Professional Documents
Culture Documents
SEMESTRE 9 AUDIT
Mustapha BELASSAOUI
Enseignant-chercheur
Universit Hassan 1er
Ecole Nationale de Commerce et de Gestion
Settat
mustapha.belaissaoui@uhp.ac.ma
1
Sommaire
Ides gnrales autour du mtier dauditeur et de consultant en
systme dinformation ;
Mustapha BELAISSAOUI
ENCG SETTAT
Exercice
Pour vous, quoi sert un auditeur en systmes dinformation ?
Faites vous une diffrence entre laudit et le conseil ?
Quels sont les outils dun auditeur en systmes dinformation ?
DEFINITION
Laudit est une activit indpendante et objective qui donne
une organisation une assurance sur le degr de matrise de
ses oprations , lui apporte ses conseils pour les amliorer, et
contribue de la valeur ajoute.
Il aide cette organisation atteindre ses objectifs en
valuant, par une approche systmatique et mthodique,
ses processus de management des risques, de contrle, et
de gouvernement dentreprise, et en faisant des propositions
pour renforcer leur efficacit.
Mustapha BELAISSAOUI
ENCG SETTAT
AUDIT
CONSEIL
Erreurs
Pannes
Accidents
Biens matriels :
btiments
quipements
ordinateurs...
Malveillance
Risque Social
Mustapha BELAISSAOUI
ENCG SETTAT
Mustapha BELAISSAOUI
ENCG SETTAT
Mustapha BELAISSAOUI
ENCG SETTAT
comparaison un rfrentiel,
Appliquer des procdures cohrentes,
Agir en toute indpendance
11
12
Mustapha BELAISSAOUI
ENCG SETTAT
Audit Informatique
L'audit informatique est un audit, il doit donc rpondre aux principes de
base :
Importance accorde aux faits ;
Attitude neutre de l'auditeur ;
Proposition de recommandations ;
13
Les acteurs
Mustapha BELAISSAOUI
ENCG SETTAT
Les acteurs
(scurit),
Les qualits requises
Le sens de lcoute
La rapidit
La capacit danalyse
la diplomatie
lthique,
Et
16
Mustapha BELAISSAOUI
ENCG SETTAT
Dmarche
dAudit des Systmes dInformation
Revue
Gnrale
Analyse
des Risques
Revue
des Contrles
Tests
Rsiduels
17
Revue Gnrale
Revue
Gnrale
Analyse
des Risques
Revue
des Contrles
Tests
Rsiduels
18
Mustapha BELAISSAOUI
ENCG SETTAT
Le SI au service de lentreprise
DIRIGEANTS
STRATEGIE
DE
LENTREPRISE
LOGICIELS
STRATEGIE
INFORMATIQUE
MIDDLEWARE
MATERIEL
MATERIEL
INFORMATICIENS
UTILISATEURS
ORGANISATION
ET PROCEDURES
20
Mustapha BELAISSAOUI
ENCG SETTAT
CARTOGRAPHIE APPLICATIVE
21
22
Mustapha BELAISSAOUI
ENCG SETTAT
Dmarche
dAudit des Systmes dInformation
Revue
Gnrale
Analyse
des Risques
Revue
des Contrles
Tests
Rsiduels
23
Mustapha BELAISSAOUI
ENCG SETTAT
NOTIONS DE SCURIT
25
Mustapha BELAISSAOUI
ENCG SETTAT
27
Mustapha BELAISSAOUI
ENCG SETTAT
Scurit : la malveillance
Forte augmentation du vol de petits matriels
Forte augmentation de dtournement de biens
Lgre augmentation des dtournements de fonds
Les quelques sinistres lourds sont remplacs par une
multitude de sinistres dit courants
Influence grandissante de l'informatique rpartie
30
Mustapha BELAISSAOUI
ENCG SETTAT
La scurit physique
La scurit logique
La scurit de l'organisation informatique
31
La scurit de l'exploitation
L'archivage / dsarchivage ;
La saisie et le transfert des donnes ;
La sauvegarde ;
Le suivi de l'exploitation ;
La maintenance.
32
Mustapha BELAISSAOUI
ENCG SETTAT
Scurit Logique
Une tude rcente, mene sur un chantillon de socit ayant mis en place
un ERP, a permis d'identifier quatre natures distinctes de risques en
matire de scurit applicative
Un paramtrage des droits d'accs perfectible (100% des cas
observs) ;
Une gestion incorrecte des profils et licences (83%) ;
Un accs trop largement ouvert aux fonctionnalits et transactions
sensibles (95%) ;
Une sparation des tches trs mal matrise (plus de 90% des cas).
33
Scurit Logique
D'une faon gnrale, ces observations reposent essentiellement sur les
dysfonctionnements suivants :
l'existence de nombreux profils non utiliss ou obsoltes ;
des droits trop importants accords aux informaticiens et consultants sur le
systme de production ;
l'absence ou l'obsolescence de la documentation relative la scurit, aux
des tches ;
une gestion des habilitations mal matrise faute de procdures correctement
dfinies.
34
Mustapha BELAISSAOUI
ENCG SETTAT
35
36
Mustapha BELAISSAOUI
ENCG SETTAT
La scurit physique
Les facteurs extrieurs d'inscurit des locaux informatiques sont:
Nuisances lies l'eau (inondation, alimentation, etc.)
Nuisances lies l'air
Protection contre la foudre
Phnomnes lectriques et lectromagntiques,
La scurit physique
La scurit de l'installation lectrique est constitue des points suivants :
Alimentation indpendante
Rgime du neutre (conducteurs neutres et de protection spars)
Circuit de terre des masses logiques isol et spar depuis la prise
de terre commune
Disjoncteurs, coupure gnrale "coup de poing"
Sparation cbles tlcom/lectriques
Vrification priodique.
38
Mustapha BELAISSAOUI
ENCG SETTAT
La scurit physique
Le contrle d'accs physique
La protection mcanique
L'emplacement et la nature des issues
Les chemins de pntration d'un intrus
La localisation et la valeur des biens protger
L'analyse des flux (personnel, supports, documents)
Les lments perturbateurs
La localisation du site et le mode d'occupation des locaux
39
La scurit physique
La scurit spcifique incendie
tude spcifique et compartimentage ;
Dtection automatique ;
Extinction automatique ;
Extincteurs mobiles ;
Robinets d'incendie arms ;
Prvention complmentaire de l'environnement ;
Scurit des biens et des personnes.
40
Mustapha BELAISSAOUI
ENCG SETTAT
La scurit de l'organisation
informatique
Le personnel Informatique
Confidentialit, thique,
Continuit du service,
Sparation des fonctions
41
Le plan de secours
les entreprises sont seulement 20% estimer tre suffisamment prpares en cas de sinistre
majeur
Mustapha BELAISSAOUI
ENCG SETTAT
Le plan de secours
Il faut apprcier les risques importants qu'une entreprise peut
subir suite une panne prolonge. En particulier, les risques
financiers, oprationnels, de rputation et de non respect
d'exigences lgales ou contractuelles ;
Un plan de secours doit considrer toutes les ressources
ncessaires au fonctionnement des activits critiques. En tout
premier lieu les personnes, puis les applications, la
technologie, les quipements et les donnes ;
Il y a au minimum le plan de secours technique et le plan de
secours des utilisateurs. Pour ces raisons, on ne devrait pas
parler du plan de secours, mais des plans de secours.
43
Le plan de secours
Chaque entreprise doit choisir les scnarios qu'elle veut
dvelopper. Par exemple, les dommages causs par une
panne
de
l'alimentation
lectrique
ou
des
tlcommunications, par le feu, etc. Suite au dsastre du 11
septembre 2001, des entreprises doivent galement
apprcier les risques de terrorisme ;
Un plan de secours efficace propose des mesures de
secours des activits critiques, considre les exigences
lgales et contractuelles, est test rgulirement et est mis
jour suite des changements.
44
Mustapha BELAISSAOUI
ENCG SETTAT
45
Scurit informatique
Les normes
Elle identifie des objectifs visant organiser la scurit de l'information selon les
trois critres fondamentaux, confidentialit, intgrit et disponibilit.
Mustapha BELAISSAOUI
ENCG SETTAT
Scurit
La responsabilisation
47
DEMARCHE
DAUDIT INFORMATIQUE
Revue
Gnrale
Analyse
des Risques
Revue
des Contrles
Tests
Rsiduels
48
Mustapha BELAISSAOUI
ENCG SETTAT
continuit)
La revue des contrles se situe larticulation de lAudit externe
(ponctuelle) et de laudit interne (normalement en continu)
49
Mustapha BELAISSAOUI
ENCG SETTAT
Les contrles
La sparation des tches est en effet l'un des piliers d'un contrle interne
efficace, destin prvenir ou rduire les risques d'erreurs intentionnelles
ou non intentionnelles en s'assurant qu'un mme individu ne peut
contrler toutes les phases d'un processus. Ce principe, raffirm par les
lois Sarbanes Oxley aux tats Unis et LSF en France, repose sur les
objectifs de contrle interne.
il est interdit de combiner des transactions appartenant deux domaines
diffrents de la gestion des actifs (encaissements, dcaissements, gestion
des stocks), de la finance (comptabilit gnrale, fournisseurs et clients) et
des processus mtiers (achats, ventes, production, etc.).
il est galement interdit de cumuler les deux niveaux de responsabilit
oprationnel (celui qui fait) et de supervision (celui qui contrle).
51
DEMARCHE
DAUDIT INFORMATIQUE
Revue
Gnrale
Analyse
des Risques
Revue
des Contrles
Tests
Rsiduels
52
Mustapha BELAISSAOUI
ENCG SETTAT
53
ANNEXES
54
Mustapha BELAISSAOUI
ENCG SETTAT
55
56
Mustapha BELAISSAOUI
ENCG SETTAT
57
Mustapha BELAISSAOUI
ENCG SETTAT
CoBiT : Surveillance
59
Mustapha BELAISSAOUI
ENCG SETTAT