Audit de Systme dInformation

Ralis par: ABARKANE Mohamed BATASSE Sara BALBASIR Kacem El MALLAM Racha KHARMIZ Hafsa TOURIKI khadija

LOGO
www.wondershare.com

plan:
1. Notions de base des de l audit des SI 2. Domaines d Audit des SI Audit de la fonction informatique Audit des projets Audit de la Scurit 3. Conduite d une mission d audit
Company Logo

Limportance du SI dans lentreprise

le souhait dintgration des SI dans la stratgie est comprhensible et il a plusieurs origines. Il est dabord une consquence du changement dans le rle de la fonction Systmes dInformation: cest aujourdhui une fonction distribue dans lentreprise ayant comme mission dinitier ou du moins faciliter les changements plutt quune unit autonome possdant le contrle absolu des ressources informationnelles comme dans les annes 70 et au dbut des annes 80. Aujourdhui le SI reprsente pour lentreprise:

Support a loutil de production vue que cela contribue a la ralisation

de lobjet de lentreprise. Rfrentiel du patrimoine et de son savoir faire Moyen de renforcement du contrle et de matrise des processus de gestion
Company Logo

Le cycle de vie dun SI dans lentreprise

Company Logo

Les missions daudit des SI

pour chacun des trois bases du cycle de vie dun SI dans lentreprise un audit est appropri:

Company Logo

Dmarche daudit Laudit qui est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute.

Company Logo

A ne pas confondre!
Gnralement on a un amalgame entre les trois concepts donc il est a savoir

Company Logo

Les types daudit

Company Logo

Quelques rfrentiels de laudit des SI

Un rfrentiel daudit correspond un recueil de rgles, procdures et/ou bonnes pratiques reconnues au plan international et sur lequel lauditeur pourra sappuyer pour formuler ses recommandations. Dans le domaine de linformatique, il en existe notamment deux qui sont particulirement rpandus, savoir

COBIT (Contrle Objectives for Information and related Technology)

tablis par l ISACA (Information System Audit and Control Association). Traduit et diffus par l AFAI (Association franaise de laudit et du conseil informatique). SAC Report (Contrle et audit du systme d information) tablis par IAA Traduit et diffus par l IFACI, IAI lISO 17799 pour la scurit de linformation Pour certains domaines informatiques bien spcifiques, il est galement possible de sappuyer sur des rfrentiels plus cibls.
Company Logo

Audit de la fonction informatique

Organisation, planification et management de la

fonction informatique ;
Dveloppement, acquisition, implmentation et maintenance des applications et programmes informatiques;

Exploitation informatique ;
Scurit des actifs informatiques et des accs aux ressources informatiques ;

Plan de secours informatique.

Company Logo

1- Organisation, planification et management de la fonction informatique:

Vrifier que le plan informatique est approuv par le comit informatique et quil est en ligne avec la stratgie de lentreprise ; Vrifier quun comit informatique regroupant les diffrentes directions de lentreprise a t cr ; Examiner les PV de ce comit et valuer son rle ; Sassurer que la DSI tablit des indicateurs de performance et des tableaux de bord, et apprcier leur pertinence.

Company Logo

2- Dveloppement, acquisition et maintenance des applications et programmes informatiques Dterminer les composantes, les objectifs et les

besoins des utilisateurs afin didentifier les aspects qui ncessitent un niveau de contrle important.
Dterminer les zones de risques relatives aux

dveloppements raliss et identifier les contrles mis en place pour rduire le niveau des risques identifis ;
Sassurer que les contrles ont t implments et que

les dveloppements raliss correspondent bien aux besoins des utilisateurs ;

Company Logo

3- Exploitation informatique

La matrise des technologies utilises; Lexistence des points de contrle relatifs lexploitation;

La qualit de la planification des oprations dexploitation ;

Le suivi des incidents dexploitation suite larrt dun programme par exemple ; La mise en oeuvre de tableaux de bord dexploitation.

Company Logo

4- La scurit des actifs informatiques et des accs aux ressources informatiques

la scurit logique Lexistence et la bonne application dune procdure daccs aux ressources informatiques Lexistence et la bonne application dune procdure de suppression des accs aux systmes suite aux dparts des employs.

Lexistence dune procdure de gestion et de changement des mots de passe.

la scurit physique Les procdures daccs physique au btiment de lentreprise; Les procdures daccs spcifiques aux zones protges (salles "machines", imprimantes systmes, lieu demplacement des cartouches de sauvegardes, etc.).
Company Logo

5- Plans de sauvegardes et de secours informatique

Plan de sauvegardes
o
Des sauvegardes quotidiennes des donnes

dexploitation sont effectues selon un cycle de cinq ou six

jours sur sept; o o o Des sauvegardes mensuelles doivent tre galement Des sauvegardes annuelles et dcennales effectues Une sauvegarde externe doit tre prvue et place
Company Logo

effectues; notamment pour les besoins lgaux ; dans un endroit scuris.

5 Plans de sauvegardes et de secours informatique Plan de secours

Lexistence dun plan de secours; Le DMI (Dlai Maximum dIndisponibilit) doit tre identifi par application; Un site de back up; hot site ayant des serveurs avec les mmes performances du site rel et des connexions rseaux disponibles. Warm site qui est un site de back up ayant uniquement des connexions rseaux disponibles cold site qui est un site disposant uniquement dlectricit et de climatisation.
Company Logo

Prsentation dun cas de revue des contrles gnraux informatiques

L'organisation de la direction informatique

L'exploitation informatique

Le dveloppement des applications

La scurit Le plan de secours et de sauvegardes

Company Logo

Laudit de projet

La notion de projet :
Un projet c est d abord une quipe C est ensuite un dlai Une date de dbut Une date de fin C est aussi une organisation spcifique Et, bien entendu, un budget particulier Rle cl du chef de projet dans la russite du projet

Company Logo

Laudit de projet

Particularits des projets informatiques

Le pilotage des projets informatiques est une opration dlicate Drapage sur les dlais Drive frquente des cots Ncessit de mettre en place un pilotage rigoureux La qualit des applications informatiques Difficult de valider la qualit d une application Ncessit de mettre en place des procdures de certification de la qualit
Company Logo

Laudit de projet
Tenir les dlais et les budgets Gestion de projet : Structurer Assurer Optimiser Dcoupage du projet en tape : Conception gnrale Conception dtaille Dveloppement Test Installation et dploiement Bilan

Company Logo

Laudit de projet
Mettre en place un systme de pilotage efficace
Un dcoupage en phase Un livrable la fin de chaque phase Pilotage des phases : Valider les rsultats en fin de phase Valider les objectifs de la phase suivante Informer le comit de pilotage Suivi des performances et de la qualit

Normes et standards
Contrles Conseils
Company Logo

Laudit de projet Les bonnes pratiques concernant les projets informatiques l'existence d'une mthodologie de conduite des projets, la conduite des projets par tapes quel que soit le modle de gestion de projets le respect des tapes et des phases du projet, le pilotage du dveloppement et notamment les rles respectifs du chef de projet et du comit de pilotage, la conformit du projet aux objectifs gnraux de l'entreprise

Company Logo

Laudit de projet

Les points de contrles

la clart et lefficacit du processus de dveloppement -Existence de processus, de mthodes et de standards -Vrification de l application de la mthodologie -Adquation des fonctions aux besoins des utilisateurs

Company Logo

Audit de la scurit
L'audit de la scurit informatique a pour but de donner au management une assurance raisonnable du niveau de risque de l'entreprise li des dfauts de scurit informatique. En effet, l'observation montre que l'informatique reprsente souvent un niveau lev pour risque lev de l'entreprise. 1.Existence de risques importants lis aux systmes dinformation Il existe en informatique des risques importants lis mme la nature de cette activit Existence dun patrimoine important en matriel informatique(vol , dgradation,) et logiciels(piratage) 2. Il existe quatre notions fondamentales: Ces risques sont gnralement lis la conjonction de quatre notions fondamentales : 2-1) La menace 2-2) Le facteur de risque 2-3) La manifestation de risque 2-4) La matrise du risque

Company Logo

La menace
Il existe de nombreuses menaces dans le domaine de linformatique: -les erreurs ; Les malveillances ; Les accidents Elles concernent: Les biens matriels: -le rseau ; les quipements informatiques Les biens immatriels: -des logiciels (de base, applications)

2-2) Les causes de lexistence du facteur de risque

Un facteur de risque est une cause de vulnrabilit due une faiblesse de lorganisation, des mthodes, des techniques des outils ou du systme de contrle. Les risques informatiques peuvent tre accrus de diffrentes manires: -Absence de politique informatique - Faible participation des utilisateurs - Mthodes inadaptes aux objectifs - Obsolescence des techniques utilises - Comptences insuffisantes - Faiblesse des processus de gestion La mdiocrit du management informatique est un facteur accroissant le niveau de risque. Company Logo

la manifestation du risque La destruction physique du centre de calcul ( incendie, inondation,) est spectaculaire mais en fait peu frquente Le vrai risque est invisible Il se manifeste de diffrentes manires: -pntration du rseau par des intrus -Vols dinformations - Concurrence fausse - Falsification des donnes lentreprise victime dun concurrent risque de ne sen apercevoir que lorsquelle va perdre des marchs et des clients sans savoir pourquoi.
Company Logo

la matrise du risque Mthodes pour identifier les risques en terme de menace ou de facteurs de risques (Marion) Identification des parades La scurit physique -Contrle daccs aux locaux - protection incendie La scurit logique - contrle daccs aux systmes, aux programmes, aux donnes Importance du plan de secours permettant de faire face la disparition totale ou partielle du systme dinformation
Company Logo

Les facteurs de limitation des risques

Les bonnes pratiques concernant la scurit sont: Existence dune politique du systme dinformation Les services informatiques ayant une vision globale de leur dmarche sont les mieux protgs que les autres Cette politique doit notamment prciser les responsabilits des diffrents intervenants sur les systmes informatiques Implication des utilisateurs La meilleure protection du SI est celle exerce par les utilisateurs; Ils doivent surveiller leur matriel et la scurit des locaux Ils contrlent leurs donnes et leurs base de donnes

Company Logo

Les facteurs de limitation des risques

Mthodes de travail et outils adapts aux objectifs Le meilleur moyen de limiter les risques lis linsuffisance de scurit est de doter les services informatiques de mthodes de travail et des outils adapts; ces mthodes de travail consiste dfinir les tches effectuer et de dfinir de manire rationnelle lorganisation du travail; De mme il est ncessaire de se doter doutils performants conformes aux objectifs recherchs. La comptence du personnel La scurit du SI dpend surtout de la comptence du personnel; plus il est comptent, plus il est mme dintervenir rapidement et efficacement pour limiter les risques. Outil de gestion efficace De mme il est ncessaire que des dispositifs de gestion efficaces soient mises en place, ils ont pour but de reprer plus facilement les failles de la scurit informatique ( poste de travail,
Company Logo

5-Exemples de missions daudit

5-1) Audit de la scurit dune application client-serveur
La mise en place dune nouvelle application du type Client-serveur fait apparatre diffrents incidents dexploitation, ainsi lanalyse montre quils ne sont pas dus des fragilits du logiciel de base mais au faible respect des consignes de scurit.

Lorganisation de la scurit laisse dsirer et notamment la politique des mots de passe nest pas respecte. Dfinir une politique de gestion des mots de passe et la faire appliquer Mettre en place un logiciel de surveillance du rseau permettant de suivre les incidents. Former le personnel lapplication des consignes de scurit.
Company Logo

Conduite dune mission daudit informatique

Les six Phases de la mission dAudit : 1. Dfinition de la mission Primtre de la mission tablissement de la lettre de mission 2. La planification de la mission 3. La collecte des faits, la ralisation de tests, 4. Entretiens avec les audits 5. Rdaction du rapport final 6. Prsentation et discussion de ce rapport

Company Logo

1 - Dfinition de la mission : Primtre de la mission

Mise en uvre et dveloppe ment du SI

Choix et orientation du SI

Exploitation du SI

AUDIT : APPLICATIONS INFORMATIQUES

AUDIT : ALIGNEMENT STRATEGIQUE

REVUE DES CONTROLES GENERAUX INFORMATIQUES URBANISATION DU SYSTME DINFORMATION

Company Logo

AUDIT : SECURITE ET RESEAUX

AUDIT : FONCTION INFORMATIQUE

1 - Dfinition de la mission : tablissement de la lettre de mission Partir des attentes du demandeur daudit Ne pas hsiter passer du temps bien les comprendre Cest pas toujours claire dans leur tte, cest dailleurs pour cela quils demandent un audit Si cest ncessaire faire un pr - diagnostic tablir une liste des questions Faire une lettre de mission (Cest un mandat au sens du Code Civil) Souvent il faut rdiger la lettre de mission

Company Logo

2 - Planification de la mission : le choix de la dmarche Il faut ds le dpart annoncer la dmarche suivie Pour lauditeur externe rle de la proposition Pour lauditeur interne rle du plan daudit Il faut dtailler le programme de travail Prvoir suffisamment lavance la collecte des faits et les tests organiser (dlais souvent longs) Savoir limit le nombre des entretiens (cest un trs gros consommateur de temps et de dlais) Une mission daudit insuffisamment prpare est une mission risque

Company Logo

3 - La collecte des faits, la ralisation des tests,...

Lauditeur ne doit prendre en compte que les faits et il doit se mfier des opinions On ne peut pas se contenter des dires des audits, il faut se baser sur des faits On sorganise pour trouver les faits dont on a besoin : -Les tests, les jeux dessais, -Les mesures de performances (temps de rponses...) -Les incidents dexploitation, les anomalies, les erreurs, Importance de la collecte de faits significatifs et si on a du mal les obtenir ncessit deffectuer des tests

Company Logo

4 - Entretiens avec les audits

Au contraire, spontanment les auditeurs se mfient des faits et ils ont tendance prfrer les opinions Au cours des entretiens, ne pas se disperser. Cibler les questions Ne pas prendre parti dans les dclarations des audits Evaluer avec prudence les dires On ninstruit pas charge et dcharge La lettre de mission vous donne un mandat. Vous reprsentez le demandeur daudit Le nombre dentretiens est une variable importante expliquant la dure de lopration et la charge de travail

Company Logo

Merci pour votre attention

LOGO
www.wondershare.com