Vous êtes sur la page 1sur 171

GTAG

Documents de rfrence
Prsentation des guides GTAG pouvant tre
utiliss par un auditeur interne lors de
mandats daudit TI

Prsentateurs
2

Gilles Savard

Olivier Legault

Francis LeBlanc-Gervais

CPA, CA, CA-TI, PMP,


CISA, ITIL
Directeur principal

CPA, CGA, CISA


Directeur

CPA, CA, CISA


Directeur

GTAG Pourquoi cette prsentation?


3

Daprs notre exprience, ils sont peu connus et peu utiliss


dans la pratique.
Il y a un questionnement. Quelle est la diffrence entre les
cadres de rfrence et les GTAG?
Comment pouvons-nous utiliser les GTAG?
Sont-ils des outils de formation intressants?
Y a-t-il des programmes daudit intgrs dans les GTAG?

GTAG
4

Origine
GTAG : Global Technology Audit Guides (Guides pratiques
daudit des TI)
Guides dvelopps la demande du prsident de lIIA,
David A. Richards en 2005
Guides dvelopps par des gens en provenance de divers
milieux (industries, universits, firmes comptables)
Orient principalement vers le personnel de gestion et les
auditeurs internes, et non vers le personnel technique
Le premier guide appel Les contrles des systmes
dinformation a t publi en mars 2005
Le dernier guide appel Gouvernance TI a t publi en
2012

GTAG Objectif vis


5

labors par lIIA, chaque guide traite dun thme qui a trait
la gestion, au contrle et la scurit des systmes
dinformation.
Cette srie de guides constitue un outil pour le gestionnaire et
lauditeur interne qui peuvent ainsi sinformer sur les diffrents
risques lis la technologie et sur les pratiques
recommandes.
Expliquer les contrles TI et la vrification de ces contrles
pour permettre au gestionnaire et lauditeur interne de
comprendre et de communiquer la ncessit dun
environnement de contrle TI robuste au sein de leur
organisation.

GTAG
6

GTAG 17 guides
7

Contrles des systmes de l'information (GTAG1) Anglais


seulement

Contrles de la gestion du changement et des patchs : un


facteur cl de la russite pour toute organisation (GTAG2)
Audit continu : Rpercussions sur l'assurance, le pilotage et
l'valuation des risques (GTAG3)
Management de l'audit des systmes d'information (GTAG4)
Management et audit des risques d'atteinte la vie prive
(GTAG5)
Gestion et audit des vulnrabilits des technologies de
l'information (GTAG6)
Infogrance (GTAG7)
Audit des contrles applicatifs (GTAG8)

GTAG 17 guides
8

Identit et gestion des accs (GTAG9)


Gestion du plan de continuit des affaires (GTAG10)
Dveloppement dun plan daudit (GTAG11)
Audit des projets TI (GTAG12)
Prvention de la fraude et dtection (GTAG13)
Audit des applications utilises par les utilisateurs (Excel,
Access, etc.) (GTAG14) Anglais seulement
Gouvernance de la scurit TI (GTAG15) Anglais seulement
Analyse des donnes Extraction (GTAG16) Anglais
seulement

Audit de la gouvernance TI (GTAG17) Anglais seulement

GTAG1
Risques et contrles
(36 pages)

GTAG1 Objectifs
Risques et contrles
10

Aider les auditeurs internes devenir plus confortables avec


les contrles gnraux TI afin quils puissent aborder ces
questions avec la haute direction.
Dcrit comment les diffrents intervenants impliqus par la
pratique daudit interne (CA, gestion, personnel,
professionnels) doivent aborder et valuer les risques et les
contrles TI.
De plus, il met les bases des GTAG venir, qui seront
consacrs des sujets plus prcis et prsenteront les
fonctions et responsabilits correspondantes dans lentreprise
avec plus de dtails.
Ce guide est la seconde dition. Le premier tait davantage
orient sur les contrles TI et avait t publi en mars 2005.

GTAG1 Introduction
Risques et contrles

Plusieurs risques et menaces importants sont en lien avec


les TI. Les risques les plus importants viennent de linterne et
non de lexterne. De bon contrles TI diminuent la probabilit
quun risque ou une menace se concrtise.
Plusieurs cadres de rfrence existent pour catgoriser les
objectifs et contrles TI. Ce guide recommande que chaque
organisation utilise les composantes provenant des diffrents
cadres de rfrences existants (COSO, ITIL, CobiT, etc.) qui
sont applicables pour eux.
Un gestionnaire daudit interne peut utiliser ce guide comme
une fondation pour valuer les risques et contrles TI et la
conformit.

GTAG1 Risques
Risques et contrles

Pour un dirigeant daudit interne, il est impratif de bien jauger


lapptence et la tolrance aux risques du CA.
Un dirigeant daudit interne doit considrer si lenvironnement
TI est en ligne avec lapptence aux risques du CA.
Un dirigeant daudit interne doit considrer si le cadre de
contrle interne des TI assure que les performances de
lorganisation demeurent lintrieur de la tolrance aux
risques tablie.

Apptence au risque : Degr de risque que la direction dune organisation est


prte accepter dans la poursuite de ses objectifs.
Tolrance au risque : Le dirigeant de laudit interne doit dfinir le niveau
acceptable de variation du risque pour latteinte des objectifs. Il est important
daligner la tolrance au risque avec lapptence au risque.

GTAG1 Structure de laudit


Risques et contrles
13

Lorsque les responsables de laudit


interne examinent et valuent les
contrles des TI, ils doivent se poser
plusieurs questions :
Que signifient pour nous les
contrles des SI?
Pourquoi avons-nous besoin des
contrles des SI?
Qui est responsable des
contrles des SI?
Quand convient-il dappliquer les
contrles des SI?
O prcisment faut-il mettre en
place les contrles des SI?
Comment procder des
valuations des contrles des SI?

Jai mon service six honntes


domestiques.
(Ils mont appris tout ce que je sais.)
Ils sappellent Quoi et Pourquoi,
Quand et Comment, et O et Qui.
Rudyard Kipling,
Tir de Elephants Child
dans Just So Stories

GTAG1 Structure de laudit


Risques et contrles
14

Que signifient pour nous les


contrles des SI?

Pourquoi avons-nous besoin des


contrles des SI?
Qui est responsable des contrles
des SI?
1) Quand convient-il dappliquer
les contrles des SI?
2) O prcisment faut-il mettre en
place les contrles des SI?
Comment procder des
valuations des contrles des SI?

GTAG1 Classification des contrles


Risques et contrles
15

Questions 1 minute
Risques et contrles
16

17

GTAG11
laboration dun plan daudit
des TI
(40 pages)

GTAG11 Objectifs
laboration dun plan daudit des TI
18

Le prsent GTAG peut aider les responsables de laudit


interne et les auditeurs internes :

Prendre en compte lactivit gnrale de lentreprise et la part


des TI dans le support oprationnel
Dfinir et prendre en compte lenvironnement des TI
Identifier le rle de lvaluation des risques dans la dlimitation
de lunivers daudit interne
Formaliser le plan annuel daudit des TI

GTAG11 Introduction
laboration dun plan daudit des TI
19

tant donn que le fonctionnement de l'organisation dpend


fortement des TI, il est en effet essentiel que le responsable
de laudit interne et les auditeurs internes sachent comment
laborer un plan daudit et, pour chaque lment, quelles
doivent en tre la frquence, ltendue et la profondeur.
Le responsable de laudit interne et les auditeurs internes
pourront dterminer les domaines auditer et la frquence
en se basant sur une cartographie des processus,
l'inventaire et la prise en compte de lenvironnement des TI et
lvaluation des risques lchelle de lorganisation.
Ce GTAG utilise lexemple dune organisation fictive pour
montrer aux responsables de laudit interne et aux auditeurs
internes comment mettre en uvre les tapes ncessaires
la dlimitation de lunivers daudit.

GTAG11 Actualisation du plan daudit


laboration dun plan daudit des TI
20

36%

60 %

GTAG11 Processus dlaboration


du plan daudit TI
laboration dun plan daudit des TI

21

GTAG11 valuer le risque Impact et


probabilit
laboration dun plan daudit des TI

22

GTAG11 valuer le risque


laboration dun plan daudit des TI
23

GTAG11 Audits viss


laboration dun plan daudit des TI
24

Peu de ressources :
Slectionner des activits
daudit en fonction du
carr pointill.
Beaucoup de ressources :
Slectionner des activits
daudit en fonction du
carr ligne continu couleur
bleu.

GTAG11 Cadres de rfrence


laboration dun plan daudit des TI
25

CobiT V4
Voir lannexe 1 du cadre de rfrence afin davoir certains
dtails

ITIL V3 - Conception des services


Pas un cadre daudit

COSO

Pas vraiment pertinent pour un plan daudit TI

ISO 27002
Certaines parties peuvent aider :
4 - Apprciation et traitement du risque
15 - Conformit

Questions 1 minute
laboration dun plan daudit des TI
26

27

GTAG4
Management de laudit des
systmes dinformation (SI)
(33 pages)

GTAG4 Objectifs
Management de laudit des systmes dinformation (SI)
28

Rpondre aux questions stratgiques suivantes :


La fonction daudit value-t-elle les risques efficacement

chaque anne?
Lvaluation des risques prend-elle en considration
larchitecture et la configuration technologiques spcifiques
employes par lorganisation?

Des audits sont-ils prvus tous les niveaux de


lenvironnement informatique?

La dotation en personnel pour les audits informatiques est-elle


satisfaisante?

GTAG4 Introduction
Management de laudit des systmes dinformation (SI)
29

Dpendance des entreprises face aux SI 2 consquences :


Un pourcentage important des contrles internes cls
dterminants pour lorganisation est susceptible dtre activ
par la technologie.
Les systmes dont lintgrit est compromise ou dont les
contrles sont dfectueux produiront un impact plus important
sur les oprations de lorganisation et sa comptitivit, ce qui
renforcera la ncessit de disposer de contrles
informatiques efficaces.

GTAG4 tapes dun audit SI


Management de laudit des systmes dinformation (SI)
30

Dfinir les SI

Tenir compte de chaque couche

Management des SI (CGTI)


Infrastructure technique
Applications
Connexions extrieures

valuer les risques lis aux SI (Prioriser)


Dfinir lunivers de laudit des SI (Optimiser)
Excuter les audits des SI

Normes et cadres de rfrence

Grer la fonction daudit des SI (Efficacit)


Rsoudre les problmatiques mergentes (Sadapter)

GTAG4 Dfinir les SI


Management de laudit des systmes dinformation (SI)
31

Illustration des 4 couches :

GTAG4 valuer les risques


Management de laudit des systmes dinformation (SI)
32

Complexit des SI
Chaque SI est unique.
Types de risques des SI

Disponibilit : Le systme nest pas disponible pour utilisation.


Scurit : Accs non autoris au systme.
Intgrit : Donnes incompltes ou inexactes.
Confidentialit : Linformation nest pas conserve secrte.
Efficacit : Le systme ne procure pas une fonction voulue ou attendue.
Efficience : Le systme entrane une utilisation sous-optimale des
ressources.

Natures de risques

Spcifiques vs pervasifs
Statiques vs dynamiques

GTAG4 Cl du succs
Management de laudit des systmes dinformation (SI)
33

Lunivers daudit pour lanne doit porter sur toutes les


couches de lenvironnement des SI.
Les audits des SI doivent tre structurs de manire
permettre une communication efficace et logique.
Les audits des SI doivent porter sur les bons risques.
Lutilisation de dfinitions trop larges pour les audits des SI
(par exemple, contrles gnraux des SI) entrane presque
toujours un glissement de primtre.

GTAG4 Cadres de rfrence


Management de laudit des systmes dinformation (SI)
34

CobiT V4
Pas vraiment dobjectif rellement coll ce GTAG
Lensemble du cadre de rfrence aborde ce GTAG

ITIL V3
ITIL nest pas un rfrentiel daudit

Les cadres de rfrence Contrle interne et


Management des risques de lentreprise
Pas ncessairement ax sur les TI

ISO 27002
Pas vraiment de point touchant ce volet

Questions 1 minute
Management de laudit des systmes dinformation (SI)
35

36

GTAG3
Audit continu : Rpercussions
sur lassurance, le pilotage et
lvaluation des risques
(41 pages)

GTAG3 Objectifs
Audit continu
37

Connaissances opportunes sur des problmes critiques

Automatisation de certains tests

Processus de rvision plus efficace

GTAG3 Introduction
Audit continu
38

GTAG3 Introduction
Audit continu
39

GTAG3 Avantages de laudit continu


Audit continu
40

valuation intervalles rapprochs


Audit permanent de 100 % des transactions
Comprhension accrue des points critiques, des rgles et des
exceptions
Notification rapide des carts et des carences
Facilite la planification de laudit
Indpendance vis--vis des SI et du pilotage

GTAG3 Inconvnients de laudit continu


Audit continu
41

Linformation auditer doit provenir de systmes fiables


Le processus daudit continu doit tre fortement automatis
Des rapports daudit continu comprhensibles et prcis
doivent tre labors et disponibles rapidement
Les auditeurs doivent possder les comptences requises
pour mener ce type de mission
Changement des paradigmes daudit traditionnels

GTAG3 Phases cls


Audit continu
42

Objectifs de laudit continu


Accs et utilisation des donnes
valuation continue des contrles et des risques
Communiquer et grer les rsultats

GTAG3 Exemples dvaluation de contrles


Audit continu
43

Contrles financiers : Carte de crdit dentreprise


Pilotage
chantillonnage manuel trimestriel
Audit interne
Pilotage faible et risque lev
Examen de la politique et des procdures
Tests analytiques sur 100 % transactions
Trouve des anomalies

GTAG3 Cadres de rfrence


Audit continu
44

CobiT V4
Pas vraiment dobjectif rellement coll ce GTAG
La srie SE se rapproche le plus de ce GTAG

ITIL V3
ITIL nest pas un rfrentiel daudit

Cadre de rfrence (Enterprise Risk Management


(ERM) Framework)
Environnement de contrle
valuation des risques
Information et communication
Pilotage des risques

ISO 27002
Pas vraiment de point touchant ce volet. La section 15 se
rapproche le plus de ce GTAG

Questions 1 minute
Audit continu
45

46

GTAG16
Analyse des donnes
(28 pages) Juillet 2011

GTAG16 Objectifs
Analyse de donnes
47

Avoir des approches daudit utilisant les outils danalyse des


donnes :
Lanalyse des donnes est significative pour lorganisation
Meilleure assurance avec les outils danalyse des donnes
Dfis et risques dimplantation des outils
Comment implanter les outils danalyse
Reconnatre les tendances et les avantages dutiliser les outils

GTAG16 Introduction
Analyse de donnes
48

Dfinition Lanalyse des donnes permet didentifier,


obtenir, valider, analyser et interprter diffrents types de
donnes lintrieur de lorganisation afin damliorer
lefficience dun audit.
Efficience Les outils danalyse des donnes sont une partie
intgrante dun audit TI et permettent damliorer lefficacit et
lefficience dun audit.

GTAG16 Les sources


Analyse de donnes
49

Des donnes PDF


Des tableurs
Des fichiers textes
Des donnes provenant des systmes dopration AS/400
Les bases de donnes, dont Access, et les donnes en format
XML
Des ajouts au logiciel de base permettent dinterroger les
applications SAP
Les serveurs centraux (mainframe) (travail plus complexe)

Lintgrit des donnes source est un critre de base essentiel et non ngociable.

GTAG16 Comment les outils peuvent


taider
Analyse de donnes
1.

Calcul Paramtres statistiques (moyennes, dviations, plus hautes et plus basses


valeurs) afin didentifier des transactions tranges.

2.

Classer Trouver des tendances ou des associations parmi des groupes de


donnes.

3.

Stratifier Valeurs numriques afin didentifier des valeurs non usuelles


(excessivement hautes ou basses).

4.

Loi de Benfords Identifier des occurrences statistiquement improbables.

5.

Joindre Diffrents types de donnes sources afin didentifier des donnes non
assorties telles que le nom, adresse, etc.

6.

Dupliquer Identifier des transactions dupliques telle que paiements, paies, etc.

7.

cart Tester une srie afin de trouver un bris dans une squence.

8.

Somme Additionner des donnes afin de valider des totaux de contrles.

9.

Valider Des dates afin de trouver des lments suspicieux.

50

GTAG16 Exemples dutilisation


Analyse de donnes
51

Section

Contrle

Analyse de donnes

Paiement

Lapplication ne permet
pas un doublon de
paiement.

Obtenir les paiements.


Valider quil ny a pas de paiement en double
(mme vendeur, mme montant et mme
numro de fournisseur).

Achat de
marchandises

Les PO vieux de trois


mois et plus ne seront
pas traits.

Obtenir la liste des PO produits.


Dterminer si des PO de 3 mois et plus ont t
traits.

Achat de
marchandises

La personne qui cre le


PO nest pas celle qui
lapprouve.

Obtenir la liste des PO crs.


Obtenir la liste des PO approuvs.
Comparer les deux concernant la sparation
des tches.

Rception de
biens

Tous les biens reus sont


valids auprs du PO.

Obtenir la liste des biens reus et des PO.


Valider que les quantits sont les mmes.

GTAG16 Cadres de rfrence


Analyse de donnes
52

CobiT V4
Non pertinent

ITIL V3 - Conception des services


Non pertinent

COSO
Non pertinent

ISO 27002
Non pertinent

Questions 1 minute
Analyse de donnes
53

54

GTAG9
Gestion des identits et
des accs
(32 pages)

GTAG9 Objectifs
Gestion des identits et des accs
55

Comprendre le rle de la gestion des identits et des accs


pour lorganisation et suggrer les points approfondir lors
dun audit interne.
Mme si de nombreux dirigeants estiment que la gestion des
identits et des accs relve de la direction des systmes
dinformations (DSI), elle concerne en fait toutes les
directions mtiers de lentreprise

GTAG9 Introduction
Gestion des identits et des accs
56

Les obligations rglementaires et les pratiques de gestion


prudentes ont conduit les organisations accrotre au
maximum le degr de granularit des droits daccs.
Le management doit dterminer avec prcision les droits
ncessaires aux utilisateurs au lieu de leur accorder des
ressources dont ils nont pas vraiment besoin.

GTAG9 Introduction (suite)


Gestion des identits et des accs
57

Daprs un rapport prvisionnel rcent du groupe de presse


International Data Group (IDG), les dpenses consacres la
gestion des identits et des accs et aux systmes connexes
devraient augmenter rapidement.

La gestion des identits et des accs devrait donc bientt figurer


au premier rang des projets informatiques de nombreuses
organisations.

Dans de nombreuses organisations, la suppression des


droits daccs utilisateurs ou des droits daccs associs
une identit numrique peut prendre jusqu trois ou quatre
mois, ce qui peut reprsenter un risque inacceptable, surtout
si lutilisateur peut encore accder aux systmes et
ressources de lentreprise alors quil a t rvoqu.

GTAG9 Requte de changements


des droits daccs
Gestion des identits et des accs

58

Gestionnaire
ou
administrateur
de la scurit

Propritaire
de
lapplication

Soumet une requte

Approuve la requte

Approuve la requte

Vrification
de la
sparation
des tches

Transfert vers
le premier
approbateur

Rgles -sparation des tches

Rpertoire des droits daccs

Application vise
Lapplication est
responsable de
mettre en force les
contrles daccs.

Accs
automatiquement
accord

Approbations

Transfert vers
les
approbateurs
additionnels

Approbations

Employ ou systme

Rgles de configuration

GTAG9 Cadres de rfrence


Gestion des identits et des accs
59
CobiT V4

PO4.9 Proprit des donnes et du systme


PO6.1 Politique informatique et environnement de contrle
DS5.3 Gestion des identits
DS5.4 Gestion des comptes utilisateurs

ITIL V3 - Exploitation des services


Gestion des accs

COSOs Internal Control over Financial Reporting Guidance for Smaller Public Companies
Activit de contrles Principe 14

ISO 27002
8 Scurit lie aux ressources humaines
11 Contrle daccs

Questions 1 minute
Gestion des identits et des accs
60

61

GTAG12
Audit des projets
informatiques
(46 pages)

GTAG12 Objectif
Audit des projets informatiques
62

Ce GTAG a pour objectif doffrir aux auditeurs internes et


leur responsable une vue densemble des techniques
permettant de collaborer efficacement avec les quipes de
projet et les instances de pilotage de projet sur lvaluation
des risques lis aux projets TI.
Le champ de la gestion de projet tant extrmement vaste,
lobjectif de ce guide est de dfinir un cadre dvaluation des
risques lis aux projets, de donner des exemples de risques
courants lis la gestion de projet et dtudier comment
laudit interne peut participer activement lexamen des
projets sans perdre son indpendance.

GTAG12 Objectif
Audit des projets informatiques
63

Cinq thmes centraux de laudit

GTAG12 Introduction
Audit des projets informatiques
64

Au sens courant, un projet est un ensemble d'activits, avec


un dbut et une fin dfinis, qui est entrepris pour atteindre un
objectif donn dans des contraintes prcises de calendrier,
de contenu et de ressources.
Aujourdhui, pour dterminer si un projet est un succs, il ne
suffit plus de mesurer si les dlais et le budget ont t
respects. Les projets qui chouent ou qui sont menacs
peuvent avoir un impact considrable sur l'organisation, selon
les besoins mtiers qui les sous-tendent.
Cest la direction gnrale quil incombe de veiller ce
que le projet aboutisse et que les rsultats attendus soient
atteints.

GTAG12 Introduction
Audit des projets informatiques
65

tude CHAOS

GTAG12 10 facteurs de russite


Audit des projets informatiques
66

1.

Participation des utilisateurs Les utilisateurs des directions mtiers et des TI


participent aux principaux processus de ralisation dun consensus, de prise de
dcision et de collecte dinformations.

2.

Soutien de la direction gnrale Les dirigeants assurent la cohrence avec la


stratgie de lorganisation, ainsi quun soutien financier et psychologique et une
assistance dans la rsolution des conflits.

3.

Clart des objectifs de lorganisation Les partenaires comprennent lintrt


intrinsque du projet et sa cohrence par rapport la stratgie de lorganisation.

4.

Souplesse de loptimisation Le projet emploie des processus itratifs de


dveloppement et doptimisation pour viter les lments inutiles et sassurer que les
lments essentiels sont bien intgrs.

5.

Maturit psychologique Le chef de projet gre les motions et les actions des
partenaires du projet et vite certaines attitudes (ambition, arrogance, ignorance,
abstention et dloyaut).

6.

Connaissance de la gestion de projet Lorganisation fait appel des chefs de


projet qui ont les comptences et connaissent les pratiques de base, par exemple
des chefs de projets titulaires de la certification PMP (Project Management
Professional) du Project Management Institute.

GTAG12 10 facteurs de russite


Audit des projets informatiques
67

7.

Gestion financire Le chef de projet est capable de grer les ressources


financires, de justifier le budget ou les dpenses et dexpliquer lintrt du projet.

8.

Comptences des ressources Des personnes comptentes sont recrutes,


diriges, retenues et contrles afin de pouvoir continuer avancer en cas de
problmes de personnel, notamment de rotation du personnel.

9.

Formalisation de la mthodologie Il existe un ensemble prdfini de techniques


bases sur les processus qui constituent une feuille de route o sont indiqus les
vnements qui doivent se produire, quand, comment et dans quel ordre.

10. Outils et infrastructure Linfrastructure du projet est labore et gre laide


doutils permettant la gestion des tches, des ressources, des exigences, des
changements, des risques, des fournisseurs, de ladhsion des utilisateurs et de la
qualit.

GTAG12 Structure dun projet


Audit des projets informatiques
68

GTAG12 Cadres de rfrence


Audit des projets informatiques
69

CobiT V4
PO10 - Grer les projets

ITIL V3 - Conception des services


Plus orient gestion des changements que gestion de projets

COSO
Pas vraiment pertinent pour la gestion de projets

ISO 27002
Plus orient opration et scurit que gestion de projets
12 - Acquisition, dveloppement et maintenance des
systmes dinformation

Questions 1 minute
Audit des projets informatiques
70

Pause
71

Retour dans 15 minutes

72

GTAG2 (2e dition)


Contrles de la gestion du
changement et des patchs :
Un facteur cl de russite
pour toute organisation
(34 pages)

GTAG2 Objectifs
Contrles de la gestion du changement et des patchs
73

Acqurir une connaissance oprationnelle des processus de


gestion des changements informatiques.
Distinguer rapidement les bons processus de gestion des
changements de ceux qui sont inefficaces.
Reconnatre rapidement les indicateurs et signaux dalerte pointant
une dfaillance des contrles lis la gestion des changements.
Prendre conscience que lefficacit de la gestion des changements
repose sur la mise en place de contrles prventifs, dtectifs et
correctifs qui assurent la sparation des fonctions et la supervision
approprie du management.
Recommander les meilleures pratiques connues pour remdier aux
dfaillances afin de vrifier que les risques sont matriss (et que les
contrles sont bien effectus) et daccrotre lefficacit et lefficience.
Faire passer plus efficacement vos recommandations auprs de
votre directeur des systmes dinformation, de votre directeur
gnral ou de votre directeur financier.

GTAG2 Introduction
Contrles de la gestion du changement et des patchs
74

La gestion des changements est lune des disciplines les plus


difficiles mettre en uvre. Elle ncessite une collaboration
entre une quipe pluridisciplinaire compose de
dveloppeurs dapplication, de personnel de lexploitation
informatique et dutilisateurs.
Possder une culture de gestion des changements qui
empche et dissuade de procder des changements non
autoriss est une condition essentielle une gestion efficace
des changements.

GTAG2 Introduction
Contrles de la gestion du changement et des patchs
75

Bnfices dune saine gestion des changements


Consacrer moins de temps et dnergie dans les SI pour des
interventions non planifies.
Consacrer davantage dargent et dnergie dans les SI pour
excuter de nouvelles tches et atteindre les objectifs de
lentreprise.
Connatre moins de priodes dindisponibilit.
tre plus focalis sur les amliorations que sur les rparations
en urgence.
Concerter les efforts sur les priorits du mtier de lentreprise.
Motiver le personnel SI (participer lamlioration des
oprations plutt que dteindre des feux)
Satisfaire les besoins des utilisateurs finaux.

GTAG2 Indicateurs dune mauvaise


gestion des changements
Contrles de la gestion du changement et des patchs

Changements non autoriss


Interruptions de service non prvues
Faible taux de russite du changement
Nombre lev de changements en urgence
Retard dans les dploiements de projets

76

GTAG2 Tches non planifies


Contrles de la gestion du changement et des patchs
77

La limitation des tches non planifies est un indicateur dun


processus efficace de gestion des changements.

On ne peut valuer ce que lon ne mesure pas

GTAG2 Variables cls influenant les


processus de gestion des changements
Contrles de la gestion du changement et des patchs

78

Par le taux de changements, le


taux de russite du changement,
la dure moyenne de reprise
(MMTR)

GTAG2 Cadres de rfrence


Contrles de la gestion du changement et des patchs
79

CobiT V4
AI 6 Grer les changements
AI7 Acqurir et implmenter

ITIL V3
Transition des services / Gestion des changements

Internal Control over Financial Reporting Guidance


for Smaller Public Companies
Gestion des changements

ISO 27002
12 Acquisition, dveloppement et maintenance des systmes
dinformation
12.5.1 Procdures de contrle des modifications

Questions 1 minute
Contrles de la gestion du changement et des patchs
80

81

GTAG14
Auditer les applications
dveloppes par les
utilisateurs (ADU)
(32 pages)

GTAG14 Objectifs
Auditer les applications dveloppes par les utilisateurs (ADU)
82

Identifier la disponibilit dun cadre de contrle qui comprend


une politique, les procdures, linventaire et lvaluation des
risques lgard des applications internes.
Utiliser le cadre de contrle dfini au point 1 afin de dfinir la
population des applications internes tre incluses dans
laudit TI.

GTAG14 Objectifs
Auditer les applications dveloppes par les utilisateurs (ADU)
83

Aider la direction dvelopper un cadre de contrle des


applications internes efficient :
Utiliser des techniques prouves afin didentifier la
population des applications internes.
valuer les risques associs chaque application interne,
bass sur le potentiel dimpact et la probabilit quune
occurrence se produise.

GTAG14 Introduction
Auditer les applications dveloppes par les utilisateurs (ADU)
84

Dfinition Rgle gnrale, ce sont des applications internes


comme des tableurs Excel ou des petites applications comme
Access cres et utilises par les utilisateurs finaux.
Bnfice La plupart des organisations utilisent ce type
dapplications parce quelles sont faciles et moins coteuses
dvelopper et maintenir, en plus de permettre de
contourner les contrles gnraux des TI pour en faciliter et
en acclrer limplantation.
Risque Le contournement des contrles gnraux des TI
pose un risque de confidentialit, dintgrit et de disponibilit
des donnes extraites, calcules, tries et compiles par ce
type dapplication.

GTAG14 Les risques


Auditer les applications dveloppes par les utilisateurs (ADU)
85

Manque de structure lgard du dveloppement, de la


gestion des changements ou de la gestion des versions
Entreposage et gestion de limportation des donnes
Manque dexprience de la personne qui dveloppe
lapplication
Manque de documentation
Insuffisance des contrles touchant lentre et la sortie de
donnes
Tests insuffisants

Est-ce que la personne qui a dvelopp lapplication interne a les connaissances


et lexprience pour grer les risques lis aux applications internes?

GTAG14 Les bonnes pratiques


Auditer les applications dveloppes par les utilisateurs (ADU)
86

Contrles daccs
Contrles des donnes sources
Contrles des donnes sortantes (rsultats)
Contrles lgard de la gestion des changements
Gestion des archives, sauvegardes et versions
Documentation (politiques, procdures, guides)

Les contrles lgard des applications internes sont trs similaires aux contrles
gnraux TI.

GTAG14 Dfinir le primtre daudit


Auditer les applications dveloppes par les utilisateurs (ADU)
87

Dfinir la notion dADU cl


Recenser la population dADU
tablir les facteurs de risques
Classification au risque des ADU

GTAG14 Dfinir la stratgie daudit


Auditer les applications dveloppes par les utilisateurs (ADU)
88

Deux scnarios
1. Le cadre de contrle est efficace

Tester les contrles

Effectuer un test dacheminement

2. Le cadre de contrle est inefficace

Recommander la mise en place de contrles

Rexcution du traitement

Sur base dchantillon

Sur le traitement intgral de lADU en procdant par technique


daudit assist par ordinateur (TAAO)

GTAG14 Cadres de rfrence


Auditer les applications dveloppes par les utilisateurs (ADU)
89
CobiT V4
PO6.2 Cadre de rfrence des contrles et risques
informatiques
AI2.4 Scurit et disponibilit des applications
AI2.7 Dveloppement dapplications

ITIL V3 - Conception des services


Pas un cadre spcifique aux applications internes

COSO
De faon gnrale, cest un sujet important dans le cadre
dun audit de conformit SOX et 52-109

ISO 27002
12 Acquisition, dveloppement et maintenance des systmes
dinformation
11 Contrles daccs
5 Politique de scurit

Questions 1 minute
Auditer les applications dveloppes par les utilisateurs (ADU)
90

91

GTAG8
Audit des contrles applicatifs
(32 pages)

GTAG8 Objectifs
Contrles applicatifs
92

Informer sur les aspects suivants :

Dfinition et avantages des contrles applicatifs

Rle des auditeurs internes

Excution dune valuation des risques

Dlimitation de ltendue de la revue des contrles applicatifs

Approches de la revue des applications et autres considrations

Comprendre la diffrence entre les contrles applicatifs et


les contrles gnraux informatiques (CGTI)

GTAG8 Introduction
Contrles applicatifs
93

Dfinition des contrles applicatifs

Les donnes dentre sont exactes, compltes, autorises et


correctes.

Les donnes sont traites conformment aux objectifs et dans


un dlai acceptable

Les donnes stockes sont exactes et compltes

Les donnes de sortie sont exactes et compltes.

Un enregistrement du processus est conserv.

GTAG8 CGTI versus Contrles applicatifs


Contrles applicatifs
94

Les CGTI sappliquent tous les composants, processus et


donnes des systmes dun organisation.
Les contrles applicatifs sappliquent aux transactions et aux
donnes relatives chaque systme dapplication.
Les CGTI doivent fonctionner efficacement pour que les
contrles applicatifs puissent grer le risque.

GTAG8 Pondration du risque


Contrles applicatifs
95

GTAG8 vidence
Contrles applicatifs
96

On ne peut vrifier ce que lon ne comprend pas

Il est essentiel de comprendre les


fonctionnalits et processus entourant
les contrles applicatifs avant de
commencer laudit.

GTAG8 Audit des contrles applicatifs


Contrles applicatifs
97

valuation du risque

Dtermination de ltendue de la revue en fonction de la mthode du processus


dentreprise ou en fonction de la mthode de lapplication unique

Examen des contrles daccs

laboration du plan de travail

laboration du programme dexamen dtaill

valuation du besoin en ressource spcialise

Ralisation du mandat (tests, documentation et rsultats )

Communication des rsultats

GTAG8 Cadres de rfrence


Contrles applicatifs
98

CobiT V4
Aucun objectif prcis, mais lensemble du cadre peut devenir
un outil essentiel

ITIL V3
Ne sapplique pas vraiment dans le cadre de ce GTAG

COSOs Internal Control over Financial Reporting Guidance for Smaller Public Companies
Cadre descriptif assez complet touchant la question

ISO 27002
Pas de section particulire

Questions 1 minute
Contrles applicatifs
99

100

GTAG13
Prvention et dtection de la
fraude dans un contexte
automatis
(35 pages)

GTAG13 Objectifs
Prvention et dtection de la fraude
101

Ce guide se veut un complment au guide pratique de lIIA


sur laudit interne et la fraude. Il vise informer et guider les
directeurs de laudit interne et les auditeurs internes sur la
faon dutiliser la technologie pour aider prvenir la fraude,
la dtecter et y ragir.
Les principales thmatiques portent sur les risques de fraude
lie aux systmes de TI, lvaluation de ces risques et la
manire dont la technologie peut aider les auditeurs internes
et les autres parties prenantes au sein de lorganisation
composer avec la fraude et les risques de fraude.

GTAG13 Introduction
Prvention et dtection de la fraude
102

Dfinition Tout acte illgal caractris par la tromperie, la


dissimulation ou la violation de la confiance sans quil y ait eu
violence ou menace de violence. Les fraudes sont perptres par
des personnes et des organisations afin dobtenir de largent, des
biens ou des services, ou de sassurer un avantage personnel ou
commercial .
Norme IIA 1210.A2 Les auditeurs internes doivent possder des
connaissances suffisantes pour valuer le risque de fraude et la
faon dont ce risque est gr par lorganisation. Toutefois, ils ne sont
pas censs possder lexpertise dune personne dont la
responsabilit premire est la dtection et linvestigation des
fraudes.
Norme IIA 2060 Rapports au conseil et la direction gnrale
Le responsable de laudit interne doit rendre compte
priodiquement la direction gnrale et au conseil des missions,
des pouvoirs et des responsabilits de laudit interne, ainsi que du
degr de ralisation du plan daudit.

GTAG13 Politique denqute sur


les fraudes
Prvention et dtection de la fraude

Ce que doit comprendre une politique denqute sur les


fraudes

Quand et comment entreprendre une enqute sur fraude


Les documents ncessaires pour faire une enqute sur fraude
Comment choisir les membres de lquipe denqute
La marche suivre pour ajouter des experts lquipe
Comment valuer et attnuer le risque li aux contrles internes
Quand et comment confier lenqute lchelon suprieur
Comment assurer la cohrence et luniformit, de manire ce
que toutes les infractions soient traites de la mme faon
Des directives sur ltape jusqu laquelle lorganisation est prte
pousser lenqute
Les voies de communication utiliser avant, pendant et aprs
lenqute
Des directives sur lampleur des mesures correctives dployer

103

GTAG13 valuation des manuvres


frauduleuses
Prvention et dtection de la fraude

Voici deux mthodes pour valuer le potentiel de manuvres


frauduleuses du point de vue du fraudeur :
1. Mthode axe sur la faiblesse des contrles On value le
potentiel de fraude en examinant les contrles cls pour voir
qui pourrait profiter dune faiblesse dans les contrles et de
quelle manire un fraudeur pourrait contourner un contrle
dficient.
2. Mthode axe sur les champs cls On value le potentiel
de fraude en examinant les donnes saisies, quels champs
peuvent tre manipuls (et par qui) et quelles seraient les
consquences.

104

GTAG13 Grille dvaluation du risque


Prvention et dtection de la fraude
105
Propritaire
dentreprise

Risques de
fraude

TI DSI

Des contrles
physiques
insuffisants du
matriel de TI
donnent lieu des
changements, la
destruction ou
lutilisation illicite
du matriel des
fins
denrichissement
personnel.
(Scurit
physique)

Contrles
Matriel informatique
critique situ dans des
centres de donnes
scuriss
Accs restreint aux
centres de donnes
selon les responsabilits
Utilisation de dispositifs
de scurit varis
(p. ex., carte daccs,
surveillance par camra
en circuit ferm,
gardiens de scurit)
Politiques et procdures
consignes par crit
Maintien dun registre
des visiteurs
Utilisation de cbles de
scurit pour les
ordinateurs portables
Inventaire trimestriel des
postes de travail
Mthodes
dapprovisionnement
officielles

Prvention
ou dtection
Les deux

Surveillance

Probabilit

Incidence

Gestion du centre
de donnes
Prvention des
pertes
Gestion des
risques lis aux TI
Oprations TI
Surveillance
quotidienne des
registres de
visiteurs par les
gestionnaires
Inventaires
priodiques
effectus par la
gestion de lactif
Rapprochement
des comptes
dapprovisionnement
Audit interne

Faible

leve

GTAG13 Acquisitions
Prvention et dtection de la fraude
106

Limportance de lacquisition des donnes :


Assurance de lintgrit des donnes Un professionnel
chevronn doit copier les donnes du disque dur suspect vers
un disque dur de lauditeur.
La chane de preuves Des outils spcialiss assurent que
les donnes nont pas t modifies lors du transfert des
donnes.
Lorganisation de la preuve Des procdures claires et bien
excutes permettent davoir lassurance que la chane de
preuves na pas t brise.

GTAG13 Dtection des fraudes par lanalyse


des donnes (IDEA et ACL)
Prvention et dtection de la fraude

Types de tests de fraude : Des exemples


Types de fraude

Tests servant dcouvrir la fraude

Ventes fictives

Chercher les adresses de botes aux lettres : Faire un


croisement entre ladresse des fournisseurs et des
employs.
Faire attention aux fournisseurs dont les informations sont
similaires, avec mmes adresses et numros de tlphone.

Paiements en double

Chercher les factures avec les mmes numros.


Chercher les factures dont les montants payer sont
identiques.
Vrifier les demandes rcurrentes pour le remboursement
des factures payes deux fois.

Paie un employ ayant


quitt lentreprise

Comparer la date de dpart des employs avec la liste des


chques de paie.
Parcourir la liste des employs sur le registre de la paie.

107

GTAG13 Utilisation de la technologie dans


la prvention et la dtection de la fraude
Prvention et dtection de la fraude

Outils Ex. : EnCase ou FTK


Spcialisation Les auditeurs internes, rgle gnrale,
nont pas ce type dexpertise. Des experts externes sont
souvent utiliss.
Expertise judiciaire Un processus comprenant la
conservation, lidentification, lextraction et la
documentation de matriel et de donnes informatiques
des fins de preuve et danalyse des causes profondes. Voici
des exemples dactivits lies lexpertise judiciaire en
informatique :

Rcupration de courriels supprims;


Surveillance du courrier lectronique en vue de dtecter des
indices de fraude;
Enqute suivant une cessation demploi;
Rcupration de preuves suivant le formatage dun disque dur.

108

GTAG13 Utilisation de la technologie dans


la prvention et la dtection de la fraude
Prvention et dtection de la fraude

Lexpertise judiciaire en informatique Elle permet


dtablir et de maintenir une chane de possession
continue, laquelle est essentielle pour dterminer
ladmissibilit dun lment de preuve devant les tribunaux.
Expertise de lauditeur interne Bien quon ne sattende
pas ce que les directeurs de laudit interne et les auditeurs
internes soient des experts en la matire, les directeurs de
laudit interne doivent avoir une comprhension gnrale
des avantages que procure cette technologie afin de pouvoir
recruter, au besoin, des experts comptents pour collaborer
une enqute sur fraude.

109

GTAG13 Cadres de rfrence


Prvention et dtection de la fraude
110

CobiT V4
Pas vraiment ax sur la fraude

ITIL V3 - Conception des services


Pas vraiment ax sur la fraude

COSO
Sujet abord de faon gnrale et en lien avec le reporting
financier

ISO 27002
Aucune section spcifique sur la fraude, lensemble du
document traite de faon gnrale de la fraude

Questions 1 minute
Prvention et dtection de la fraude
111

112

GTAG15
Gouvernance de la scurit de
linformation (GSI)
(28 pages)

GTAG15 Objectifs
Gouvernance de la scurit
113

Ce guide fournit une rflexion et une approche aux responsables


de la vrification interne TI afin que le plan daudit TI incorpore
des mesures touchant la gouvernance de la scurit de
linformation TI (attitudes, pratiques, etc.) :
Identifier et dfinir les mesures de gouvernance lgard de
la scurit de linformation.
Aider les auditeurs internes TI afin ceux-ci posent les bonnes
questions et connaissent quels types de documents sont
requis.
Dcrire le rle de lauditeur interne TI lgard de la
gouvernance de la scurit de linformation.

GTAG15 Introduction
Gouvernance de la scurit
114

Dfinition La gouvernance de la scurit de linformation


consiste au leadership, la structure organisationnelle et aux
processus qui assurent que le systme dinformation de
lentreprise supporte les stratgies et les objectifs de
lorganisation.
Gouvernance Les TI ne sont pas les seules dpositaires
de la gouvernance de la scurit de linformation, mais en
termes dimpact, elles devraient tre la premire place
investiguer.
Comprhension Dpendant des entreprises, la
comprhension dune bonne gouvernance de la scurit de
linformation peut tre trs diffrente.

GTAG15 Introduction
Gouvernance de la scurit
115

Information Security Governance Triangle

GTAG15 Responsabilits
Gouvernance de la scurit
116

Le conseil dadministration donne le ton en ce qui a trait la gouvernance de la


scurit de linformation.

GTAG15 Risques
Gouvernance de la scurit
117

Non-respect des diffrentes rglementations


Atteinte la rputation de lentreprise
Perte de comptitivit
Donnes incompltes ou inexactes
Augmentation du risque de fraude

Il est important pour lauditeur interne IT de comprendre le niveau dapptence


du risque de lorganisation et du conseil dadministration.

GTAG15 Auditeur TI
Gouvernance de la scurit
118

Afin de performer un audit touchant la gouvernance de la scurit


de linformation, lauditeur TI doit tre :
Trs expriment et aguerri;
laise avec les concepts de gouvernance;
En mesure dvaluer les risques internes et externes;
laise pour communiquer avec la direction et la haute
direction.
La direction de la laudit interne doit tre implique dans ce type
daudit.

Lauditeur TI doit tre une personne ayant une vision large des enjeux de scurit,
de gestion et de gouvernance dans un cadre global.

GTAG15 Cadres de rfrence


Gouvernance de la scurit
119

CobiT V4
Lensemble de la famille PO - Planifier et organiser

ITIL V3 - Conception des services


La famille Dfinition stratgique pourrait aider
comprendre certains volets touchant la gouvernance

COSO
De faon gnrale, cest un sujet important dans le cadre
dun audit de conformit SOX et 52-109

ISO 27002
Cadre davantage oprationnel que de gouvernance. Pas
vraiment appropri pour ce type daudit

Questions 1 minute
Gouvernance de la scurit
120

121

GTAG17
Audit de la gouvernance TI
(24 pages)

GTAG17 Objectifs
Audit de la gouvernance TI
122

But du guide Permettre lquipe daudit interne de


respecter la norme 2110 de lIIA.

GTAG17 Introduction
Audit de la gouvernance TI
123

Ce guide fournit une rflexion et une approche aux responsables


de la vrification interne TI afin que le plan daudit TI incorpore
des mesures touchant la gouvernance des technologies de
linformation afin de :
identifier et dfinir les processus et structures implants par le
CA pour informer,
diriger,
grer,
surveiller (monitoring) les activits de lorganisation afin de
respecter les objectifs organisationnels dfinis par le CA.

Le conseil dadministration (CA) est lultime entit responsable de latteinte des


objectifs organisationnels.

GTAG17 Introduction
Audit de la gouvernance TI
124

GTAG17 Introduction
Audit de la gouvernance TI
125

Les cinq composantes touchant la gouvernance TI

GTAG17 Organisation et structure de gouvernance


Audit de la gouvernance TI
126

Imputabilit
Communication
La structure de gouvernance doit tre aligne avec la
structure organisationnelle
Implication des managers TI dans les dcisions stratgiques
Place des TI dans lorganisation
Dfinition des rles et responsabilits

GTAG17 Support et leadership


Audit de la gouvernance TI
127

Vision claire de la haute direction


Communication claire lgard des objectifs TI (ex. : ROI)
Les TI doivent tre vues comme un lment stratgique, pas
juste un cot
Plan stratgique qui oriente les actions TI
Rles et responsabilits du dirigeant TI senior (CIO)
CIO impliqu dans lquipe de direction

GTAG17 Planification stratgique et oprationnelle


Audit de la gouvernance TI
128

Gouvernance TI en lien avec le plan stratgique


CIO responsable du plan tactique align sur plan stratgique
Plan tactique = Comment accomplir les objectifs dfinis et
comment mesurer leurs atteintes
Les TI doivent mesurer comment elles contribuent latteinte
du plan stratgique
Les TI doivent tre perues comme un partenaire
stratgique dans latteinte des objectifs organisationnels
Notion de valeur lgard des investissements TI (ROI)

GTAG17 Livrables et mtriques


Audit de la gouvernance TI
129

Modle financier et mtriques TI


Utilisation de donnes justes
Compilation de donnes pertinentes
valuation quantitative et qualitative
Satisfaction des parties prenantes fait partie des mtriques
Systme de cots adquat et pertinent
Comparaison (benchmark) avec dautres organisations
comparables

GTAG17 Organisation TI et gestion du risque


Audit de la gouvernance TI
130

Succs TI en lien avec le leadership de la haute direction et


du CA
Gestion des risques adquate (humain, technique, etc.)
Niveau de maturit des processus TI
Niveau de complexit des oprations, applications, etc.
Niveau de normalisation des diffrents processus
Organisation des TI
Niveau dexpertise et dexprience

GTAG17 Cadres de rfrence


Audit de la gouvernance TI
131

CobiT V4
Lensemble de la famille PO - Planifier et organiser

ITIL V3 - Conception des services


La famille Dfinition stratgique pourrait aider
comprendre certains volets touchant la gouvernance

COSO
De faon gnrale, cest un sujet important dans le cadre
dun audit de conformit SOX et 52-109

ISO 27002
Cadre davantage oprationnel que de gouvernance. Pas
vraiment appropri pour ce type daudit

Questions 1 minute
Audit de la gouvernance TI
132

133

GTAG6
Grer et auditer les
vulnrabilits des
technologies de linformation
(21 pages)

GTAG6 Objectifs
Vulnrabilits TI
134

Poser les bonnes questions aux spcialistes de la scurit


des TI (DSSI) lors de lexamen des procdures de gestion
des vulnrabilits.
Ce guide touche le monde de la scurit (intrusion, dtection,
virus, etc.).

GTAG6 Introduction
Vulnrabilits TI
135

Chaque jour, on dcouvre plus de 12 vulnrabilits dans les


matriels et logiciels.

La gestion des vulnrabilits devient une priorit absolue.

Les auditeurs internes doivent confirmer que le conseil


dadministration a bien t inform des menaces ou incidents
survenus, des faiblesses exploites et des mesures correctives.

Les auditeurs internes formulent des recommandations.

GTAG6 Cycle de gestion des vulnrabilits


Vulnrabilits TI
136

GTAG6 Indicateurs
Vulnrabilits TI
137

GTAG6 Cadres de rfrence


Vulnrabilits TI
138

CobiT V4
DS5 Assurer la scurit des systmes
DS10 Grer les problmes

ITIL V3 - Exploitation des services (Service Operation)

Gestion des requtes


Gestion des vnements
Gestion des accs
Gestion des problmes
Gestion des incidents

La gestion des risques de lentreprise Cadre de


rfrence
Cadre gnral

ISO 27002

Section 6 Organisation de la scurit de linformation


Section 4 Apprciation et traitement du risque
Section 10.1.2 Gestion des modifications
Section 10.8.5 Systmes dinformation dentreprise
section 12.6 Gestion des vulnrabilits techniques

GTAG6 Rfrences autres


Vulnrabilits TI
139
Common Vulnerability Scoring System (CVSS)
Le CVSS est un rfrentiel ouvert qui permet aux utilisateurs
de classer les vulnrabilits des TI en fonction de niveaux de
gravit standardiss entre diffrents fournisseurs et de les
hirarchiser suivant le risque quelles induisent pour leur
organisation

The Laws of Vulnerabilities


Cette tude dcrit les six axiomes relatifs au comportement
des vulnrabilits qui se dgagent dun projet de recherche
long terme

National Vulnerability Database (NVD)


La NVD est une vaste base de donnes amricaine sur la
cyberscurit. Elle inclut toutes les informations sur la
vulnrabilit publies par les tats-Unis

SANS Top 20
Les 20 failles de scurit sur Internet les plus critiques sont
prsentes dans un document vivant, avec des instructions
dtailles

Questions 1 minute
Vulnrabilits TI
140

141

GTAG10
Gestion de la continuit
dactivit
(48 pages)

GTAG10 Objectifs
Gestion de la continuit dactivit
142

Le prsent guide dcrit les connaissances dont doivent


disposer les membres des organes de direction,
lencadrement et les auditeurs internes pour apprhender
lefficacit des dispositifs de reprise dactivit et leur impact
sur lentreprise.
Ce GTAG a t rdig en tenant compte du point de vue du
responsable de laudit interne. Ce dernier a la tche difficile de
sensibiliser les chefs dentreprise aux risques, aux contrles,
aux cots et aux avantages lis ladoption dun programme
de gestion de la continuit.

GTAG10 Introduction
Gestion de la continuit dactivit
143

Il appartient au responsable de laudit interne de signaler les


carences de la gestion de la continuit la direction et au comit
daudit.

La gestion de la continuit dactivit est le processus par lequel une


organisation se prpare des incidents futurs qui pourraient
menacer sa mission principale et sa viabilit long terme.

Ces incidents peuvent tre des vnements locaux (ex. : lincendie


dun btiment, rgionaux (ex. : un sisme) ou nationaux (ex. : une
pandmie).

GTAG10 Questions cls


Gestion de la continuit dactivit
144

Trois questions simples, mais fondamentales, concernant la


continuit dactivit :
1. La direction de lorganisation comprend-elle bien le niveau actuel de risque de noncontinuit dactivit, ainsi que limpact potentiel de tel ou tel degr probable
dinterruption des oprations?
2. Lorganisation peut-elle dmontrer que les risques de non-continuit de lactivit sont
ramens un niveau acceptable aux yeux de la direction et font priodiquement lobjet
dune nouvelle valuation?
3. Si le risque de non-continuit de lactivit est inacceptable, mais que lencadrement a
dcid de lassumer, les actionnaires, les partenaires commerciaux et autres acteurs
sont-ils au courant de cette dcision de ne pas rduire le risque? Cette dcision
daccepter le risque est-elle correctement documente?

Si la rponse lune de ces questions est non , le prsent guide sera


srement trs utile!

GTAG10 Gestion des situations


durgence
Gestion de la continuit dactivit

145

GTAG10 Catastrophes naturelles


Gestion de la continuit dactivit
146

GTAG10 Diagramme de ralisation


dun plan de continuit des affaires
Gestion de la continuit dactivit

147

Implication de la direction dans le plan de continuit des affaires


1. Btir un plan daffaire et comprendre sa valeur
2. tablir un plan de continuit des affaires

Effectuer une valuation du risque de la continuit des affaires


1. valuer limpact des vnements pouvant causer des interruptions
2. Dvelopper des stratgies pour minimiser limpact des risques sur la continuit

Effectuer une valuation dimpact des affaires


1. Identifier les processus daffaire cls
2. Dfinir les dlais de recouvrement pour les processus cls identifis
3. Identifier le recouvrement des ressources physiques (ex: aires de travail)

Dfinir la stratgie de continuit et le


recouvrement des affaires
1. Dfinir les besoins en ressources humaines
2. Dfinir les sources dapprovisionnement critiques
3. Dfinir les aires de travail requises pour le recouvrement

tablir un plan de relve informatique


1. Comprendre les besoins en recouvrement des affaires
2. Slectionner les solutions de recouvrement et les sites de
recouvrement

Dployer, vrifier et maintenir le plan de continuit des affaires


1. Renseigner le personnel sur le plan de la continuit des affaires et former ce personnel
2. Tester le plan
3. Maintenir le plan

GTAG10 Comprendre la DMIA et le DPMA


Gestion de la continuit dactivit
148

GTAG10 Cadres de rfrence


Gestion de la continuit dactivit
149

CobiT V4
DS4 Assurer un service continu

ITIL V3 - Conception des services


Gestion de la continuit

COSO
Nest pas un enjeu dans le monde de COSO

ISO 27002
14 Gestion du plan de continuit de lactivit

Questions 1 minute
Gestion de la continuit dactivit
150

151

GTAG7
Linfogrance
(37 pages)

GTAG7 Objectifs
Infogrance
152

Quest-ce que le service daudit interne doit prendre en


compte
Les diffrents types dinfogrance
Comprendre le cycle de vie et les modalits

GTAG7 Introduction
Infogrance
153

Linfogrance est souvent dfinie comme le recours des


prestataires de services ou des fournisseurs afin quils crent,
maintiennent ou rorganisent larchitecture et les systmes
informatiques dune entreprise.

Ne pas impartir :

la gouvernance des SI;

la gestion du portefeuille dinvestissements informatiques;

la gestion des contrats.

Lentreprise reste vulnrable aux risques informatiques.

Les auditeurs internes jouent un rle proactif dans la supervision


de la performance.

GTAG7 Types dinfogrance


Infogrance
154

La tierce maintenance applicative

La gestion des infrastructures

Le soutien technique

Les services indpendants de tests et de validation

La gestion des centres de traitement de donnes

Lintgration de systme

Lhbergement et la maintenance des sites Web

Les services de scurit grs

Linformatique dans les nuages

GTAG7 Cycle de vie : Risques et contrles


Infogrance
155

Stratgie et valuation de tierces parties


Processus de dcision et analyse de rentabilit
Processus dappel doffres et contrats
Implmentation et transition
Surveillance et rapport
Rengociation
Rversibilit

GTAG7 Efficacit du prestataire


Infogrance
156

Comprhension de ltendue de la prestation

Domaines darchitectures

Modle de gouvernance utilit par le prestataire (silo ou fonction)

Contrles gnraux TI

Composantes de la gestion du service TI

Audit interne

GTAG7 Cadres de rfrence


Infogrance
157
CobiT V4

E2 Surveiller et valuer le contrle interne


SE3 Sassurer de la conformit aux exigences externes
DS2 Grer les services tiers
DS5 Assurer la scurit des systmes
AI5 Acqurir des ressources informatiques

ITIL V3
Ne sapplique pas vraiment dans le cadre de ce GTAG

La gestion des risques de lentreprise Cadre de


rfrence
Cadre gnral

ISO 27002

6.2 Tiers
6.2.1 Identification des risques provenant des tiers
6.2.2 La scurit et les clients
6.2.3 La scurit dans les accords conclus avec des tiers
8.1.1 Rles et responsabilits

GTAG7 Rfrences autres


Infogrance
158
NCMC 3416
La prsente NCMC porte essentiellement sur les contrles
d'une socit de services qui sont susceptibles d'tre
pertinents pour le contrle interne de l'information financire
des entits utilisatrices

SSAE 16
Lquivalent du NCMC 3416 du ct amricain

Questions 1 minute
Infogrance
159

160

GTAG5
Le management et laudit des
risques datteinte la vie
prive
(43 pages)

GTAG5 Objectifs
Vie prive
161

Les dfenseurs de la vie prive ont voulu que chaque


citoyen :
Puisse matriser qui dtient des informations sur eux ainsi
que le type d'information personnelle dtenue
Puisse matriser l'usage qui est fait de cette information

GTAG5 Introduction
Vie prive
162

La protection des renseignements personnels a plusieurs formes,


dpendant des juridictions :

Au Qubec pour les organismes publics Loi sur l'accs aux


documents des organismes publics et sur la protection des
renseignements personnels, et Rglement sur la diffusion de
l'information et sur la protection des renseignements personnels

Au Qubec pour les organismes privs Loi sur la protection des


renseignements personnels dans le secteur priv

Au Canada pour les organismes publics Loi Fdrale sur la


protection des donnes

Il faut porter attention aux lois des diffrents pays, chaque pays
ayant ses propres lois

GTAG5 Risques lis vie prive


Vie prive
163

Risque de nuire l'image l'organisation


Perte financire ou dinvestisseurs potentiels
Sanctions rglementaires
Accusation de pratiques dloyales
Perte de confiance auprs des clients, des citoyen ou des
employs
Perte de clients et de revenus
Relation daffaires ternies

GTAG5 Avantages dun audit de la vie prive


Vie prive
164

Faciliter la conformit aux lois et rglements


Mesurer et aider amliorer la conformit de la protection des
donnes
Identifier les diffrence entre les politiques et la pratique
Augmenter le niveau de sensibilisation la protection des
donnes entre la direction et le personnel
Donner de lassurance sur le risque de rputation
Amliorer les procdures pour rpondre aux plaintes de
confidentialit

GTAG5 Exemples impactant laudit


Vie prive
165

Changements dans les lois et rglements


Information gre par les tiers ou dans linformatique
dans les nuages
Maturit des politiques, procdure et pratiques de
confidentialit
Nouvelles technologies utilises

GTAG5 Audit de la protection de la vie


prive
Vie prive

166

valuation des

risques

Risques juridiques et organisationnels


Risques lis linfrastructure
Risques lis aux applications
Risques lis aux processus oprationnels

Prparation de
la mission

valuation de la protection de la vie prive


Comprendre le traitement des donnes personnelles
Reprer les menaces
Identifier les contrles et les contre-mesures
Classement par ordre de priorit

valuer le dispositif de protection des donnes


valuer les vulnrabilits et faire des tests dintrusion
Tests des contrles physiques
Test dingnierie social

valuation

Consulter le conseiller juridique sur les violations potentielles


mettre le rapport
Communiquer Faire le suivi des recommandations
les rsultats

GTAG5 Les 12 questions


Vie prive
167

1. Est-ce que lorganisation a un conseil dadministration en


place pour traiter du niveau de risque acceptable face la
vie prive?
2. Quel est le niveau de risque acceptable pour la direction?
3. quelles lgislation et rglementation lorganisation est-elle
soumise en matire de protection de la vie prive?
4. Quelles sont les informations caractre personnel que
collecte lorganisation?
5. Lorganisation sest-elle dote de politiques et de procdures
pour la collecte, lutilisation, la conservation, la destruction et
la divulgation des informations personnelles?
6. Lorganisation a-t-elle dsign un responsable pour la
gestion de son dispositif de protection de la vie prive?

GTAG5 Les 12 questions (suite)


Vie prive
168

7. Lorganisation sait-elle o sont stockes toutes les donnes


personnelles?
8. Comment sont protges les informations personnelles?
9. Les salaris sont-ils correctement sensibiliss et forms par
rapport la protection des donnes personnelles?
10. Lorganisation dispose-t-elle des ressources adquates pour
laborer, mettre en uvre et actualiser un programme?
11. Lorganisation procde-t-elle une valuation priodique de
la mise en application de ses politiques et procdures de
protection de la vie prive?
12. Certaines informations personnelles sont-elles communiques
des tiers?

GTAG5 Cadres de rfrence


Vie prive
169
CobiT V4

DS5 Assurer la scurit des systmes


SE3 Sassurer de la conformit aux obligations externes
PO2.3 Systme de classification des donnes
PO7 Grer les ressources humaines de l'informatique
DS11.4 Mise au rebut

ITIL V3
ITIL nest pas un rfrentiel daudit. Ce sujet nest pas abord
par ce rfrentiel

La gestion des risques de lentreprise Cadre de


rfrence
Cadre gnral

ISO 27002
Section 6 Organisation de la scurit de linformation

Questions
(10 minutes)
170

Mot de la fin
171

Corey Anne Bloom


514 393-4835
bloom.coreyanne@rcgt.com
Gilles Savard
514 954-4624
Savard.Gilles@rcgt.com
Olivier Legault
514 954-4685
Legault.Olivier@rcgt.com
Francis LeBlanc-Gervais
514 390-4137
Leblanc-Gervais.Francis@rcgt.com