Evaluation des risques

Incidence de lenvironnement informatique sur le risque inhrent

Une matrice est propose afin dapprcier lincidence de lenvironnement informatique sur le risque inhrent. Pour cha

Incidence de lenvironnement informatique sur le risque

inhrent

Stratgie informatique
Stratgie labore par les entits oprationnelles

Sensibilisation de la direction

Satisfaction des besoins utilisateurs

Fonction informatique
Fonction informatique
Organisation informatique

Sparation des tches

Externalisation

Comptences informatiques
Niveau de comptence

Charge de travail

Niveau de rotation

Conception et acquisition des solutions informatiques

Comment sont achetes et dveloppes les solutions informatiques ?

Identification des besoins en nouveaux outils

Organisation de la fonction dveloppement / paramtrage

Procdures de dveloppement et de paramtrage

Comment sont installs et valids les nouveaux systmes

informatiques ?

Tests lors du dmarrage de la nouvelle application ou version

Validation des dveloppements

Niveau de documentation des outils

Gestion du changement

Comment est assure la maintenance du systme dinformation ?

Matrise du systme dinformation

Maintenance externalise

Distribution et support informatique

Quelle est la qualit du support fourni aux utilisateurs ?

Cellule d'assistance (hotline)

Manuel utilisateur et documentations disponibles

Formations informatiques

Comment sont grs les problmes dexploitation quotidiens ?

Suivi des performances du systme

Disponibilit du systme

Fonction exploitation

Historique et surveillances des activits

Comment sont gres les fonctions externalises ?

Procdures de choix des sous-traitants

Sous-traitants correspondant aux besoins de lentreprise

Supervision des activits des sous-traitants

Contenu des contrats de sous-traitance

Gestion de la scurit
Comment sont gres les sauvegardes ?

Procdure de sauvegarde et modalits de sauvegarde

Plan de secours

Comment est dfinie et mise en uvre la scurit logique ?

Gestion des habilitations / profils utilisateurs

Gestion des mots de passe

Utilisation dInternet / messagerie

Antivirus

Sensibilisation des utilisateurs

La scurit physique est-elle satisfaisante ?

Moyens daccs aux locaux

Protection incendie

Protection lectrique

La gestion des projets informatiques

Equipe projet

Dcoupage du projet en phases

Niveau de documentation

Degr dimplication de la direction dans les projets

(1) Limpact dfinitif sur les contrles substantifs est

apprcier en relation avec lvaluation du risque li au
contrle.

r le risque inhrent

nce de lenvironnement informatique sur le risque inhrent. Pour chaque lment, sont prcises lincidence sur la nature et ltendue des contrles su

Constats

Incidence sur le risque

inhrent
M. Ginseng, le directeur informatique de Siban
depuis 5 ans a quitt la socit sans assurer sa
succession.

Risque de perte du contrle de certains processus.

M. Alo, directeur financier, a repris la fonction de

directeur informatique en attendant lembauche
dun spcialiste, mais ne contrle pas encore
tous les processus.

Risque de perte dinformations connues de lancien directeur

informatique.

Le schma directeur informatique date de 5 ans

et le plan dvolution na pas t mis jour alors
que lactivit de la socit est en pleine volution.

Risque de perte de cohrence dans lvolution du systme dinformation

si le plan dvolution nest pas tenu jour.

Le directeur informatique est parti sans laisser

ses documents de travail et le P-DG ne sest
jamais impliqu dans ses travaux.

Le schma directeur, obsolte risque de ne plus tre en adquation avec

les besoins de la socit.

Aucune information sur ce thme.

Le directeur informatique, M. Ginseng et M. Alo

prsent, est seul soccuper de tous les
aspects informatiques de la socit.

Trop de fonctions assures par une mme personne.

Le P-DG, M. Ding Xian, ne supervise pas son

travail par manque de connaissance technique.

Pas de supervision extrieure.

La maintenance et le dveloppement de
lensemble des logiciels de Siban sont
externaliss chez le prestataire Indigo.

Dpendance trop importante vis--vis de la socit dexternalisation.

Cette socit est propritaire des programmes

sources des applications dveloppes

Difficults pour changer de prestataire en cas de mcontentement sur les

prestations fournies ou de faillite du prestataire.

Le nouveau responsable des systmes

dinformation n'a aucune connaissance en
informatique.

Perte de matrise du systme dinformation.

Pas d'information sur ce thme.

Faible niveau de rotation, mais le responsable

informatique vient de quitter la socit.

Perte de matrise du systme dinformation.

Pas d'information sur ce thme.

Le dveloppement est externalis auprs de la

socit Indigo.

Perte de matrise du systme dinformation.

N/A.

matiques

Les modules en phase de test sont accessibles

dans un environnement de production sur tous
les postes.

Risque que des critures de tests soient enregistres dans le systme et

ne soient pas effaces lors du dploiement.

Les dveloppeurs (Indigo) ont accs lenvironnement de production et

peuvent accder lensemble des donnes du systme.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

M. Ginseng est parti sans avoir assur la

transition auprs du nouveau responsable.

Risque de perte de matrise du systme dinformation.

La maintenance du systme est externalise

auprs d'une socit qui est propritaire des
programmes sources.

Si la socit Siban souhaite changer de prestataire et faire voluer le

systme, elle rencontrera de grandes difficults car elle ne dtient pas les
programmes sources.

Pas de hot line.

Peu de risque tant donn la taille de l'entreprise.

Pas d'information sur ce thme.

Le personnel du service comptabilit na reu

aucune formation linformatique.

Risques de mauvaise utilisation des applications.

Les intrimaires ne sont pas forms lutilisation

du logiciel comptable.

Risques derreurs, de perte de temps...

Revue rgulire des listings dexploitation et de

contrle.

Non dtection de tentatives dintrusion non autorises.

Des listings de connexion et danomalie existent

mais ils ne sont pas rgulirement revus.

Non dtection de dysfonctionnements dans les interfaces ou dans les

traitements automatiss internes au systme dinformation.

Non dtection de modifications injustifies dans les bases tarifs ou

clients.

Les temps de rponse de l'application de gestion

des stocks sont trs levs.

Perte de temps.

La fonction est assure par le directeur

informatique

Non sparation de fonctions.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Les dlais d'intervention et la qualit des

renseignements fournis par Indigo sont jugs non
satisfaisants par les utilisateurs.

Faible risque de perte de temps.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Procdures de sauvegardes correctes,

cependant les sauvegardes ne sont pas faites en
double et effectues rgulirement.

En cas dincendie ou dgt des eaux dans les locaux de lentreprise, les
sauvegardes peuvent tre perdues sans pouvoir reconstituer les
donnes contenues dans les cassettes.

Risque que les donnes ne puissent tre relues.

La frquence des sauvegardes nest pas assez importante.

Il n'existe pas de plan de secours. De plus, le

contrat de prestation externe avec Indigo ne
prcise pas de dlais dintervention.

Risque dindisponibilit longue du SI en cas dincident.

La prestation de Indigo ne satisfait pas les

utilisateurs.

Risque de difficults dexploitation car la disponibilit du serveur est

importante pour lactivit de la socit.

Pas de politique de gestion de profils au sein des

applications. Lensemble du personnel disposant
dun mot de passe a accs lensemble des
donnes du SI en lecture et modification.

Risque de fraude et derreurs dutilisation (possibilit de modification des

tarifs pour un client donn, puis effacement de la modification).

Confidentialit des donnes non garantie (les intrimaires ayant

galement accs lensemble des donnes).

Les habilitations et mots de passe ne sont plus

suivis depuis deux mois : le mot de passe de M.
Ginseng na pas t dsactiv.

Risque daccs et de modification non autoriss des donnes

confidentielles (risque dautant plus important que le systme
dinformation de Siban contient des donnes sensibles comme les
coordonnes bancaires de la base clients).

Un mot de passe commun est utilis pour les

nouveaux entrants : lidentifiant gal au mot de
passe Siban est trop facile trouver.

Risques de fraude par M. Ginseng : il est parti en dsaccord avec la

direction et connat parfaitement le SI de Siban.

Pas d'information sur ce thme.

Lantivirus est mis jour tous les trois mois.

De nouveaux virus peuvent ne pas tre dtects et infecter le systme

dinformation.

Le personnel reoit des courriels de mise en

garde contre des virus informatiques.

Risque de perte de donnes pour cause de virus.

Un intrimaire a t renvoy pour avoir trop

tlcharg de fichiers.

Une mauvaise utilisation du systme dinformation peut entraner des

pertes de donnes et une indisponibilit du rseau.

Toute personne peut avoir accs aux salles

machines et bureaux en passant par la boutique.

Risque de fraude ou daccs non autoriss des donnes confidentielles

si une personne mal intentionne accde aux locaux informatiques.

De nuit, une alarme et un gardien scurisent les

accs.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

Pas d'information sur ce thme.

e et ltendue des contrles substantifs mettre en uvre et sur la communication au gouvernement dentreprise.

Recommandations

Impact possible sur les contrles substantifs (1)

Effectuer un tat de lexistant, identifier lensemble des

procdures existantes ou mettre en place.

Mener une rflexion sur une volution cohrente du

systme dinformation.

Crer un nouveau schma directeur avec une

architecture informatique cible.

Dfinir le plan dvolution pour les exercices venir.

Affecter une ressource la fonction informatique ou

externalisation de la fonction dveloppement chez un
prestataire.

Sassurer de la fiabilit de Indigo.

Raliser des tests plus prcis afin de s'assurer de l'absence de

fraudes

Etudier des solutions permettant dassurer la continuit

du systme dinformation en cas de dfaillance
d'Indigo.

Former le directeur informatique.

S'assurer que la socit garde la matrise de ses

systmes dinformation malgr l'utilisation de
prestataires.

Crer un environnement de test spcifique.

Oui

Ne donner aux dveloppeurs que laccs cet

environnement.

M. Alo, qui reprend la gestion informatique, devra se

mettre en relation avec le prestataire Indigo afin de
reprendre en main le systme dinformation.

Ngocier avec la socit prestataire une acquisition

des programmes sources et tre vigilant lors de
l'acquisition ou le dveloppement des futures
applications.

Demander au personnel les formations quil souhaite

suivre.

Organiser des formations de sensibilisation

linformatique et aux applications dont ils ont
lutilisation.

Des formations seront mettre en place pour le

dploiement du nouveau logiciel.

Fixer une procdure de revue et de conservation des

listings de connexions, de contrles et danomalies par
le responsable de lexploitation du systme
dinformation.

Supprimer les rfrences en stock qui ne sont plus

utilises.

Oui

Envisager d'augmenter la capacit de la base de

donnes grant les stocks.

Former une ou plusieurs personnes la fonction

exploitation.

Rengocier le contrat avec Indigo pour obtenir une

amlioration de la qualit de service.

Garder une seconde sauvegarde dans un lieu extrieur

la socit.

Effectuer des tests de relecture sur des cassettes

prises au hasard.

Mettre en place une procdure quotidienne de

sauvegarde automatique des donnes.

Rengocier le contrat de maintenance en prcisant les

dlais maximums dintervention.

Changer de socit de maintenance si les solutions

proposes ne semblent pas satisfaisantes.

Crer des profils selon la fonction occupe au sein de

la socit.

Imposer des mots de passe de plus de 5 caractres, ne

correspondant pas des mots du dictionnaire ou des
prnoms, avec alternance de chiffres et de lettres et
changer rgulirement.

Les mots de passe communs plusieurs utilisateurs

sont viter.

Reprendre la gestion des habilitations et dsactiver les

identifiants des personnes ayant quitt la socit.

Mettre jour lantivirus une fois par semaine.

Rdiger et faire signer lensemble du personnel une

charte de bonne utilisation du SI. Verrouiller les postes
de travail.

Accompagner les visiteurs de leur entre leur sortie

de lentreprise.

Surveiller en permanence les accs aux locaux.

Fermer la porte daccs entre la boutique et les locaux

informatiques.

Communication au gouvernement dentreprise

Oui

Oui

Oui

Oui

Oui

Oui

Fonction des rsultats des tests substantifs mens au final

Oui

Oui

Oui

Des anomalies constates lors des interfaces pourraient mettre en vidence la non exhaustivit des comptes

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui