Audit .

/ PDA

Visa
Rdig par Approuv par

Nom

Date

Personnes concernes

Fonction

I*

pour Prsent, Contrle, pour Action, pour Information

Objet du questionnaire (ou de lentretien) : Organisation, scurit et fia ilit du s!st"me d#information compta le et financier $gnrale et au%iliaire&.

'()*+,O-*

O(,

-O-

O.*)R/A+,O-*

I - Organisation gnrale du systme dinformation (SI) )%iste0t0il une cartograp1ie $liste& des *, utiliss au sein de l#entit 2 Dans l#affirmative, produire cette cartograp1ie

Dans le cas contraire, faire ta lir la liste des principales applications participant 3 la gestion compta le et financi"re $cf. ta leau en anne%e&. 'uelles sont les principales applications mtier 2

4erci de renseigner les deu% ta leau% en fin de 5uestionnaire ,ndi5ue6 les principales fonctionnalits de ces applications mtier .

070

'()*+,O-* 'uelle application informati5ue de gestion compta le votre ta lissement utilise0t0il 2

O(,

-O-

O.*)R/A+,O-*

Prcise6 sa date de dveloppement / ac5uisition ainsi 5ue la date de mise en service de ses diffrentes versions.

II - Gestion du servi e informatique (n organigramme fonctionnel a0t0il t la or pour le service informati5ue de l#ta lissement 2

'uand a0t0il t actualis pour la derni"re fois 2

!emettre e do ument louverture de laudit$

au"

auditeurs

8omment sont articules les activits 9 d#anal!se

de dveloppement

d#intgration

d#e%ploitation

d#assistance au% utilisateurs de scurit informati5ue

)%iste0t0il une fonction de gestion du s!st"me d#information ddie au pilotage du s!st"me d#information et 3 la gestion prvisionnelle des pro:ets et des ressources 2

/otre ta lissement dispose0t0il notamment d#un comit de pilotage informati5ue 2

8ertaines fonctions du s!st"me d#information ont0 elles t e%ternalises2

0;0

'()*+,O-* Dans l#ta lissement, 5uelle$s& structure$s& a $ont& la c1arge des missions suivantes 9

O(,

-O-

O.*)R/A+,O-*

s#assurer de la co1rence entre les plans informati5ues $3 court et long terme& et les o :ectifs de l#ta lissement 2

approuver les ac5uisitions importantes mati"re de s!st"me d#information 2

en

surveiller les pro:ets informati5ues $notamment le dveloppement des applications& 2

anal!ser et approuver les plans d#e%ternalisation de certaines fonctions du s!st"me d#information 2

contrler l#utilisation informati5ues 2

des

ressources

veiller sur le respect de la politi5ue de scurit $p1!si5ue et logi5ue& du s!st"me d#information 2

<#ta lissement voluant, tout comme son environnement tec1ni5ue, 5uelle structure est en c1arge de la conduite du c1angement en mati"re de s!st"me d#information 2

)%iste0t0il dans votre ta lissement une fonction d#officier de scurit c1arg 9

lors de la conception du s!st"me, de s#assurer 5ue la politi5ue de scurit est respecte et de conseiller les acteurs du dveloppement sur les mesures de scurit 3 incorporer au s!st"me =

dans le cadre de son e%ploitation courante, de surveiller le s!st"me d#information.

III - %ormation et &o umentation te 'nique et utilisateur s( le SI om)table et finan ier <es utilisateurs actuels des applications ont0ils re>u une formation initiale spcifi5ue 2

Prcise6 si possi le par utilisateur 9

0?0

'()*+,O-* 'uand 2

O(, Anne 9

-O-

O.*)R/A+,O-*

'uelle a t la dure de cette formation 2

Depuis 5uand les utilisateurs actuels travaillent0ils sur les diffrentes applications 2 )%priment0ils le esoin d#une formation complmentaire 2

Anne 9

<es utilisateurs disposent0ils d#une documentation 2 Prcise6 pour c1a5ue application

*i oui, 5uel est le support $papier, dmatrialis..&

Prcise6 pour c1a5ue application

<a documentation contient0elle 9 0 une description de l#application 2 0 les procdures d#utilisation des fonctionnalits2 0 les conditions et les procdures de saisie et de mise 3 :our des donnes 2 0 les procdures concernant les tats de sortie 2 0 une description des tats de sortie 2 0 une description des rapports de contrle 2 0 les procdures d#entre dans les ases de donnes 2 <a documentation tec1ni5ue a t#elle t produite 2

'ui est c1arg de produire la documentation tec1ni5ue 2

<a documentation utilisateur et/ou le manuel de procdures sont0ils facilement accessi les et e%ploita les 2

8ouvrent0ils tous les aspects du s!st"me 2

)%iste0t0il des procdures de mise 3 :our de la documentation tec1ni5ue et utilisateur lors5ue des modifications sont effectues 2

I* - S urit du SI om)table et finan ier

0@0

'()*+,O-*

O(,

-O-

O.*)R/A+,O-*

1- Analyse des risques et politique globale de protection du systme dinformation Ave60vous procd 3 une anal!se des ris5ues lis au dploiement du s!st"me d#information dans votre ta lissement 2 8ette anal!se a0t0elle t formalise 2 !emettre e do ument louverture de laudit$ au" auditeurs #

Au terme de cette anal!se, ave60vous dfini une politi5ue de gestion des ris5ues lis 3 l#e%ploitation du s!st"me d#information

8ette politi5ue a0t0elle t formalise dans un document de rfrence mis 3 la disposition des personnels concerns 2

!emettre e do ument louverture de laudit$

au"

auditeurs

8ette politi5ue de gestion des ris5ues lis au s!st"me d#information a0t0elle amen la Direction de votre ta lissement 3 dcider de la mise en Auvre de procdures et dispositifs permanents portant sur les domaines suivants 9

protection du informationnels

patrimoine

et

des

actifs

conformits au% lois et r"glements en vigueur

prvention et dtection des fraudes

Prcise6 votre rponse. 2. Scurit logique (identification et authentification des utilisateurs a !olitique gnrale )%iste0t0il une politi5ue de scurit logi5ue formalise permettant la mise en Auvre de r"gles de scurit communes et 1omog"nes entre les diffrentes entits utilisatrices du s!st"me d#information de l#ta lissement 2

!emettre e do ument louverture de laudit$

au"

auditeurs

8e document a0t0il t diffus 3 l#ensem le des utilisateurs du s!st"me d#information 2

<#ta lissement proc"de0t0il 3 une valuation priodi5ue de la scurit logi5ue de son s!st"me

0B0

'()*+,O-* d#information 2

O(,

-O-

O.*)R/A+,O-*

*elon 5uelle priodicit 2

'ui est c1arg de cette tCc1e 2

*elon 5uelle procdure sont alors traites les propositions d#amlioration 2

De fa>on plus gnrale, 5u#est0ce 5ui, selon vous, contri ue 3 la 5ualit du dispositif actuel de scurit logi5ue 2

Prcise6 votre rponse.

'u#est0ce 5ui, 3 l#inverse, constitue une fai lesse dans le dispositif actuel de scurit logi5ue 2

Prcise6 votre rponse.

'uelles sont selon vous les mesures 3 prendre pour renforcer ce dispositif 2

b Autorisation daccs au systme dinformation " identification des utilisateurs )%iste0t0il un s!st"me dDidentification de c1a5ue utilisateur 9

Pour l#acc"s au rseau local de l#ta lissement

Pour l#acc"s au rseau ,nternet

Pour l#acc"s au% applications en tlgestion

Pour l#acc"s au% applications, donnes et programmes stocEs sur la station de travail de l#utilisateur

Pour l#acc"s au s!st"me d#e%ploitation et au% donnes sensi les des ases / du s!st"me

0F0

'()*+,O-* Prcise6 votre rponse.

O(,

-O-

O.*)R/A+,O-*

'ui attri ue et dfinit les crit"res d#identification 2 $code utilisateur& 9 le c1ef de service ou son ad:oint 2 un agent du service informati5ue 2 l#intress lui0mGme 2

<es droits sont0ils en co1rence avec les fonctions e%erces 2

)%iste0t0il dans le s!st"me informati5ue des 1a ilitations en surnom re / personnels rfrencs dans l#organigramme 2

)%iste0t0il des 1a ilitations multi0droits / super0 utilisateur 2

A 5ui ont0elles t attri ues 2

)%iste0t0il des 1a ilitations au mode modification au nfice d#agents 5ui ne devraient disposer 5ue d#un mode consultation 2

<es demandes d#autorisation d#acc"s au s!st"me d#information manant des c1efs de service sont0 elles s!stmati5uement formalises 9

Pour les nouveau% l#ta lissement

arrivants

dans

Pour les personnels muts

<es nouvelles autorisations d#acc"s au s!st"me d#information donnent0elles s!stmati5uement lieu 3 la signature par les agents d#une attestation de reconnaissance de responsa ilit, par la5uelle ils s#engagent 3 respecter les r"gles de scurit dfinies par l#ta lissement 2

0H0

'()*+,O-* <es demandes de suppression des autorisations d#acc"s au s!st"me d#information sont0elles s!stmati5uement formalises lors de la cessation de fonction

O(,

-O-

O.*)R/A+,O-*

d#un agent

d#une personne e%er>ant des fonctions 3 titre temporaire

<a cessation de fonctions donne0t0elle s!stmati5uement lieu 3 la clture de l#attestation de reconnaissance de responsa ilit 2

*elon 5uelle priodicit l#ta lissement ralise0t0il une revue des droits d#acc"s au s!st"me d#information accords 2

'ui effectue cette tCc1e 2

<a revue des droits d#acc"s donne0t0elle lieu 3 un rapproc1ement des trois lments suivants 9

organigramme

liste des droits d#acc"s

droits effectivement ouverts dans le s!st"me d#information

)%iste0t0il des droits inactifs $codes utilisateurs ouverts mais non utiliss& 2

<es documents :ustifiant l#ouverture des droits d#acc"s au s!st"me d#information sont0ils arc1ivs 9

par les services demandeurs / la Direction par le service informati5ue

c Autorisation daccs au systme dinformation " authentification des utilisateurs )%iste0t0il un s!st"me dDaut1entification c1a5ue utilisateur de lDapplication 9 pour

Pour l#acc"s au rseau local de l#ta lissement

Pour l#acc"s au rseau ,nternet

0I0

'()*+,O-*

O(,

-O-

O.*)R/A+,O-*

Pour l#acc"s au% applications en tlgestion

Pour l#acc"s au% applications, donnes et programmes stocEs sur la station de travail de l#utilisateur

Pour l#acc"s au s!st"me d#e%ploitation et au% donnes sensi les des ases / du s!st"me

Prcise6 votre rponse. )%iste0t0il dans les applications informati5ues un s!st"me d#aut1entification spcifi5ue pour la validation d#oprations sensi les $e% 9 code validant diffrenci d#un code saisissant 3 l#intrieur d#une application 2&

Pour c1acun des aspects vo5us dans les deu% 5uestions prcdentes, 5ui attri ue et dfinit les crit"res d#aut1entification 2

'uels sont les crit"res 3 respecter en mati"re de c1oi% du mot de passe $nom re et nature des caract"res, li ell diffrent des mots prcdents, etc.& 2

<es mots de passe apparaissent0ils en clair lors de leur saisie dans certaines des applications utilises par l#ta lissement 2

<es mots de passe renouvellement rgulier 2

font0ils

l#o :et

d#un

*elon 5uelle priodicit 9 Je domadaire 2 4ensuelle 2 +rimestrielle 2 *emestrielle 2 Autre 2 $prcise6& 'ui les modifie 2

De 5ui ces mots de passe sont0ils connus 2

)%iste0t0il un suivi $registre papier, fic1ier informati5ue& des acc"s 3 lDapplication tenu dans l#ta lissement 2

0K0

'()*+,O-*

O(,

-O-

O.*)R/A+,O-*

*i oui, par 5ui est0il suivi 2

)%iste0t0il un enregistrement des tentatives dDacc"s 3 lDapplication non autorises, disponi le dans l#ta lissement 2

*i oui, cet enregistrement fait0il lDo :et dDun suivi et dDun rapport priodi5ue 2 0 3 la Direction 0 au service informati5ue 0 au% c1efs de service Des instructions interdisant la programmation de touc1es du clavier automatisant la procdure de saisie du mot de passe ont0elles t donnes 2

Ont0elles t formalises 2

+out utilisateur du s!st"me d#information est0il s!stmati5uement dconnect apr"s plusieurs tentatives dDacc"s infructueuses 2

<a ractivation de son compte utilisateur ncessite0 t0il l#intervention d#une tierce personne $c1ef de service, agent du service informati5ue& 2

<es terminau% ddis 3 lDapplication sont0ils automati5uement dsactivs apr"s une priode dDinactivit donne au cours d#une mGme session de travail2

*i oui, apr"s 5uelle dure de non0utilisation 2

'uelles sont, selon vous, les principales forces et fai lesses du s!st"me d#information de votre ta lissement en mati"re de scurit logi5ue 2

Prcise6.

'uels ont t les mo!ens de sensi ilisation utiliss 9 aupr"s de l#encadrement 2 aupr"s des agents oprationnels2

0 7L 0

'()*+,O-* <#encadrement effectue t0il des contrles de traces 2

O(,

-O-

O.*)R/A+,O-*

Dispose t0on de restitutions 2

A 5ui sont0elles transmises 2

'uelles sont les suites 3 donner 3 ces contrles 2

#. Scurit physique du systme dinformation <a Direction de l#ta lissement a0t0elle dfini une politi5ue de scurit p1!si5ue 2 8elle0ci a0t0elle t formalise au travers d#un document diffus 3 l#ensem le des agents de l#ta lissement 2

!emettre e do ument louverture de laudit$

au"

auditeurs

<a Direction de l#ta lissement a0t0elle fait le c1oi% de mettre en place des stations de travail microinformati5ues sans dis5ues et sans ports (*. et en rseau scuris 2

De fa>on plus gnrale, 5u#est0ce 5ui, selon vous, contri ue 3 la 5ualit du dispositif actuel de scurit p1!si5ue 2

Prcise6 votre rponse.

'u#est0ce 5ui, 3 l#inverse, constitue une fai lesse dans le dispositif actuel de scurit p1!si5ue 2

Prcise6 votre rponse.

'uelles sont selon vous les mesures 3 prendre pour renforcer ce dispositif 2

Ave60vous mis en place un dispositif s#appu!ant sur des contrles tec1ni5ues effectus par un e%pert $organisme de contrle spcialis& s/ les scurits logi5ues du *, 2

0 77 0

'()*+,O-* *i oui 9 0 'uelle est la fr5uence des contrles e%trieurs 2

O(,

-O-

O.*)R/A+,O-*

0 'uelle est la date du dernier contrle 2

!emettre le om)te-rendu du dernier ontr+le au" auditeurs # louverture de laudit$ <es dispositions crites prvoient0elles la redondance de certains 5uipements / matriels d#environnement 2 )% 9 climatisation, 5uipements lectri5ues tels 5ue les dis:oncteurs, groupes lectrog"nes, onduleurs, etc.

'uelles ont t les suites donnes par l#ta lissement au% anomalies 5ui ont t dtectes par la structure de contrle spcialise 2

8omment ont0elles t formalises 2

!emettre les do uments de formalisation au" auditeurs # louverture de laudit$ 'uels sont les dispositifs de scurit mis en place pour garantir 9 la scurit des acc"s au% matriels informati5ues sensi les de l#entit $serveurs& 9 adges magnti5ues, clefs, etc 2 'uelle est la fr5uence de c1angement des codes d#acc"s au% locau% informati5ues $digicodes& 2 la scurit contre les dgCts naturels 2

8omment le contrle des acc"s au% installations informati5ues est0il suivi $tenue de :ournau% d#acc"s, de listes de possesseurs de adges magnti5ues ou de clefs, etc.& 2 8omment est assure la protection contre les intrusions logicielles 2

8omment est assure la protection contre les virus 2

0 7; 0

'()*+,O-* 8omment la maintenance des matriels est0elle suivie pour les aspects suivants 9

O(,

-O-

O.*)R/A+,O-*

5uipements lectri5ues,

dispositif anti0incendie,

scurit anti0intrusion,

autres

'ui est en c1arge de ce suivi 2

8omment est0il formalis 2

*elon 5uelle priodicit l#ta lissement ralise0t0il une revue des dispositifs ddis 3 la scurit p1!si5ue du s!st"me d#information 2

'ui effectue cette tCc1e 2

<es agents de l#ta lissement ont0ils t sensi iliss 3 la scurit p1!si5ue du s!st"me d#information 2

'ui a sensi ilis les agents 3 la scurit p1!si5ue du s!st"me d#information 2

'uels ont t les mo!ens de sensi ilisation utiliss 2

$. !oints spcifiques au% applications comptables )%iste0t0il une possi ilit de dcouplage entre la date de saisie et la date compta le enregistre dans l#application 2

Prcise6 les limites de ce dcouplage, notamment au regard des contraintes de clture des priodes compta les.

8e dcouplage apparaMt0il e%plicitement sur certains tats / crans de l#application 2

0 7? 0

'()*+,O-* ,ndi5ue6 5uels dispositifs informati5ues sont mis en Auvre dans le cadre de la fin de gestion de l#e%ercice compta le et plus particuli"rement 9

O(,

-O-

O.*)R/A+,O-*

la clture informati5ue de l#e%ercice =

les reprises automati5ues en alance d#entre.

* - ,")loitation du SI om)table et finan ier 'uel est le rle du service informati5ue dans l#e%ploitation de l#application de compta ilit gnrale 2

)%iste0t0il une programmes de gnrale 2

possi ilit de modifier les l#application de compta ilit

Dans l#affirmative, une procdure a0t0elle t mise en place pour limiter l#acc"s au% codes de l#application 2

(ne tra>a ilit de ces modifications e%iste0t0elle 2

Des anomalies identifies dans gnrale 2

informati5ues ont0elles t l#application de compta ilit

)n ce cas, 5uelle procdure met en Auvre le service informati5ue pour les rsoudre 2

(n suivi des indisponi ilits des applications, ventuellement des indicateurs, e%iste0t0il 2

*I - -iste daudit Des contrles sont0ils raliss par le service informati5ue sur l#intgration 9 des donnes entrantes $via les applications de compta ilit au%iliaire& dans l#application de compta ilit gnrale 2 des donnes sortantes de l#application de compta ilit gnrale vers les applications de compta ilit au%iliaire 2

0 7@ 0

'()*+,O-* Dans l#affirmative 9 dcrire ces contrles = indi5ue6 si des anomalies d#intgration sont dtectes et les suites donnes.

O(,

-O-

O.*)R/A+,O-*

*II - .aintenan e du SI om)table et finan ier Par 5ui est assure la maintenance des logiciels 2

'uelle procdure a t dfinie en mati"re de maintenance 9

8orrective

)volutive

modifications urgentes

Prcise6 votre rponse sur le plan des conditions de test et de recette des programmes et c1aMnes de traitement concerns.

<e service informati5ue est0il rguli"rement sollicit pour les tests de maintenances effectues sur l#application de compta ilit gnrale 2

Dans l#affirmative, dcrire le dispositif mis en place

)%iste0t0il une procdure d#urgence pour la mise en production de certaines maintenances 2 <e service informati5ue est0il averti en ce cas 2 Des procdures spcifi5ues de contrle sont0elles mises en Auvre 2

<es maintenances sont0elles s!stmati5uement testes avant leur mise en e%ploitation 2

0 7B 0

'()*+,O-*

O(,

-O-

O.*)R/A+,O-*

*III - Sauvegardes des donnes om)table et finan ires 'uelles sont les r"gles de sauvegardes des donnes de l#application de compta ilit gnrale 2

Des applications de compta ilit au%iliaire 2

A 5uel niveau ont t dfinies les modalits de sauvegarde des donnes et traitements $fr5uence de sauvegarde, procdures tec1ni5ues 3 mettre en Auvre& 9 la Direction de l#ta lissement

le service informati5ue

autres

<es procdures de sauvegarde ont0elles t formalises dans un document de rfrence mis 3 disposition des personnels concerns 2

!emettre e do ument louverture de laudit$

au"

auditeurs

'ui est c1arge de leur mise en Auvre 2

'uels sont les supports de sauvegarde 2

Dans 5uelles conditions sont0ils conservs 2

Des mesures de contrle interne ou e%terne de la correcte mise en Auvre de ces dispositions sont0ils raliss 2

'uelle est la fr5uence des sauvegardes 2

ON sont conserves les sauvegardes 2

8om ien de temps sont conserves les donnes 2

0 7F 0

'()*+,O-* <es sauvegardes font0elles l#o :et de tests de restauration 2 *elon 5uelle priodicit 2

O(,

-O-

O.*)R/A+,O-*

<es rsultats sont0ils formaliss 2

)%iste t0il un suivi de ces tests 2

I/ - -lan de ontinuit de la tivit (ne politi5ue a0t0elle t dfinie par l#ta lissement en mati"re de procdure de secours en cas de sinistre ma:eur sur site $ acE0up& 2

)st0elle formalise 2

8e document a0t0il t port 3 la connaissance des personnels concerns par la procdure de reprise 2

!emettre e do ument louverture de laudit$

au"

auditeurs

<#la oration du plan de secours a0t0elle t ase sur une anal!se prala le de l#impact des ris5ues sur l#activit de l#ta lissement 2

'uelle a t la solution tec1ni5ue retenue 2 *ite miroir $enti"rement configur et prGt 3 dmarrer& =

*alle rouge $partiellement configur& =

*alle lanc1e $avec 5uipement nergie / climatisation / etc.&

minimum

*ite mo ile

Accord de rciprocit ta lissement 2

avec

un

autre

0 7H 0

'()*+,O-* 'uels sont les indicateurs mis en place pour valuer la 5ualit / le caract"re oprationnel de la procdure de secours 2

O(,

-O-

O.*)R/A+,O-*

'uelle est la fr5uence d#actualisation de ces indicateurs 2

Des tests de simulation de reprise de l#e%ploitation des applications 3 partir du site de secours ont0ils t effectus 2

Ont0ils fait apparaMtre des difficults particuli"res 2

'uelles dispositions ont t prises pour corriger les difficults rencontres lors de ces tests 2

<e niveau de connaissance des procdures de secours par les personnels concerns a0t0il t valu 2

*i oui, par 5uels mo!ens 2

/otre plan de continuit de l#activit / plan de secours a0t0il o tenu la certification d#un organisme e%trieur $organisation professionnelle, organisme certificateur& 2

&'em " plan de continuit de lacti(it ) ensemble des processus mis en *u(re pour assurer la continuit de lacti(it + plan de secours ) plan orient sur le systme dinformation en lui-m,me.-

)stime60vous 5ue grCce au plan de continuit 5u#il a dfini, l#ta lissement est en mesure de faire face 3 un sinistre sur site ma:eur sans 5ue son activit ne soit mise en pril 2

Prcise6 votre rponse.

.er i )our vos r)onses

0 7I 0

-!I01I-23,S 2--3I124IO0S &, G,S4IO0 1O.-4253, ,4 %I0201I,!, (4ableau" # om)lter 6 ventuellement sous forme de tableau" ,/1,3)
0om de la))li ation 4y)e de matriel suivant a))li ation 4raitement transa tions 4 ou 7 ! .I1!O7 2-!-1

+ 9 +ransactionnel A 9 Autonome R 9 en rseau avec d#autres micros 8 9 connects au mainframe

0 7K 0

2--3I124I%S I0%O!.24I89,S (4ableau # tableau" ,/1,3) 6 1artogra)'ie a))li ative -om de l#application
&es logi iels ou )rogi iels 1ara tristiques a))li ation ; 6 interne < 6 -rogi iel non modifi = 6 -rogi iel ada)t

om)lter: ventuellement sous forme de

0O. *,!SIO0 &ate dernire modifi ation &ate modif$ .aj$ -rogi iel a 'et ou version

0 ;L 0