Ralis par: ABARKANE Mohamed BATASSE Sara BALBASIR Kacem El MALLAM Racha KHARMIZ Hafsa TOURIKI khadija
LOGO
www.wondershare.com
plan:
1. Notions de base des de l audit des SI 2. Domaines d Audit des SI Audit de la fonction informatique Audit des projets Audit de la Scurit 3. Conduite d une mission d audit
Company Logo
Company Logo
pour chacun des trois bases du cycle de vie dun SI dans lentreprise un audit est appropri:
Company Logo
Dmarche daudit Laudit qui est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute.
Company Logo
A ne pas confondre!
Gnralement on a un amalgame entre les trois concepts donc il est a savoir
Company Logo
Company Logo
tablis par l ISACA (Information System Audit and Control Association). Traduit et diffus par l AFAI (Association franaise de laudit et du conseil informatique). SAC Report (Contrle et audit du systme d information) tablis par IAA Traduit et diffus par l IFACI, IAI lISO 17799 pour la scurit de linformation Pour certains domaines informatiques bien spcifiques, il est galement possible de sappuyer sur des rfrentiels plus cibls.
Company Logo
fonction informatique ;
Dveloppement, acquisition, implmentation et maintenance des applications et programmes informatiques;
Exploitation informatique ;
Scurit des actifs informatiques et des accs aux ressources informatiques ;
Company Logo
Company Logo
2- Dveloppement, acquisition et maintenance des applications et programmes informatiques Dterminer les composantes, les objectifs et les
besoins des utilisateurs afin didentifier les aspects qui ncessitent un niveau de contrle important.
Dterminer les zones de risques relatives aux
dveloppements raliss et identifier les contrles mis en place pour rduire le niveau des risques identifis ;
Sassurer que les contrles ont t implments et que
Company Logo
3- Exploitation informatique
La matrise des technologies utilises; Lexistence des points de contrle relatifs lexploitation;
Company Logo
Plan de sauvegardes
o
Des sauvegardes quotidiennes des donnes
Lexistence dun plan de secours; Le DMI (Dlai Maximum dIndisponibilit) doit tre identifi par application; Un site de back up; hot site ayant des serveurs avec les mmes performances du site rel et des connexions rseaux disponibles. Warm site qui est un site de back up ayant uniquement des connexions rseaux disponibles cold site qui est un site disposant uniquement dlectricit et de climatisation.
Company Logo
Company Logo
Laudit de projet
La notion de projet :
Un projet c est d abord une quipe C est ensuite un dlai Une date de dbut Une date de fin C est aussi une organisation spcifique Et, bien entendu, un budget particulier Rle cl du chef de projet dans la russite du projet
Company Logo
Laudit de projet
Laudit de projet
Tenir les dlais et les budgets Gestion de projet : Structurer Assurer Optimiser Dcoupage du projet en tape : Conception gnrale Conception dtaille Dveloppement Test Installation et dploiement Bilan
Company Logo
Laudit de projet
Mettre en place un systme de pilotage efficace
Un dcoupage en phase Un livrable la fin de chaque phase Pilotage des phases : Valider les rsultats en fin de phase Valider les objectifs de la phase suivante Informer le comit de pilotage Suivi des performances et de la qualit
Normes et standards
Contrles Conseils
Company Logo
Laudit de projet Les bonnes pratiques concernant les projets informatiques l'existence d'une mthodologie de conduite des projets, la conduite des projets par tapes quel que soit le modle de gestion de projets le respect des tapes et des phases du projet, le pilotage du dveloppement et notamment les rles respectifs du chef de projet et du comit de pilotage, la conformit du projet aux objectifs gnraux de l'entreprise
Company Logo
Laudit de projet
Company Logo
Audit de la scurit
L'audit de la scurit informatique a pour but de donner au management une assurance raisonnable du niveau de risque de l'entreprise li des dfauts de scurit informatique. En effet, l'observation montre que l'informatique reprsente souvent un niveau lev pour risque lev de l'entreprise. 1.Existence de risques importants lis aux systmes dinformation Il existe en informatique des risques importants lis mme la nature de cette activit Existence dun patrimoine important en matriel informatique(vol , dgradation,) et logiciels(piratage) 2. Il existe quatre notions fondamentales: Ces risques sont gnralement lis la conjonction de quatre notions fondamentales : 2-1) La menace 2-2) Le facteur de risque 2-3) La manifestation de risque 2-4) La matrise du risque
Company Logo
La menace
Il existe de nombreuses menaces dans le domaine de linformatique: -les erreurs ; Les malveillances ; Les accidents Elles concernent: Les biens matriels: -le rseau ; les quipements informatiques Les biens immatriels: -des logiciels (de base, applications)
Un facteur de risque est une cause de vulnrabilit due une faiblesse de lorganisation, des mthodes, des techniques des outils ou du systme de contrle. Les risques informatiques peuvent tre accrus de diffrentes manires: -Absence de politique informatique - Faible participation des utilisateurs - Mthodes inadaptes aux objectifs - Obsolescence des techniques utilises - Comptences insuffisantes - Faiblesse des processus de gestion La mdiocrit du management informatique est un facteur accroissant le niveau de risque. Company Logo
la manifestation du risque La destruction physique du centre de calcul ( incendie, inondation,) est spectaculaire mais en fait peu frquente Le vrai risque est invisible Il se manifeste de diffrentes manires: -pntration du rseau par des intrus -Vols dinformations - Concurrence fausse - Falsification des donnes lentreprise victime dun concurrent risque de ne sen apercevoir que lorsquelle va perdre des marchs et des clients sans savoir pourquoi.
Company Logo
la matrise du risque Mthodes pour identifier les risques en terme de menace ou de facteurs de risques (Marion) Identification des parades La scurit physique -Contrle daccs aux locaux - protection incendie La scurit logique - contrle daccs aux systmes, aux programmes, aux donnes Importance du plan de secours permettant de faire face la disparition totale ou partielle du systme dinformation
Company Logo
Les bonnes pratiques concernant la scurit sont: Existence dune politique du systme dinformation Les services informatiques ayant une vision globale de leur dmarche sont les mieux protgs que les autres Cette politique doit notamment prciser les responsabilits des diffrents intervenants sur les systmes informatiques Implication des utilisateurs La meilleure protection du SI est celle exerce par les utilisateurs; Ils doivent surveiller leur matriel et la scurit des locaux Ils contrlent leurs donnes et leurs base de donnes
Company Logo
Lorganisation de la scurit laisse dsirer et notamment la politique des mots de passe nest pas respecte. Dfinir une politique de gestion des mots de passe et la faire appliquer Mettre en place un logiciel de surveillance du rseau permettant de suivre les incidents. Former le personnel lapplication des consignes de scurit.
Company Logo
Company Logo
Choix et orientation du SI
Exploitation du SI
Company Logo
1 - Dfinition de la mission : tablissement de la lettre de mission Partir des attentes du demandeur daudit Ne pas hsiter passer du temps bien les comprendre Cest pas toujours claire dans leur tte, cest dailleurs pour cela quils demandent un audit Si cest ncessaire faire un pr - diagnostic tablir une liste des questions Faire une lettre de mission (Cest un mandat au sens du Code Civil) Souvent il faut rdiger la lettre de mission
Company Logo
2 - Planification de la mission : le choix de la dmarche Il faut ds le dpart annoncer la dmarche suivie Pour lauditeur externe rle de la proposition Pour lauditeur interne rle du plan daudit Il faut dtailler le programme de travail Prvoir suffisamment lavance la collecte des faits et les tests organiser (dlais souvent longs) Savoir limit le nombre des entretiens (cest un trs gros consommateur de temps et de dlais) Une mission daudit insuffisamment prpare est une mission risque
Company Logo
Company Logo
Company Logo
LOGO
www.wondershare.com