CISA

Chapter 1: The Process of Auditing Information Systems

Audit : évaluation systématique de quelque chose par quelqu’un ou un groupe e personne
Documents clés d’audit
- Charte d’audit : un document global qui couvre l'ensemble des activités d'audit dans
une entité.
- Lettre d’engagement : est davantage axé sur un exercice d'audit particulier qui doit
être initié dans une organisation avec un objectif spécifique en tête.
L’évaluation de risque peut se faire de façon quantitative, qualitative ou mixte (mélanges des
deux)

Etapes de planification d’audit

- Comprendre la mission, les objectifs, le but et les processus de l'entreprise, qui
incluent les informations et les exigences de traitement telles que la disponibilité,
l'intégrité, la sécurité et la technologie commerciale et la confidentialité des
informations.
- Comprendre les changements dans l'environnement commercial de l'audité.
- Revoir les documents de travail antérieurs.
- Identifier le contenu déclaré tel que les politiques, les normes et les directives,
procédures et structure organisationnelle requises.
- Effectuez une analyse des risques pour vous aider à concevoir le plan d'audit.
- Définissez la portée et les objectifs de l'audit.
- Élaborer l'approche d'audit ou la stratégie d'audit.
- Affectez des ressources humaines à l'audit.
- Abordez la logistique de l'engagement.

Processus de management du risque :

- Identifier les objectifs commerciaux (BO)
- Identifier les actifs informationnels soutenant les BO
- Effectuer une évaluation des risques (RA) [Menaces, vulnérabilités, probabilité et
impact]
- Effectuer l'atténuation des risques (RM) [Cartographier les risques avec les contrôles
en place]
- Effectuer un traitement des risques (RT) [Traiter les risques importants non atténués
par les contrôles existants]

BORARMRT

Contrôles internes
Préventif
- Détectez les problèmes avant qu'ils ne surviennent.
- Surveillez à la fois le fonctionnement et les entrées.
- Essayez de prévoir les problèmes potentiels avant qu'ils ne surviennent et
effectuez des ajustements.
- Empêcher une erreur, une omission ou un acte malveillant de se produire.
- Fonctions distinctes (facteur dissuasif).
 - Contrôlez l'accès aux installations physiques.
- Utilisez des documents bien conçus (évitez les erreurs).
Détectif
- Utilisez des contrôles qui détectent et signalent l'occurrence d'une erreur, d'une
omission ou d'un acte malveillant.
Correctif
- Minimisez l'impact d'une menace.
- Résoudre les problèmes découverts par les contrôles de détection.
- Identifiez la cause d'un problème.
- Corrigez les erreurs résultant d'un problème.
- Modifier le ou les systèmes de traitement pour minimiser les occurrences
futures du problème.

Contrôles généraux
- Contrôles comptables internes
- Contrôle administratif
- Contrôle opérationnel
- Politiques et procédures de sécurité organisationnelle
- Politiques générales pour la conception et l'utilisation de documents et
d'enregistrements adéquats
- Procédures et pratiques
- Politiques de sécurité physiques et logiques

Contrôle spécifique du système d’information.

Procédures :
- Stratégie et direction de la fonction informatique
- Organisation générale et gestion de la fonction informatique
- Accès aux ressources informatiques, notamment aux données et aux
programmes
- Méthodologies de développement de systèmes et contrôle du changement
- Procédures d'exploitation
- Programmation des systèmes et fonctions de support technique
- Procédures d'assurance qualité (AQ)
- Contrôles d'accès physiques
- Planification de la continuité des activités (BCP) / reprise après sinistre (DRP)
- Réseaux et communications
- Administration des bases de données
- Mécanismes de protection et de détection contre les attaques internes et
externes

Phases d’audit CISA

Sujet de l'audit
- Identifier le domaine de l’audit
Objectif de l'audit
- Identifiez le but de l'audit
Étendue de l’audit
- Identifier les systèmes, fonctions ou unités spécifiques de l'organisation à
inclure dans l'examen
Planification préalable à l'audit
 - Identifier : Compétences et ressources techniques, sources d'information,
emplacements ou installations et élaborer un plan de communication.
Procédures d'audit et étapes pour collecte de données
- Identifier et sélectionner l'approche d'audit pour vérifier et tester les contrôles.
- Identifier la liste des personnes à interroger et obtenir les politiques, normes et
lignes directrices ministérielles pour examen.
- Développer des outils d'audit et une méthodologie pour tester et vérifier le
contrôle.
Procédures d'évaluation du test ou revue des résultats
- Identifier les méthodes (y compris les outils) pour effectuer l'évaluation.
- Identifier les critères d'évaluation du test et les moyens et ressources pour
confirmer que l'évaluation était exacte.
Procédures de communication avec la direction
- Déterminer la fréquence des communications et préparer la documentation
pour le rapport final.
Préparation du rapport d'audit
- Divulguer les procédures d'examen de suivi, évaluer / tester l'efficience et
l'efficacité opérationnelles et tester les contrôles.
- Examiner et évaluer la solidité des documents, des politiques et des
procédures.
 Chapitre 2 : Gouvernance et gestion IT
Gouvernance des TI de l’entreprise GEIT
Inclut :
- Gestion des ressources informatiques
- Mesure du rendement
- Gestion de la conformité
Deux objectifs du GEIT
- Il apporte de la valeur à l'entreprise grâce à l'alignement stratégique de
l'informatique sur l'entreprise.
- Le risque informatique est géré en fonction de l'intégration de la responsabilité
dans l'entreprise.
Trois domaines d’intervention du GEIT
- Optimisation des ressources
- Réalisation des avantages
- Optimisation des risques
Pilotes pour GEIT
- Retour sur investissement informatique en augmentation
- Niveaux de dépenses informatiques
- Conformité et exigences réglementaires
- Gestion des solutions d'externalisation (Cloud)
- Adoption de cadres de contrôle
- Optimiser les coûts grâce à des solutions standardisées plutôt que
personnalisées
- Besoin d'une évaluation d'entreprise

Tableau de bord équilibré informatique

Gouvernance efficace de la sécurité de l'information

 Cela consiste en :
- Stratégie de sécurité
- Politiques de sécurité
- Ensemble de normes pour chaque politique
- Structure de sécurité organisationnelle efficace
- Absence de conflits d'intérêts
- Programme de surveillance institutionnalisé
- Assurer la conformité et la rétroaction

Processus de gestion de risque

o Identification des actifs
o Identification des menaces et vulnérabilités liées aux actifs
o Evaluation de l’impact
o Calcul du risque
o Evaluation et réponse aux risques

Analyse du risque
o Quantitative
o Qualitative

BIA
- Évaluer les processus critiques et les soutenir.
- Déterminez les délais, les priorités, les ressources et les interdépendances.
- Souvent basé sur l'évaluation des risques.
- L'auditeur doit être en mesure d'évaluer la LFI.

Développement du plan de continuité d’activité

- Plans pour tous les types d'incidents, des logiciels malveillants aux incendies ou
tremblements de terre catastrophiques
- Mesures à prendre étape par étape
- Rôles et responsabilités
- Identification des ressources nécessaires
- Coordonnées du personnel et des fournisseurs
- Plan de communication
Test du plan de continuité d’activité
Planifier le test
- Vérifiez l'exhaustivité du plan.
- Évaluer la formation du personnel.
- Mesurer la capacité à respecter les délais et les niveaux de service.
- Le test doit être planifié - pré-test, test, post-test.
Types de tests
- Évaluation sur papier / test papier (procédure pas à pas)
- Test de préparation (simulation)
- Test opérationnel complet
- Les leçons tirées de chaque test sont utilisées pour améliorer le plan
Plan de maintenance
Les plans doivent être maintenus car ils sont rapidement obsolètes en raison de:
- Changements dans les affaires
- Leçons tirées des tests et des incidents
- Changements de personnel
- Changements technologiques
Révisé au moins une fois par an
Acquisition, développement et implémentation des systèmes
d’information