/ PDA

Audit .

Visa Nom Date
Rdig par
Approuv par
Personnes concernes Fonction P C A I*
* pour Prsent, Contrle, pour Action, pour Information
Objet du questionnaire (ou de lentretien) : Organisation, scurit et fiailit du s!st"me
d#information comptale et financier $gnrale et au%iliaire&.
'()*+,O-* O(, -O- O.*)R/A+,O-*
I - Organisation gnrale du systme dinformation (SI)
)%iste0t0il une cartograp1ie $liste& des *, utiliss au
sein de l#entit 2
Dans l#affirmative, produire cette cartograp1ie
Dans le cas contraire, faire talir la liste des
principales applications participant 3 la gestion
comptale et financi"re $cf. taleau en anne%e&.
'uelles sont les principales applications mtier 2
4erci de renseigner les deu% taleau% en fin de
5uestionnaire
,ndi5ue6 les principales fonctionnalits de ces
applications mtier .
0 7 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
'uelle application informati5ue de gestion
comptale votre talissement utilise0t0il 2
Prcise6 sa date de dveloppement / ac5uisition
ainsi 5ue la date de mise en service de ses
diffrentes versions.
II - Gestion du servie informatique
(n organigramme fonctionnel a0t0il t laor pour
le service informati5ue de l#talissement 2
'uand a0t0il t actualis pour la derni"re fois 2
!emettre e doument au" auditeurs #
louverture de laudit$
8omment sont articules les activits 9
d#anal!se
de dveloppement
d#intgration
d#e%ploitation
d#assistance au% utilisateurs
de scurit informati5ue
)%iste0t0il une fonction de gestion du s!st"me
d#information ddie au pilotage du s!st"me
d#information et 3 la gestion prvisionnelle des
pro:ets et des ressources 2
/otre talissement dispose0t0il notamment d#un
comit de pilotage informati5ue 2
8ertaines fonctions du s!st"me d#information ont0
elles t e%ternalises2
0 ; 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
Dans l#talissement, 5uelle$s& structure$s& a $ont& la
c1arge des missions suivantes 9
s#assurer de la co1rence entre les plans
informati5ues $3 court et long terme& et les
o:ectifs de l#talissement 2
approuver les ac5uisitions importantes en
mati"re de s!st"me d#information 2
surveiller les pro:ets informati5ues $notamment
le dveloppement des applications& 2
anal!ser et approuver les plans
d#e%ternalisation de certaines fonctions du
s!st"me d#information 2
contrler l#utilisation des ressources
informati5ues 2
veiller sur le respect de la politi5ue de scurit
$p1!si5ue et logi5ue& du s!st"me
d#information 2
<#talissement voluant, tout comme son
environnement tec1ni5ue, 5uelle structure est en
c1arge de la conduite du c1angement en mati"re de
s!st"me d#information 2
)%iste0t0il dans votre talissement une fonction
d#officier de scurit c1arg 9
lors de la conception du s!st"me, de s#assurer
5ue la politi5ue de scurit est respecte et de
conseiller les acteurs du dveloppement sur les
mesures de scurit 3 incorporer au s!st"me =
dans le cadre de son e%ploitation courante, de
surveiller le s!st"me d#information.
III - %ormation et &oumentation te'nique et utilisateur s( le SI om)table et finanier
<es utilisateurs actuels des applications ont0ils re>u
une formation initiale spcifi5ue 2
Prcise6 si possile par utilisateur 9
0 ? 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
'uand 2 Anne 9
'uelle a t la dure de cette formation 2
Depuis 5uand les utilisateurs actuels travaillent0ils
sur les diffrentes applications 2
Anne 9
)%priment0ils le esoin d#une formation
complmentaire 2
<es utilisateurs disposent0ils d#une documentation 2
Prcise6 pour c1a5ue application
*i oui, 5uel est le support $papier, dmatrialis..&
Prcise6 pour c1a5ue application
<a documentation contient0elle 9
0 une description de l#application 2
0 les procdures d#utilisation des
fonctionnalits2
0 les conditions et les procdures de saisie et
de mise 3 :our des donnes 2
0 les procdures concernant les tats de
sortie 2
0 une description des tats de sortie 2
0 une description des rapports de contrle 2
0 les procdures d#entre dans les ases de
donnes 2
<a documentation tec1ni5ue a t#elle t produite 2
'ui est c1arg de produire la documentation
tec1ni5ue 2
<a documentation utilisateur et/ou le manuel de
procdures sont0ils facilement accessiles et
e%ploitales 2
8ouvrent0ils tous les aspects du s!st"me 2
)%iste0t0il des procdures de mise 3 :our de la
documentation tec1ni5ue et utilisateur lors5ue des
modifications sont effectues 2
I* - Surit du SI om)table et finanier
0 @ 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
1- Analyse des risques et politique globale de protection du systme dinformation
Ave60vous procd 3 une anal!se des ris5ues lis au
dploiement du s!st"me d#information dans votre
talissement 2
8ette anal!se a0t0elle t formalise 2
!emettre e doument au" auditeurs #
louverture de laudit$
Au terme de cette anal!se, ave60vous dfini une
politi5ue de gestion des ris5ues lis 3 l#e%ploitation
du s!st"me d#information
8ette politi5ue a0t0elle t formalise dans un
document de rfrence mis 3 la disposition des
personnels concerns 2
!emettre e doument au" auditeurs #
louverture de laudit$
8ette politi5ue de gestion des ris5ues lis au
s!st"me d#information a0t0elle amen la Direction
de votre talissement 3 dcider de la mise en Auvre
de procdures et dispositifs permanents portant sur
les domaines suivants 9
protection du patrimoine et des actifs
informationnels
conformits au% lois et r"glements en vigueur
prvention et dtection des fraudes
Prcise6 votre rponse.
2. Scurit logique (identification et authentification des utilisateurs
a !olitique gnrale
)%iste0t0il une politi5ue de scurit logi5ue
formalise permettant la mise en Auvre de r"gles de
scurit communes et 1omog"nes entre les
diffrentes entits utilisatrices du s!st"me
d#information de l#talissement 2
!emettre e doument au" auditeurs #
louverture de laudit$
8e document a0t0il t diffus 3 l#ensemle des
utilisateurs du s!st"me d#information 2
<#talissement proc"de0t0il 3 une valuation
priodi5ue de la scurit logi5ue de son s!st"me
0 B 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
d#information 2
*elon 5uelle priodicit 2
'ui est c1arg de cette tCc1e 2
*elon 5uelle procdure sont alors traites les
propositions d#amlioration 2
De fa>on plus gnrale, 5u#est0ce 5ui, selon vous,
contriue 3 la 5ualit du dispositif actuel de scurit
logi5ue 2
Prcise6 votre rponse.
'u#est0ce 5ui, 3 l#inverse, constitue une failesse
dans le dispositif actuel de scurit logi5ue 2
Prcise6 votre rponse.
'uelles sont selon vous les mesures 3 prendre pour
renforcer ce dispositif 2
b Autorisation daccs au systme dinformation " identification des utilisateurs
)%iste0t0il un s!st"me dDidentification de c1a5ue
utilisateur 9
Pour l#acc"s au rseau local de l#talissement
Pour l#acc"s au rseau ,nternet
Pour l#acc"s au% applications en tlgestion
Pour l#acc"s au% applications, donnes et
programmes stocEs sur la station de travail de
l#utilisateur
Pour l#acc"s au s!st"me d#e%ploitation et au%
donnes sensiles des ases / du s!st"me
0 F 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
Prcise6 votre rponse.
'ui attriue et dfinit les crit"res d#identification 2
$code utilisateur& 9
- le c1ef de service ou son ad:oint 2
- un agent du service informati5ue 2
- l#intress lui0mGme 2
<es droits sont0ils en co1rence avec les fonctions
e%erces 2
)%iste0t0il dans le s!st"me informati5ue des
1ailitations en surnomre / personnels rfrencs
dans l#organigramme 2
)%iste0t0il des 1ailitations multi0droits / super0
utilisateur 2
A 5ui ont0elles t attriues 2
)%iste0t0il des 1ailitations au mode
modification au nfice d#agents 5ui ne
devraient disposer 5ue d#un mode consultation 2
<es demandes d#autorisation d#acc"s au s!st"me
d#information manant des c1efs de service sont0
elles s!stmati5uement formalises 9
Pour les nouveau% arrivants dans
l#talissement
Pour les personnels muts
<es nouvelles autorisations d#acc"s au s!st"me
d#information donnent0elles s!stmati5uement lieu 3
la signature par les agents d#une attestation de
reconnaissance de responsailit, par la5uelle ils
s#engagent 3 respecter les r"gles de scurit dfinies
par l#talissement 2
0 H 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
<es demandes de suppression des autorisations
d#acc"s au s!st"me d#information sont0elles
s!stmati5uement formalises lors de la cessation de
fonction
d#un agent
d#une personne e%er>ant des fonctions 3 titre
temporaire
<a cessation de fonctions donne0t0elle
s!stmati5uement lieu 3 la clture de l#attestation de
reconnaissance de responsailit 2
*elon 5uelle priodicit l#talissement ralise0t0il
une revue des droits d#acc"s au s!st"me
d#information accords 2
'ui effectue cette tCc1e 2
<a revue des droits d#acc"s donne0t0elle lieu 3 un
rapproc1ement des trois lments suivants 9
organigramme
liste des droits d#acc"s
droits effectivement ouverts dans le s!st"me
d#information
)%iste0t0il des droits inactifs $codes utilisateurs
ouverts mais non utiliss& 2
<es documents :ustifiant l#ouverture des droits
d#acc"s au s!st"me d#information sont0ils arc1ivs 9
par les services demandeurs / la Direction
par le service informati5ue
c Autorisation daccs au systme dinformation " authentification des utilisateurs
)%iste0t0il un s!st"me dDaut1entification pour
c1a5ue utilisateur de lDapplication 9
Pour l#acc"s au rseau local de l#talissement
0 I 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
Pour l#acc"s au rseau ,nternet
Pour l#acc"s au% applications en tlgestion
Pour l#acc"s au% applications, donnes et
programmes stocEs sur la station de travail de
l#utilisateur
Pour l#acc"s au s!st"me d#e%ploitation et au%
donnes sensiles des ases / du s!st"me
Prcise6 votre rponse.
)%iste0t0il dans les applications informati5ues un
s!st"me d#aut1entification spcifi5ue pour la
validation d#oprations sensiles $e% 9 code
validant diffrenci d#un code saisissant 3
l#intrieur d#une application 2&
Pour c1acun des aspects vo5us dans les deu%
5uestions prcdentes, 5ui attriue et dfinit les
crit"res d#aut1entification 2
'uels sont les crit"res 3 respecter en mati"re de
c1oi% du mot de passe $nomre et nature des
caract"res, liell diffrent des mots prcdents,
etc.& 2
<es mots de passe apparaissent0ils en clair lors de
leur saisie dans certaines des applications utilises
par l#talissement 2
<es mots de passe font0ils l#o:et d#un
renouvellement rgulier 2
*elon 5uelle priodicit 9
Jedomadaire 2
4ensuelle 2
+rimestrielle 2
*emestrielle 2
Autre 2 $prcise6&
'ui les modifie 2
De 5ui ces mots de passe sont0ils connus 2
)%iste0t0il un suivi $registre papier, fic1ier
informati5ue& des acc"s 3 lDapplication tenu dans
l#talissement 2
0 K 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
*i oui, par 5ui est0il suivi 2
)%iste0t0il un enregistrement des tentatives dDacc"s 3
lDapplication non autorises, disponile dans
l#talissement 2
*i oui, cet enregistrement fait0il lDo:et dDun suivi et
dDun rapport priodi5ue 2
0 3 la Direction
0 au service informati5ue
0 au% c1efs de service
Des instructions interdisant la programmation de
touc1es du clavier automatisant la procdure de
saisie du mot de passe ont0elles t donnes 2
Ont0elles t formalises 2
+out utilisateur du s!st"me d#information est0il
s!stmati5uement dconnect apr"s plusieurs
tentatives dDacc"s infructueuses 2
<a ractivation de son compte utilisateur ncessite0
t0il l#intervention d#une tierce personne $c1ef de
service, agent du service informati5ue& 2
<es terminau% ddis 3 lDapplication sont0ils
automati5uement dsactivs apr"s une priode
dDinactivit donne au cours d#une mGme session de
travail2
*i oui, apr"s 5uelle dure de non0utilisation 2
'uelles sont, selon vous, les principales forces et
failesses du s!st"me d#information de votre
talissement en mati"re de scurit logi5ue 2
Prcise6.
'uels ont t les mo!ens de sensiilisation utiliss 9
- aupr"s de l#encadrement 2
- aupr"s des agents oprationnels2
0 7L 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
<#encadrement effectue t0il des contrles de traces 2
Dispose t0on de restitutions 2
A 5ui sont0elles transmises 2
'uelles sont les suites 3 donner 3 ces contrles 2
#. Scurit physique du systme dinformation
<a Direction de l#talissement a0t0elle dfini une
politi5ue de scurit p1!si5ue 2
8elle0ci a0t0elle t formalise au travers d#un
document diffus 3 l#ensemle des agents de
l#talissement 2
!emettre e doument au" auditeurs #
louverture de laudit$
<a Direction de l#talissement a0t0elle fait le c1oi%
de mettre en place des stations de travail
microinformati5ues sans dis5ues et sans ports (*.
et en rseau scuris 2
De fa>on plus gnrale, 5u#est0ce 5ui, selon vous,
contriue 3 la 5ualit du dispositif actuel de scurit
p1!si5ue 2
Prcise6 votre rponse.
'u#est0ce 5ui, 3 l#inverse, constitue une failesse
dans le dispositif actuel de scurit p1!si5ue 2
Prcise6 votre rponse.
'uelles sont selon vous les mesures 3 prendre pour
renforcer ce dispositif 2
Ave60vous mis en place un dispositif s#appu!ant sur
des contrles tec1ni5ues effectus par un e%pert
$organisme de contrle spcialis& s/ les scurits
logi5ues du *, 2
0 77 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
*i oui 9
0 'uelle est la fr5uence des contrles e%trieurs 2
0 'uelle est la date du dernier contrle 2
!emettre le om)te-rendu du dernier ontr+le
au" auditeurs # louverture de laudit$
<es dispositions crites prvoient0elles la
redondance de certains 5uipements / matriels
d#environnement 2
)% 9 climatisation, 5uipements lectri5ues tels 5ue
les dis:oncteurs, groupes lectrog"nes, onduleurs,
etc.
'uelles ont t les suites donnes par
l#talissement au% anomalies 5ui ont t dtectes
par la structure de contrle spcialise 2
8omment ont0elles t formalises 2
!emettre les douments de formalisation au"
auditeurs # louverture de laudit$
'uels sont les dispositifs de scurit mis en place
pour garantir 9
la scurit des acc"s au% matriels
informati5ues sensiles de l#entit
$serveurs& 9 adges magnti5ues, clefs, etc 2
'uelle est la fr5uence de c1angement des
codes d#acc"s au% locau% informati5ues
$digicodes& 2
la scurit contre les dgCts naturels 2
8omment le contrle des acc"s au% installations
informati5ues est0il suivi $tenue de :ournau%
d#acc"s, de listes de possesseurs de adges
magnti5ues ou de clefs, etc.& 2
8omment est assure la protection contre les
intrusions logicielles 2
8omment est assure la protection contre les virus 2
0 7; 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
8omment la maintenance des matriels est0elle
suivie pour les aspects suivants 9
5uipements lectri5ues,
dispositif anti0incendie,
scurit anti0intrusion,
autres
'ui est en c1arge de ce suivi 2
8omment est0il formalis 2
*elon 5uelle priodicit l#talissement ralise0t0il
une revue des dispositifs ddis 3 la scurit
p1!si5ue du s!st"me d#information 2
'ui effectue cette tCc1e 2
<es agents de l#talissement ont0ils t sensiiliss
3 la scurit p1!si5ue du s!st"me d#information 2
'ui a sensiilis les agents 3 la scurit p1!si5ue du
s!st"me d#information 2
'uels ont t les mo!ens de sensiilisation utiliss 2
$. !oints spcifiques au% applications comptables
)%iste0t0il une possiilit de dcouplage entre la
date de saisie et la date comptale enregistre dans
l#application 2
Prcise6 les limites de ce dcouplage, notamment au
regard des contraintes de clture des priodes
comptales.
8e dcouplage apparaMt0il e%plicitement sur certains
tats / crans de l#application 2
0 7? 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
,ndi5ue6 5uels dispositifs informati5ues sont mis en
Auvre dans le cadre de la fin de gestion de
l#e%ercice comptale et plus particuli"rement 9
la clture informati5ue de l#e%ercice =
les reprises automati5ues en alance d#entre.
* - ,")loitation du SI om)table et finanier
'uel est le rle du service informati5ue dans
l#e%ploitation de l#application de comptailit
gnrale 2
)%iste0t0il une possiilit de modifier les
programmes de l#application de comptailit
gnrale 2
Dans l#affirmative, une procdure a0t0elle t mise
en place pour limiter l#acc"s au% codes de
l#application 2
(ne tra>ailit de ces modifications e%iste0t0elle 2
Des anomalies informati5ues ont0elles t
identifies dans l#application de comptailit
gnrale 2
)n ce cas, 5uelle procdure met en Auvre le service
informati5ue pour les rsoudre 2
(n suivi des indisponiilits des applications,
ventuellement des indicateurs, e%iste0t0il 2
*I - -iste daudit
Des contrles sont0ils raliss par le service
informati5ue sur l#intgration 9
- des donnes entrantes $via les applications de
comptailit au%iliaire& dans l#application de
comptailit gnrale 2
- des donnes sortantes de l#application de
comptailit gnrale vers les applications de
comptailit au%iliaire 2
0 7@ 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
Dans l#affirmative 9
dcrire ces contrles =
indi5ue6 si des anomalies d#intgration sont
dtectes et les suites donnes.
*II - .aintenane du SI om)table et finanier
Par 5ui est assure la maintenance des logiciels 2
'uelle procdure a t dfinie en mati"re de
maintenance 9
8orrective
)volutive
modifications urgentes
Prcise6 votre rponse sur le plan des conditions de
test et de recette des programmes et c1aMnes de
traitement concerns.
<e service informati5ue est0il rguli"rement sollicit
pour les tests de maintenances effectues sur
l#application de comptailit gnrale 2
Dans l#affirmative, dcrire le dispositif mis en
place
)%iste0t0il une procdure d#urgence pour la mise en
production de certaines maintenances 2
<e service informati5ue est0il averti en ce cas 2
Des procdures spcifi5ues de contrle sont0elles
mises en Auvre 2
<es maintenances sont0elles s!stmati5uement
testes avant leur mise en e%ploitation 2
0 7B 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
*III - Sauvegardes des donnes om)table et finanires
'uelles sont les r"gles de sauvegardes des donnes
de l#application de comptailit gnrale 2
Des applications de comptailit au%iliaire 2
A 5uel niveau ont t dfinies les modalits de
sauvegarde des donnes et traitements $fr5uence de
sauvegarde, procdures tec1ni5ues 3 mettre en
Auvre& 9
la Direction de l#talissement
le service informati5ue
autres
<es procdures de sauvegarde ont0elles t
formalises dans un document de rfrence mis 3
disposition des personnels concerns 2
!emettre e doument au" auditeurs #
louverture de laudit$
'ui est c1arge de leur mise en Auvre 2
'uels sont les supports de sauvegarde 2
Dans 5uelles conditions sont0ils conservs 2
Des mesures de contrle interne ou e%terne de la
correcte mise en Auvre de ces dispositions sont0ils
raliss 2
'uelle est la fr5uence des sauvegardes 2
ON sont conserves les sauvegardes 2
8omien de temps sont conserves les donnes 2
0 7F 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
<es sauvegardes font0elles l#o:et de tests de
restauration 2
- *elon 5uelle priodicit 2
- <es rsultats sont0ils formaliss 2
- )%iste t0il un suivi de ces tests 2
I/ - -lan de ontinuit de lativit
(ne politi5ue a0t0elle t dfinie par l#talissement
en mati"re de procdure de secours en cas de
sinistre ma:eur sur site $acE0up& 2
)st0elle formalise 2
8e document a0t0il t port 3 la connaissance des
personnels concerns par la procdure de reprise 2
!emettre e doument au" auditeurs #
louverture de laudit$
<#laoration du plan de secours a0t0elle t ase
sur une anal!se pralale de l#impact des ris5ues sur
l#activit de l#talissement 2
'uelle a t la solution tec1ni5ue retenue 2
*ite miroir $enti"rement configur et prGt 3
dmarrer& =
*alle rouge $partiellement configur& =
*alle lanc1e $avec 5uipement minimum
nergie / climatisation / etc.&
*ite moile
Accord de rciprocit avec un autre
talissement 2
0 7H 0
'()*+,O-* O(, -O- O.*)R/A+,O-*
'uels sont les indicateurs mis en place pour valuer
la 5ualit / le caract"re oprationnel de la procdure
de secours 2
'uelle est la fr5uence d#actualisation de ces
indicateurs 2
Des tests de simulation de reprise de l#e%ploitation
des applications 3 partir du site de secours ont0ils
t effectus 2
Ont0ils fait apparaMtre des difficults particuli"res 2
'uelles dispositions ont t prises pour corriger les
difficults rencontres lors de ces tests 2
<e niveau de connaissance des procdures de
secours par les personnels concerns a0t0il t
valu 2
*i oui, par 5uels mo!ens 2
/otre plan de continuit de l#activit / plan de
secours a0t0il otenu la certification d#un organisme
e%trieur $organisation professionnelle, organisme
certificateur& 2
&'em "
plan de continuit de lacti(it ) ensemble des
processus mis en *u(re pour assurer la continuit de
lacti(it +
plan de secours ) plan orient sur le systme
dinformation en lui-m,me.-
)stime60vous 5ue grCce au plan de continuit 5u#il a
dfini, l#talissement est en mesure de faire face 3
un sinistre sur site ma:eur sans 5ue son activit ne
soit mise en pril 2
Prcise6 votre rponse.
.eri )our vos r)onses
0 7I 0
-!I01I-23,S 2--3I124IO0S &, G,S4IO0 1O.-4253, ,4 %I0201I,!, (4ableau" #
om)lter 6 ventuellement sous forme de tableau" ,/1,3)
0om de
la))liation
4y)e de matriel suivant a))liation 4raitement
transations
4 ou 7
!
.I1!O7
2-!-1
+ 9 +ransactionnel
A 9 Autonome
R 9 en rseau avec d#autres micros
8 9 connects au mainframe
0 7K 0
2--3I124I%S I0%O!.24I89,S (4ableau # om)lter: ventuellement sous forme de tableau"
,/1,3) 6 1artogra)'ie a))liative
-om de
l#application
&es logiiels ou
)rogiiels
1aratristiques
a))liation
; 6 interne
< 6 -rogiiel non
modifi
= 6 -rogiiel ada)t
0O. *,!SIO0
-rogiiel a'et
&ate dernire modifiation
ou version
&ate modif$ .aj$
0 ;L 0