Contrôle Interne et Sécurité du SI Georges RAVET Consultant CISA.

Contrôle Interne etSécurité du SI

Contrôle Interne etSécurité du SI

Georges RAVETConsultant

CISA

Contrôle Interne et SSI

Objectifs de la présentationObjectifs de la présentation

Démontrer que :Démontrer que :

Le contrôle interne et la Sécurité des Systèmes Le contrôle interne et la Sécurité des Systèmes d’Information n’est pas le domaine réservé des d’Information n’est pas le domaine réservé des spécialistes.spécialistes.

La mise en œuvre des normes et des bonnes La mise en œuvre des normes et des bonnes pratiques en matière de sécurité des systèmes pratiques en matière de sécurité des systèmes d’information permet d’améliorer les performances d’information permet d’améliorer les performances de tous.de tous.

Contrôle Interne et SSI

Des questions Des questions

Le contrôle interne c’est quoi?Le contrôle interne c’est quoi?

L’audit et le contrôle interne est-ce la même L’audit et le contrôle interne est-ce la même chose?chose?

Qui est réellement concerné, qui est Qui est réellement concerné, qui est responsable?responsable?

Si ce n’est pas l’affaire des spécialistes, Si ce n’est pas l’affaire des spécialistes, comment s’organiser, que doit-on faire comment s’organiser, que doit-on faire exactement?exactement?

Une réponseUne réponse

Ce n’est pas compliqué, la preuve par Ce n’est pas compliqué, la preuve par l’exemple : démonstrationl’exemple : démonstration

Contrôle Interne et SSI Le contrôle interne c’est quoi ?

Un problème de définitionUn problème de définition

Des attentes divergentesDes attentes divergentes

Des malentendus et des problèmesDes malentendus et des problèmes

Contrôle Interne et SSI L’audit et le contrôle interne est-ce la même chose ?

Internal ControlInternal Control

Contrôle interneContrôle interne

Maîtriser Maîtriser

IT GouvernanceIT Gouvernance

Contrôle Interne Définition COSO

Le contrôle interne est un processus intégré mis Le contrôle interne est un processus intégré mis en oeuvre par les responsables et le personnel en oeuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de réalisation, dans le cadre de la mission de l’organisation, des objectifs généraux suivants: l’organisation, des objectifs généraux suivants: • réalisation et optimisation des opérations (optimisation réalisation et optimisation des opérations (optimisation

des ressources de l'entreprise, fiabilité des des ressources de l'entreprise, fiabilité des informations financières)informations financières)

• respect des obligations de rendre compte;respect des obligations de rendre compte;• conformité aux lois et réglementations en vigueur;conformité aux lois et réglementations en vigueur;• protection des ressources contre les pertes, les protection des ressources contre les pertes, les

mauvais usages et les dommages.mauvais usages et les dommages.

Committee of Sponsoring Organizations of the Treadway Committee of Sponsoring Organizations of the Treadway CommissionCommission


Le contrôle interne est Le contrôle interne est un processus intégréun processus intégré mis mis en oeuvre par les responsables et le personnel en oeuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de réalisation, dans le cadre de la mission de l’organisation, des objectifs généraux suivants: l’organisation, des objectifs généraux suivants: • réalisation et optimisation des opérations (optimisation réalisation et optimisation des opérations (optimisation






Le contrôle interne est Le contrôle interne est un processus intégréun processus intégré mis mis en oeuvre par les responsables et le personnelen oeuvre par les responsables et le personnel d’une organisation et destiné à traiter les risques d’une organisation et destiné à traiter les risques et à fournir une assurance raisonnable quant à la et à fournir une assurance raisonnable quant à la réalisation, dans le cadre de la mission de réalisation, dans le cadre de la mission de l’organisation, des objectifs généraux suivants: l’organisation, des objectifs généraux suivants: • réalisation et optimisation des opérations (optimisation réalisation et optimisation des opérations (optimisation






Le contrôle interne est Le contrôle interne est un processus intégréun processus intégré mis mis en oeuvre par les responsables et le personnelen oeuvre par les responsables et le personnel d’une organisation et d’une organisation et destiné à traiter les risquesdestiné à traiter les risques et à et à fournir une assurance raisonnablefournir une assurance raisonnable quant à la quant à la réalisationréalisation, dans le cadre de la mission de , dans le cadre de la mission de l’organisation, l’organisation, des objectifsdes objectifs de l’entreprise. de l’entreprise. • réalisation et optimisation des opérations (optimisation réalisation et optimisation des opérations (optimisation




Contrôle Interne Éléments clés du contrôle interneCommittee of Sponsoring Organizations of the Treadway Committee of Sponsoring Organizations of the Treadway CommissionCommission

Environnement de contrôle Environnement de contrôle

Evaluation des risquesEvaluation des risques

Activités de contrôleActivités de contrôle

CommunicationCommunication

PilotagePilotage

Contrôle Interne et SSI Qui est réellement concerné ?

Les attentes des dirigeants et actionnaires

Efficacité, rentabilitéEfficacité, rentabilité

Qualité de service et image de marqueQualité de service et image de marque

Maîtrise des risquesMaîtrise des risques


La direction générale La responsabilité finale du bon fonctionnement La responsabilité finale du bon fonctionnement

du contrôle interne relève par nature du plus haut du contrôle interne relève par nature du plus haut niveau de la hiérarchie. niveau de la hiérarchie.

Obligations réglementairesObligations réglementaires : : • LSF : Loi sur la Sécurité Financière (LSF art. 117)LSF : Loi sur la Sécurité Financière (LSF art. 117)• SOX : Sarbanes Oxley (section 404-1)SOX : Sarbanes Oxley (section 404-1)• LOLF : Loi Organique relative aux Lois de FinancesLOLF : Loi Organique relative aux Lois de Finances• Code du commerce L.225-37, L.225-68, L.225-235Code du commerce L.225-37, L.225-68, L.225-235


Les attentes de la DSI

Efficacité et performancesEfficacité et performances

Réduction des coûtsRéduction des coûts

SécuritéSécurité


Tous les acteurs sont concernés, à tous les Tous les acteurs sont concernés, à tous les niveaux !niveaux !

Les équipes opérationnellesLes équipes opérationnelles : : Responsables opérationnels de la maîtrise Responsables opérationnels de la maîtrise

d'ouvrage et de la maîtrise d'œuvre, équipes d'ouvrage et de la maîtrise d'œuvre, équipes projets, structures de pilotage, ingénieurs, projets, structures de pilotage, ingénieurs, développeurs, sous-traitants, utilisateurs …développeurs, sous-traitants, utilisateurs …


Les attentes des utilisateurs

DisponibilitéDisponibilité

IntégritéIntégrité

ConfidentialitéConfidentialité

Contrôle Interne et SSI Le rôle de l’audit ?

L’audit En complément du contrôle permanent exercé par les En complément du contrôle permanent exercé par les

équipes opérationnelles, l’audit intervient de façon équipes opérationnelles, l’audit intervient de façon ponctuelle dans le cadre du suivi et du pilotage de ponctuelle dans le cadre du suivi et du pilotage de l’efficacité du système de contrôle interne. l’efficacité du système de contrôle interne.

Normes et bonnes pratiques utilisés par les auditeurs pour Normes et bonnes pratiques utilisés par les auditeurs pour auditer le dispositif de contrôle interne : auditer le dispositif de contrôle interne :

Traduction française disponible:Traduction française disponible:

ISO 27001, 17799ISO 27001, 17799COBIT (Control Objectives for Business & Related Technology), COBIT (Control Objectives for Business & Related Technology),

En anglais :En anglais :

ITIL (Information Technology Infrastructure Library), ITIL (Information Technology Infrastructure Library), CMMI (Capability Maturity Model intégration).CMMI (Capability Maturity Model intégration).

Contrôle Interne et SSI Le rapport entre contrôle interne et SSI ?

Risques de contrôles inadaptés

ErreursErreurs

AccidentsAccidents

MalveillanceMalveillance

Contrôle Interne et SSI Mise en œuvre du contrôle interne SSI

Que doit-on faire exactement ?Que doit-on faire exactement ?

Contrôle Interne et SSI Que doit-on faire exactement ?

Évaluer le niveau de conformité du Évaluer le niveau de conformité du dispositif de contrôle existant par dispositif de contrôle existant par rapport à la réglementation, aux rapport à la réglementation, aux normes et aux usages professionnels,normes et aux usages professionnels,

Identifier des facteurs de risques et des Identifier des facteurs de risques et des actions correctrices à entreprendre,actions correctrices à entreprendre,

Justifier les coûts et les budgets Justifier les coûts et les budgets sécurité par une approche basée sur sécurité par une approche basée sur l’analyse des risques.l’analyse des risques.

Contrôle Interne et SSI Comment faire ?

S’appuyer sur les référentiels standards (par S’appuyer sur les référentiels standards (par exemple 17799) qui intègrent les concepts exemple 17799) qui intègrent les concepts fondamentaux en matière d’analyse des fondamentaux en matière d’analyse des risques des S.I, démarche d’inventaire des risques des S.I, démarche d’inventaire des risques : identification des propriétaires risques : identification des propriétaires responsables des données etc.responsables des données etc.Construire un référentiel de contrôle commun à Construire un référentiel de contrôle commun à tous les acteurs et cohérent pour l’entreprise.tous les acteurs et cohérent pour l’entreprise.Identifier les niveaux de responsabilité par Identifier les niveaux de responsabilité par l’affectation nominative des points de contrôles l’affectation nominative des points de contrôles et par la remonter les alertes aux instances de et par la remonter les alertes aux instances de pilotage et aux organes de décision. pilotage et aux organes de décision.

Contrôle Interne et SSI Comment faire ?

S’appuyer sur les référentiels standards (par S’appuyer sur les référentiels standards (par exemple 17799) qui intègrent les concepts exemple 17799) qui intègrent les concepts fondamentaux en matière d’analyse des fondamentaux en matière d’analyse des risques des S.I, démarche d’inventaire des risques des S.I, démarche d’inventaire des risques : identification des propriétaires risques : identification des propriétaires responsables des données etc.responsables des données etc.Construire un référentiel de contrôle commun à Construire un référentiel de contrôle commun à tous les acteurs et cohérent pour l’entreprise.tous les acteurs et cohérent pour l’entreprise.Identifier les niveaux de responsabilité par Identifier les niveaux de responsabilité par l’affectation nominative des points de contrôles l’affectation nominative des points de contrôles et par la remonter les alertes aux instances de et par la remonter les alertes aux instances de pilotage et aux organes de décision. pilotage et aux organes de décision. Faire l’état des lieuxFaire l’état des lieux

Contrôle Interne et SSI L’état des lieux

Évaluer le niveau de conformité par rapport aux Évaluer le niveau de conformité par rapport aux objectifs de contrôlesobjectifs de contrôlesIdentifier les plans d’action de prévention, Identifier les plans d’action de prévention, corrections, ou améliorations.corrections, ou améliorations.Planifier les actions en fonction du risque et du Planifier les actions en fonction du risque et du coût de l’action.coût de l’action.Constituer des équipes de travail structurées en Constituer des équipes de travail structurées en identifiant formellement les intervenants les identifiant formellement les intervenants les responsable et les superviseurs.responsable et les superviseurs.Documenter chaque point de contrôle (Pdc) pour Documenter chaque point de contrôle (Pdc) pour justifier l’état des lieux les plans d’actions :justifier l’état des lieux les plans d’actions :

associer à chaque Pdc et Plan d’Action sa associer à chaque Pdc et Plan d’Action sa documentation : ex. politiques, documents bureautiques , documentation : ex. politiques, documents bureautiques , procédures, bases de testsprocédures, bases de tests

Contrôle Interne et SSI L’état des lieux

Élaborer et actualiser les indicateurs et les Élaborer et actualiser les indicateurs et les tableaux de bord selon la fréquence la plus tableaux de bord selon la fréquence la plus courte possible (le temps réel serait l’idéal).courte possible (le temps réel serait l’idéal).Mettre ces indicateurs à disposition des Mettre ces indicateurs à disposition des personnes en charge de piloter le système personnes en charge de piloter le système de gestion de la sécurité du SI, ceci en de gestion de la sécurité du SI, ceci en fonction de leur niveau d’intervention :fonction de leur niveau d’intervention :

vue exhaustive pour D.G, D.S.I, R.S.S.I, Auditvue exhaustive pour D.G, D.S.I, R.S.S.I, Auditvue partielle pour les opérationnels, vue partielle pour les opérationnels, responsables ou intervenants, dans la mise en responsables ou intervenants, dans la mise en place des contrôles.place des contrôles.

Contrôle Interne et SSI Les étapes suivantes

PlanifierPlanifier

Mettre en Mettre en oeuvreoeuvre

VérifierVérifier

Agir !Agir !

Contrôle Interne et SSI Go

Go !Go !On comprend clairement que la démarche vise à On comprend clairement que la démarche vise à améliorer les performances globales de l’entreprise .améliorer les performances globales de l’entreprise .De toute façon on n’a pas le choix, c’est obligatoire.De toute façon on n’a pas le choix, c’est obligatoire.

No go !Il y a trop de chose à faire pour se mettre en conformité.Malgré les explications on ne voit pas encore comment

faire pour s’organiser et lancer la mise en œuvre.Ca va être cher, long et compliqué ; c’est comme les

démarches qualité, c’est bien mais c’est long et coûteux. Est-ce réellement rentable ?

Contrôle Interne et SSI Go / No go

Go !Go !

On comprend clairement que la démarche vise à On comprend clairement que la démarche vise à améliorer les performances globales de l’entreprise .améliorer les performances globales de l’entreprise .

De toute façon on n’a pas le choix, c’est obligatoire.De toute façon on n’a pas le choix, c’est obligatoire.

No go !No go !

Il y a trop de chose à faire pour se mettre en Il y a trop de chose à faire pour se mettre en conformité.conformité.

Malgré les explications on ne voit pas encore Malgré les explications on ne voit pas encore comment faire pour s’organiser et lancer la mise en comment faire pour s’organiser et lancer la mise en œuvre.œuvre.

C’est comme les démarches qualité, c’est bien mais C’est comme les démarches qualité, c’est bien mais c’est long et coûteux. Est-ce réellement rentable ?c’est long et coûteux. Est-ce réellement rentable ?

Contrôle Interne et SSI Go

Ce n’est compliqué, la preuve par l’exempleCe n’est compliqué, la preuve par l’exemple

Démonstration

Démonstration

DPCIADispositif Permanent de Contrôle interne Automatisé

Dispositif de Contrôle Interne Automatisé (DPCIA) Un outil de pilotage pour le RSSI

Le système permet d’optimiser la gestion des projets Le système permet d’optimiser la gestion des projets d’amélioration de la qualité et de la sécurité des S.I, d’amélioration de la qualité et de la sécurité des S.I, depuis la planification jusqu’à la mise en œuvre,depuis la planification jusqu’à la mise en œuvre,Il est ainsi possible de suivre des recommandations et Il est ainsi possible de suivre des recommandations et des plans d’actions sur plusieurs années, quels que des plans d’actions sur plusieurs années, quels que soient les changements.soient les changements.Le système de documentation et de pilotage permet de Le système de documentation et de pilotage permet de minimiser les risques liés à la défection de personnes minimiser les risques liés à la défection de personnes clés. clés. Les spécificités de la démarche favorisent enfin la Les spécificités de la démarche favorisent enfin la conduite des évaluations de la sécurité dans les conduite des évaluations de la sécurité dans les meilleures conditions de coût, d’efficacité, meilleures conditions de coût, d’efficacité, d’impartialité.d’impartialité.

..

Dispositif de Contrôle Interne Automatisé (DPCIA) L’audit dynamique permanentDe la planification jusqu’à la vérificationDe la planification jusqu’à la vérification

Collecte d’information via l’intranet Collecte d’information via l’intranet (réponses au questionnaires en ligne),(réponses au questionnaires en ligne),

Documentation en ligne (plans Documentation en ligne (plans informatique, politiques sécurité, informatique, politiques sécurité, procédures, résultats des tests du PCA …)procédures, résultats des tests du PCA …)

Rapports détaillés des points forts et points Rapports détaillés des points forts et points faibles, actualisés en permanence.faibles, actualisés en permanence.

Suivi permanent des plans d’action (action Suivi permanent des plans d’action (action passées, en cours, et actions futures).passées, en cours, et actions futures).

Dispositif de Contrôle Interne Automatisé (DPCIA) Une réelle valeur ajoutée pour l’auditeurLa mise à disposition préalable des objectifs La mise à disposition préalable des objectifs

de contrôles auprès des responsables de contrôles auprès des responsables opérationnels et une meilleure connaissance opérationnels et une meilleure connaissance des activités de l’audité permet d’optimiser des activités de l’audité permet d’optimiser les entretiens et interviews.les entretiens et interviews.

Les résultats de l’auto-évaluation Les résultats de l’auto-évaluation permanente constituent par ailleurs une base permanente constituent par ailleurs une base de connaissance précieuse pour la recherche de connaissance précieuse pour la recherche des causes de dysfonctionnements. des causes de dysfonctionnements.

La démarche contribue à optimiser la rigueur La démarche contribue à optimiser la rigueur et l’exhaustivité des contrôles et des et l’exhaustivité des contrôles et des analyses.analyses.

Dispositif de Contrôle Interne Automatisé (DPCIA) Un référentiel commun pour tous

Un dispositif de contrôle interne efficace et Un dispositif de contrôle interne efficace et cohérent.cohérent.

Un suivi permanent du niveau de sécurité, Un suivi permanent du niveau de sécurité,

Une gestion dynamique des Une gestion dynamique des recommandations recommandations

Un suivi continu des plans d'actionUn suivi continu des plans d'action

Une vision consolidée : il est ainsi possible Une vision consolidée : il est ainsi possible de suivre et de piloter à distance le dispositif de suivre et de piloter à distance le dispositif de contrôle interne, quelque soit la de contrôle interne, quelque soit la dimension nationale ou internationale de dimension nationale ou internationale de l’organisme.l’organisme.

Dispositif de Contrôle Interne Automatisé (DPCIA) Des questions ?

Georges RAVETGeorges [email protected]@dpcia.com

http://www.dpcia.comhttp://www.dpcia.com

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

[email protected]@microsoft.com

http://www.microsoft.com/france

Contrôle Interne et Sécurité du SI Georges RAVET Consultant CISA.

Documents

Transcript of Contrôle Interne et Sécurité du SI Georges RAVET Consultant CISA.