Académique Documents
Professionnel Documents
Culture Documents
/ PDA
Visa
Rdig par Approuv par
Nom
Date
Personnes concernes
Fonction
I*
Objet du questionnaire (ou de lentretien) : Organisation, scurit et fia ilit du s!st"me d#information compta le et financier $gnrale et au%iliaire&.
'()*+,O-*
O(,
-O-
O.*)R/A+,O-*
I - Organisation gnrale du systme dinformation (SI) )%iste0t0il une cartograp1ie $liste& des *, utiliss au sein de l#entit 2 Dans l#affirmative, produire cette cartograp1ie
Dans le cas contraire, faire ta lir la liste des principales applications participant 3 la gestion compta le et financi"re $cf. ta leau en anne%e&. 'uelles sont les principales applications mtier 2
4erci de renseigner les deu% ta leau% en fin de 5uestionnaire ,ndi5ue6 les principales fonctionnalits de ces applications mtier .
070
O(,
-O-
O.*)R/A+,O-*
Prcise6 sa date de dveloppement / ac5uisition ainsi 5ue la date de mise en service de ses diffrentes versions.
II - Gestion du servi e informatique (n organigramme fonctionnel a0t0il t la or pour le service informati5ue de l#ta lissement 2
au"
auditeurs
de dveloppement
d#intgration
d#e%ploitation
)%iste0t0il une fonction de gestion du s!st"me d#information ddie au pilotage du s!st"me d#information et 3 la gestion prvisionnelle des pro:ets et des ressources 2
0;0
'()*+,O-* Dans l#ta lissement, 5uelle$s& structure$s& a $ont& la c1arge des missions suivantes 9
O(,
-O-
O.*)R/A+,O-*
s#assurer de la co1rence entre les plans informati5ues $3 court et long terme& et les o :ectifs de l#ta lissement 2
en
des
ressources
<#ta lissement voluant, tout comme son environnement tec1ni5ue, 5uelle structure est en c1arge de la conduite du c1angement en mati"re de s!st"me d#information 2
lors de la conception du s!st"me, de s#assurer 5ue la politi5ue de scurit est respecte et de conseiller les acteurs du dveloppement sur les mesures de scurit 3 incorporer au s!st"me =
III - %ormation et &o umentation te 'nique et utilisateur s( le SI om)table et finan ier <es utilisateurs actuels des applications ont0ils re>u une formation initiale spcifi5ue 2
0?0
'()*+,O-* 'uand 2
O(, Anne 9
-O-
O.*)R/A+,O-*
Depuis 5uand les utilisateurs actuels travaillent0ils sur les diffrentes applications 2 )%priment0ils le esoin d#une formation complmentaire 2
Anne 9
<a documentation contient0elle 9 0 une description de l#application 2 0 les procdures d#utilisation des fonctionnalits2 0 les conditions et les procdures de saisie et de mise 3 :our des donnes 2 0 les procdures concernant les tats de sortie 2 0 une description des tats de sortie 2 0 une description des rapports de contrle 2 0 les procdures d#entre dans les ases de donnes 2 <a documentation tec1ni5ue a t#elle t produite 2
<a documentation utilisateur et/ou le manuel de procdures sont0ils facilement accessi les et e%ploita les 2
)%iste0t0il des procdures de mise 3 :our de la documentation tec1ni5ue et utilisateur lors5ue des modifications sont effectues 2
0@0
'()*+,O-*
O(,
-O-
O.*)R/A+,O-*
1- Analyse des risques et politique globale de protection du systme dinformation Ave60vous procd 3 une anal!se des ris5ues lis au dploiement du s!st"me d#information dans votre ta lissement 2 8ette anal!se a0t0elle t formalise 2 !emettre e do ument louverture de laudit$ au" auditeurs #
Au terme de cette anal!se, ave60vous dfini une politi5ue de gestion des ris5ues lis 3 l#e%ploitation du s!st"me d#information
8ette politi5ue a0t0elle t formalise dans un document de rfrence mis 3 la disposition des personnels concerns 2
au"
auditeurs
8ette politi5ue de gestion des ris5ues lis au s!st"me d#information a0t0elle amen la Direction de votre ta lissement 3 dcider de la mise en Auvre de procdures et dispositifs permanents portant sur les domaines suivants 9
protection du informationnels
patrimoine
et
des
actifs
Prcise6 votre rponse. 2. Scurit logique (identification et authentification des utilisateurs a !olitique gnrale )%iste0t0il une politi5ue de scurit logi5ue formalise permettant la mise en Auvre de r"gles de scurit communes et 1omog"nes entre les diffrentes entits utilisatrices du s!st"me d#information de l#ta lissement 2
au"
auditeurs
<#ta lissement proc"de0t0il 3 une valuation priodi5ue de la scurit logi5ue de son s!st"me
0B0
'()*+,O-* d#information 2
O(,
-O-
O.*)R/A+,O-*
De fa>on plus gnrale, 5u#est0ce 5ui, selon vous, contri ue 3 la 5ualit du dispositif actuel de scurit logi5ue 2
'u#est0ce 5ui, 3 l#inverse, constitue une fai lesse dans le dispositif actuel de scurit logi5ue 2
'uelles sont selon vous les mesures 3 prendre pour renforcer ce dispositif 2
b Autorisation daccs au systme dinformation " identification des utilisateurs )%iste0t0il un s!st"me dDidentification de c1a5ue utilisateur 9
Pour l#acc"s au% applications, donnes et programmes stocEs sur la station de travail de l#utilisateur
Pour l#acc"s au s!st"me d#e%ploitation et au% donnes sensi les des ases / du s!st"me
0F0
O(,
-O-
O.*)R/A+,O-*
'ui attri ue et dfinit les crit"res d#identification 2 $code utilisateur& 9 le c1ef de service ou son ad:oint 2 un agent du service informati5ue 2 l#intress lui0mGme 2
)%iste0t0il dans le s!st"me informati5ue des 1a ilitations en surnom re / personnels rfrencs dans l#organigramme 2
)%iste0t0il des 1a ilitations au mode modification au nfice d#agents 5ui ne devraient disposer 5ue d#un mode consultation 2
<es demandes d#autorisation d#acc"s au s!st"me d#information manant des c1efs de service sont0 elles s!stmati5uement formalises 9
arrivants
dans
<es nouvelles autorisations d#acc"s au s!st"me d#information donnent0elles s!stmati5uement lieu 3 la signature par les agents d#une attestation de reconnaissance de responsa ilit, par la5uelle ils s#engagent 3 respecter les r"gles de scurit dfinies par l#ta lissement 2
0H0
'()*+,O-* <es demandes de suppression des autorisations d#acc"s au s!st"me d#information sont0elles s!stmati5uement formalises lors de la cessation de fonction
O(,
-O-
O.*)R/A+,O-*
d#un agent
<a cessation de fonctions donne0t0elle s!stmati5uement lieu 3 la clture de l#attestation de reconnaissance de responsa ilit 2
*elon 5uelle priodicit l#ta lissement ralise0t0il une revue des droits d#acc"s au s!st"me d#information accords 2
<a revue des droits d#acc"s donne0t0elle lieu 3 un rapproc1ement des trois lments suivants 9
organigramme
)%iste0t0il des droits inactifs $codes utilisateurs ouverts mais non utiliss& 2
<es documents :ustifiant l#ouverture des droits d#acc"s au s!st"me d#information sont0ils arc1ivs 9
c Autorisation daccs au systme dinformation " authentification des utilisateurs )%iste0t0il un s!st"me dDaut1entification c1a5ue utilisateur de lDapplication 9 pour
0I0
'()*+,O-*
O(,
-O-
O.*)R/A+,O-*
Pour l#acc"s au% applications, donnes et programmes stocEs sur la station de travail de l#utilisateur
Pour l#acc"s au s!st"me d#e%ploitation et au% donnes sensi les des ases / du s!st"me
Prcise6 votre rponse. )%iste0t0il dans les applications informati5ues un s!st"me d#aut1entification spcifi5ue pour la validation d#oprations sensi les $e% 9 code validant diffrenci d#un code saisissant 3 l#intrieur d#une application 2&
Pour c1acun des aspects vo5us dans les deu% 5uestions prcdentes, 5ui attri ue et dfinit les crit"res d#aut1entification 2
'uels sont les crit"res 3 respecter en mati"re de c1oi% du mot de passe $nom re et nature des caract"res, li ell diffrent des mots prcdents, etc.& 2
<es mots de passe apparaissent0ils en clair lors de leur saisie dans certaines des applications utilises par l#ta lissement 2
font0ils
l#o :et
d#un
*elon 5uelle priodicit 9 Je domadaire 2 4ensuelle 2 +rimestrielle 2 *emestrielle 2 Autre 2 $prcise6& 'ui les modifie 2
)%iste0t0il un suivi $registre papier, fic1ier informati5ue& des acc"s 3 lDapplication tenu dans l#ta lissement 2
0K0
'()*+,O-*
O(,
-O-
O.*)R/A+,O-*
)%iste0t0il un enregistrement des tentatives dDacc"s 3 lDapplication non autorises, disponi le dans l#ta lissement 2
*i oui, cet enregistrement fait0il lDo :et dDun suivi et dDun rapport priodi5ue 2 0 3 la Direction 0 au service informati5ue 0 au% c1efs de service Des instructions interdisant la programmation de touc1es du clavier automatisant la procdure de saisie du mot de passe ont0elles t donnes 2
Ont0elles t formalises 2
+out utilisateur du s!st"me d#information est0il s!stmati5uement dconnect apr"s plusieurs tentatives dDacc"s infructueuses 2
<a ractivation de son compte utilisateur ncessite0 t0il l#intervention d#une tierce personne $c1ef de service, agent du service informati5ue& 2
<es terminau% ddis 3 lDapplication sont0ils automati5uement dsactivs apr"s une priode dDinactivit donne au cours d#une mGme session de travail2
'uelles sont, selon vous, les principales forces et fai lesses du s!st"me d#information de votre ta lissement en mati"re de scurit logi5ue 2
Prcise6.
'uels ont t les mo!ens de sensi ilisation utiliss 9 aupr"s de l#encadrement 2 aupr"s des agents oprationnels2
0 7L 0
O(,
-O-
O.*)R/A+,O-*
#. Scurit physique du systme dinformation <a Direction de l#ta lissement a0t0elle dfini une politi5ue de scurit p1!si5ue 2 8elle0ci a0t0elle t formalise au travers d#un document diffus 3 l#ensem le des agents de l#ta lissement 2
au"
auditeurs
<a Direction de l#ta lissement a0t0elle fait le c1oi% de mettre en place des stations de travail microinformati5ues sans dis5ues et sans ports (*. et en rseau scuris 2
De fa>on plus gnrale, 5u#est0ce 5ui, selon vous, contri ue 3 la 5ualit du dispositif actuel de scurit p1!si5ue 2
'u#est0ce 5ui, 3 l#inverse, constitue une fai lesse dans le dispositif actuel de scurit p1!si5ue 2
'uelles sont selon vous les mesures 3 prendre pour renforcer ce dispositif 2
Ave60vous mis en place un dispositif s#appu!ant sur des contrles tec1ni5ues effectus par un e%pert $organisme de contrle spcialis& s/ les scurits logi5ues du *, 2
0 77 0
O(,
-O-
O.*)R/A+,O-*
!emettre le om)te-rendu du dernier ontr+le au" auditeurs # louverture de laudit$ <es dispositions crites prvoient0elles la redondance de certains 5uipements / matriels d#environnement 2 )% 9 climatisation, 5uipements lectri5ues tels 5ue les dis:oncteurs, groupes lectrog"nes, onduleurs, etc.
'uelles ont t les suites donnes par l#ta lissement au% anomalies 5ui ont t dtectes par la structure de contrle spcialise 2
!emettre les do uments de formalisation au" auditeurs # louverture de laudit$ 'uels sont les dispositifs de scurit mis en place pour garantir 9 la scurit des acc"s au% matriels informati5ues sensi les de l#entit $serveurs& 9 adges magnti5ues, clefs, etc 2 'uelle est la fr5uence de c1angement des codes d#acc"s au% locau% informati5ues $digicodes& 2 la scurit contre les dgCts naturels 2
8omment le contrle des acc"s au% installations informati5ues est0il suivi $tenue de :ournau% d#acc"s, de listes de possesseurs de adges magnti5ues ou de clefs, etc.& 2 8omment est assure la protection contre les intrusions logicielles 2
0 7; 0
'()*+,O-* 8omment la maintenance des matriels est0elle suivie pour les aspects suivants 9
O(,
-O-
O.*)R/A+,O-*
5uipements lectri5ues,
dispositif anti0incendie,
scurit anti0intrusion,
autres
*elon 5uelle priodicit l#ta lissement ralise0t0il une revue des dispositifs ddis 3 la scurit p1!si5ue du s!st"me d#information 2
<es agents de l#ta lissement ont0ils t sensi iliss 3 la scurit p1!si5ue du s!st"me d#information 2
$. !oints spcifiques au% applications comptables )%iste0t0il une possi ilit de dcouplage entre la date de saisie et la date compta le enregistre dans l#application 2
Prcise6 les limites de ce dcouplage, notamment au regard des contraintes de clture des priodes compta les.
0 7? 0
'()*+,O-* ,ndi5ue6 5uels dispositifs informati5ues sont mis en Auvre dans le cadre de la fin de gestion de l#e%ercice compta le et plus particuli"rement 9
O(,
-O-
O.*)R/A+,O-*
* - ,")loitation du SI om)table et finan ier 'uel est le rle du service informati5ue dans l#e%ploitation de l#application de compta ilit gnrale 2
Dans l#affirmative, une procdure a0t0elle t mise en place pour limiter l#acc"s au% codes de l#application 2
)n ce cas, 5uelle procdure met en Auvre le service informati5ue pour les rsoudre 2
(n suivi des indisponi ilits des applications, ventuellement des indicateurs, e%iste0t0il 2
*I - -iste daudit Des contrles sont0ils raliss par le service informati5ue sur l#intgration 9 des donnes entrantes $via les applications de compta ilit au%iliaire& dans l#application de compta ilit gnrale 2 des donnes sortantes de l#application de compta ilit gnrale vers les applications de compta ilit au%iliaire 2
0 7@ 0
'()*+,O-* Dans l#affirmative 9 dcrire ces contrles = indi5ue6 si des anomalies d#intgration sont dtectes et les suites donnes.
O(,
-O-
O.*)R/A+,O-*
*II - .aintenan e du SI om)table et finan ier Par 5ui est assure la maintenance des logiciels 2
8orrective
)volutive
modifications urgentes
Prcise6 votre rponse sur le plan des conditions de test et de recette des programmes et c1aMnes de traitement concerns.
<e service informati5ue est0il rguli"rement sollicit pour les tests de maintenances effectues sur l#application de compta ilit gnrale 2
)%iste0t0il une procdure d#urgence pour la mise en production de certaines maintenances 2 <e service informati5ue est0il averti en ce cas 2 Des procdures spcifi5ues de contrle sont0elles mises en Auvre 2
0 7B 0
'()*+,O-*
O(,
-O-
O.*)R/A+,O-*
*III - Sauvegardes des donnes om)table et finan ires 'uelles sont les r"gles de sauvegardes des donnes de l#application de compta ilit gnrale 2
A 5uel niveau ont t dfinies les modalits de sauvegarde des donnes et traitements $fr5uence de sauvegarde, procdures tec1ni5ues 3 mettre en Auvre& 9 la Direction de l#ta lissement
le service informati5ue
autres
<es procdures de sauvegarde ont0elles t formalises dans un document de rfrence mis 3 disposition des personnels concerns 2
au"
auditeurs
Des mesures de contrle interne ou e%terne de la correcte mise en Auvre de ces dispositions sont0ils raliss 2
0 7F 0
'()*+,O-* <es sauvegardes font0elles l#o :et de tests de restauration 2 *elon 5uelle priodicit 2
O(,
-O-
O.*)R/A+,O-*
I/ - -lan de ontinuit de la tivit (ne politi5ue a0t0elle t dfinie par l#ta lissement en mati"re de procdure de secours en cas de sinistre ma:eur sur site $ acE0up& 2
)st0elle formalise 2
8e document a0t0il t port 3 la connaissance des personnels concerns par la procdure de reprise 2
au"
auditeurs
<#la oration du plan de secours a0t0elle t ase sur une anal!se prala le de l#impact des ris5ues sur l#activit de l#ta lissement 2
'uelle a t la solution tec1ni5ue retenue 2 *ite miroir $enti"rement configur et prGt 3 dmarrer& =
minimum
*ite mo ile
avec
un
autre
0 7H 0
'()*+,O-* 'uels sont les indicateurs mis en place pour valuer la 5ualit / le caract"re oprationnel de la procdure de secours 2
O(,
-O-
O.*)R/A+,O-*
Des tests de simulation de reprise de l#e%ploitation des applications 3 partir du site de secours ont0ils t effectus 2
'uelles dispositions ont t prises pour corriger les difficults rencontres lors de ces tests 2
<e niveau de connaissance des procdures de secours par les personnels concerns a0t0il t valu 2
/otre plan de continuit de l#activit / plan de secours a0t0il o tenu la certification d#un organisme e%trieur $organisation professionnelle, organisme certificateur& 2
&'em " plan de continuit de lacti(it ) ensemble des processus mis en *u(re pour assurer la continuit de lacti(it + plan de secours ) plan orient sur le systme dinformation en lui-m,me.-
)stime60vous 5ue grCce au plan de continuit 5u#il a dfini, l#ta lissement est en mesure de faire face 3 un sinistre sur site ma:eur sans 5ue son activit ne soit mise en pril 2
0 7I 0
-!I01I-23,S 2--3I124IO0S &, G,S4IO0 1O.-4253, ,4 %I0201I,!, (4ableau" # om)lter 6 ventuellement sous forme de tableau" ,/1,3)
0om de la))li ation 4y)e de matriel suivant a))li ation 4raitement transa tions 4 ou 7 ! .I1!O7 2-!-1
0 7K 0
2--3I124I%S I0%O!.24I89,S (4ableau # tableau" ,/1,3) 6 1artogra)'ie a))li ative -om de l#application
&es logi iels ou )rogi iels 1ara tristiques a))li ation ; 6 interne < 6 -rogi iel non modifi = 6 -rogi iel ada)t
0O. *,!SIO0 &ate dernire modifi ation &ate modif$ .aj$ -rogi iel a 'et ou version
0 ;L 0