Académique Documents
Professionnel Documents
Culture Documents
AWOUZOUBA ESSSO-ESSINAM
2
Audit & Scurit Des Systmes dInformation 2014
I. Le gouvernement
d'entreprise
Introduction
Les problmes lis linformatique sont essentiellement des problmes de logiciel
La crise du logiciel daprs travaux de Standish Group en 1995 permet de voir que sur 9380 projets tudis, la
situation est de moins apprciables telle que exemplifie par le tableau ci-dessus :
Projets
succ
s
8380
16%
des processus, rglementations, lois et institutions destins cadrer la manire dont l'entreprise est dirige,
administre et contrle.
En fonction des objectifs qui gouvernent l'entreprise, ce systme est appel rguler les relations entre les
nombreux acteurs impliqus ou parties prenantes. ( : stakeholders).
Les acteurs cls sont les actionnaires qui lisent le Conseil d'administration, lequel mandate la Direction, selon
des modalits propres au rgime juridique de ladite socit. Les employs, les fournisseurs, les clients, les
banques ou autres prteurs, le voisinage, l'environnement et les tiers sont les autres stakeholders
1. Dfinition
La gouvernance du SI (SI :est un ensemble organis de ressources (matriels, logiciels, personnel, donnes et
procdures) qui permet de collecter, regrouper, classifier, traiter et diffuser de l'information dans un environnement
donn) consiste d'abord fixer au SI des objectifs lis la stratgie de l'entreprise. Cette dmarche permet de
dfinir la manire dont le SI permet lentreprise de crer de la valeur en prcisant le rle des diffrents
acteurs en tenant compte de leurs enjeux de pouvoir. Elle donne rponse des questions telles que :
la Direction des SI est-elle responsable de la mise en uvre du SI ou est-ce le rle des mtiers ou des matrise
d'ouvrage (MOA) ?
La gouvernance des SI ou gouvernance informatique (IT gouvernance) renvoie aux moyens de gestion et de
rgulation des SI mis en place dans une organisation en vue d'atteindre ses objectifs.. Les mthodes ITIL ( IT
infrastructure library ) et COBIT sont par exemple des supports permettant de mettre un SI sous contrle et de le
faire voluer en fonction de la stratgie de l'organisation.
Les SI font 15 20 % du chiffre d'affaires des entreprises, soit 50 % de la valeur ajoute gnre par les
entreprises. Globalement, cela fait entre 20 25 mille milliards USD. Mais ce ne sont pas que des dpenses
sans contreparties car une partie importante partie est constitue par des investissements qui permettent de
dvelopper la capacit de l'entreprise crer de la valeur. Le dveloppement des SI permet d'augmenter la
valeur ajoute cre par l'entreprise.
3
Audit & Scurit Des Systmes dInformation 2014
2. Buts
La gouvernance des SI a pour but de dfinir les principaux objectifs, les fonctions et les tches pour alimenter
la nouvelle fonction du management de l'information. Il est pour cela ncessaire d'tudier et de proposer de
nouvelles solutions, pour positionner cette nouvelle fonction dans l'architecture des modles d'organisation et
notamment de mettre en place des tableaux de bord des SI
La gouvernance des SI a lenjeu de dvelopper la capacit de l'entreprise crer de la valeur base sur 4 axes :
Un systme d'information doit tre pilot .Cela se fait sur la base de trois rgles savoir :
Fixer des objectifs lis la stratgie de l'entreprise,
Lier les innovations permises par le SI en crant de nouveaux produits, des processus innovateurs ou
des services plus efficaces,
Tenir compte de la valeur ajoute cre par le systme d'information par rapport aux dpenses
engendres par la mise en place de celui-ci, ceci dans une optique long terme.
4
Audit & Scurit Des Systmes dInformation 2014
1. Principe de l'urbanisation du SI
L'urbanisation rpond deux rgles de base :
Une application doit appartenir-en cible- un et un seul bloc (pour quelle raison ?).
Les dpendances doivent respecter les notions de Cohrence Forte / Couplage Faible
entre les applications,
au sein d'une application : entre les diffrents modules,
au sein d'un module : entre les diffrents composants.
Le terme -en cible- dfinit l'application que l'on cherche avoir to be. Elle s'oppose
l'existant -la situation actuelle- As is. La mthode pour passer du as-is actuel au to-be souhait est appel la ou
feuille de route
La notion de Cohrence Forte / Couplage Faible indique que deux applications doivent communiquer entre elles de
faon simple et efficace, mais que la dpendance entre ces deux applications est minimale (idalement inexistante).
Cela permet donc de retirer un bloc pour le remplacer sans perturber le reste du SI.
Le SI est comparable au quartier d'une ville bien bti et bien urbanis, il est possible de raser un btiment au cur
du quartier sans mettre en pril tout le secteur, et de le remplacer ou de reconstruire un autre btiment, en raccordant
ce nouveau btiment aux diffrents rseaux d'changes : voirie d'accs, lectricit, vacuation des eaux uses, etc.
L'urbanisation consiste donc crer un SI agile, modulable et volutif.
5
Audit & Scurit Des Systmes dInformation 2014
Les
zones
des changes avec
lextrieur
du
SI : acquisition/mission
de/vers
les partenaires : clients, fournisseurs,
Les zones des activits oprationnelles : gestion des oprations bancaires, gestion des oprations
commerciales, gestion des oprations logistiques internes, etc. ;
Les zones de gestion des donnes de rfrence communes l'ensemble du SI : les rfrentiels de donnes
structures (donnes clients, catalogue de produits et services, etc.) ;
Les zones de gestion des gisements de donnes : ensemble des informations produites quotidiennement,
communes l'ensemble du SI (donnes de production, etc.) ;
Les zones des activits de support : comptabilit, ressources humaines, etc. ;
Les zones des traitements pour laide la dcision et le pilotage : informatique dcisionnelle.
6
Audit & Scurit Des Systmes dInformation 2014
Lurbanisation totale et efficace des grandes entreprises demande le dcoupage du SI de l'entreprise en primtres
autonomes ; par exemple : par grandes directions. Sa zone d'change gre les flux extra-entreprises "SI SI
extrieurs" que les flux intra-entreprises "SI autres SI de l'entreprise".
3. Comment urbaniser ?
La dmarche durbanisation suppose 3 axes cls imbriques (qui salimentent mutuellement) :
la modlisation de la stratgie
la cartographie des systmes existants (mtier, fonctionnels, applicatifs, techniques)
la dtermination des systmes cibles (mtier, fonctionnels, applicatifs, techniques)
Indpendamment des diffrentes approches qui, selon le contexte de l'entreprise et les options mthodologiques,
peuvent tre prconises les activits d'urbanisations se classent en cinq grands domaines :
7
Audit & Scurit Des Systmes dInformation 2014
III. Audit
Introduction
L'audit informatique (ou IT Audit) permet lidentification et lvaluation des risques (oprationnels,
financiers, de rputation notamment) associs aux activits informatiques d'une entreprise. Laudit se base
sur le cadre rglementaire du secteur dactivit du pays concern (ie le CRBF 97-02 pour une banque
franaise), sur les rfrentiels de bonnes pratiques existants (ie le rfrentiel CobiT), sur les benchmarks
disposition et sur lexprience professionnelle des auditeurs impliqus.
Il existe deux grandes catgories daudit : Les audits globaux d'entit (audits des activits ayant trait aux
systmes dinformations et audits thmatiques, ayant pour objectif la revue dun thme informatique au
sein dune entit (la gestion de projet, la scurit logique par exemple).
Laudit nest pas lactivit de conseil qui vise amliorer le fonctionnement et la performance d'une
organisation avec une ventuelle implication dans la mise en uvre de cette amlioration.
8
Audit & Scurit Des Systmes dInformation 2014
Pour effectuer un audit de la fonction informatique on se base sur les bonnes pratiques connues en matire
d'organisation de la fonction informatique. On peut citer :
Ces diffrents objectifs de contrle correspondent au processus PO 4 de CobiT : "Dfinir les processus,
l'organisation et les relations de travail".
c. Audit de l'exploitation
L'audit de l'exploitation a pour but de s'assurer que les diffrents centres de production informatiques
fonctionnent efficacement et qu'ils sont correctement grs. Il est pour cela ncessaire de mettre en uvre
des outils de suivi de la production comme Openview d'HP, de Tivoli d'IBM, Nagios (GPL). Ce sont de SI
ddis l'exploitation.
Laudit de l'exploitation sappuie sur des bonnes pratiques concernant ce domaine :
9
Audit & Scurit Des Systmes dInformation 2014
cawouzouba@gmail.com
10
Audit & Scurit Des Systmes dInformation 2014
Il couvre un domaine plus large et s'intresse au SI de l'entreprise. Ce peut tre l'audit de l'application
comptable, de la paie, de la facturation,. Mais, de plus en plus souvent, on s'intresse l'audit d'un
processus global de l'entreprise comme les ventes, la production, les achats, la logistique,
L'auditeur va s'assurer du respect et de l'application des rgles de contrle interne. Il va en particulier
vrifier que :
Le but de lAAO est de donner au management une assurance raisonnable sur son fonctionnement. Ces
contrles sont raliss par le Commissaire aux Comptes dans le cadre de sa mission lgale d'valuation
des comptes d'une entreprise : est-ce que le logiciel utilis est sr, efficace et adapt ?
Pour effectuer l'audit d'une application oprationnelle on va recourir aux objectifs de contrle les plus
courants :
11
Audit & Scurit Des Systmes dInformation 2014
Pour effectuer un ASI il est ncessaire de se baser sur quelques objectifs de contrle dont :
reprer les actifs informationnels de l'entreprise. Ce sont des matriels informatiques, des
logiciels et des bases de donnes. Il est pour cela ncessaire d'avoir des procdures de gestion
efficaces et adaptes,
identifier les risques. Il doit exister des dispositifs de gestion adapts permettant de surveiller les
domaines risque. Cette surveillance doit tre assure par un RSSI, un responsable de la scurit
informatique,
valuer les menaces. Le RSSI a la responsabilit de reprer les principaux risques lis aux
diffrents domaines du SI. Un document doit recenser les principales menaces,
mesurer les impacts. Le RRSI doit tablir une cartographie des risques associs au SI. Il est alors
envisageable de construire des scnarios d'agression et d'valuer les points de vulnrabilit,
dfinir les parades. Pour diminuer le niveau des risques il est ncessaire de
prvoir les dispositifs comme des contrles d'accs, le cryptage des donnes, le plan de
secours,
Il existe de nombreux autres objectifs de contrle concernant l'audit de la scurit informatique qui sont
choisis en fonction des proccupations et des attentes du demandeur d'audit.
Ces diffrents objectifs de contrle correspondent aux processus de CobiT
l'tablissement de la lettre de mission faite par le demandeur daudit et qui mandate lauditeur.
la planification de la mission permet de dfinir la dmarche dtaille qui sera suivie.
la collecte des faits, la ralisation de tests,
les entretiens avec les audits.
la rdaction du rapport d'audit assorti des recommandations proposes,
la prsentation et la discussion du rapport d'audit au demandeur d'audit.
Il peut arriver qu' la suite de la mission d'audit il soit demand l'auditeur d'tablir le plan d'action et
ventuellement de mettre en place un suivi des recommandations.
12
Audit & Scurit Des Systmes dInformation 2014
du Commerce (OGC), la bibliothque ITIL a fait intervenir partir de sa version 3 des experts issus de plusieurs
entreprises
de
services
telles
qu'Accenture, Ernst
&
Young, HewlettPackard, Deloitte, BearingPoint ouPriceWaterhouseCoopers.
C'est un rfrentiel trs large qui aborde les sujets suivants :
Comment organiser un systme d'information ?
Comment amliorer l'efficacit du systme d'information ?
Comment rduire les risques ?
Comment augmenter la qualit des services informatiques ?
Le CobiT (en franais Objectifs de contrle de lInformation et des Technologies Associes) est un outil
fdrateur qui permet d'instaurer un langage commun pour parler de la gouvernance des SI tout en tentant
d'intgrer d'autres rfrentiels tels que ISO 9000, ITIL,
. Le rfrentiel principal de gouvernance et daudit des SI est le CobiT. En rsum le CobiT est un cadre de
rfrence pour maitriser la gouvernance des SI dans le temps.
Le CobiT a t dvelopp en 1994 (et publi en 1996) par lISACA (Information Systems Audit and Control
Association). LISACA a t cr en 1967 et est reprsent en France depuis 1982 par lAFAI (Association
Franaise de lAudit et du Conseil Informatiques). C'est un cadre de contrle qui vise aider le management
grer les risques (scurit, fiabilit, conformit) et les investissements.
CobiT v 4.1 est une approche oriente processus, qui regroupe en quatre domaines (planification, construction,
excution et mtrologie, par analogie avec la Roue de Deming), 34 processus distincts qui comprennent en tout
215 activits et un nombre plus important encore de pratiques de contrle . Un volet "valuation des
systmes d'information", connu sous le nom de Val IT tente de complter cette approche.
La version 5 de COBIT est disponible depuis avril 2012 1. Cette version apporte des modifications
importantes. Les niveaux de maturit ont t ajusts et sept facilitateurs font leur
apparition. De plus, un ensemble de guides venant appuyer le rfrentiel sont publis
(mise en uvre, scurit...).
"Le CobiT" consiste dcomposer tout systme informatique en :
Planification et organisation
Livraison et support
Planification et Organisation : dans ce domaine nous cherchons savoir comment utiliser les techniques
informatiques afin que lentreprise atteigne ses objectifs.
13
Audit & Scurit Des Systmes dInformation 2014
Acquisition et Installation : ici CobiT cherche dfinir, acqurir et mettre en uvre des technologies
en les alignant avec les processus mtiers de lentreprise.
Identification des solutions automatiques
Acquisition et maintenance des applications informatiques
Acquisition et maintenance de l'infrastructure technique
Dveloppement et maintien des procdures
Installation et certification des systmes
Gestion des modifications
Livraison et Support : lobjectif est de garantir lefficacit et lefficience des systmes technologiques en
action.
Lobjectif est dassurer ladquation durable entre les technologies, les processus
mtiers et la stratgie de lentreprise.
a. Critres de l'information
14
Audit & Scurit Des Systmes dInformation 2014
b. Les ressources
Cette partie concerne plus le directeur des SI (DSI) ou responsable des SI (RSI), pour
l'informer des ressources qui vont tre impactes par le processus. Les diffrentes
ressources sont :
c. Les processus
Destins l'attention du gestionnaire de processus, ils vont dfinir la structure des domaines, des processus et
des tches. Il faut savoir quun processus se dfinit comme un ensemble de tches. Par exemple, le processus
comptable intervient dans le domaine administratif et financier et se divise en activits telles que la
saisie de factures, ldition de balance . CobiT propose un modle de maturit pour chaque processus afin
de le situer par rapport aux meilleures pratiques du march. Le modle comprend 6 niveaux (0 5).
Les facteurs cls de succs dfinissent les actions les plus importantes entreprendre pour matriser les
processus. Les indicateurs cls dobjectif permettent de savoir a posteriori si un processus a rpondu aux
objectifs (en termes de critres dinformation). Enfin, les indicateurs cls de performance dterminent la
qualit de fonctionnement dun processus (capacit atteindre les objectifs).
d. CobiT Quickstart
Cette version simplifie de CobiT sadresse principalement aux PME pour lesquelles les techniques
informatiques ne reprsentent pas un enjeu stratgique mais simplement un levier dans leur stratgie de
croissance. Elle se repose sur les hypothses suivantes :
15
Audit & Scurit Des Systmes dInformation 2014
Cette version conserve de CobiT 30 processus sur les 34, et 62 objectifs de contrle sur les 318.
La mise en uvre Quickstart comprend 6 tapes :
valuer le bien-fond cest--dire dterminer si cette version est adapte lentreprise ;
valuer la situation actuelle partir de collectes dinformations auprs des personnes cl et de
rapports daudit ;
Dterminer la cible avec la dfinition de lactivit, des contraintes lgales, et de la dpendance de lentreprise
vis--vis de la technologie ;
Analyser les carts par lexamen des pratiques de contrle et des facteurs cls de succs ;
Dfinir les projets damlioration des processus
laborer un programme intgr de mise en place de la gouvernance en tenant
compte des besoins immdiats de lentreprise, des interdpendances entre les
projets et des ressources disponibles.
Limites
Selon Georges pinette, administrateur du CIGREF, la dmarche d'apprhension de ce
rfrentiel doit se faire intelligemment, notamment lorsqu'il s'agit du cycle de vie de la
relation client-fournisseur2. En effet, CobiT prsente une relative indigence en matire :
d'alignement du SI ; de gestion des risques et de scurit
16
Audit & Scurit Des Systmes dInformation 2014
Les phases de dveloppement dun projet Typical development phases of an engineering project
i.
ii.
i.
ii.
iii.
iv.
v.
vi.
vii.
viii.
ix.
x.
xi.
xii.
xiii.
xiv.
xv.
xvi.
xvii.
xviii.
initiation
planning :
Dterminer comment planifier (e.g. by level of detail or rolling wave);
Dfinir le canevas;
choisir lquipe de planification;
identifier les livrables et crer la segmentation du travail;
identifier les activits a raliser pour faire des livrables en rseau squentiel logique
estimer les pr-requis en ressources pour les activits;
estimer la dure et le cot des activits;
laborer le programme ;
laborer le budget;
gestion des risques;
avoir le ok formel pour dmarrer
. planning for communications and for scope management,
Identifier les rles et les responsabilits,
Dterminer quoi acheter pour le projet
holding a kick-off meeting and design
excution & construction
suivre & contrler les systmes
compltion
Chaque projet est caractristique et spcifique et unique.
Agile management or gestion agile de projet est une mthode itrative et incrmentale de gestion du
des activits du design et en ingnierie, technologie de linformation, et dveloppement de nouveau produit ou
service dans un environnement assez flexible, eg agile software development. Cela demande des
professionnels des domaines concerns avec lapport des fournisseurs et des clients.
Il existe des liens entre lean techniques, Kanban et Six Sigma. Les techniques Agile sont trs utilises dans les
petits projets ou partie dun grand programme ou sur des projets trop complexes pour le client pour quil puisse
spcifier ses besoins avant le test du prototype.
Cest la seule technique qui implique activement le client (disponible) dans le dveloppement du projet.
consiste en un ensemble de de
mthode de dveloppement dans lesquelles les solutions et les prrequis suvent un schma de
collaboration entre lauto-arganisation , les quipes transversales, .Agile promeut lla
17
Audit & Scurit Des Systmes dInformation 2014
Le Manifeste Agile
In February 2001, 17 software developers (voir plus bas) met at the Snowbird resort in Utah to discuss
lightweight development methods. They published the Manifesto for Agile Software Development:
We are uncovering better ways of developing software by doing it and helping others do it. Through this
work we have come to value:
Scrum (software development) - A holistic approach to development that focuses on iterative goals set by the
Product Owner through a backlog, which is developed by the Delivery Team through the facilitation of the
Scrum Master.
Extreme Programming (XP) or Pair Programming this method uses small groups and has a highly
prescriptive Test Driven Development (TDD) model.
eXtreme Manufacturing (XM) - An agile methodology based on Scrum, Kanban and Kaizen that facilitates
rapid engineering and prototyping.
Crystal Clear (software development) - An agile or lightweight methodology that focuses on colocation and
osmotic communication.
Kanban (just in time) - A lean framework for process improvement that is frequently used to manage WIP
within agile projects. The Kanban process improvement framework has been specifically applied to software
development, as Kanban (development).
PRINCE2 stands for Projects in Controlled Environments. Dealing with a bit of history, this method was first
established by the Central Computer and Telecommunications Agency (It is now referred to as the Office of
Government Commerce).
It has since become a very commonly used project management method in all parts of the world and has
therefore proven to be highly effective in various respects.
Le diagramme de Gantt (Harmonogram Adamieckiego1) est un outil utilis (souvent en complment d'un
rseau PERT) en ordonnancement et en gestion de projet et permettant de visualiser dans le temps les diverses
tches composant un projet. Il s'agit d'une reprsentation d'un graphe connexe, valu et orient, qui permet de
reprsenter graphiquement l'avancement du projet.
Le premier diagramme de ce type (appel Harmonogram Adamieckiego) fut ralis par l'ingnieur polonais Karol
Adamiecki en 1896. Il l'a dcrit en 1931, mais la langue de publication n'a pas permis la reconnaissance
internationale de son ide. Pour cette raison, le concept a t nomm d'aprs Henry L. Gantt, ingnieur amricain
collaborateur de Frederick Winslow Taylor, qui a publi la description du diagramme en 1910.
Cet outil rpond deux objectifs : planifier de faon optimale ainsi que communiquer sur le planning tabli et les
choix qu'il impose. Le diagramme permet :
18
Audit & Scurit Des Systmes dInformation 2014
priorit la ralisation des fabrications dont la date de livraison est la plus rapproche ;
La mthode PERT ( Program Evaluation and Review technique) est une mthode conventionnelle utilisable
en gestion de projet, dveloppe aux tats-Unis dans les annes 1950.
Elle est cense fournir une mthodologie et des moyens pratiques pour dcrire, reprsenter, analyser et suivre
de manire logique les tches et le rseau des tches raliser dans le cadre d'une action entreprendre ou
suivre.
Le concept perfectionne l'outil Diagramme de Gantt (1910) et a suscit le dveloppement de mthodes comme
la Mthode MPM (ou mthode des potentiels et antcdents mtra) dveloppe par Bernard Roy (1958).
Critical chain project management (CCPM) est une mthode de planification de gestion et dexcution de
projet qui prend en compte les incertitudes inhrents aux gestions de projets, (physiques, humaines, et
aptitudes physiques aussi bien que la gestion et le support technique) ncessaire pour excuter les projets
CCPM est une application de la thorie des contraintes (TOC) de Goldratt aux projets. Appliquent les trois
premiers des pas du TOC la contrainte systme pour tous les projets est identifi comme les ressources.
Exploiter les contraintes, les tches sur le chemin critique est une priorit sur les autres activits Finalement,
les projets sont planifis et grs pour sassurer de la disponibilit des ressources quand doivent commencer les
tches critiques de la chaine, ce qui supplante les autres tches de la chaine critique
19
Audit & Scurit Des Systmes dInformation 2014
Le plan du projet plan doit subir le nivellement de ressources, et la plus longue chaine de squence de
contraintes lie aux ressources doit tre identifie comme chemin critique
Lean project management ou la standardisation est lintroduction en gestion de projet des concepts comme
lean construction, lean manufacturing and lean. Lintrt de lean management cest la minimisation des pertes
en crant plus de la valeur
20
Audit & Scurit Des Systmes dInformation 2014
V. Maintenance
La maintenance du logiciel (ou maintenance logicielle) dsigne les modifications apportes un
logiciel, aprs sa mise en uvre, pour en corriger les fautes, en amliorer l'efficacit ou autres
caractristiques, ou encore adapter celui-ci un environnement modifi (ISO/IEC 14764).
Figure 1 En spirale
Figure 2 En V
Conception architecturale comprend le Dossier dfinition du logiciel dossier darchitecture technique plan de tests
21
Audit & Scurit Des Systmes dInformation 2014
1. Processus
Cette norme internationale distingue six processus de maintenance logicielle : (L'implmentation ;
L'analyse et la rsolution de problmes ; La modification du logiciel ; L'acceptation de la modification par
le demandeur ; La migration et la mise la retraite.)
la maintenance du logiciel, repose essentiellement un nombre de processus, d'activits et de rgles :
Le maintenanceur ne fait pas que corriger des dfauts (bugs). Pourtant des tudes et des enqutes indiquent
depuis des annes que plus de 80 % des efforts de maintenance sont consacrs des interventions autres que
correctives (Pigosky 1997). Cette notion est perptue par des utilisateurs qui font tat de problmes alors
Origine erreurs
Cot de la maintenance
6%
5%
7%
15%
67%
56%
27%
7%
10%
10%
82%
13%
1%
4%
4%
Les travaux du Dr.Meir Lehman de l'Imperial College de Londres , en 1969 aboutissent en 1997 la
formulation de huit rgles de l'volution d'un logiciel (1997).
i.
ii.
iii.
iv.
v.
vi.
vii.
La modification continue les logiciels doivent tre continuellement adapts ou il deviendra de moins en
moins satisfaisant
La complexit croissante comme le logiciel est modifi, il devient plus en plus complexe moins que le
travail soit effectu pour rduire la complexit
Relation de l'organisation le logiciel existe dans un cadre de personnes, la gestion, rgles et objectifs de
crer un systme de vrifications et de balances qui formulent l'volution du logiciel
Les taux de travail invariant au cours de la dure de vie d'un systme, la quantit de travail est excute,
elle est essentiellement la mme comme facteurs externes au del de contrle de tout daction de
l'volution.
La conservation de familiarit les dveloppeurs et les utilisateurs du logiciel doivent conserver la matrise
de son contenu afin d'utiliser et d'voluer une croissance excessive rduit la matrise et agit comme un frein
La croissance continue apparemment semblable la premire loi, cette observation indique que la
croissance supplmentaire est galement dicte par les contraintes de ressources qui est restreinte la porte
originale du systme
Diminution de qualit la qualit du logiciel diminuera moins que des mesures sont prises pour le garder
en accord avec les changements oprationnels
Le feedback systme l'volution de la fonctionnalit et la complexit du logiciel est rgie par multiboucle, multi-niveau, multiparti de feedback systme et montrent que la maintenance est un processus
volutif et que les logiciels voluent avec le temps en devenant de plus en plus complexes moins qu'une
action spcifique soit engage pour en rduire la complexit.
22
Audit & Scurit Des Systmes dInformation 2014
E.B. Swanson a identifi trois catgories de maintenance : la corrective, l'adaptative et la perfective. Ces
catgories ont t mises jour par l'quipe de ISO/IEC 14764,
Pour l'AFNOR par contre, la maintenance consiste prcisment assurer qu'un bien continue de remplir sa fonction
correctement, non l'amliorer.
2. Niveaux de maintenance
Les problmes majeurs de la maintenance du logiciel sont dordre technique et managrial
Il existe cinq niveaux de maintenance qui sont fonction (du lieu, du personnel, du type de travaux, des
travaux )
23
Audit & Scurit Des Systmes dInformation 2014
A more current Risk management framework for IT Risk would be the TIK framework: Risk
= ((Vulnerability * Threat) / Counter Measure) * Asset Value at Risk IT Risk
Lenvironnement du risque
Cette tape est initiale dans la structure ISO ISO/IEC 27005 . les activits lmentaires sont prvues comme
premier sous procdure de lvaluation des risques selon NIST SP 800-30. Cette tape suppose lobtention de
toutes les informations sur lorganisation et la dtermination des critres de base, du but et du canevas de la
gestion des risques et lorganisation charge de ces activits de gestion des risques. The purpose is usually the
compliance with legal requirements and provide evidence of due diligence supporting an ISMS that can be
certified. The scope can be an incident reporting plan, a business continuity plan.
Another area of application can be the certification of a product.
Criteria include the risk evaluation, risk acceptance and impact evaluation criteria. These are conditioned by:
Risk assessment
Risk Management is a recurrent activity that deals with the analysis, planning,
implementation, control and monitoring of implemented measurements and the
24
Audit & Scurit Des Systmes dInformation 2014
enforced security policy. On the contrary, Risk Assessment is executed at discrete time
points (e.g. once a year, on demand, etc.) and until the performance of the next
assessment - provides a temporary view of assessed risks and while parameterizing the
entire Risk Management process. This view of the relationship of Risk Management to
Risk Assessment is depicted in figure as adopted from OCTAVE.
Risk assessment is often conducted in more than one iteration, the first being a highlevel assessment to identify high risks, while the other iterations detailed the analysis of
the major risks and other risks.
According to National Information Assurance Training and Education Center risk
assessment in the IT is :
politique de scurit,
organisation de la scurit de l'information,
la gestion d'actifs,
la scurit des ressources humaines,
la scurit physique et environnementale,
communications et la gestion des oprations,
25
Audit & Scurit Des Systmes dInformation 2014
cawouzouba@gmail.com
contrle d'accs,
l'acquisition de systmes d'information, le dveloppement et la maintenance,
informations gestion des incidents de scurit,
gestion de la continuit des affaires et
la conformit rglementaire.
L'identification des risques
L'identification des risques indique ce qui pourrait provoquer une perte potentielle;
les suivantes sont identifier:
(1-assets, primary (i.e. Business processes and related information) and supporting (i.e. hardware, software,
personnel, site, organization structure) 2-threats 3 -existing and planned security measures 4-vulnerabilities 5consequences 6-related business processes)
The output of sub process is made up of:
The list of asset and related business processes to be risk managed with associated list of threats,
existing and planned security measures
list of vulnerabilities unrelated to any identified threats
list of incident scenarios with their consequences.
Estimation du Risque
There are two methods of risk assessment in information security field, qualitative and quantitative.
Purely quantitative risk assessment is a mathematical calculation based on security metrics on
the asset (system or application). For each risk scenario, taking into consideration the different risk
factors a Single loss expectancy(SLE) is determined. Then, considering the probability of occurrence on a
given period basis, for example the annual rate of occurrence (ARO), the Annualized Loss Expectancy is
determined as the product of ARO X SLE. It is important to point out that the values of assets to be considered
are those of all involved assets, not only the value of the directly affected resource.
For example, if you consider the risk scenario of a Laptop theft threat, you should consider the value of the
data (a related asset) contained in the computer and the reputation and liability of the company (other assets)
deriving from the lost of availability and confidentiality of the data that could be involved. It is easy to
understand that intangible assets (data, reputation, liability) can be worth much more than physical resources at
risk (the laptop hardware in the example). Intangible asset value can be huge, but is not easy to evaluate: this
can be a consideration against a pure quantitative approach.
Attnuation des risques est une mthodologie systmatique utilise par la direction
pour rduire la survenance du risque
Risk mitigation can be achieved through any of the following risk mitigation options:
Risk Assumption. To accept the potential risk and continue operating the IT system or to implement
controls to lower the risk to an acceptable level
Risk Avoidance. To avoid the risk by eliminating the risk cause and/or consequence (e.g., forgo certain
functions of the system or shut down the system when risks are identified)
Risk Limitation. To limit the risk by implementing controls that minimize the adverse impact of a threats
exercising a vulnerability (e.g., use of supporting, preventive, detective controls)
Risk Planning. To manage risk by developing a risk mitigation plan that prioritizes, implements, and
maintains controls
Research and Acknowledgement. To lower the risk of loss by acknowledging the vulnerability or flaw and
researching controls to correct the vulnerability
Risk Transference. Prendre une assurance pour compenser une perte ventuelle
To transfer the risk by using other options to compensate for the loss, such as purchasing insurance.
26
Audit & Scurit Des Systmes dInformation 2014
Le rfrentiel Val IT est un ensemble structur de pratiques cls de management lies la gouvernance des SI.
Cette dernire comporte deux volets : un aspect risques, qui conduit des pratiques d'audit et des rfrentiels
de bonnes pratiques comme CobiT. Et un aspect performance peu outill au dbut des annes 2000.
Les concepteurs du rfrentiel CobiT (l'ISACA et son chapitre franais l'AFAI), rapidement relays par la
structure ITGI (IT Governance Institute, associe en France l'IGSI ou Institut de Gouvernance du SI, hberg
par le CIGREF) ont donc tent de complter leur approche initiale en proposant un cadre d'analyse de
la performance des investissements en technologies de l'information. Un volet consacr la scurit et
dnomm Risk IT est cens complter le triptyque.
Val IT offre la Direction de l'organisation un ensemble de prconisations lui permettant d'valuer et
slectionner les projets de dveloppement du systme d'information en fonction de leur valeur, d'une part,
d'anticiper puis de suivre leur cycle de vie du point de vue conomique ensuite et, par retour d'exprience,
d'amliorer les mthodes employes pour l'valuation a priori des nouveaux projets, dnommes dans ce
rfrentiel business cases.
27
Audit & Scurit Des Systmes dInformation 2014
processus de dcision, fournir des directions et des indicateurs de choix des projets en
portefeuille et assurer l'apprentissage organisationnel par la vrification de l'atteinte
des objectifs sur les projets termins. Les processus de la version 2.0 sont :
i.
ii.
iii.
iv.
v.
vi.
Le business case
28
Audit & Scurit Des Systmes dInformation 2014
i.
ii.
iii.
iv.
v.
Le business case contient donc des lments sur les rsultats attendus (outcomes),
aussi bien immdiats que diffrs, sur les actions (initiatives) et leurs impacts directs
sur les rsultats, les contributions ou impacts indirects croiss entre actions et rsultats
de nature diffrente et, enfin, les hypothses sous-jacentes aux points prcdents et qui
permettent d'valuer le risque du programme. La construction du business
case comporte 8 phases dont 4 peuvent tre menes en parallle :
Limites
29
Audit & Scurit Des Systmes dInformation 2014
30
Audit & Scurit Des Systmes dInformation 2014
VII.
Benchmarking de la gouvernance SI
La mise en uvre de la gouvernance des SI repose sur l'application d'un certain nombre de bonnes
pratiques reparties en quatre domaines comme suit :
La conception, Le fonctionnement et le pilotage des SI,
Le pilotage des volutions des SI, L'volution des SI.
Ces bonnes pratiques sont par exemple :
Un SI conu par un professionnel (architecte ou un matre d'ouvrage). C'est un travail de conception
ou de re-conception de l'organisation.
Un SI doit permettre daugmenter les volumes traits et de rduire les cots unitaires des oprations.
Un SI doit tre pilot par un responsable qui doit avoir une autorit suffisante pour prendre les
mesures qui s'imposent. C'est particulirement le cas d'un SI concernant un processus.
Chaque SI doit disposer d'un tableau de bord permettant de suivre les volutions et le cas chant de
prendre des mesures correctrices.
Un suivi des anomalies constates dans le cadre de l'utilisation normale du SI doit permettre de rpertorier les
dysfonctionnements et de les corriger en appliquant des rgles de contrle interne.
Piloter les volutions du SI et les planifier dans le temps pour viter des changements difficiles
grer.
La connaissance de ces bonnes pratiques permet d'valuer le degr de maturit d'un systme
d'information et d'tablir un plan d'action adapt. Cette dmarche repose sur les tapes suivantes :
Effectuer un audit du systme d'information.
Identifier les actions possibles. Dterminer les priorits.
Fixer les responsabilits et les budgets dinvestissement
31
Audit & Scurit Des Systmes dInformation 2014
Figure 4top three objectives are related to customers priorities of the high performers
Figure 5high performers are further along in their transition to private and public cloud
32
Audit & Scurit Des Systmes dInformation 2014
33
Audit & Scurit Des Systmes dInformation 2014
1.
Laudit a pour but de vrifier la scurit. Dans le cycle de scurisation, la vrification intervient aprs la ralisation
d'une action. Par exemple, lors de la mise en place d'un nouveau composant dans le SI, il est bon de tester sa scurit
aprs avoir intgr le composant dans un environnement de test, et avant sa mise en uvre effective. La roue de
Deming illustre ce principe.( Plan Do Check Act)
Le rsultat est le rapport d'audit qui donne la liste exhaustive des vulnrabilits recenses par l'auditeur sur le
systme analys et une liste de recommandations en vue de supprimer les vulnrabilits trouves.
L'audit nest pas l'analyse de risques. Il ne permet que de trouver les vulnrabilits, mais pas de dterminer si cellesci sont tolrables. Au contraire, l'analyse de risque permet de dire quels risques sont pris en compte, ou accepts
pour le SI. L'auditeur dresse donc des recommandations, que le client suivra, ou pas. Le client choisit les
recommandations ou non suivre, en se rfrant la politique de scurit.
2.
Pratiques de laudit :
a. Interview
34
Audit & Scurit Des Systmes dInformation 2014
Ils sont de 3 types : Les tests bote blanche, les tests bote grise et les tests dits bote noire.
Collecte d'informations publiques : pages web, informations sur les employs, entreprise ayant un lien
de confiance avec la cible.
Identification des points de prsence sur internet. et Ecoute du rseau.
d. L'audit de code
Laudit de code est une pratique consistant parcourir le code source d'un logiciel afin de s'assurer du respect
de rgles prcises. Notamment, les dpassements de tampon (buffer overflow), les bugs de format, ou pour une
application web, les vulnrabilits menant des injections SQL...
(une mmoire tampon, ou buffer, est une zone de la mmoire vive ou de disque utilise pour entreposer
temporairement des donnes, notamment entre deux processus ou matriels ne travaillant pas au mme rythme.)
3. Fuzzing
Pour les applications boite noire, o le code n'est pas disponible, il existe un pendant l'analyse de code, qui
est le fuzzing. Cette technique consiste analyser le comportement d'une application en injectant en entre des
donnes plus ou moins alatoires, avec des valeurs limites. Contrairement l'audit de code qui est une analyse
structurelle, le fuzzing est une analyse comportementale d'une application.
Le mot processus vient du latin pro (au sens de vers l'avant ) et de cessus, cedere ( aller, marcher ) ie, avancer.
La procdure dsigne plutt la mthode dorganisation, la stratgie du changement.
35
Audit & Scurit Des Systmes dInformation 2014
X.
est
lensemble
des
moyens
techniques,
organisationnels, juridiques et humains ncessaire et mis en place pour conserver, rtablir, et garantir
la scurit du SI, une activit qui incombe au management du SI
L'intgrit : Les donnes ne doivent pas tre altres de faon fortuite, illicite ou malveillante.
La confidentialit : Seule les personnes autorises ont accs aux informations
La disponibilit : Le systme doit fonctionner sans faille durant les plages d'utilisation prvues, garantir
l'accs aux services et ressources installes avec le temps de rponse attendu.
La non-rpudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les oprations qu'il a
ralises dans le cadre de ses actions autorises, et aucun tiers ne doit pouvoir s'attribuer les actions
d'un autre utilisateur.
L'authentification : L'identification des utilisateurs est fondamentale pour grer les accs aux espaces
de travail pertinents et maintenir la confiance dans les relations d'change.
La scurit informatique est un dfi d'ensemble qui concerne une chane d'lments : les infrastructures
matrielles de traitement ou de communication, les logiciels (systmes d'exploitation ou applicatifs), les
donnes, le comportement des utilisateurs. Le niveau global de scurit est fonction du niveau de scurit du
maillon le plus faible, les prcautions et contre-mesures doivent tre envisages en fonction des vulnrabilits
propres au contexte auquel le SI est cens apporter service et appui.
Deux types de dommages peuvent affecter le SI d'une organisation:
Les dommages financiers directs (reconstitution des bases de donnes qui ont disparu, reconfigurer un parc
de postes informatiques, rcrire une application) ou indirects (par exemple, le ddommagement des victimes
d'un piratage, le vol d'un secret de fabrication ou la perte de marchs commerciaux. Un Exemple
concret (relativement difficile de les estimer), des sommes de l'ordre de plusieurs milliards USD ont t
avances suite des dommages causs par des programmes malveillants comme le ver Code Red..
La perte ou la baisse de l'image de marque. Perte directe par la publicit ngative faite autour d'une scurit insuffisante
(cas de l'hameonnage par exemple) ou perte indirecte par la baisse de confiance du public dans une socit. Par exemple,
les techniques rpandues de d-facement (une refonte d'un site web) permettent une personne mal intentionne de mettre
en vidence des failles de scurit sur un serveur web.
Les consquences peuvent aussi concerner la vie prive d'une ou plusieurs personnes, (ses coordonnes bancaires, photos,
ses codes confidentiels). De manire gnrale, la prservation des donnes relatives aux personnes fait l'objet d'obligations
lgales rgies par la Loi Informatique et Liberts.
Pour parer ces ventualits, les responsables de SI se proccupent depuis longtemps de scuriser les donnes. Le cas le
plus rpandu, et sans aucun doute prcurseur en matire de scurit de l'information, reste la scurisation de l'information
stratgique et militaire : Le Department of Defense (DoD) des tats-Unis est l'origine du TCSEC, ouvrage de rfrence
en la matire. De mme, le principe de scurit multi-niveau trouve ses origines dans les recherches de rsolution des
problmes de scurit de l'information militaire.
Dmarche gnrale
Pour scuriser les systmes d'information, la dmarche consiste :
valuer les risques et leur criticit : quels risques et quelles menaces, sur quelle donne et quelle
activit, avec quelles consquences ?
36
Audit & Scurit Des Systmes dInformation 2014
37
Audit & Scurit Des Systmes dInformation 2014
la mthode EBIOS (Expression des besoins et identification des objectifs de scurit), dveloppe
par l'Agence nationale de la scurit des systmes d'information (ANSSI) ;
la mthode MEHARI (Mthode harmonise d'analyse des risques), dveloppe par le CLUSIF ;
la mthode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), dveloppe
par l'Universit de Carnegie Mellon (USA).
Informations sensibles
Avant de tenter de se protger, il convient de dterminer quelles sont les informations sensibles de l'entreprise, qui peuvent
tre des donnes, ou plus gnralement des actifs reprsents par des donnes. Chaque lment pourra avoir une sensibilit
diffrente.
Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui constitue un patrimoine informationnel
protger. Il faut valuer les menaces et dterminer les vulnrabilits pour ces lments sensibles.
Critres de scurit
La scurit peut s'valuer suivant plusieurs critres :
i.
Menaces
ii.
Objectifs
Une fois les risques noncs, il est souhaitable de dterminer des objectifs de scurit. Ces objectifs sont l'expression de
l'intention de contrer des risques identifis et/ou de satisfaire des politiques de scurit organisationnelle. Un objectif
peut porter sur le systme cible, sur son environnement de dveloppement ou sur son environnement oprationnel. Ces
objectifs pourront ensuite tre dclins en fonctions de scurit, implmentables sur le systme d'information.
Conception globale
La scurit d'un SI peut tre compare une chane de maillons plus ou moins rsistants. Elle est alors caractrise par le
niveau de scurit du maillon le plus faible et repose sur :
38
Audit & Scurit Des Systmes dInformation 2014
la scurit des donnes (trs fondamentale), ( d'interoprabilit, cohrence des donnes en univers
rparti ;)
la scurit des rseaux ; des systmes d'exploitation , des tlcommunications
la scurit des applications (dpassement de tampon),
la scurit physique, soit la scurit au niveau des infrastructures matrielles
Politique de scurit.
La scurit des SI se cantonne gnralement garantir les droits d'accs aux donnes et ressources d'un systme, en
mettant en place des mcanismes d'authentification et de contrle. Ces mcanismes permettent d'assurer que les
utilisateurs des dites ressources possdent uniquement les droits qui leur ont t octroys.
La scurit informatique permet aux utilisateurs dtre laise cela prsuppose une politique de scurit, ie :
laborer des rgles et des procdures, installer des outils techniques dans les diffrents services de l'organisation
(autour de l'informatique) ;
dfinir les actions entreprendre et les personnes contacter en cas de dtection d'une intrusion ;
sensibiliser les utilisateurs aux problmes lis la scurit des systmes d'informations ;
prciser les rles et responsabilits.
La politique de scurit est donc l'ensemble des orientations suivies par une entit en matire de scurit labore au
niveau de la direction de l'organisation concerne, car elle concerne tous les utilisateurs du systme.
Responsable de la scurit du SI
Cela tant, en France, ce sont principalement les grandes socits, entreprises du secteur public et administrations qui ont
dsign et emploient, des responsables de la scurit des SI . Peu peu, le management de la scurit informatique
s'organise en domaines ou sous-domaines des services informatiques ou d'tat-major ; ils sont dots de moyens financiers
et humains et intgrent les contrats de plan ou de programmes de l'entreprise.
Le modle de Bell-LaPadula (gestion d'accs par mandat, confidentialit, statique) modle qui a t le plus utilis pour
vrifier la scurit des SI. Les concepteurs de ce modle ont dmontr un thorme appel Basic Security Theorem(BST).
De ce modle furent drivs d'autres modles : celui de Biba (gestion d'accs par mandat, intgrit, statique), celui
de Dion(gestion d'accs par mandat, confidentialit et intgrit, statique), de Jajodia et Sandhu (gestion d'accs par
mandat, confidentialit, statique).
Le modle de non-dduction (gestion d'accs par mandat, confidentialit, dynamique) modlisant le flux d'informations en
utilisant des concepts de la logique. Les modles de scurit bass sur le principe de flux d'informations ont leur utilit
dans le contrle des accs indirects l'information : ils mettent en vidence le problme des canaux cachs.
Le modle HRU (gestion d'accs discrtionnaire) et ses drivs, le modle Take-Grant et le modle SPM.
39
Audit & Scurit Des Systmes dInformation 2014
le plan de reprise d'activit (PRA) aussi appel reprise froid qui permet un redmarrage rapide de
l'activit aprs un sinistre, avec restauration d'un SI en secours avec les donnes de la dernire sauvegarde
le plan de continuit d'activit (PCA) galement appel reprise " chaud" qui, par une redondance d'infrastructure
et une rplication intersites permanente des donnes, permet de maintenir l'activit en cas de sinistres
majeur de l'un des sites.
Moyens techniques
De nombreux moyens techniques peuvent tre mis en uvre pour assurer une scurit du SI
40
Audit & Scurit Des Systmes dInformation 2014
DATAGRAPHIE
http://about.zappos.com/our-unique-culture
http://fr.wikipedia.org/wiki/%C3%89valuation_d%27entreprise
http://it-ebooks.info
http://personalexcellence.co/blog/map-of-consciousness/
http://www.Bestcours.com
http://www.digitalworld.org.bd/event/matrix
http://www.gelog.etsmtl.ca/publications/pdf/310.pdf
Http://www.lifehacks.com
http://www.investopedia.com/terms/b/business-process-redesign.asp
http://www.ismadonai.net/
http://www.nu.edu/ourprograms/schoolofengineeringandtechnology/computer
scienceandinformationsystems/programs/master-of-science-in-cyber-securityand-information-assuranc.html
http://www.portailrh.org/expert/fiche.aspx?p=459963
http://www.redeemer.ca/academics/departments/computerscience/studies.as
px
http://www.scriptmag.com/features/spec-scripts-fail-failure-homework-part-5
http://www.the-performance-factory.com/fr/....5-elements-essentielsc.....savoir-sur-la-stratgie-d-excution/
http://www.tutorialspoint.com/java/index.htm
http://www.w3schools.com/
http://www3.interscience.wiley.com/cgi-bin/jhome/5391/
www.skillsyouneed.com/ps/living-ethically.html
April & Abran, Amliorer la maintenance du logiciel, Montral, Loze-Dion diteur, 2006
Pigosky T.M., Practical Software Maintenance, New York, John Wiley & Sons, 1996
Bensoussan A., La maintenance des SI et le droit, Paris, Hermes, 1993, p. 236
Champy, J. et M. Hammer (1993). Reengineering the Corporation: A Manifesto for Business Revolution,
New York, Harper Business.
Fayol, H. (1916). Administration industrielle et gnrale, Paris, Dunod.
Gestion des services lis aux technologies de l'information, itSMF France, juin 2004
Gestion oprationnelle des services, OGC/TCO (traduction itSMF), juin 2005
Gortner, H. F., J. Mahler et J. Bell Nicholson (1994). La gestion des organisations publiques, Sainte-Foy,
Presses de l'Universit du Qubec.
Gulick, L. et L. Urwick (dir.) (1937). Papers on the Science of Administration, New York, Institute of
Public Administration.
Introduction ITIL, Christian Nawrocki, ITPMS, aot 2005
ISO 9001 - Qualit, Scurit, Gouvernance, ITIL v2 & v3, CMMI [archive]
Kernaghan, K., B. Marson et S. Borins (2001). L'administration publique de l'avenir, Toronto, Institut
d'administration publique du Canada.
March, J. et H. Simon (1958 [1993]), Organizations, Cambridge, Blackwell.
Martin Fowler, Kent Beck, Refactoring: Improving the Design of Existing Code, Addison-Wesley
Professional, 1999, 464 p.,(ISBN 0201485672)