions de matriels Les altrations de donnes ou de programmes La divulgation d informations confidentielles

S assurer quil existe un document permettant de reprer les menaces Analyser la pertinence des menaces reprer S assurer quon a bien reprer les menaces les plus srieuses

MASNAOUI

64

Audit de la scurit Mesurer les impactsIdentifier les types de menaces et les consquences de ces incidents A partir des incidents recenss valuer leur impact Etablir une cartographie du systme d information et des risques associs Il est alors possible de construire un ou plusieurs scnarios d agression et d valuer les points de vulnrabilit Apprcier l efficacit des dispositifs de scurit en place Evaluer les impacts d incidents graves sur le fonctionnement de l entreprise et les consquences patrimoniales

MASNAOUI

65

Audit de la scurit Dfinition des paradesFace chaque risque important il est ncessaire d identifier les parades possibles C est un moyen trs efficace de diminuer le niveau des risques de l entreprise Type de parades possibles : Prvention : identification l accs Dissuasion : piste d audit Dtection : contrle d accs Protection : plan de secours

Mais la meilleure parade reste l audit Apprcier les diffrentes parades mises en oeuvre et leur impact sur le niveau de scurit Evaluer les risques qui ne sont pas ou qui sont mal couvertsMASNAOUI

66

Audit de la scurit Exemples de missions d auditAudit de la scurit d une application client-serveur Evaluation de la scurit d un centre d exploitation

MASNAOUI

67

Audit de la scurit Audit de la scurit d une application client-serveurLa mise en place d une nouvelle application du type clientserveur fait apparatre diffrents incidents d exploitation L analyse montre quils ne sont pas dus des fragilits du logiciel de base mais au faible respect des consignes de scurit L organisation de la scurit laisse dsirer et notamment la politique des mots de passe n est pas respecte Dfinir une politique de gestion des mots de passe et la faire appliquer Mettre en place un logiciel de surveillance du rseau permettant de suivre les incidents Former le personnel l application des consignes de scurit

MASNAOUI

68

Audit de la scurit Evaluation de la scurit d un centre d exploitationLa direction gnrale demande d valuer la politique de scurit du service d exploitation Le service est dot d une politique de scurit et elle est applique Les procdures en place sont efficaces Par contre les responsabilits ne sont pas clairement dfinies notamment en ce qui concerne la gestion des bases de donnes Dfinir de manire prcise les responsabilits des utilisateurs Elargir le domaine d action du responsable de la scurit Nommer un administrateur de bases de donnes

MASNAOUI

69


MASNAOUI

70

Plan Les 6 phases de la mission daudit informatiqueDfinition de la mission : Etablissement de la lettre de mission La planification de la mission La collecte des faits, la ralisation de tests,... Entretiens avec les audits Rdaction du rapport final, Prsentation et discussion de ce rapport

Faut-il un rapport ? Le rapport daudit : la conception, la rdaction, la prsentation Ltablissement des recommandations oprationnelles Le suivi des recommandations Comment amliorer la qualit de la dmarche

MASNAOUI

71

Les six phases de la mission Laudit informatique comme tout audit se fait en six phases :Dfinition de la mission : Primtre de la mission Etablissement de la lettre de mission

La planification de la mission La collecte des faits, la ralisation de tests,... Entretiens avec les audits Rdaction du rapport final, Prsentation et discussion de ce rapport

La dure de chaque phase est variable selon la nature des questions et leur complexit

MASNAOUI

72

1 - Dfinition de la mission : Primtre de la missionChoix et orientation du systme d information Mise en uvre et dveloppement du SI Exploitation du SI



REVUE DES CONTRLES GENERAUX INFORMATIQUES URBANISATION DU SYSTEME D INFORMATION

MASNAOUI

AUDIT : Scurit et Rseaux



73

REVUE DES CONTRLES GENERAUX INFORMATIQUESObjectif:

S assurer que l informatique est sous contrlePrincipaux objectifs de contrle:

Stratgie informatique : pilotage des SI, schma directeur,orientation stratgiques, plan court Fonction informatique: positionnement, rle, organisation et rgles de contrle (sparation des tches)Choix et orientation du systme d information Mise en uvre et dveloppemen t du SI Exploitati on du SI





Projets informatiques: dmarche de mise en uvre, dlai, planification, pilotage des projets, relation Matrise douvrage / matrise duvre Performance du systme d information: disponibilit, portefeuille des bug, versioning, help desk, assistance utilisateurs Scurit du systme d information: sauvegarde, plan de continuit Relation avec les fournisseurs: contrats de maintenance,Livrable:

REVUE DES CONTRLES GENERAUX INFORMATIQUES

URBANISATION DU SYSTEME D INFORMATION

Une apprciation globale du systme d information et valuation des risques gnriques lis l environnement informatique de l entreprise. Plan de recommandation et audit des risques spcifiques accrus

MASNAOUI

74

AUDIT : ALIGNEMENT STRATEGIQUEObjectif:

Auditer la coincidance de la stratgie systme d information avec la ou les stratgies mtiers de l entreprise afin de renforcer la valeur d usage du SI.Principaux objectifs de contrle:


Mise en uvre et dveloppemen t du SI

Exploitati on du SI



Processus de planification stratgique a moyen et long terme: stratgie mtiers, schma directeur informatique (projets et budget investissements) valuation du schma directeur: suivi des ralisations, planification, surveillance des budgets et des dlais Pilotage et dcision: organe de suivi et de contrle, organes de dcision et darbitrage, systme de reporting sur l avancement des projets informatiques Orientations technologiques et architecture fonctionnelle: adquation, volutivit, opportunit, niveaux de scurit Choix de la solution informatique: dmarch de choix (cahier des charges et consultations), adquation avec les besoins de l entreprise,contractualisationLivrable:





Identification du niveau d alignement du SI la stratgie de l entreprise Mesure Plan de recommandation et audit spcifique des risques accrus

MASNAOUI

75

AUDIT : FONCTION INFORMATIQUEObjectif:

Auditer la coincidance la stratgie systme d information sur la ou les stratgies mtiers de l entreprise afin de renforcer la valeur d usage du SI.Principaux objectifs de contrle:

Rle et positionnement de l informatique dans l entreprise : rattachement la DG,, relation avec la matrise d ouvrage, comits informatiquesChoix et orientation du systme d information Mise en uvre et dveloppemen t du SI Exploitati on du SI





Mesure et suivi de la performance: existence d objectif et d indicateurs pertinents de mesure de la performance, existence des contrats de service informatique (SLA), baromtre de satisfaction, tableaux de bord informatiques Organisation et structure de la fonction informatique: sparation des tches, rle et missions de chaque entits, adquation des effectifs et des comptences avec les besoins de l entreprise Procdures et mthodes: rgles de gestion, niveau de contrle internes, mthodes de gestion des projets, gestion de la documentation Outsourcing: relation avec les prestataires de service, contrats, risque juridique et informatiquesLivrable:



Une valuation des risques potentiels lies la fonction informatique. Plan de recommandation de matrise de la fonction informatiqueMASNAOUI

76


Objectif:

Auditer l organisation et le pilotage de la fonction informatiquePrincipaux objectifs de contrle:

Dfinition des projets: objectifs du projets, le primtre, les interactions avec d autres projets, moyens humains et techniques, les dlais, le budget, Structure de gestion des projets: matrise d ouvrage, matrise d uvre, organe de suivi et de pilotage du projet, efficience des organes de dcision,Exploitati on du SI AUDIT : APPLICATIONS INFORMATIQUES






Planification du projet: planning directeur du projet, tableau de bord du projet,plan de charge, identification des dpassements et anticipation des blocages et des drapages de dlais Dmarche de gestion de projet et plan d assurance qualit : livrables du projets, validation des livrables, documentation Processus d homologation et de tests: plan de test, PV de validation de tests Conduite de changement: valuation des changements, communication, plan de formation,reprise des donnesLivrable:



plan

de

Identification des risques projets des causes de dysfonctionnements Mesures cls pour la russite et l aboutissement des projets informatiques

MASNAOUI

77

AUDIT : APPLICATIONS INFORMATIQUESObjectif:

Auditer l adquation des applications informatiques aux exigences des utilisateurs et au standards d exploitationPrincipaux objectifs de contrle:



Performance des applications informatiques: existence de contrats de service avec les utilisateurs, disponibilit du systme, continuit de serviceExploitati on du SI





Conformit aux normes de scurit et aux rgles de contrle interne: gestion des accs: identification et authentification, Help desk et assistance utilisateurs: intervention de maintenance, indicateurs de performance ( portefeuille de bug, dlai de rponse et dlai de prise en charge) Gestion des incidents et des demandes dvolution: versioning, volutivit par rapport aux besoins des utilisateurs,Livrable:



Une identification de l adquation des applications aux besoins et aux exigences d exploitations des utilisateurs Plan de recommandation et audit spcifique des risques accrus

MASNAOUI

78


Objectifs:

Faire converger le systme d information avec les objectifs stratgiques de l entreprise Assurer la gestion intgre et cohrente du SI, Prparer le SI intgrer et matriser les changements progressifs qui se feront dans l entrepriseExploitati on du SI



Points cls de la dmarche:




Formaliser les axes stratgiques de l entreprises: orientations mtiers et SI, alignement SI, opportunits technologique tablir les cartographies existantes: mtiers, fonctionnelles, applicatives et techniques du systme d information selon un dcoupage Zone, quartier, ilot tablissement du plan de convergence: concevoir les cartographies cibles: mtiers, fonctionnelles, applicatives et techniquesLivrable:




Alignement stratgique mtier/ SI cartographie existantes et cibles: Mtiers, fonctionnelles, applicatives, techniques Plan de convergence mettre en uvre

MASNAOUI

79

1 - Dfinition de la mission : Etablissement de la lettre de mission

Partir des attentes du demandeur daudit Ne pas hsiter passer du temps bien les comprendre Cest pas toujours claire dans leur tte, cest dailleurs pour cela quils demandent un audit Si cest ncessaire faire un pr-diagonstic Etablir une liste des questions Faire une lettre de mission (Cest un mandat au sens du Code Civil) Souvent il faut rdiger la lettre de mission

MASNAOUI

80

2 - Planification de la mission : le choix de la dmarche Il faut ds le dpart annoncer la dmarche suivie Pour lauditeur externe rle de la proposition Pour lauditeur interne rle du plan daudit Il faut dtailler le programme de travail Prvoir suffisamment lavance la collecte des faits et les tests organiser (dlais souvent longs) Savoir limit le nombre des entretiens (cest un trs gros consommateur de temps et de dlais) Une mission daudit insuffisamment prpare est une mission risque

MASNAOUI

81

3 - La collecte des faits, la ralisation des tests,... Lauditeur ne doit prendre en compte que les faits et il doit se mfier des opinions On ne peut pas se contenter des dires des audits, il faut se baser sur des faits On sorganise pour trouver les faits dont on a besoin :Les tests, les jeux dessais, Les mesures de performances (temps de rponses...) Les incidents dexploitation, les anomalies, les erreurs, les bugs, .

Les faits, rien que les faits, tous les faits La mission, toute la mission, rien que la mission Importance de la collecte de faits significatifs et si on a du mal les obtenir ncessit deffectuer des testsMASNAOUI

82

4 - Entretiens avec les audits Au contraire, spontanment les auditeurs se mfient des faits et ils ont tendance prfrer les opinions Au cours des entretiens, ne pas se disperser. Cibler les questions Se mfier des check-lists. Avoir une liste de thmes Ne pas prendre parti dans les dclarations des audits Evaluer avec prudence les dires On ninstruit pas charge et dcharge La lettre de mission vous donne un mandat. Vous reprsentez le demandeur daudit Eviter les validations dentretiens (temps, qualit,) Le nombre dentretiens est une variable importante expliquant la dure de lopration et la charge de travailMASNAOUI

83

5 - Faut-il un rapport ? Il existe une curieuse mode consistant ne pas remettre de rapport daudit De nombreux arguments :Cest long faire Les dcideurs nont pas le temps de le lire Il ne sert rien

Il serait prfrable de faire une prsentation PowerPoint Cest une grave erreur Il faut les deux : le rapport et la prsentation

MASNAOUI

84

5 - Le rapport daudit : la conception, la rdaction, la prsentation Le rapport daudit est un document de rfrence Importance de dfinir qui il est destin et comment il sera diffus Commencer le rdiger partir de la moiti de la mission. Sur une mission de deux mois ds la fin du 1er mois Le corps du rapport doit, dans la mesure du possible, tre trait dans lordre des questions daudit se trouvant dans la lettre de mission Les recommandations doivent tre classes en mesures court terme, moyen terme et long terme Faire une synthse en 2 pages (plus souvent 4)

MASNAOUI

85

Quelques conseils de rdaction du rapport daudit Etre pdagogique, expliquer les termes et les concepts utiliss Eviter les accumulations de faits ou de remarques sans quapparaisse la structure densemble Faire des synthses et des rcapitulations Ne pas porter de jugement de valeur Lauditeur base ses apprciations sur des rfrentiels largement reconnus Sil ny a pas de rfrence ou si la doctrine est incertaine, il faut le signaler et dans ce cas jouer un rle de conseil Si on demande lauditeur des jugements de personne, on doit s'interdire de le faire par crit Faite attention la forme et au styleMASNAOUI

86

Ltablissement des recommandations oprationnelles Il faut des mesures concrtes et faciles mettre en oeuvre Il faut distinguer les recommandations :A court terme, cest--dire qui peuvent tre mise en place sans dlai et sans investissement A moyen terme, cest--dire demandant des tudes complmentaires A long terme, qui demandent des investissements lourds ou la remise en cause des politiques antrieures

On attend de ces recommandations des progrs significatifs et substantiels

MASNAOUI

87

6 - Prsentation et discussion du rapport Il faut organiser des prsentations du rapport daudit pourLe (ou les demandeurs) daudit Le management de linformatique Le service informatique (encadrement ou toute lquipe)

Dix quinze de slides pas plus (20 30 minutes) Communiquez sur lessentiel Vendre les recommandations en mettant en avant 4 6 mesures emblmatiques Ne pas ngocier le contenu de la prsentation (ni du rapport, ni des recommandations)

MASNAOUI

88

Btir un plan daction La liste des recommandations ne fait pas un plan daction Un certain nombre doprations complmentaires sont ncessaires :Slectionner les mesures et les hirarchiser Approfondir et complter les actions Effectuer des analyses complmentaires Fixer les responsabilits .

Le plan daction doit tre valid par le management (Comit de Direction, Comit de Pilotage, Commission informatique,) Souvent des spcifiques moyens doivent lui tre affectsMASNAOUI

89

Le suivi des recommandations et du plan daction Il est ncessaire de mettre en place un dispositif de suivi des recommandations et du plan daction Lexprience montre que si on ne met pas en place un suivi des recommandations, elles ne sont pas appliques, ou du moins on applique que celles qui ne posent pas de problmes et les autres sont laisses leur triste sort Il est donc ncessaire de mettre en place un suivi des mesures choisies Faire un point priodique sur le degr de mise en place des recommandations (tous les 3 ou tous les 6 mois) Lefficacit des audits informatiques se joue en partie sur la mise en place dun suiviMASNAOUI

90

Comment amliorer la qualit de la dmarche ? Un ordre de mission claire identifiant le demandeur daudit Des points dchange rguliers avec le demandeur daudit Annoncer au dpart la dmarche qui sera suivie Manifester son indpendance notamment lors des entretiens Refuser les tentatives dlargissement de la mission Btonner par des faits, des analyses Se mfier des ragots, des bruits, des on-dits, Ne pas tirer sur tout ce qui bouge Etre positif : dire ce qui marche, Faire des recommandations professionnelles

MASNAOUI

91

Bibliographie www.afai.asso.fr www.isaca.org et surtout knet CobiT La Revue Audit et Conseil en Technologies de lInformation (Revue de lAFAI) The Information Systems Control Journal (Revue de lISACA) ISACA - Bookstore CISA Review Technical Information Manuel ISACA Information Technology Control and Audit (Gallegos, Manson, Allen-Senft - ISACA)

MASNAOUI

92

MERCI POUR VOTRE ATTENTION

MASNAOUI

93

Audit Des Systemes d Information

Documents

Transcript of Audit Des Systemes d Information