Académique Documents
Professionnel Documents
Culture Documents
Ralis par:
M. Hassan EL OUMRI
Dirig par:
M. Samir BENNANI
M. Rabii BERADY
M. Amine SERRAR
M. Hassan EL OUMRI
Prsident e
Rapporteur
Encadrant
Encadrant
Encadrant
Professeur lEMI
Professeur lEMI
Professeur lEMI
Manager DELOITTE
Superviseur DELOITTE
Remerciements
Au terme de ce travail, je tiens remercier vivement et profondment tous ceux qui
ont contribu de prs ou de loin la ralisation de ce projet de fin dtudes.
De prime bord, je remercie personnellement Monsieur Samir BENNANI, qui ma
fait lhonneur de mencadrer et grce qui jai pu mener bien ce travail. Je tiens lui
tmoigner ma reconnaissance pour la qualit de son encadrement, son soutien et ses prcieux
conseils.
Mes sincres remerciements sont tout particulirement adresss Messieurs Rabii
BERADY, Amine SERRAR et Omar KARRAKCHOU, mes parrains de stage DELOITTE,
pour leurs encouragements, leurs soutiens et leurs implications lors de ce projet.
Je remercie galement tous les membres de jury davoir bien voulu valuer mon
modeste travail.
Je tiens exprimer ma gratitude tout le corps professoral et administratif de lEcole
Mohammedia dIngnieurs pour avoir fait preuve de disponibilit et dattention tout au long
de la priode de formation.
Dpartement Informatique
2011 - 2012
DDICACES
A mes trs chers parents,
Pour vos sacrifices, votre soutien inconditionnel, votre patience et votre
respect, je ne puis vous exprimer toute ma gratitude.
Pour mavoir laiss choisir mon chemin, trouver ma voie et devenir ce que je
suis, je vous suis reconnaissante jamais. Que Dieu vous procure sant,
bonheur et longue vie.
A Samia, Rachida, Salma, Sara, nada, asma, Sakina, mrym, meriem, Anass,
omar, Youssef, soufiane, jihad, hassan, ikhlef, amine, soulayman, nadia,
asmae, achraf, adnane
Pour votre amiti et votre soutien. Que ces annes lEcole ne soient quun
avant-got de tout ce qui est encore venir.
A tous ceux que jestime, amis de longue date ou connus lEcole, mais que je
ne peux tous citer.
Dpartement Informatique
2011 - 2012
Rsum
.
Le management des risques est un processus permanent qui irrigue toute organisation.
Il est mis en uvre par lensemble des collaborateurs, tous les niveaux de lorganisation, en
particulier au niveau du systme dinformation. En effet, la mise en place dun dispositif de
management des risques informatiques, qui permet dobtenir une vision globale de
lexposition du systme dinformation aux risques. est devenu une ncessit au sein de
lentreprise, vu le gain important quapporte le systme dinformation en productivit.
Cest dans ce cadre, et afin dassurer une meilleur comptitivit et garder sa position
de leader dans le march marocain, Deloitte Maroc a dcid daccompagner les entreprises
dans la gestion et lvaluation des risques de leurs systmes dinformations et de pouvoir
prendre instantanment toute mesure correctrice approprie. Ce service dbouchera sur la
mise en uvre dune mthode personnalise de gestion des risques IT qui rpondra aux
besoins immdiats des clients.
Ainsi, la finalit de ce projet tait llaboration dune dmarche de gestion des risques
informatiques lis aux systmes dinformation, intgrant les concepts du management des
risques, et rpondant la problmatique de rigidit des mthodes existantes. Plusieurs
paramtres ont t considrs pour justifier le bienfond de cette dmarche personnalise, et
la pertinence des lments qui la constituent.
Par ailleurs, la dmarche propose doit respecter les normes et la mthodologie
prtablies au sein de DELOITTE ainsi que les rglementations en matire de risque qui
rgissent les secteurs bancaires et dassurances.
2011 - 2012
Dpartement Informatique
.
.
.
.
.
.
.
.
2011 - 2012
Dpartement Informatique
ABSTRACT
Risk management is an ongoing process that irrigates organization. It is implemented
by all employees at all levels of the organization, particularly in the information system.
Indeed, the establishment of a mechanism for managing information risk, which provides an
overview of the system's exposure to risk information, has become a necessity in the business,
given
the large
gain brings to
the information
system
productivity.
rigidity of
the
existing
were
considered to
justify the validity of this personalized approach, and relevance of its constituent elements.
Moreover, the proposed approach must meet the standards and methodology pre within
Deloitte and regulations with regard to risk governing the banking and insurance.
Dpartement Informatique
2011 - 2012
Table de matires
INTRODUCTION ................................................................................................. 1
1. Premier Chapitre : Contexte et dmarche du projet ........... 3
1.1 Prsentation de lorganisme daccueil................................................................................. 3
1.1.1 Deloitte dans le monde ..................................................................................................... 3
1.1.2 Deloitte Maroc ................................................................................................................. 4
1.2. Prsentation du projet ......................................................................................................... 5
1.2.1. Management des risques des systmes dinformations.6
1..2.2. Dfinition gnrale de laudit..........................................................................................7
1.3. Contexte et objectif du projet ........................................................................................ 8
1.3.1. Cadrage............................................................................................................................ 8
1.3.2. Problmatique.................................................................................................................. 8
1.3.3. Objectif du projet............................................................................................................. 9
1.3.4. Dfinition du projet...................................................................................................... 9
1.4. Conclusion.12
2. Deuxime chapitre : Etude Benchmark........................................................................... 13
2.1. Prsentation des Missions de Contrles Gnraux Informatiques.13
2.1.1 Prsentation des missions................................................................................................ 13
2.1.2 Description du droulement des missions ...................................................................... 13
2.1.3 Apport des missions daudit la dmarche de gestion des risques IT.... 14
2.2. Analyse des mthodes existantes : tude Benchmark....14
2.2.1 Cadrage de ltude.................................................................................................. 15
2.2.2 Documentation........................................................................ 15
2.2.3 Choix des mthodes.... 15
2.2.4 Analyse approfondie........................................................................... 16
2.2.5 Synthse...... 22
2.3. Conclusion 26
3. Troisime chapitre : Elaboration de la dmarche personnalise de la gestion des
risques IT.27
3.1. Description gnrale de la dmarche................................................................................ 27
3.1.1. Justification de la proposition ....................................................................................... 27
3.1.2. Description gnrale de la mthode ............................................................................. 27
3.2. Description dtaille de la dmarche................................................................................ 28
3.2.1. La proposition ............................................................................................................... 28
3.2.2. Phase de cadrage de la mission.......................................................................................31
3.2.3. Identification des risques34
5
Dpartement Informatique
2011 - 2012
Dpartement Informatique
2011 - 2012
Dpartement Informatique
2011 - 2012
Introduction :
Aujourdhui, et dans un contexte de rcession mondiale, les entreprises voluent dans un
environnement trs incertain, domin par une forte concurrence nationale et internationale.
Pour garantir leur ractivit, rester comptitive, et assurer la continuit de leur service, elles
sont dans lobligation de mettre en place un systme de management des risques lis leurs
activits. Dans cette perspective, le but de la gestion des risques est dagir et prendre des
dcisions en avenir incertain, prvenir les risques et palier aux menaces qui peuvent affectes
lactivit des entreprises. En effet, sil y a incertitude, il y aura toujours des risques encourus
qu'il conviendrait alors de grer.
En particulier, les entreprises sont dans la ncessit de protger leur systme
dinformation contre toutes menaces pouvant affectes sa disponibilit ou altrer les donnes
stockes dans le SI. En effet, le systme dinformation est devenu une ressource trs prcieuse
pour lentreprise, il lui permet de comprendre son environnement, de grer ses activits au
quotidien, de gagner en production et de prendre des dcisions stratgiques. De plus, avec
louverture des marchs et lmergence des nouvelles technologies de linformation et de la
communication, le Systme dInformation, qui permet de grer la masse dinformation de
toute entreprise, ne constitue plus seulement un lment essentiel dans la gestion, il devient
lui-mme stratgique pour les organisations soucieuses de se doter davantages concurrentiels
durables.
Dans ce cadre, Deloitte Maroc se propose daccompagner les entreprises dans la gestion et
lvaluation des risques de leurs systmes dinformations, afin de pouvoir prendre
instantanment toute mesure correctrice approprie. Ce service dbouchera sur la mise en
uvre dune mthode personnalise de gestion des risques IT qui rpondra aux besoins
immdiats des clients.
Le prsent rapport sarticule autour de quatre parties : La premire partie prsentera
lorganisme daccueil, le contexte gnral du projet et les concepts relatifs au domaine de
laudit et du management des risques des systmes dinformations. La deuxime partie
concernera ltude benchmark des principales approches danalyse des risques existantes et
prsentera les missions de contrles gnraux informatiques effectues lors du stage ;
lobjectif de cette partie est de mettre en exergue les bases sur lesquelles a t labore la
Dpartement Informatique
2011 - 2012
mthode de gestion des risques IT, dont la description dtaille sera expose dans le troisime
chapitre. Et enfin, le dernier chapitre sera consacr la mise en uvre de la dmarche
propose dans le cadre dune tude de cas pratique.
2011 - 2012
Dpartement Informatique
William Welch
Deloitte
Nabuzo
Tohmatsu
10
Dpartement Informatique
2011 - 2012
Fort dun hritage de plus de 150 ans dexcellence, Deloitte Touche Tohmatsu est
aujourdhui leader mondial au sein des Big Four , avec un chiffre daffaires atteignant
26,6 milliards de dollars en 2010. Il sagit galement du plus grand cabinet daudit au monde
avec une masse salariale de 169 000 employs, prsents dans 150 pays et servant plus de la
moiti des plus grandes entreprises mondiales. La figure suivante (figure 1.1) prsente
limplantation des firmes Deloitte dans le monde :
11
2011 - 2012
Dpartement Informatique
des
risques
oprationnels
&
conseil
en
respect
des
rglementations.
Dpartement Informatique
2011 - 2012
1.2.1.2.
1.2.1.3.
13
Dpartement Informatique
2011 - 2012
1.2.2.2.
1.2.2.3.
Au cours de ces dernires annes, plusieurs cabinets daudit ont adopt des approches
daudit qui sappuient plus quavant sur des concepts danalyse orients mtier et dvaluation
des risques. Ainsi, aprs lmergence de la crise financire, les cabinets daudit ont adopt
une nouvelle approche pour amliorer la qualit de service propose et pour satisfaire au plus
le besoin des clients, en ajoutant une tude des risques dans la dmarche daudit pour donner
une assurance raisonnable que les risques associs aux activits des entreprise sont bien grs
et raliss.
14
Dpartement Informatique
2011 - 2012
1.3.1. Cadrage
Le dpartement Entreprise Risk Services du bureau de Deloitte de Casablanca, dans sa
composante Conseil Audit Service (CAS), est organis autour de deux activits phares :
Audit informatique en support aux missions du commissariat aux comptes :
appel aussi revue des Contrles Gnraux Informatiques (CGI), qui permet
dacqurir une conviction raisonnable quant au fait que les objectifs globaux des
contrles mis en place par lentreprise au niveau du Systme dInformation sont
atteints.
Conseil et Audit en systmes dinformations : Ces missions, appeles missions
spciales , consistent en une optimisation de chaque tape du pilotage du systme
d'information, depuis laudit des systmes existants et llaboration dune stratgie
jusqu la mise en uvre russie des projets.
Ainsi, dans le cadre des missions Conseil et Audit des Systmes dInformation ,
Deloitte MAROC, souhaite largir ses services daudit et de conseil SI en mettant en place
une dmarche personnalise -adapte au march marocain- de gestion des risques IT.
1.3.2. Problmatique
Les missions d'audit ou de conseil de gestion des risques IT couvrent plusieurs domaines
en relation directe avec le systme d'information et mettant en jeu des facteurs humains,
organisationnels, techniques, physiques et environnementaux. Ceci a men au dveloppement
de dmarches et de rfrentiels clairs et exhaustifs pour couvrir tous les processus du
management des risques IT : Risk IT, MEHARI, EBIOS, CRAMM, ...
Cependant, malgr lexistence dune panoplie de mthodes, elles savrent parfois trop
compliques mettre en pratique, mal adaptes la ralit et aux contextes des entreprises
marocaines ou ne couvrant pas la totalit des volets SI.
Dune autre part, les mthodes existantes de gestion des risques ne rpondent aux besoins
spcifiques des entreprises en termes de rglementations qui lui sont imposes. Par exemple :
15
Dpartement Informatique
2011 - 2012
Ble II pour les banques ou Solvency II pour les assurances (la dfinition de ses deux normes
est prsente en ANNEXE).
En vue de remdier ces difficults, nous avons dcid de mettre en uvre une dmarche
dvaluation des risques IT propres DELOITTE, qui pourra tre adapte par rapport la
nature de lactivit de lentreprise, modulable en fonction du besoin du client et trs pratique
dans sa mise en uvre.
Primtre du projet
La dmarche vise couvrir lensemble des risques informatiques qui peuvent mettre le
systme dinformation en danger. La mthode devra couvrir les domaines informatiques
suivants :
16
Dpartement Informatique
2011 - 2012
La scurit informatique
Lexploitation informatique
La planification et la stratgie informatique
Les ressources humaines
La relation avec les prestataires et les tiers externes
Lacquisition des applications
Le dveloppement et la maintenance des applications
La gestion du matriel
La continuit des services informatiques
Linfrastructure rseaux
La gestion des locaux informatiques
1.3.4.2.
Conduite du projet
17
1.3.4.2.1.
Dpartement Informatique
2011 - 2012
Etapes du projet :
La figure suivante (figure 1.3) dcrit les tapes de conduite du projet de fin dtude :
1.3.4.2.2.
Planning du projet :
La figure suivante (figure 1.4) reprsente le diagramme de Gantt, ralis laide de loutil
Microsoft Project 2007, correspondant au planning de ce projet :
18
Dpartement Informatique
2011 - 2012
Les dtails sont prsents dans le tableau ci-dessous (tableau 1.1) qui dcrit chaque
tche prsente prcdemment dans le diagramme de GANTT :
Tche
Mission daudit
Description
Cest lintervention tout au long du stage, dans
des missions daudit des systmes dinformations
Prise de connaissance du projet
Cette tape consiste la prise de connaissance du
projet
Dfinition des besoins
La dfinition des besoins consiste cerner les
besoins de Deloitte Maroc pour la mise en place
de la dmarche
Etude Benchmark
Ltude Benchmark est ltude des diffrentes
mthodes existantes sur le march pour tirer les
bonnes pratiques du management des risques SI
Conception de la dmarche
Cest la dfinition des processus gnraux de la
dmarche, avec la liste des livrables et les
spcificits de chaque tape de la dmarche
Ralisation des modles des livrables de Cette tape consiste standardiser les modles
la dmarche
des livrables de la dmarche
Elaboration dune base de connaissance Cette phase du projet, consiste la mise en place
des risques IT
dune base de connaissance contenant la majorit
des risques SI (cette base sera alimente fur et
mesure du droulement des missions)
Application un cas pratique et Cette tape consiste mettre en pratique la
validation
dmarche dans une mission de conseil SI
Tableau 1.1 : Description des tapes du projet
En effet, ce planning a t adapt au fur et mesure du projet, et de lgres modifications lui
ont t apportes, selon la connaissance relle de chaque tape.
1.4. Conclusion
Dans ce chapitre, nous avons prsent le cadre global du projet, relev la problmatique
du sujet et identifi les objectifs de la mise en place de la dmarche. Le chapitre suivant sera
consacr la prsentation des rsultats de ltude benchmark qui a t ralise sur la base des
mthodes et rfrentiels les plus importants de management des risques IT existants sur le
march.
19
Dpartement Informatique
2011 - 2012
20
Dpartement Informatique
2011 - 2012
21
Cadrage de
l'tude
2011 - 2012
Dpartement Informatique
Docummentation
Choix des
mthodes
Alanyse
approfondie
Synthse
2.2.2. Documentation
Vu le grand nombre des mthodes traitant les risques, cette phase est la plus
importante en termes de dure. En effet, il existe plus de 200 mthodes de gestion des risques,
publies ou internes aux socits, confidentielles ou non. Lobjectif de cette tape est de faire
un tour dhorizon des diffrentes mthodes de gestion des risques et davoir une premire ide
sur la structure de ces dmarches et leur domaine dapplication.
2011 - 2012
Dpartement Informatique
Dpartement Informatique
2011 - 2012
base de trois milles contre-mesures possibles les rponses aux risques mettre
en place.
2.2.4.2.
Scurit (rf:http://cyberzoide.developpez.com/methodesanalyserisques)
EBIOS est une mthode qui permet d'identifier les risques d'un systme dinformation
et de proposer une politique de scurit adapte aux besoins de l'entreprise ou d'une
administration. Elle a t cre par la DCSSI (Direction Centrale de la Scurit des Systmes
d'Information) du Ministre de la Dfense (France).
La mthode EBIOS se compose de plusieurs guides (Introduction, Dmarche,
Techniques, Outillages) et d'un logiciel permettant de simplifier l'application de la
mthodologie explicite dans ces guides. La figure ci-dessous (figure 2.3) prsente une
larchitecture gnrale de la mthode EBIOS :
cible. Cette tape dlimite le primtre de l'tude, le dtail des quipements, des
logiciels et de l'organisation humaine de l'entreprise.
24
Dpartement Informatique
2011 - 2012
2. L'expression des besoins : permet d'estimer les risques et de dfinir les critres de
menaces identifies afin de mettre en vidence les risques contre lesquels le systme
dinformation doit tre protg.
5. La dtermination des exigences de scurit : dtermine le niveau de scurit exig.
Dpartement Informatique
2011 - 2012
2.2.4.4.
matriser les risques afin quils soient dans les limites du niveau de risque permis
En effet, ce cadre de rfrence vise aider lentreprise atteindre ces objectifs rpartie sur
quatre catgories:
Objectifs stratgiques
Objectifs oprationnels
Objectifs de reporting
La figure 2.5 prsente le cube de base liant les objectifs que veut attendre une entreprise avec
le dispositif du management du risque selon COSO :
26
Dpartement Informatique
2011 - 2012
La norme ISO 27005 est un standard publi en Octobre 2008. Elle explique en dtail
comment conduire l'apprciation des risques et le traitement des risques, dans le cadre de la
scurit de l'information. La norme ISO 27005 propose une mthodologie de gestion des
risques en matire d'information dans l'entreprise conforme la norme ISO/CEI 27001. La
norme ISO 27005 applique la gestion de risques le cycle d'amlioration continue PDCA
(Plan, Do, Check, Act) utilis dans toutes les normes de systmes de management :
1. Phase Plan : Identification des risques, valuation des risques et dfinition des
actions de rduction des risques
2. Phase Do : lentreprise ralise ce quelle a planifi dans ce domaine
3. Phase Check : lentreprise vrifie quil nexiste pas dcart entre ce quelle a dit et
ce quelle a fait
4. Phase Act : Modification du traitement des risques selon les rsultats
La figure suivante (figure 2.6) dcrit larchitecture globale des processus de la norme ISO
27005 :
27
Dpartement Informatique
2011 - 2012
28
2011 - 2012
Dpartement Informatique
Tableaux de synthse
EBIOS
MEHARI
Auteur
Siemens
DCSSI
CLUSIF
Pays
Angleterre
France
France
Cration
1986
1995
1995
Popularit
**
***
***
29
2011 - 2012
Dpartement Informatique
Soutenue par
Gouvernement
Gouvernement
Association
Outils disponibles
CRAMM
EBIOS
RISICARE
Assistance et
support
Guides ; bases de
connaissances
Guides; Bases de
connaissances;
Guides ; bases de
connaissances ;
Moteurs dvaluation
quantitative
Adaptabilits aux
contextes
Grandes entreprises
Administrations &
Grands comptes
Administrations &
Grands comptes
PME / PMI
EBIOS
Mehari
Points faibles
- Mthode exhaustive
- Grande base de connaissance
- Approche structure
- Fournit une liste complte des
risques et des contrles mettre
en place
30
Auteur
2011 - 2012
Dpartement Informatique
COSO ERM
ISO 27005
RISK IT
COSO
ISO
ISACA
2008
Cration
Popularit
***
***
***
Type
Rfrentiel
Norme
Rfrentiel
Description
rfrentiel de contrle
Norme cr pour
Rfrentiel qui
encadrer le
concerne
dveloppement et la
Le management des
Vision risque
risques en
Systme de
gnral. Il dcompose
diffrents objectifs de
management des
tout SI en 9 processus
lorganisme aux
rpartis en 3 domaines
lment du dispositif de
la scurit des
management des
Systmes
aux autres.
risques
dinformations
un cadre global de la
rfrentiel
gouvernance COBIT
dispositif de
management des
objectifs mtiers /
risques
affaires
Synthse
La conclusion quon peut tirer de cette tude, est que les mthodes et rfrentiels
tudis fournissent plusieurs techniques et outils pour atteindre le mme objectif : celui de
mettre en place un dispositif de protection contre les risques en dfinissant un certain nombre
de contrles et en sappuyant sur une approche de management des risques. Toutefois, le
niveau de dtail et de couverture de ces approches est trs vari, ce qui fait merger deux
dimensions : tendue et granularit. En effet, certaines mthodes telles que Risk IT ou COSO
sont trs tendues et traitent les diffrentes facettes de linformatique, mais elles noffrent pas
31
2011 - 2012
Dpartement Informatique
le mme niveau de prcision que la mthode MEHARI, elles se contentent de fournir les
lignes directrices dans une vision de gouvernance.
Dautre part, on remarque quil existe une diffrence conceptuelle et un manque
dinteroprabilit entre les mthodes danalyses de risque tudies : MEHARI, EBIOS et
CRAMM utilisent des termes diffrents pour dsigner le mme concept, et ont recours des
outils varis.
2.2.5.3.
Points exploiter
les
aspects
relatifs
lenvironnement
technique,
humain,
et
32
Dpartement Informatique
2011 - 2012
2.3. Conclusion
Ce chapitre a donn un aperu sur les normes et bonnes pratiques les plus connues en
management des risques informatiques. A la fin de cette partie, une synthse concernant cette
enqute a t tablie. Dans le chapitre suivant, nous allons prsenter notre dmarche
personnalise, labore partir des mthodes tudies lors du benchmarking, et de
lexprience des missions de contrles gnraux informatiques.
33
Dpartement Informatique
2011 - 2012
Dpartement Informatique
2011 - 2012
3.2.1. La Proposition
3.2.1.1.
Dfinition du processus:
Ltape de la proposition, ou lmission de loffre de service, est une tape classique dans
le domaine du conseil ou de laudit en gnrale. En effet, la proposition est un document qui
35
Dpartement Informatique
2011 - 2012
constitue une rponse formelle un appel doffre mis par une socit pour la mise en place
dune analyse des risques des systmes dinformations.
36
3.2.1.3.
2011 - 2012
Dpartement Informatique
Contenu de la proposition :
le
client,
comme
il
est
dmontr
dans
la
figure
3.2 :
Livrables
Outils
Offre de service
37
Offre de service
gnrale.pptx
Proposition de service
(secteur bancaire)
Proposition de service
(secteur des
assurances)
2011 - 2012
Dpartement Informatique
Offre de service
Offre de service
Offre de service
Banque.pptx
Offre de service
Assurance.pptx
Aprs lobtention du march, on se retrouve dans la phase de cadrage. Cette tape permet
de cadrer la mission et de redfinir exactement les grandes lignes de lintervention et de la
dmarche en cohrence avec ce qui a t spcifi dans la proposition. En effet, cette phase
permet la dfinition, avec plus de dtail, du primtre sur lequel sera mene l'analyse des
risques (matriels, logiciels, quipes de support, donnes, interfaces, processus, criticit des
systmes, contraintes mtiers).
Cest une tape amont qui permet de prparer les entretiens avec le client et dassurer que
lintervention se droule dans de bonnes conditions. Elle constitue un rappel des points cls
quil faudra aborder pour mener lintervention.
3.2.2.2.
38
Dpartement Informatique
2011 - 2012
Dpartement Informatique
2011 - 2012
A lissue de cette phase, une cartographie descriptive des processus cls du SI est mise en
uvre, laide dune fiche descriptive des processus, ainsi quune modlisation formalise du
SI suivant une dcomposition propre notre dmarche en 4 sous-domaines : Organisation,
ressources humaines, infrastructure matriel et logiciels. Comme langage de modlisation,
nous avons choisi UML, quil est un langage universellement reconnu, polyvalent, performant
et qui facilite la comprhension de reprsentations abstraites complexes.
Aprs lidentification de processus clefs, on se propose ensuite de dfinir le plan
dintervention, cest--dire lidentification des processus et volets SI qui seront soumis une
analyse des risques informatiques.
3.2.2.3.3.
3.2.2.4.
40
2011 - 2012
Dpartement Informatique
Phase de cadrage
Etapes
Livrables
Outils
Runion de
lancement
Synthse des
objectifs de la
mission
Description du SI
cible
Planning de la
mission
Compte rendu
runion.doc
Cartographie
des processus
et des
applications
Modlisation
du SI cible
- Diagrammes de modlisation du
SI cible (diagrammes UML)
Fiche de
description de
chaque
processus
Dfinition du
plan
dintervention
fiche processus.pptx
Plan dintervention
Plan
d'intervention.ppt
Recueil
d'information
Analyse des
menaces
Analyse des
vulnrabilits
Analyse des
contrles
41
Liste des
risques
Dpartement Informatique
2011 - 2012
Recueil dinformation :
Pour bien entamer lintervention de lanalyse des risques chez le client, le consultant
devra procder un recueil dinformation laide doutils didentification des risques utiliss
de faon complmentaire, savoir :
Laudit documentaire
Les entretiens
Les visites de sites
Les questionnaires.
3.2.3.2.
Lanalyse des menaces est lanalyse des vnements ou circonstances selon lesquelles le
systme dinformation peut tre mis sous le risque. Dans notre dmarche, on sest propos de
lister plusieurs groupes de menaces : Saturation du systme, dysfonctionnement du SI, Vol de
matriel, Phnomne climatique, sismique, volcanique, mtorologiques, Erreur humaine, etc.
Ainsi, une liste des menaces exhaustive a t tablie et intgre dans la base de connaissance
livre avec la dmarche (Voir Annexe I). Cette liste a t dcompose suivants les domaines
spcifies prcdemment : scurit, exploitation, organisation et planification, etc.
3.2.3.3.
Lanalyse des vulnrabilits est lanalyse des failles ou des faiblesses dans le systme
dinformation et qui pourraient tre exploites et conduire mettre le systme dinformation
sous le risque. En effet, pour chacune des menaces, il faudrait analyser les vulnrabilits qui
pourraient affectes le SI. Cette analyse se fait au mme temps que lanalyse des menaces.
En effet, pour chaque menace une liste de vulnrabilits correspondantes est mise en place et
est intgre dans la base de connaissance (voir Annexe I). Il est noter que lanalyse des
menaces - vulnrabilits seffectue en se rfrant la base de connaissance quon a tablie
dans le cadre de notre dmarche. En effet, cette base est alimente par celle de la mthode
EBIOS en partie, et contient plus de 1500 couple Menace / Vulnrabilit.
3.2.3.4.
Lanalyse des contrles mis en place ou planifis est lanalyse des rponses aux risques,
des pratiques de la scurit, des procdures appliques ou revues, ainsi que les normes et les
42
Dpartement Informatique
2011 - 2012
standards en vigueur afin dvaluer leur efficacit et garantir leur efficience, ou bien se
comparer l'tat de l'art et aux normes en usage. Ainsi, lissue de cette analyse des enjeux
mtiers, une analyse de lefficacit des contrles sera ralise. Pour cela, nous proposons de
drouler un questionnaire daudit personnalis (voir ANNEXE II), que nous avons labor
dans le cadre de la nouvelle dmarche, organis sous 14 domaines (selon la mthode
MEHARI et iso 27005), et aliment par les questions collectes partir de lexprience des
auditeurs du CLUSIF. Ci-dessous la liste des domaines prcits :
1. Politique de Scurit
2. Organisation de la scurit
3. Exploitation
4. Gestion des Ressources humaines (informatique)
5. Scurit Physique et scurit des sites
6. Gestion de linfrastructure rseaux
7. Scurit des systmes et architecture
8. Acquisition, dveloppement et maintenance des SI
9. Production informatique
10. Gestion de la continuit dactivit
11. Organisation et gestion des projets informatiques
12. Gestion des prestataires externes
13. Gestion des bases de donnes
14. Conformit aux lois et rglementation
3.2.3.5.
A lissue de lanalyse des menaces, des vulnrabilits et des contrles mis en place, une
premire synthse globale (liste des risques identifis) devra tre prsente sous la forme
dune cartographie illustrant les rsultats de laudit suivant les 14 domaines dcrits
prcdemment et qui va lister et catgoriser les diffrents risques.
Aussi, la fin de cette tape, un registre des risques, qui va contenir toute les informations
relatives aux risques, devra tre remplie (voir ANNEXE III). Ce registre servira aprs la
mission comme un tableau de bord de suivi de lamlioration des risques.
Le tableau ci-dessous (tableau 3.3) prsente une synthse de ltape didentification des
risques :
43
2011 - 2012
Dpartement Informatique
Identification des risques
Etapes
Livrables
Recueil
dinformation
Synthse des
objectifs de la
mission
Analyse de
menaces
Liste des
menaces
Analyse de
Vulnrabilits
Liste des
vulnrabilits
Analyse des
contrles
dintervention
Outils
Planning de la
mission
Compte rendu
runion.doc
Base de connaissance
personnalise
Base de connaissance
personnalise
question daudit
Registre des
risques.xlsx
44
Dpartement Informatique
2011 - 2012
45
Dpartement Informatique
2011 - 2012
Dpartement Informatique
2011 - 2012
3.2.5. Recommandations
Llaboration des recommandations est une tape cl de la dmarche. Cest vrai que le
diagnostic des risques reste une phase importante, mais ce nest pas suffisant. En effet, le
client attend des solutions ses problmes. Ainsi, les recommandations peuvent tre
labores par le cabinet ou bien par un travail commun client consultant.
Ce processus dcrit llaboration de la liste des recommandations ainsi que ltablissement
du rapport de synthse.
3.2.5.1.
Objectif du processus :
2011 - 2012
Dpartement Informatique
Livrables
Analyse des
probabilits
doccurences
Identification des
probabilits
Analyse de
limpact
Liste des
menaces
Evaluation des
risques
Liste des
vulnrabilits
Recommandations
Outils
Registre des
risques.xlsx
Registre des
risques.xlsx
Registre des
risques.xlsx
Template du
rapport
48
3.2.6.1.
Dpartement Informatique
2011 - 2012
Objectif du processus
Lobjectif de ce processus est dtablir un cadre pour des actions de traitement des risques
en dfinissant les conditions de leur mise en uvre : responsable du risque, cot du traitement
du risque, chances, actions conduire chelonnes dans le temps.
Ce processus va permettre en outre de spcifier les actions entreprendre, clarifier les
responsabilits et tablir les chances.
3.2.6.2.
Etapes du processus
Lidentification des acteurs consiste identifier les responsables qui auront pour
mission la mise en uvre des contrles ncessaires pour liminer et rduire les risques sujets
dun traitement. Cette tape vise mobiliser les individus impliqus dans le traitement des
risques.
3.2.6.2.1.1.
Mettre en uvre
Faire un bilan
Dpartement Informatique
2011 - 2012
50
2011 - 2012
Dpartement Informatique
Livrables
Outils
Plan de mise en
uvre des
contrles
Plan d action
Template du
rapport de suivi
Rapport de
Suivi
Template du
rapport final
Rapport finale
Capitalisation et
documentation
Registre des
risques
Registre des
risques.xlsx
Cartographie
des risques
3.3. Conclusion
La mthodologie propose a t prsente dans ce chapitre. En annexe, des extraits de
livrables de la dmarche seront fournis. Dans ce qui suit, nous allons mettre en pratique la
dmarche propose travers une tude de cas pratique.
51
Dpartement Informatique
2011 - 2012
52
Dpartement Informatique
2011 - 2012
53
Dpartement Informatique
2011 - 2012
Dpartement Informatique
2011 - 2012
Atteinte la maintenabilit du SI
Perte de service
Actes de malveillances sur les Vol des serveurs contenant la base de donnes des
biens matriels et immatriels
clients
Vol des documents
Fraude importante
Destruction des donnes de la base de donnes des
primes non vies
Divulgations des informations des clients (salaires,
comptes, ..)
55
2011 - 2012
Dpartement Informatique
Risques
aux
niveaux
Erreurs de manipulations
Tableau 4.1 : Liste des risques et des scnarios des risques identifis par rapport au
processus de la gestion de lassurance non vie
Degrs
Impact
doccurrence
Menaces
Incendie
entranant
environnementale
destruction du SI
s / Sinistres
Inondation
la Moyen
Chute de la foudre
Tremblement
de
terre
Criticit
du risque
Elev
Eleve
Faible
Faible
Faible
Faible
Faible
Faible
/ Faible
Elev
Moyenne
Elev
Eleve
sisme
Perte de service
Rupture
dalimentation Moyen
lectrique
56
2011 - 2012
Dpartement Informatique
Rupture de climatisation
Moyen
Elev
Eleve
de Moyen
Elev
Eleve
Elev
Moyenne
Elev
Elev
Eleve
Faible
Elev
Moyenne
Elev
Moyenne
Elev
Eleve
Elev
Eleve
Elev
Moyenne
Elev
Moyenne
Moyen
Moyenne
Elev
Eleve
Rupture
tlcommunication
Actes
matriels
et Fraude importante
immatriels
des Moyen
informations
des
clients
Erreur
des
ressources
informatiques
Risques
niveau
personnel
Disparition
des
personnes Moyen
Faible
Elev
Moyenne
Faible
Elev
Moyenne
Faible
Faible
57
2011 - 2012
Dpartement Informatique
Risques
Faible
Eleve
Moyenne
niveaux
Eleve
Moyenne
Elev
Eleve
Elev
Moyenne
fournisseurs
tiers externes
Erreurs
manipulations
de saisie
Erreurs de programmation Faible
bug logiciel
Tableau 4.2 : Evaluation des risques et des scnarios des risques identifis par
rapport au processus de la gestion de lassurance non vie
Recommandation
Priorit
5
6
10
11
58
Dpartement Informatique
2011 - 2012
12
Mettre en place un contrat de service SLA entre la DSI et les entits mtiers
13
14
15
16
17
18
19
Lgende :
Forte
Moyenne
Faible
Pour chacune des recommandations proposes, il faudra fournir une fiche de constat
comme dcrit dans la dmarche. Nous prsentons un exemple de fiches pour les points 4 et 12
respectivement en annexe VIII et annexeIV. Il est a not que la forme de prsentation est
conforme aux normes de la dmarche DELOITTE.
4.7. Conclusion :
La mise en uvre de la dmarche travers cette tude de cas a permis de tester
pratiquement toutes les tapes proposes et corriger les failles et les incohrences lies son
aspect thorique.
59
Dpartement Informatique
2011 - 2012
Conclusion Gnrale
La finalit de ce projet tait llaboration dune dmarche de gestion des risques lis aux
systmes dinformation, intgrant les concepts du management des risques, et rpondant la
problmatique de rigidit des mthodes existantes. Plusieurs paramtres ont t considrs
pour justifier le bienfond de cette dmarche personnalise, et la pertinence des lments qui
la constituent.
Mon premier point de dpart tait une tude Benchmark dtaille de quelques mthodes et
rfrentiels de bonnes pratiques en matire de risques : CRAMM, EBIOS, MEHAR, COSOERM, ISO 27005 et Risk IT. Le but tant de dgager les diffrents aspects qui caractrisent
une approche de management des risques IT globale et efficace.
Comme la gestion des risques est un concept qui touche plusieurs aspects de
lentreprise: techniques, organisationnels et humains, il fallait traiter le sujet de manire
transverse et intgrer tous ces aspects dans une approche cohrente et homogne.
Cest dans cette mme vision que jai t amene participer des missions de
Contrles Gnraux Informatiques , qui traitent divers facettes lies au Systme
dInformation (Stratgie et planification ; Exploitation ; Continuit des services; ) et ce,
pour avoir connaissance des principes de laudit SI et pouvoir comprendre la mthodologie de
travail Deloitte.
Ensuite, jai fait la conception de la dmarche et mis en place un descriptif complet de
chaque tape, avec la listes des livrables, une base de connaissance et un questionnaire daudit
contenant plus de 3000 points de contrles.
Enfin, la dmarche propose a t livre avec un guide dutilisation dtaill, une
proposition doutillage facilitant le droulement de la mthode (sous forme de documents et
procdures) ainsi quune base de connaissance personnalise.
En guise de perspectives pour ce projet, il convient daller au terme des
recommandations proposes, et de concevoir des mthodologies qui guideront les consultants
dans leurs dmarches daccompagnement des clients linstauration du dispositif de
management des risques : Mthodologies pour la mise en place du Schma Directeur de
Scurit des Systmes dInformation, de la Politique de Scurit Informatique, du Plan de
Continuit dactivit et du Plan de Reprise dActivit.
60
Dpartement Informatique
2011 - 2012
Bibliographie
[1] : Commission Nationale des Commissaires aux Comptes (Avril 2003), Prise encompte de
lenvironnement informatique et incidence sur laudit- 225 p.
[2] : Patrice Stern et Jean-Marc Schoettl : La bote outils du Consultant dition DUNOD
28, 180 pages
- 252 pages
[3] : AFAI : Cobit 4.1 (cadre de rfrences, objectifs de contrles, guide de management,
modles de maturit), dition 2007
[4] : Anne LUPFER (Septembre 2010), Gestion des risques en scurit de l'information :
Mise en uvre de la norme ISO 27005 - 252 pages
[5] : DELOITTE, documentation fournie lors de la formation .Le 01/02/2012.
[6] : Pascal KEREBEL : Management des risques secteurs Banque et assurance, ditions
dorganisation EYROLLES 2008
[7] : Emmanuel BESLUAU : Management de la Continuit dactivit, dition EYROLLES
2008, 270 pages
[8] : AFAI : Le rfrentiel Risk IT (cadre de rfrences, principes, guide de management),
dition 2009
Webographie
[9] : Portail de lassociation AFAI : www.afai.fr , consult en fvrier et mars 2012
[10] : Site web ddi la scurit informatique et au management des risques IT :
http://www.ysosecure.com/principes/management-risques-systeme-d-information.html,
consult en fvrier 2012
[11] : Site web de lassociation CLUSIF : http://www.clusif.asso.fr, Consult en
Fvrier/Mars/Avril 2012
61
Dpartement Informatique
2011 - 2012
Annexes
ANNEXE I : Extrait de la Base connaissance Domaine de la gestion du
matriel
ANNEXE II : Extrait du questionnaire daudit labor Domaine de
lorganisation de la scurit
62
Dpartement Informatique
2011 - 2012
63
Dpartement Informatique
2011 - 2012
64
Dpartement Informatique
2011 - 2012
65
Dpartement Informatique
2011 - 2012
Description
Assurance Vie
Recouvrement
66
Dpartement Informatique
2011 - 2012
67
Dpartement Informatique
2011 - 2012
68
Dpartement Informatique
2011 - 2012
Rglementation Solvency II :
Solvabilit II est une rforme rglementaire europenne du monde de l'assurance. Son
objectif est de mieux adapter les fonds propres exigs des compagnies d'assurances et de
rassurance avec les risques que celles-ci encourent dans leur activit.
Solvabilit II, repose sur 3 piliers ayant chacun un objectif :
Le premier pilier a pour objectif de dfinir les normes quantitatives de calcul des
provisions techniques et des fonds propres.
Le deuxime pilier a pour objectif de fixer des normes qualitatives de suivi des
risques en interne aux socits et comment l'autorit de contrle doit exercer ses
pouvoirs de surveillance dans ce contexte
Le troisime pilier a pour objectif de dfinir l'ensemble des informations dtailles les
autorits de contrle pourront avoir accs pour exercer leur pouvoir de surveillance,
d'autre part
69