Professional Documents
Culture Documents
Plan de la prsentation
2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit
3. Conduite d une mission d audit
MASNAOUI
MASNAOUI
...
Continuit d exploitation de l entreprise Inefficience de la politique de scurit
Risques informatiques
Inefficience du Contrle
Manque Absence de d volutivit de comptences l architecture qualifies informatique Manque de Fiabilit des Accs non traitements et Augmentatio autoriss des donnes n des cots informatique s
MASNAOUI
MASNAOUI
Exploitation du SI
MASNAOUI
Exploitation du SI
MASNAOUI
Dmarche d audit
Objectif :
S assurer que tout se passe bien conformment aux rgles et aux usages professionnels Pour toutes les faiblesses importantes dtectes, valuer et justifier les risques, et Proposer des actions correctives
Moyens
Observer, analyser et juger des faits Evaluer l adquation et le fonctionnement des activits par comparaison avec un rfrentiel Appliquer des dmarches cohrentes
Domaines
Toutes les fonctions de l entreprise peuvent tre audites
MASNAOUI
MASNAOUI
10
L audit d efficience (audit conomique) Analyser les moyens affects aux oprations Apprcier l utilisation des ressources Proposer des moyens d optimiser ces moyens Attitude rserve face aux audits sanctions
MASNAOUI
11
12
1. Notions de base de l audit des SI 2. Prsentation de 3 domaines d Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit 3. Conduite d une mission d audit
MASNAOUI
13
MASNAOUI
14
MASNAOUI
15
MASNAOUI
16
MASNAOUI
17
MASNAOUI
18
MASNAOUI
19
MASNAOUI
20
MASNAOUI
21
MASNAOUI
22
MASNAOUI
23
MASNAOUI
24
MASNAOUI
25
MASNAOUI
26
d oeuvre-matrise d ouvrage)
Les responsabilits du service informatique doivent tre clairement dfinies La position du service informatique dans l organigramme de l entreprise doit tre claire. Le service informatique doit avoir une autorit suffisante pour faire appliquer les mesures ncessaires pour atteindre les objectifs qui lui ont t fixs.
MASNAOUI
27
d oeuvre-matrise d ouvrage)
Examiner les diffrents documents pour apprcier la clart des dfinitions des responsabilits Interroger diffrents responsables pour apprcier leur degr de connaissance des responsabilits respectives Vrifier le respect de la sparation des tches
MASNAOUI
28
MASNAOUI
29
MASNAOUI
30
MASNAOUI
31
MASNAOUI
32
MASNAOUI
33
MASNAOUI
34
MASNAOUI
35
1. Notions de base de l audit des SI 2. Prsentation de 3 domaines d Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit 3. Conduite d une mission d audit
MASNAOUI
36
MASNAOUI
37
C est aussi une organisation spcifique Et, bien entendu, un budget particulier Rle cl du chef de projet dans la russite du projet C est une activit voisine de celle du :
Btiment Ingnierie
MASNAOUI
38
MASNAOUI
39
MASNAOUI
40
MASNAOUI
41
MASNAOUI
42
MASNAOUI
43
MASNAOUI
44
45
46
1. Notions de base de l audit des SI 2. Prsentation de 3 domaines d Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit 3. Conduite d une mission d audit
MASNAOUI
47
Audit de la scurit
Plan
Existence de risques importants lis aux systmes d information Quatre notions fondamentales Les facteurs de limitation des risques Les bonnes pratiques concernant la scurit Les points de contrle Exemples de missions d audit
MASNAOUI
48
Audit de la scurit
Existence de risques importants lis aux systmes d information
Il existe en informatique des risques importants lis la nature mme de cette activit Existence d un patrimoine important en matriel informatique (vol, dgradation,..) et logiciel (piratage) Importance de la valeur des donnes stockes et des traitements effectues Niveau de risques importants pour l entreprise Il est ncessaire de mettre en place une organisation adapte avec des outils, des hommes et des mthodes Il doit exister une politique au niveau de l entreprise (scurit physique et scurit logique) Il est ncessaire quil existe un responsable de la scurit informatique
MASNAOUI
49
Audit de la scurit
Quatre notions fondamentales
La menace Le facteur de risque La manifestation du risque La matrise du risque
MASNAOUI
50
Audit de la scurit
La menace
Il existe de nombreuses menaces dans le domaine de l informatique :
Les erreurs Les malveillances Les accidents ....
Elles concernent :
Les biens matriels
Les btiments Le rseau Les quipements informatiques
MASNAOUI
51
Audit de la scurit
La menace
Les biens immatriels
des logiciels (de base, applications,...) des donnes de gestion des ressources humaines
MASNAOUI
52
Audit de la scurit
Le facteur de risque
Un facteur de risque est une cause de vulnrabilit due une faiblesse de l organisation, des mthodes, des techniques des outils ou du systme de contrle Les risques informatiques peuvent tre accrus de diffrentes manire :
Absence de politique informatique Faible participation des utilisateurs Mthodes inadaptes aux objectifs Obsolescence des techniques utilises Comptences insuffisantes Faiblesse des processus de gestion ...
53
Audit de la scurit
La manifestation du risque
La destruction physique du centre de calcul (incendie, inondation,...) est spectaculaire mais en fait peu frquente Le vrai risque est invisible Il se manifeste de diffrentes manires :
Pntration du rseau par des intrus Vols d informations Concurrence fausse Falsification des donnes ...
L entreprise victime d un concurrent risque de ne s en apercevoir que lorsquelle va perdre des marchs et des clients sans savoir pourquoi
MASNAOUI
54
Audit de la scurit
La matrise du risque
Mthodes pour identifier les risques en terme de menace ou de facteurs de risques (Marion) Identification des parades La scurit physique
Contrle d accs aux locaux Protection incendie ...
La scurit logique
Contrle d accs aux systmes, aux programmes, aux donnes ....
Importance du plan de secours permettant de faire face la disparition totale ou partielle du systme d information
MASNAOUI
55
Audit de la scurit
Les facteurs de limitation des risques
les bonnes pratiques concernant la scurit sont : Existence d une politique du systme d information Implication des utilisateurs Mthodes de travail et outils adapts aux objectifs La comptence du personnel Outil de gestion efficace
MASNAOUI
56
Audit de la scurit
Existence d une politique du systme d information
Une des meilleures protection contre les risques lis la faiblesse de la scurit repose sur la politique du systme d information Les services informatiques ayant une vision globale de leur dmarche sont les mieux protgs que les autres Cette politique doit notamment prciser les responsabilits des diffrents intervenants sur les systmes informatiques Il est en particulier trs important de savoir ce qui est sous la responsabilit des informaticiens et ce qui relve des utilisateurs
MASNAOUI
57
Audit de la scurit
Implication des utilisateurs
La meilleure protection du systme d information est celle exerce par les utilisateurs Ils doivent surveiller leur matriel et la scurit des locaux Ils contrlent leurs donnes et leurs bases de donnes Ils veillent ce que leurs donnes soient rgulirement sauvegardes Un systme ainsi surveill par ses utilisateurs est protg contre tout la plupart des risques habituellement supports
MASNAOUI
58
Audit de la scurit
Mthodes de travail et outil adapts aux objectifs
Le meilleur moyen de limiter les risques lis l insuffisance de scurit et de dter les services informatiques de mthodes de travail et des outils adapts Ces mthodes de travail consistent dfinir les tches effectuer et de dfinir de manire rationnelle l organisation du travail De mme il est ncessaire de se doter d outils performants conformes aux objectifs recherchs Ainsi les personnes chargs de l exploitation doivent pouvoir surveiller facilement les utilisateurs prsents sur le systme Il est, en particulier, ncessaire de surveiller et d administrer le rseau
MASNAOUI
59
Audit de la scurit
La comptence du personnel
La scurit du systme d information dpend surtout de la comptence du personnel Plus il est comptent, plus il est mme d intervenir rapidement et efficacement pour limiter les risques Ceci concerne l exploitation mais aussi les tudes Il est en particulier ncessaire d intervenir rapidement en cas d incident sans prendre de risques excessifs La maintenance la suite d un incident peut tre l occasion d une succession de problmes notamment si on supprime certains contrles ou si on ne teste pas compltement les programmes modifis
MASNAOUI
60
Audit de la scurit
Outil de gestion efficace
De mme il est ncessaire que des dispositifs de gestion efficaces soient mises en place Ils ont pour but de reprer plus facilement les failles de la scurit du systme d information (postes de travail, rseaux, serveurs) Il est en effet important de s assurer que les risques potentiels sont rapidement reprs de faon qu ils soient corrigs le plus rapidement possible C est un aspect dlicat car on manque d outil de gestion de ce type . L offre est en train d voluer mais on ne dispose pas encore en standard, sur tous les systmes d exploitation des outils de ce type.
MASNAOUI
61
Audit de la scurit
Les points de contrle
Reprage des actifs de l entreprise Evaluation des menaces Mesurer les impacts Dfinition des parades
MASNAOUI
62
Audit de la scurit
Reprage des actifs informationnels de l entreprise
La base des contrles est constitue par les inventaires physiques
Des matriels (postes de travail, serveurs,...) Des logiciels Des bases de donnes
Dans la mesure du possible il faut chercher avoir des contrles frquents de ces inventaires Il existe des logiciels permettant de reprer les postes de travail, les serveurs,.... Apprcier les procdures de mise jour des inventaires Vrifier sur quelques units la pertinence des inventaires
MASNAOUI
63
Audit de la scurit
Evaluation des menaces
Il ne sert rien de se protger contre des menaces qui n existent pas On cherche reprer les parties du systme d information qui sont les plus menaces Il est pour cela ncessaire de reprer :
Les disparitions ou les destructions de matriels Les altrations de donnes ou de programmes La divulgation d informations confidentielles
S assurer quil existe un document permettant de reprer les menaces Analyser la pertinence des menaces reprer S assurer quon a bien reprer les menaces les plus srieuses
MASNAOUI
64
Audit de la scurit
Mesurer les impacts
Identifier les types de menaces et les consquences de ces incidents A partir des incidents recenss valuer leur impact Etablir une cartographie du systme d information et des risques associs Il est alors possible de construire un ou plusieurs scnarios d agression et d valuer les points de vulnrabilit Apprcier l efficacit des dispositifs de scurit en place Evaluer les impacts d incidents graves sur le fonctionnement de l entreprise et les consquences patrimoniales
MASNAOUI
65
Audit de la scurit
Dfinition des parades
Face chaque risque important il est ncessaire d identifier les parades possibles C est un moyen trs efficace de diminuer le niveau des risques de l entreprise Type de parades possibles :
Prvention : identification l accs Dissuasion : piste d audit Dtection : contrle d accs Protection : plan de secours
Mais la meilleure parade reste l audit Apprcier les diffrentes parades mises en oeuvre et leur impact sur le niveau de scurit Evaluer les risques qui ne sont pas ou qui sont mal couverts
MASNAOUI
66
Audit de la scurit
Exemples de missions d audit
Audit de la scurit d une application client-serveur Evaluation de la scurit d un centre d exploitation
MASNAOUI
67
Audit de la scurit
Audit de la scurit d une application client-serveur
La mise en place d une nouvelle application du type clientserveur fait apparatre diffrents incidents d exploitation L analyse montre quils ne sont pas dus des fragilits du logiciel de base mais au faible respect des consignes de scurit L organisation de la scurit laisse dsirer et notamment la politique des mots de passe n est pas respecte Dfinir une politique de gestion des mots de passe et la faire appliquer Mettre en place un logiciel de surveillance du rseau permettant de suivre les incidents Former le personnel l application des consignes de scurit
MASNAOUI
68
Audit de la scurit
Evaluation de la scurit d un centre d exploitation
La direction gnrale demande d valuer la politique de scurit du service d exploitation Le service est dot d une politique de scurit et elle est applique Les procdures en place sont efficaces Par contre les responsabilits ne sont pas clairement dfinies notamment en ce qui concerne la gestion des bases de donnes Dfinir de manire prcise les responsabilits des utilisateurs Elargir le domaine d action du responsable de la scurit Nommer un administrateur de bases de donnes
MASNAOUI
69
1. Notions de base de l audit des SI 2. Prsentation de 3 domaines d Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit 3. Conduite d une mission d audit
MASNAOUI
70
Plan
Les 6 phases de la mission daudit informatique
Dfinition de la mission : Etablissement de la lettre de mission La planification de la mission La collecte des faits, la ralisation de tests,... Entretiens avec les audits Rdaction du rapport final, Prsentation et discussion de ce rapport
Faut-il un rapport ? Le rapport daudit : la conception, la rdaction, la prsentation Ltablissement des recommandations oprationnelles Le suivi des recommandations Comment amliorer la qualit de la dmarche
MASNAOUI
71
La planification de la mission La collecte des faits, la ralisation de tests,... Entretiens avec les audits Rdaction du rapport final, Prsentation et discussion de ce rapport
La dure de chaque phase est variable selon la nature des questions et leur complexit
MASNAOUI
72
MASNAOUI
73
Stratgie informatique : pilotage des SI, schma directeur,orientation stratgiques, plan court Fonction informatique: positionnement, rle, organisation et rgles de contrle (sparation des tches)
Choix et orientation du systme d information Mise en uvre et dveloppemen t du SI Exploitati on du SI
Projets informatiques: dmarche de mise en uvre, dlai, planification, pilotage des projets, relation Matrise douvrage / matrise duvre Performance du systme d information: disponibilit, portefeuille des bug, versioning, help desk, assistance utilisateurs Scurit du systme d information: sauvegarde, plan de continuit Relation avec les fournisseurs: contrats de maintenance,
Livrable:
Une apprciation globale du systme d information et valuation des risques gnriques lis l environnement informatique de l entreprise. Plan de recommandation et audit des risques spcifiques accrus
MASNAOUI
74
Auditer la coincidance de la stratgie systme d information avec la ou les stratgies mtiers de l entreprise afin de renforcer la valeur d usage du SI.
Principaux objectifs de contrle:
Exploitati on du SI
Processus de planification stratgique a moyen et long terme: stratgie mtiers, schma directeur informatique (projets et budget investissements) valuation du schma directeur: suivi des ralisations, planification, surveillance des budgets et des dlais Pilotage et dcision: organe de suivi et de contrle, organes de dcision et darbitrage, systme de reporting sur l avancement des projets informatiques Orientations technologiques et architecture fonctionnelle: adquation, volutivit, opportunit, niveaux de scurit Choix de la solution informatique: dmarch de choix (cahier des charges et consultations), adquation avec les besoins de l entreprise,contractualisation
Livrable:
Identification du niveau d alignement du SI la stratgie de l entreprise Mesure Plan de recommandation et audit spcifique des risques accrus
MASNAOUI
75
Auditer la coincidance la stratgie systme d information sur la ou les stratgies mtiers de l entreprise afin de renforcer la valeur d usage du SI.
Principaux objectifs de contrle:
Rle et positionnement de l informatique dans l entreprise : rattachement la DG,, relation avec la matrise d ouvrage, comits informatiques
Choix et orientation du systme d information Mise en uvre et dveloppemen t du SI Exploitati on du SI
Mesure et suivi de la performance: existence d objectif et d indicateurs pertinents de mesure de la performance, existence des contrats de service informatique (SLA), baromtre de satisfaction, tableaux de bord informatiques Organisation et structure de la fonction informatique: sparation des tches, rle et missions de chaque entits, adquation des effectifs et des comptences avec les besoins de l entreprise Procdures et mthodes: rgles de gestion, niveau de contrle internes, mthodes de gestion des projets, gestion de la documentation Outsourcing: relation avec les prestataires de service, contrats, risque juridique et informatiques
Livrable:
Une valuation des risques potentiels lies la fonction informatique. Plan de recommandation de matrise de la fonction informatique
MASNAOUI
76
Objectif:
Dfinition des projets: objectifs du projets, le primtre, les interactions avec d autres projets, moyens humains et techniques, les dlais, le budget, Structure de gestion des projets: matrise d ouvrage, matrise d uvre, organe de suivi et de pilotage du projet, efficience des organes de dcision,
Exploitati on du SI AUDIT : APPLICATIONS INFORMATIQUES
Planification du projet: planning directeur du projet, tableau de bord du projet,plan de charge, identification des dpassements et anticipation des blocages et des drapages de dlais Dmarche de gestion de projet et plan d assurance qualit : livrables du projets, validation des livrables, documentation Processus d homologation et de tests: plan de test, PV de validation de tests Conduite de changement: valuation des changements, communication, plan de formation,reprise des donnes
Livrable:
plan
de
Identification des risques projets des causes de dysfonctionnements Mesures cls pour la russite et l aboutissement des projets informatiques
MASNAOUI
77
Auditer l adquation des applications informatiques aux exigences des utilisateurs et au standards d exploitation
Principaux objectifs de contrle:
Performance des applications informatiques: existence de contrats de service avec les utilisateurs, disponibilit du systme, continuit de service
Exploitati on du SI
Conformit aux normes de scurit et aux rgles de contrle interne: gestion des accs: identification et authentification, Help desk et assistance utilisateurs: intervention de maintenance, indicateurs de performance ( portefeuille de bug, dlai de rponse et dlai de prise en charge) Gestion des incidents et des demandes dvolution: versioning, volutivit par rapport aux besoins des utilisateurs,
Livrable:
Une identification de l adquation des applications aux besoins et aux exigences d exploitations des utilisateurs Plan de recommandation et audit spcifique des risques accrus
MASNAOUI
78
Objectifs:
Faire converger le systme d information avec les objectifs stratgiques de l entreprise Assurer la gestion intgre et cohrente du SI, Prparer le SI intgrer et matriser les changements progressifs qui se feront dans l entreprise
Exploitati on du SI
Formaliser les axes stratgiques de l entreprises: orientations mtiers et SI, alignement SI, opportunits technologique tablir les cartographies existantes: mtiers, fonctionnelles, applicatives et techniques du systme d information selon un dcoupage Zone, quartier, ilot tablissement du plan de convergence: concevoir les cartographies cibles: mtiers, fonctionnelles, applicatives et techniques
Livrable:
Alignement stratgique mtier/ SI cartographie existantes et cibles: Mtiers, fonctionnelles, applicatives, techniques Plan de convergence mettre en uvre
MASNAOUI
79
Partir des attentes du demandeur daudit Ne pas hsiter passer du temps bien les comprendre Cest pas toujours claire dans leur tte, cest dailleurs pour cela quils demandent un audit Si cest ncessaire faire un pr-diagonstic Etablir une liste des questions Faire une lettre de mission (Cest un mandat au sens du Code Civil) Souvent il faut rdiger la lettre de mission
MASNAOUI
80
MASNAOUI
81
Les faits, rien que les faits, tous les faits La mission, toute la mission, rien que la mission Importance de la collecte de faits significatifs et si on a du mal les obtenir ncessit deffectuer des tests
MASNAOUI
82
83
5 - Faut-il un rapport ?
Il existe une curieuse mode consistant ne pas remettre de rapport daudit De nombreux arguments :
Cest long faire Les dcideurs nont pas le temps de le lire Il ne sert rien
Il serait prfrable de faire une prsentation PowerPoint Cest une grave erreur Il faut les deux : le rapport et la prsentation
MASNAOUI
84
MASNAOUI
85
86
MASNAOUI
87
Dix quinze de slides pas plus (20 30 minutes) Communiquez sur lessentiel Vendre les recommandations en mettant en avant 4 6 mesures emblmatiques Ne pas ngocier le contenu de la prsentation (ni du rapport, ni des recommandations)
MASNAOUI
88
Le plan daction doit tre valid par le management (Comit de Direction, Comit de Pilotage, Commission informatique,) Souvent des spcifiques moyens doivent lui tre affects
MASNAOUI
89
Le suivi des recommandations et du plan daction Il est ncessaire de mettre en place un dispositif de suivi des recommandations et du plan daction Lexprience montre que si on ne met pas en place un suivi des recommandations, elles ne sont pas appliques, ou du moins on applique que celles qui ne posent pas de problmes et les autres sont laisses leur triste sort Il est donc ncessaire de mettre en place un suivi des mesures choisies Faire un point priodique sur le degr de mise en place des recommandations (tous les 3 ou tous les 6 mois) Lefficacit des audits informatiques se joue en partie sur la mise en place dun suivi
MASNAOUI
90
MASNAOUI
91
Bibliographie
www.afai.asso.fr www.isaca.org et surtout knet CobiT La Revue Audit et Conseil en Technologies de lInformation (Revue de lAFAI) The Information Systems Control Journal (Revue de lISACA) ISACA - Bookstore CISA Review Technical Information Manuel ISACA Information Technology Control and Audit (Gallegos, Manson, Allen-Senft - ISACA)
MASNAOUI
92
MASNAOUI
93