Audit Des Systemes D Information

Journe de Rflexion sur lAudit Dmarche d audit des Systmes d information
ENCG Agadir, le 1 Mars 2003
Nabil BAYAHYA, Directeur Associ Masnaoui Mazars MASNAOUI
Plan de la prsentation
1. Notions de base des de l audit des SI 2. Prsentation de 3 domaines d Audit des SI
2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit
3. Conduite d une mission d audit
MASNAOUI
Contexte des SI dans l entreprise

Les systmes d information ont volu depuis les annes 70 pour s octroyer une importance cruciale dans la vie des entreprises en tant que : Support l outil de production qui contribue la ralisation de l objet de l entreprise (systme de facturation, encaissement, trsorerie, comptabilit, GPAO, GMAO .) Rfrentiel du patrimoine de l entreprise et de son savoir faire (fichier clients, processus de gestion, KM ... ) Moyen de renforcement du contrle et de matrise des processus de gestion (contrle informatique, workflow) . Ces constats gnrent un niveau de dpendance de l entreprise vis vis de son systme d information
MASNAOUI
Contexte des SI dans l entreprise

Certes, le niveau d intgration du SI dans les processus de gestion de l entreprise prsente un rel tremplin pour sa croissance et son dveloppement ... mais, une telle intgration prsente d inhrents risques de vulnrabilit de l entreprise
Inadquation au processus de gestion Non conformit aux dispositions lgales Absence d information dcisionnel le
...
Continuit d exploitation de l entreprise Inefficience de la politique de scurit
Risques informatiques
Inefficience du Contrle
Manque Absence de d volutivit de comptences l architecture qualifies informatique Manque de Fiabilit des Accs non traitements et Augmentatio autoriss des donnes n des cots informatique s
MASNAOUI
Proccupations des directions gnrales

Le systme d information de l entreprise contribue-t-il amliorer sa profitabilit ? Comment mesurer les bnfices lis aux investissements informatiques ? La stratgie informatique est-elle conforme la stratgie de l entreprise ? Peut-on diminuer les cots des fonctions administratives en dpensant plus en informatique ? Les donnes produites par les applications informatiques permettent-elles de prendre des dcisions efficaces ? Les applications fournissent des informations exactes, exhaustives, authentiques ? Le systme informatique est-il suffisamment protg contre les accidents, les malveillances et les erreurs ? ...
MASNAOUI
Problmatiques du Systme d information

Les problmatiques du systme d information se manifestent tout le long de son cycle de vie selon une approche itrative:
Quelle adquation avec les orientations stratgiques et le Quelle adquation avec les orientations stratgiques et le plan de dveloppement du SI ? plan de dveloppement du SI ? Comment faire voluer le SI actuel vers le SI cible ? Comment faire voluer le SI actuel vers le SI cible ? Quels choix technologiques retenir ? Quels choix technologiques retenir ? Quelle organisation pour le pilotage des projets Quelle organisation pour le pilotage des projets informatiques ? informatiques ? . . Quelle choix pour la mise en uvre du plan de Quelle choix pour la mise en uvre du plan de dveloppement du SI : Choix de progiciel, dveloppement du SI : Choix de progiciel, dveloppement spcifique, solutions interfaces dveloppement spcifique, solutions interfaces Quelle dmarche de conduite de projet informatiques Quelle dmarche de conduite de projet informatiques Quelle organisation et comptences pour la conduite Quelle organisation et comptences pour la conduite des projets informatiques des projets informatiques ... ...
Quelle adquation entre les applications en exploitation et Quelle adquation entre les applications en exploitation et les besoins des utilisateurs les besoins des utilisateurs Quelles sont les mesures de contrles et de scurit prises Quelles sont les mesures de contrles et de scurit prises en compte dans les applications informatiques en compte dans les applications informatiques Quelles sont les procdures d exploitation du SI Quelles sont les procdures d exploitation du SI ... ...
Choix et orientation du systme d information
Mise en uvre et dveloppement du SI
Exploitation du SI
MASNAOUI
Primtre des missions d audit des systmes dinformation

Choix et orientation du systme d information Mise en uvre et dveloppement du SI
Exploitation du SI
AUDIT : ALIGNEMENT STRATEGIQUE
AUDIT : APPLICATIONS INFORMATIQUES
REVUE DES CONTRLES GENERAUX INFORMATIQUES URBANISATION DU SYSTEME D INFORMATION
AUDIT : Scurit et Rseaux
AUDIT : FONCTION INFORMATIQUES
AUDIT : PROJETS INFORMATIQUES
MASNAOUI
Dmarche d audit
Objectif :
S assurer que tout se passe bien conformment aux rgles et aux usages professionnels Pour toutes les faiblesses importantes dtectes, valuer et justifier les risques, et Proposer des actions correctives
Moyens
Observer, analyser et juger des faits Evaluer l adquation et le fonctionnement des activits par comparaison avec un rfrentiel Appliquer des dmarches cohrentes
Domaines
Toutes les fonctions de l entreprise peuvent tre audites
MASNAOUI
Ne pas confondre audit, expertise et conseil

Audit Dmarche de gnraliste Collecte de faits Analyse de processus Recommandations Expertise Spcialiste d un domaine Approche technique Mesures de performances Recherche de solutions Conseil Connaissance d un domaine Approche gnraliste Axes d amlioration Pilotage du changement
MASNAOUI
Trois grands types d audits

L audit de conformit (audit de rgularit) Vrification de l existence de normes La direction gnrale fixe des rgles et des procdures S assurer qu elles sont effectivement appliques Comparaison par rapport un rfrentiel L audit d efficacit (audit de progrs) Apprciation de la qualit des rgles et des procdures par rapport aux objectifs Vrification de l impact de ces rgles Recommandation d amliorations Etablir un plan d action
MASNAOUI
10
Trois grands types d audits
L audit d efficience (audit conomique) Analyser les moyens affects aux oprations Apprcier l utilisation des ressources Proposer des moyens d optimiser ces moyens Attitude rserve face aux audits sanctions
MASNAOUI
11
Quelques Rfrentiels de l audit des Systmes d information

COBIT (Contrle Objectives for Information and related Technology) Etablis par l ISACA (Information Systems Audit and Control Assiociation) Traduit et diffus par l AFAI (Association franaise de laudit et du conseil informatique) SAC Report (Contrle et audit du systme d information) Etablis par IAA Traduit et diffus par l IFACI, IAI
Le rfrentiel ne fait pas l auditeur... mais il peut l aider

MASNAOUI
12
1. Notions de base de l audit des SI 2. Prsentation de 3 domaines d Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit 3. Conduite d une mission d audit
MASNAOUI
13
Audit de la fonction informatique

Plan
Questions usuelles de la direction gnrale concernant la fonction informatique Positionnement et structure de la fonction informatique Les bonnes pratiques concernant la fonction informatique Les points de contrles Exemples de mission d audit
MASNAOUI
14

Questions usuelles de la direction gnrale
Est-ce que les utilisateurs sont satisfaits des prestations informatiques ? Est-ce que l informatique perturbe vraiment le fonctionnement des services ? Est-ce que l informatique est correctement pilote ? Y-a-t il un comit de direction charg de l informatique ? Quel doit tre le positionnement du responsable informatique ? Combien a cote rellement ? Et combien a rapporte ? Faut-il dcentraliser l informatique dans les units ? Que doiton garder en central ? Comment piloter de manire efficace les projets informatiques ? Est-ce que les personnes travaillant au sein du service informatique sont comptences ?
MASNAOUI
15

Positionnement et structure de la fonction informatique
Le comit de planification ou de pilotage de l informatique Position des services informatiques dans l organisation & Sparation des tches Intervention de l informatique dans l organisation et les processus Responsabilit de l assurance qualit Responsable de la scurit Proprit des donnes et des applications Gestion du personnel informatique et des sous-traitants
MASNAOUI
16

Les bonnes pratiques concernant la fonction informatique
Les relations entre la direction gnrale et les utilisateurs La clart des structures et des responsabilits L existence de dispositifs de mesures Comptence et qualification du personnel
MASNAOUI
17

Les relations entre la direction gnrale et les utilisateurs
La mission de la direction informatique doit tre clairement dfinie et un document crit doit la dcrire. Les objectifs et les rgles de fonctionnement de l informatique doivent tre connus des dcideurs et des utilisateurs. Un comit de direction doit prendre des dcisions concernant l informatique et des comptes-rendus doivent tre publis. La direction de la fonction informatique doit priodiquement faire rviser les plans concernant l informatique
MASNAOUI
18

La clart des structures et des responsabilits
Les responsables oprationnels doivent avoir une relation de partenariat avec la fonction informatique La fonction informatique doit avoir la responsabilit de l architecture du systme informatique La fonction informatique doit avoir la responsabilit de l assurance qualit du systme informatique La fonction informatique doit avoir la responsabilit de la scurit physique et logique des actifs informationnels
MASNAOUI
19

L existence de dispositifs de mesures
C est un vaste programme Un suivi conomique est ncessaire mais n est pas suffisant. Gnralement c est un suivi budgtaire mais cela peut tre aussi un mcanisme de refacturation Il faut que l informatique rend des comptes aux diffrents partenaires de l informatique. Mais la ralit montre que ce n est pas facile faire et on parle souvent du manque de transparence de l informatique .
MASNAOUI
20

L existence de dispositifs de mesures
Il est ncessaire de mieux communiquer sur les objectifs, les politiques mises en oeuvre, les ressources affectes et leur utilisation Et surtout il est ncessaire de contrler l activit informatique : gestion de projet, CAE, gestion des investissements,...
MASNAOUI
21

Comptences et qualification du personnel
Les besoins en personnel informatiques doivent priodiquement tre valus (au moins une fois par an). Une supervision effective du personnel informatique doit tre faite notamment pour juger s il dispose des moyens pour faire son travail et s il est performant. Tous les postes doivent disposer d une description de poste mettant en avant les comptences et l exprience ncessaire. Il doit exister une claire sparation des tches notamment entre la maintenance des applications et l exploitation.
MASNAOUI
22

Comptences et qualification du personnel
Le personnel cl doit tre identifi Le personnel sous contrat doit faire l objet d un contrle particulier notamment pour s assurer que les actifs informationnels sont garantis.
MASNAOUI
23

Les points de contrles
Rle des directions dans le systme d information Existence de politique, de normes et de procdures Responsabilit du service informatique : relations matrise d oeuvre-matrise d ouvrage Existence de dispositifs de contrle interne
MASNAOUI
24

Rle des directions dans le systme d information
Il doit exister un comit informatique Il peut avoir diffrents noms : commission informatique, comit de pilotage,... Il est rattach au directeur gnral Les principaux dcideurs de l entreprise doivent y participer Il doit se runir rgulirement L essentiel des orientations informatiques doit tre dbattu au sein de ce comit
MASNAOUI
25

Rle des directions dans le systme d information
Un suivi rgulier du schma directeur doit tre fait Etudier le positionnement de ce comit dans la structure de l entreprise Examiner les comptes-rendus de ce comit sur un an. Rencontrer quelques membres du comit.
MASNAOUI
26

Responsabilit du service informatique (relations matrise
d oeuvre-matrise d ouvrage)
Les responsabilits du service informatique doivent tre clairement dfinies La position du service informatique dans l organigramme de l entreprise doit tre claire. Le service informatique doit avoir une autorit suffisante pour faire appliquer les mesures ncessaires pour atteindre les objectifs qui lui ont t fixs.
MASNAOUI
27

Responsabilit du service informatique (relations matrise
d oeuvre-matrise d ouvrage)
Examiner les diffrents documents pour apprcier la clart des dfinitions des responsabilits Interroger diffrents responsables pour apprcier leur degr de connaissance des responsabilits respectives Vrifier le respect de la sparation des tches
MASNAOUI
28

Existence de dispositifs de contrle interne
On doit disposer d une stratgie formalise du dveloppement du systme d information Les facteurs de risques doivent tre reprs Des priorits doivent tre fixes de manire claire Les choix doivent tre faits en tenant compte des enjeux conomiques Mesurer leur impact sur les performances de l entreprise Examiner les principales procdures de l entreprise et apprcier l impact de l informatique
MASNAOUI
29

Existence de dispositifs de contrle interne
Analyser les missions des auditeurs internes et externes et leurs impacts Evaluer l impact des procdures de l assurance qualit
Exemples de mission d audit

Evaluation de l efficacit d un service informatique Audit de la procdure de suivi des cots informatiques
MASNAOUI
30

Evaluation de l efficacit d un service informatique
La direction gnrale a des doutes sur l efficacit de son service informatique En fait elle a des doutes sur les comptences du responsable informatique Effectivement le responsable a du mal faire son travail dans de bonnes conditions Peu de contact avec la direction gnrale Mauvaises relations avec les utilisateurs
MASNAOUI
31

Evaluation de l efficacit d un service informatique
Mise en place d un comit de direction trimestriel consacr l informatique Redfinition du rattachement hirarchique Rdaction des principales politiques, procdures et normes appliquer.
MASNAOUI
32

Audit de la procdure de suivi des cots informatiques
Il existe une comptabilit analytique permettant de suivre les cots informatiques Les rsultats de cette comptabilit sont contests par les principaux dcideurs L analyse de la mthode montre quelle est globalement bonne Ses rsultats montre bien les problmes qui se posent et notamment les erreurs qui sont commises Par contre cette CAE peut tre simplifie et amliore
MASNAOUI
33

Audit de la procdure de suivi des cots informatiques
Rdiger chaque mois une note d analyse des cots informatiques Simplifier les traitements les plus dlicats Rduire le cot des oprations anormalement coteuses
MASNAOUI
34

Exemple de mission d audit : Evaluation de l efficacit d un service informatique
La DG a des doutes sur l efficacit de son service informatique En fait elle a des doutes sur les comptences du DSI Effectivement le responsable a du mal faire son travail dans de bonnes conditions Peu de contact avec la DG Mauvaises relations avec les utilisateurs Mise en place d un comit de direction trimestriel consacr au SI Redfinition du rattachement hirarchique Rdaction des principales politiques, procdures et normes appliquer.
MASNAOUI
35
MASNAOUI
36
Audit des projets

Plan
La notion de projet Particularits des projets informatiques Tenir les dlais et les budgets Evaluation des risques lis aux projets Les bonnes pratiques concernant les projets informatiques Les points de contrles Exemples de mission d audit
MASNAOUI
37
Audit des projets

La notion de projet
Un projet c est d abord une quipe C est ensuite un dlai
Une date de dbut Une date de fin
C est aussi une organisation spcifique Et, bien entendu, un budget particulier Rle cl du chef de projet dans la russite du projet C est une activit voisine de celle du :
Btiment Ingnierie
MASNAOUI
38
Audit des projets
Particularits des projets informatiques

Le pilotage des projets informatiques est une opration dlicate
Drapage sur les dlais Drive frquente des cots Ncessit de mettre en place un pilotage rigoureux
La qualit des applications informatiques

Difficult de valider la qualit d une application Aspect subjectif de la qualit Ncessit de mettre en place des procdures de certification de la qualit
MASNAOUI
39
Audit des projets

Tenir les dlais et les budgets
Gestion de projet :
Dcouper Evaluer Planifier Animer Suivre Ajuster
Dcoupage du projet en tape :

Conception gnrale Conception dtaille Dveloppement Test Installation et dploiement Bilan
MASNAOUI
40
Audit des projets

Mettre en place un systme de pilotage efficace
Un dcoupage en phase Un livrable la fin de chaque phase Pilotage des phases :
Valider les rsultats en fin de phase Valider les objectifs de la phase suivante Informer le comit de pilotage
Procdure d assurance qualit :

Normes et standards Contrles Conseils
MASNAOUI
41
Audit des projets

Evaluation des risques lis aux projets
Efficacit de l organisation de la fonction d tudes :
Systme de management Gestion des ressources Productivit des tudes Formation
Sur un ensemble de projets rechercher les causes de drapages :

Les fonctions livres Les cots Les dlais
Efficacit de la mthode de conduite des projets :

La gestion de projet Le processus de dveloppement L assurance qualit Le systme de pilotage
MASNAOUI
42
Audit des projets

Les bonnes pratiques concernant les projets informatiques
Le respect des phases du projet Existence d une mthodologie de conduite de projets Conformit des projets aux objectifs gnraux de l informatique et ceux de l entreprise Qualit des tudes amonts : expression des besoins, cahier des charges Importance des tests, notamment des tests utilisateurs
MASNAOUI
43
Audit des projets

Les points de contrles
Audit du processus de dveloppement Existence de processus, de mthodes et de standards Vrification de l application de la mthodologie Analyse des causes dchecs de projet Adquation des fonctions aux besoins des utilisateurs
MASNAOUI
44
Audit des projets

Exemple de mission d audit : Audit d un grand projet la fin du cahier des charges
Les quipes de MOE et MOA ont fini de rdiger le cahier de charges La direction s interroge sur le document ainsi produit L analyse du document montre quil est trs complet Par contre, le projet sera trs lourd et trs complexe dvelopper Et l application risque de poser des problmes de performances (accs aux bases de donnes) Raliser un benchmark du systme d interrogation d une transaction simple Limiter l intgration des fonctions Planifier la mise en place de versions successives
MASNAOUI
45
Audit des projets

Audit d un projet en RAD
On a dvelopp un projet vital pour l entreprise l aide d une approche RAD, Rapid Application Developpement Aprs la mise en place russite d une partie du systme, le projet s enlise La mthode RAD permet de mettre en place rapidement une application (3mois) Par contre il faut que les utilisateurs et les informaticiens soient rellement disponibles L quipe mixte sature Segmenter le projet en plusieurs sous-projets Confier chaque sous-projet une quipe diffrente Raliser la partie centrale du projet de manire classique
MASNAOUI
46
MASNAOUI
47
Audit de la scurit
Plan
Existence de risques importants lis aux systmes d information Quatre notions fondamentales Les facteurs de limitation des risques Les bonnes pratiques concernant la scurit Les points de contrle Exemples de missions d audit
MASNAOUI
48
Audit de la scurit
Existence de risques importants lis aux systmes d information
Il existe en informatique des risques importants lis la nature mme de cette activit Existence d un patrimoine important en matriel informatique (vol, dgradation,..) et logiciel (piratage) Importance de la valeur des donnes stockes et des traitements effectues Niveau de risques importants pour l entreprise Il est ncessaire de mettre en place une organisation adapte avec des outils, des hommes et des mthodes Il doit exister une politique au niveau de l entreprise (scurit physique et scurit logique) Il est ncessaire quil existe un responsable de la scurit informatique
MASNAOUI
49
Audit de la scurit
Quatre notions fondamentales
La menace Le facteur de risque La manifestation du risque La matrise du risque
MASNAOUI
50
Audit de la scurit
La menace
Il existe de nombreuses menaces dans le domaine de l informatique :
Les erreurs Les malveillances Les accidents ....
Elles concernent :
Les biens matriels
Les btiments Le rseau Les quipements informatiques
MASNAOUI
51
Audit de la scurit
La menace
Les biens immatriels
des logiciels (de base, applications,...) des donnes de gestion des ressources humaines
MASNAOUI
52
Audit de la scurit
Le facteur de risque
Un facteur de risque est une cause de vulnrabilit due une faiblesse de l organisation, des mthodes, des techniques des outils ou du systme de contrle Les risques informatiques peuvent tre accrus de diffrentes manire :
Absence de politique informatique Faible participation des utilisateurs Mthodes inadaptes aux objectifs Obsolescence des techniques utilises Comptences insuffisantes Faiblesse des processus de gestion ...
La mdiocrit du management informatique est un facteur accroissant le niveau de risque

MASNAOUI
53
Audit de la scurit
La manifestation du risque
La destruction physique du centre de calcul (incendie, inondation,...) est spectaculaire mais en fait peu frquente Le vrai risque est invisible Il se manifeste de diffrentes manires :
Pntration du rseau par des intrus Vols d informations Concurrence fausse Falsification des donnes ...
L entreprise victime d un concurrent risque de ne s en apercevoir que lorsquelle va perdre des marchs et des clients sans savoir pourquoi
MASNAOUI
54
Audit de la scurit
La matrise du risque
Mthodes pour identifier les risques en terme de menace ou de facteurs de risques (Marion) Identification des parades La scurit physique
Contrle d accs aux locaux Protection incendie ...
La scurit logique
Contrle d accs aux systmes, aux programmes, aux donnes ....
Importance du plan de secours permettant de faire face la disparition totale ou partielle du systme d information
MASNAOUI
55
Audit de la scurit
Les facteurs de limitation des risques
les bonnes pratiques concernant la scurit sont : Existence d une politique du systme d information Implication des utilisateurs Mthodes de travail et outils adapts aux objectifs La comptence du personnel Outil de gestion efficace
MASNAOUI
56
Audit de la scurit
Existence d une politique du systme d information
Une des meilleures protection contre les risques lis la faiblesse de la scurit repose sur la politique du systme d information Les services informatiques ayant une vision globale de leur dmarche sont les mieux protgs que les autres Cette politique doit notamment prciser les responsabilits des diffrents intervenants sur les systmes informatiques Il est en particulier trs important de savoir ce qui est sous la responsabilit des informaticiens et ce qui relve des utilisateurs
MASNAOUI
57
Audit de la scurit
Implication des utilisateurs
La meilleure protection du systme d information est celle exerce par les utilisateurs Ils doivent surveiller leur matriel et la scurit des locaux Ils contrlent leurs donnes et leurs bases de donnes Ils veillent ce que leurs donnes soient rgulirement sauvegardes Un systme ainsi surveill par ses utilisateurs est protg contre tout la plupart des risques habituellement supports
MASNAOUI
58
Audit de la scurit
Mthodes de travail et outil adapts aux objectifs
Le meilleur moyen de limiter les risques lis l insuffisance de scurit et de dter les services informatiques de mthodes de travail et des outils adapts Ces mthodes de travail consistent dfinir les tches effectuer et de dfinir de manire rationnelle l organisation du travail De mme il est ncessaire de se doter d outils performants conformes aux objectifs recherchs Ainsi les personnes chargs de l exploitation doivent pouvoir surveiller facilement les utilisateurs prsents sur le systme Il est, en particulier, ncessaire de surveiller et d administrer le rseau
MASNAOUI
59
Audit de la scurit
La comptence du personnel
La scurit du systme d information dpend surtout de la comptence du personnel Plus il est comptent, plus il est mme d intervenir rapidement et efficacement pour limiter les risques Ceci concerne l exploitation mais aussi les tudes Il est en particulier ncessaire d intervenir rapidement en cas d incident sans prendre de risques excessifs La maintenance la suite d un incident peut tre l occasion d une succession de problmes notamment si on supprime certains contrles ou si on ne teste pas compltement les programmes modifis
MASNAOUI
60
Audit de la scurit
Outil de gestion efficace
De mme il est ncessaire que des dispositifs de gestion efficaces soient mises en place Ils ont pour but de reprer plus facilement les failles de la scurit du systme d information (postes de travail, rseaux, serveurs) Il est en effet important de s assurer que les risques potentiels sont rapidement reprs de faon qu ils soient corrigs le plus rapidement possible C est un aspect dlicat car on manque d outil de gestion de ce type . L offre est en train d voluer mais on ne dispose pas encore en standard, sur tous les systmes d exploitation des outils de ce type.
MASNAOUI
61
Audit de la scurit
Les points de contrle
Reprage des actifs de l entreprise Evaluation des menaces Mesurer les impacts Dfinition des parades
MASNAOUI
62
Audit de la scurit
Reprage des actifs informationnels de l entreprise
La base des contrles est constitue par les inventaires physiques
Des matriels (postes de travail, serveurs,...) Des logiciels Des bases de donnes
Dans la mesure du possible il faut chercher avoir des contrles frquents de ces inventaires Il existe des logiciels permettant de reprer les postes de travail, les serveurs,.... Apprcier les procdures de mise jour des inventaires Vrifier sur quelques units la pertinence des inventaires
MASNAOUI
63
Audit de la scurit
Evaluation des menaces
Il ne sert rien de se protger contre des menaces qui n existent pas On cherche reprer les parties du systme d information qui sont les plus menaces Il est pour cela ncessaire de reprer :
Les disparitions ou les destructions de matriels Les altrations de donnes ou de programmes La divulgation d informations confidentielles
S assurer quil existe un document permettant de reprer les menaces Analyser la pertinence des menaces reprer S assurer quon a bien reprer les menaces les plus srieuses
MASNAOUI
64
Audit de la scurit
Mesurer les impacts
Identifier les types de menaces et les consquences de ces incidents A partir des incidents recenss valuer leur impact Etablir une cartographie du systme d information et des risques associs Il est alors possible de construire un ou plusieurs scnarios d agression et d valuer les points de vulnrabilit Apprcier l efficacit des dispositifs de scurit en place Evaluer les impacts d incidents graves sur le fonctionnement de l entreprise et les consquences patrimoniales
MASNAOUI
65
Audit de la scurit
Dfinition des parades
Face chaque risque important il est ncessaire d identifier les parades possibles C est un moyen trs efficace de diminuer le niveau des risques de l entreprise Type de parades possibles :
Prvention : identification l accs Dissuasion : piste d audit Dtection : contrle d accs Protection : plan de secours
Mais la meilleure parade reste l audit Apprcier les diffrentes parades mises en oeuvre et leur impact sur le niveau de scurit Evaluer les risques qui ne sont pas ou qui sont mal couverts
MASNAOUI
66
Audit de la scurit
Exemples de missions d audit
Audit de la scurit d une application client-serveur Evaluation de la scurit d un centre d exploitation
MASNAOUI
67
Audit de la scurit
Audit de la scurit d une application client-serveur
La mise en place d une nouvelle application du type clientserveur fait apparatre diffrents incidents d exploitation L analyse montre quils ne sont pas dus des fragilits du logiciel de base mais au faible respect des consignes de scurit L organisation de la scurit laisse dsirer et notamment la politique des mots de passe n est pas respecte Dfinir une politique de gestion des mots de passe et la faire appliquer Mettre en place un logiciel de surveillance du rseau permettant de suivre les incidents Former le personnel l application des consignes de scurit
MASNAOUI
68
Audit de la scurit
Evaluation de la scurit d un centre d exploitation
La direction gnrale demande d valuer la politique de scurit du service d exploitation Le service est dot d une politique de scurit et elle est applique Les procdures en place sont efficaces Par contre les responsabilits ne sont pas clairement dfinies notamment en ce qui concerne la gestion des bases de donnes Dfinir de manire prcise les responsabilits des utilisateurs Elargir le domaine d action du responsable de la scurit Nommer un administrateur de bases de donnes
MASNAOUI
69
MASNAOUI
70
Plan
Les 6 phases de la mission daudit informatique
Dfinition de la mission : Etablissement de la lettre de mission La planification de la mission La collecte des faits, la ralisation de tests,... Entretiens avec les audits Rdaction du rapport final, Prsentation et discussion de ce rapport
Faut-il un rapport ? Le rapport daudit : la conception, la rdaction, la prsentation Ltablissement des recommandations oprationnelles Le suivi des recommandations Comment amliorer la qualit de la dmarche
MASNAOUI
71
Les six phases de la mission

Laudit informatique comme tout audit se fait en six phases :
Dfinition de la mission :
Primtre de la mission Etablissement de la lettre de mission
La planification de la mission La collecte des faits, la ralisation de tests,... Entretiens avec les audits Rdaction du rapport final, Prsentation et discussion de ce rapport
La dure de chaque phase est variable selon la nature des questions et leur complexit
MASNAOUI
72
1 - Dfinition de la mission : Primtre de la mission

Choix et orientation du systme d information Mise en uvre et dveloppement du SI Exploitation du SI
REVUE DES CONTRLES GENERAUX INFORMATIQUES URBANISATION DU SYSTEME D INFORMATION
MASNAOUI
AUDIT : Scurit et Rseaux
73
REVUE DES CONTRLES GENERAUX INFORMATIQUES

Objectif:
S assurer que l informatique est sous contrle

Principaux objectifs de contrle:
Stratgie informatique : pilotage des SI, schma directeur,orientation stratgiques, plan court Fonction informatique: positionnement, rle, organisation et rgles de contrle (sparation des tches)
Choix et orientation du systme d information Mise en uvre et dveloppemen t du SI Exploitati on du SI
Projets informatiques: dmarche de mise en uvre, dlai, planification, pilotage des projets, relation Matrise douvrage / matrise duvre Performance du systme d information: disponibilit, portefeuille des bug, versioning, help desk, assistance utilisateurs Scurit du systme d information: sauvegarde, plan de continuit Relation avec les fournisseurs: contrats de maintenance,
Livrable:
URBANISATION DU SYSTEME D INFORMATION
Une apprciation globale du systme d information et valuation des risques gnriques lis l environnement informatique de l entreprise. Plan de recommandation et audit des risques spcifiques accrus
MASNAOUI
74

Objectif:
Auditer la coincidance de la stratgie systme d information avec la ou les stratgies mtiers de l entreprise afin de renforcer la valeur d usage du SI.
Mise en uvre et dveloppemen t du SI
Exploitati on du SI
Processus de planification stratgique a moyen et long terme: stratgie mtiers, schma directeur informatique (projets et budget investissements) valuation du schma directeur: suivi des ralisations, planification, surveillance des budgets et des dlais Pilotage et dcision: organe de suivi et de contrle, organes de dcision et darbitrage, systme de reporting sur l avancement des projets informatiques Orientations technologiques et architecture fonctionnelle: adquation, volutivit, opportunit, niveaux de scurit Choix de la solution informatique: dmarch de choix (cahier des charges et consultations), adquation avec les besoins de l entreprise,contractualisation
Livrable:
Identification du niveau d alignement du SI la stratgie de l entreprise Mesure Plan de recommandation et audit spcifique des risques accrus
MASNAOUI
75
AUDIT : FONCTION INFORMATIQUE

Objectif:
Auditer la coincidance la stratgie systme d information sur la ou les stratgies mtiers de l entreprise afin de renforcer la valeur d usage du SI.
Rle et positionnement de l informatique dans l entreprise : rattachement la DG,, relation avec la matrise d ouvrage, comits informatiques
Choix et orientation du systme d information Mise en uvre et dveloppemen t du SI Exploitati on du SI
Mesure et suivi de la performance: existence d objectif et d indicateurs pertinents de mesure de la performance, existence des contrats de service informatique (SLA), baromtre de satisfaction, tableaux de bord informatiques Organisation et structure de la fonction informatique: sparation des tches, rle et missions de chaque entits, adquation des effectifs et des comptences avec les besoins de l entreprise Procdures et mthodes: rgles de gestion, niveau de contrle internes, mthodes de gestion des projets, gestion de la documentation Outsourcing: relation avec les prestataires de service, contrats, risque juridique et informatiques
Livrable:
Une valuation des risques potentiels lies la fonction informatique. Plan de recommandation de matrise de la fonction informatique
MASNAOUI
76
Objectif:
Auditer l organisation et le pilotage de la fonction informatique

Dfinition des projets: objectifs du projets, le primtre, les interactions avec d autres projets, moyens humains et techniques, les dlais, le budget, Structure de gestion des projets: matrise d ouvrage, matrise d uvre, organe de suivi et de pilotage du projet, efficience des organes de dcision,
Exploitati on du SI AUDIT : APPLICATIONS INFORMATIQUES
Planification du projet: planning directeur du projet, tableau de bord du projet,plan de charge, identification des dpassements et anticipation des blocages et des drapages de dlais Dmarche de gestion de projet et plan d assurance qualit : livrables du projets, validation des livrables, documentation Processus d homologation et de tests: plan de test, PV de validation de tests Conduite de changement: valuation des changements, communication, plan de formation,reprise des donnes
Livrable:
plan
de
Identification des risques projets des causes de dysfonctionnements Mesures cls pour la russite et l aboutissement des projets informatiques
MASNAOUI
77

Objectif:
Auditer l adquation des applications informatiques aux exigences des utilisateurs et au standards d exploitation
Performance des applications informatiques: existence de contrats de service avec les utilisateurs, disponibilit du systme, continuit de service
Exploitati on du SI
Conformit aux normes de scurit et aux rgles de contrle interne: gestion des accs: identification et authentification, Help desk et assistance utilisateurs: intervention de maintenance, indicateurs de performance ( portefeuille de bug, dlai de rponse et dlai de prise en charge) Gestion des incidents et des demandes dvolution: versioning, volutivit par rapport aux besoins des utilisateurs,
Livrable:
Une identification de l adquation des applications aux besoins et aux exigences d exploitations des utilisateurs Plan de recommandation et audit spcifique des risques accrus
MASNAOUI
78
Objectifs:
Faire converger le systme d information avec les objectifs stratgiques de l entreprise Assurer la gestion intgre et cohrente du SI, Prparer le SI intgrer et matriser les changements progressifs qui se feront dans l entreprise
Exploitati on du SI
Points cls de la dmarche:
Formaliser les axes stratgiques de l entreprises: orientations mtiers et SI, alignement SI, opportunits technologique tablir les cartographies existantes: mtiers, fonctionnelles, applicatives et techniques du systme d information selon un dcoupage Zone, quartier, ilot tablissement du plan de convergence: concevoir les cartographies cibles: mtiers, fonctionnelles, applicatives et techniques
Livrable:
Alignement stratgique mtier/ SI cartographie existantes et cibles: Mtiers, fonctionnelles, applicatives, techniques Plan de convergence mettre en uvre
MASNAOUI
79
1 - Dfinition de la mission : Etablissement de la lettre de mission
Partir des attentes du demandeur daudit Ne pas hsiter passer du temps bien les comprendre Cest pas toujours claire dans leur tte, cest dailleurs pour cela quils demandent un audit Si cest ncessaire faire un pr-diagonstic Etablir une liste des questions Faire une lettre de mission (Cest un mandat au sens du Code Civil) Souvent il faut rdiger la lettre de mission
MASNAOUI
80
2 - Planification de la mission : le choix de la dmarche

Il faut ds le dpart annoncer la dmarche suivie Pour lauditeur externe rle de la proposition Pour lauditeur interne rle du plan daudit Il faut dtailler le programme de travail Prvoir suffisamment lavance la collecte des faits et les tests organiser (dlais souvent longs) Savoir limit le nombre des entretiens (cest un trs gros consommateur de temps et de dlais) Une mission daudit insuffisamment prpare est une mission risque
MASNAOUI
81
3 - La collecte des faits, la ralisation des tests,...

Lauditeur ne doit prendre en compte que les faits et il doit se mfier des opinions On ne peut pas se contenter des dires des audits, il faut se baser sur des faits On sorganise pour trouver les faits dont on a besoin :
Les tests, les jeux dessais, Les mesures de performances (temps de rponses...) Les incidents dexploitation, les anomalies, les erreurs, les bugs, .
Les faits, rien que les faits, tous les faits La mission, toute la mission, rien que la mission Importance de la collecte de faits significatifs et si on a du mal les obtenir ncessit deffectuer des tests
MASNAOUI
82
4 - Entretiens avec les audits

Au contraire, spontanment les auditeurs se mfient des faits et ils ont tendance prfrer les opinions Au cours des entretiens, ne pas se disperser. Cibler les questions Se mfier des check-lists. Avoir une liste de thmes Ne pas prendre parti dans les dclarations des audits Evaluer avec prudence les dires On ninstruit pas charge et dcharge La lettre de mission vous donne un mandat. Vous reprsentez le demandeur daudit Eviter les validations dentretiens (temps, qualit,) Le nombre dentretiens est une variable importante expliquant la dure de lopration et la charge de travail
MASNAOUI
83
5 - Faut-il un rapport ?
Il existe une curieuse mode consistant ne pas remettre de rapport daudit De nombreux arguments :
Cest long faire Les dcideurs nont pas le temps de le lire Il ne sert rien
Il serait prfrable de faire une prsentation PowerPoint Cest une grave erreur Il faut les deux : le rapport et la prsentation
MASNAOUI
84
5 - Le rapport daudit : la conception, la rdaction, la prsentation

Le rapport daudit est un document de rfrence Importance de dfinir qui il est destin et comment il sera diffus Commencer le rdiger partir de la moiti de la mission. Sur une mission de deux mois ds la fin du 1er mois Le corps du rapport doit, dans la mesure du possible, tre trait dans lordre des questions daudit se trouvant dans la lettre de mission Les recommandations doivent tre classes en mesures court terme, moyen terme et long terme Faire une synthse en 2 pages (plus souvent 4)
MASNAOUI
85
Quelques conseils de rdaction du rapport daudit

Etre pdagogique, expliquer les termes et les concepts utiliss Eviter les accumulations de faits ou de remarques sans quapparaisse la structure densemble Faire des synthses et des rcapitulations Ne pas porter de jugement de valeur Lauditeur base ses apprciations sur des rfrentiels largement reconnus Sil ny a pas de rfrence ou si la doctrine est incertaine, il faut le signaler et dans ce cas jouer un rle de conseil Si on demande lauditeur des jugements de personne, on doit s'interdire de le faire par crit Faite attention la forme et au style
MASNAOUI
86
Ltablissement des recommandations oprationnelles

Il faut des mesures concrtes et faciles mettre en oeuvre Il faut distinguer les recommandations :
A court terme, cest--dire qui peuvent tre mise en place sans dlai et sans investissement A moyen terme, cest--dire demandant des tudes complmentaires A long terme, qui demandent des investissements lourds ou la remise en cause des politiques antrieures
On attend de ces recommandations des progrs significatifs et substantiels
MASNAOUI
87
6 - Prsentation et discussion du rapport

Il faut organiser des prsentations du rapport daudit pour
Le (ou les demandeurs) daudit Le management de linformatique Le service informatique (encadrement ou toute lquipe)
Dix quinze de slides pas plus (20 30 minutes) Communiquez sur lessentiel Vendre les recommandations en mettant en avant 4 6 mesures emblmatiques Ne pas ngocier le contenu de la prsentation (ni du rapport, ni des recommandations)
MASNAOUI
88
Btir un plan daction

La liste des recommandations ne fait pas un plan daction Un certain nombre doprations complmentaires sont ncessaires :
Slectionner les mesures et les hirarchiser Approfondir et complter les actions Effectuer des analyses complmentaires Fixer les responsabilits .
Le plan daction doit tre valid par le management (Comit de Direction, Comit de Pilotage, Commission informatique,) Souvent des spcifiques moyens doivent lui tre affects
MASNAOUI
89
Le suivi des recommandations et du plan daction Il est ncessaire de mettre en place un dispositif de suivi des recommandations et du plan daction Lexprience montre que si on ne met pas en place un suivi des recommandations, elles ne sont pas appliques, ou du moins on applique que celles qui ne posent pas de problmes et les autres sont laisses leur triste sort Il est donc ncessaire de mettre en place un suivi des mesures choisies Faire un point priodique sur le degr de mise en place des recommandations (tous les 3 ou tous les 6 mois) Lefficacit des audits informatiques se joue en partie sur la mise en place dun suivi
MASNAOUI
90
Comment amliorer la qualit de la dmarche ?

Un ordre de mission claire identifiant le demandeur daudit Des points dchange rguliers avec le demandeur daudit Annoncer au dpart la dmarche qui sera suivie Manifester son indpendance notamment lors des entretiens Refuser les tentatives dlargissement de la mission Btonner par des faits, des analyses Se mfier des ragots, des bruits, des on-dits, Ne pas tirer sur tout ce qui bouge Etre positif : dire ce qui marche, Faire des recommandations professionnelles
MASNAOUI
91
Bibliographie
www.afai.asso.fr www.isaca.org et surtout knet CobiT La Revue Audit et Conseil en Technologies de lInformation (Revue de lAFAI) The Information Systems Control Journal (Revue de lISACA) ISACA - Bookstore CISA Review Technical Information Manuel ISACA Information Technology Control and Audit (Gallegos, Manson, Allen-Senft - ISACA)
MASNAOUI
92
MERCI POUR VOTRE ATTENTION
MASNAOUI
93

Audit Des Systemes D Information

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Audit Des Systemes D Information

Uploaded by

Copyright:

Available Formats

Journe de Rflexion sur lAudit Dmarche d audit des Systmes d information

ENCG Agadir, le 1 Mars 2003

Nabil BAYAHYA, Directeur Associ Masnaoui Mazars MASNAOUI

1. Notions de base des de l audit des SI 2. Prsentation de 3 domaines d Audit des SI

Contexte des SI dans l entreprise

Contexte des SI dans l entreprise

Proccupations des directions gnrales

Problmatiques du Systme d information

Choix et orientation du systme d information

Mise en uvre et dveloppement du SI

Primtre des missions d audit des systmes dinformation

AUDIT : ALIGNEMENT STRATEGIQUE

AUDIT : APPLICATIONS INFORMATIQUES

REVUE DES CONTRLES GENERAUX INFORMATIQUES URBANISATION DU SYSTEME D INFORMATION

AUDIT : Scurit et Rseaux

AUDIT : FONCTION INFORMATIQUES

AUDIT : PROJETS INFORMATIQUES

Ne pas confondre audit, expertise et conseil

Trois grands types d audits

Trois grands types d audits

Quelques Rfrentiels de l audit des Systmes d information

Le rfrentiel ne fait pas l auditeur... mais il peut l aider

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Exemples de mission d audit

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit de la fonction informatique

Audit des projets

Audit des projets

Audit des projets

Particularits des projets informatiques

La qualit des applications informatiques

Audit des projets

Dcoupage du projet en tape :

Audit des projets

Procdure d assurance qualit :

Audit des projets

Sur un ensemble de projets rechercher les causes de drapages :

Efficacit de la mthode de conduite des projets :

Audit des projets

Audit des projets

Audit des projets

Audit des projets

La mdiocrit du management informatique est un facteur accroissant le niveau de risque

Les six phases de la mission