AUDIT DES SYSTEMES D’INFORMATIONS

Les systèmes d’informations

Formateur: Maazou Mohamed Mansour Formateur: Maazou Mohamed Mansour

 Objectifs
A la fin de ce cours, vous serez à mesure de:
• Définir le concept d’information
• Décrire le système d’information ainsi que ses caractéristiques
• Décrire la notion de gouvernances des SI ainsi que quelques approches

Formateur: Maazou Mohamed Mansour 2

Redistribution basique
Qu’est-ce que
l’information?
Formateur: Maazou Mohamed Mansour 3
 Définition

Données Traitements Information

Formateur: Maazou Mohamed Mansour 4

 Définition
• Les données n’ont pas de signification particulière
• Leur traitement permet de créer de la valeur en les rendant
compréhensible et utilisables par les usagers d’une entreprise
• L’information oriente les décision stratégique d’une entreprise
• L’information aide à fabriquer des produits et services

Formateur: Maazou Mohamed Mansour 5

 Définition
• Au sein d’une entreprise, l’information constitue l’élément clé
dans les activité.
• Ce qui veut dire qu’elle peut faire l’objet de convoitise par des
personne mal intentionnées
• De ce fait l’information doit être protégée:

Formateur: Maazou Mohamed Mansour 6

 Protéger l’information

Disponibilité

Information

Intégrité Confidentialité

Formateur: Maazou Mohamed Mansour 7

 Entreprise vue comme un
système

$ Propriétaire

Fournisseur
de matière
première
Produit & services
Ensemble de Client
processus

Formateur: Maazou Mohamed Mansour 8

Redistribution basique

Qu’est-ce qu’un système

d’informations?
Formateur: Maazou Mohamed Mansour 9
 Définition

Ressources
humaines

Stockage de Acquisition
l’information SYSTÈME d’information
D’INFORMATION
Matérielles (les Infrastructures
équipements)

Traitement et Diffusion de
l’information

Formateur: Maazou Mohamed Mansour 10

 Définition
➢ A ce stade, le système d'information se différencie du
système informatique.
➢ Le système informatique ne constitue que la partie
informatique du système d'information.
➢ Le système informatique inclue le réseau informatique

Formateur: Maazou Mohamed Mansour 11

 Quelques vocabulaires
➢Menace: Par définition, les menaces contre la sécurité
informatique regroupent les actions susceptibles de nuire et de
porter atteinte, partiellement ou totalement, à un système
informatique.
➢Vulnérabilité: Faiblesse ou faille dans un système, permettant à
un attaquant de porter atteinte à l’intégrité du système
➢Attaque: Toute action compromettant la sécurité
➢Risque: probabilité pour un système de subir des attaques

Formateur: Maazou Mohamed Mansour 12

 Quelques vocabulaires
➢ La politique de sécurité des systèmes d'information (PSSI) est un plan d'actions définies
pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la
direction de l'organisme (PME, industrie, administration, État, unions d'États…) en
matière de sécurité des systèmes d'information (SSI).

La démarche de réalisation de cette politique est basée sur une analyse des risques en
matière de sécurité des systèmes d'informations

➢ La gestion des risques, ou management du risque (risk management), est la discipline

qui s'attache à identifier, évaluer et prioriser les risques relatifs aux activités d'une
organisation, quelles que soient la nature ou l'origine de ces risques, pour les traiter
méthodiquement de manière coordonnée et économique, de manière à réduire et
contrôler la probabilité des événements redoutés, et réduire l'impact éventuel de ces
événements.

Formateur: Maazou Mohamed Mansour 13

Gouvernance des SI
Formateur: Maazou Mohamed Mansour 14
 COBIT
Formateur: Maazou Mohamed Mansour 15
 Définition
COBIT (Control Objectives for Information and Related Technology)
est un cadre de contrôles de gouvernance IT aidant les entreprises à
faire face aux enjeux commerciaux dans les domaines de la
conformité règlementaire, de la gestion des risques et de l’alignement
de la stratégie IT avec des objectifs organisationnels.

Formateur: Maazou Mohamed Mansour 16

 Avantage
Le cadre COBIT peut aider les organisations de toutes tailles à :
➢ Améliorer et maintenir un haut niveau de qualité de l’information
afin d’appuyer les décisions d’affaires.
➢ Utiliser l’IT de manière efficace afin d’atteindre les objectifs
commerciaux.
➢ Utiliser les technologies afin de promouvoir l’excellence
opérationnelle.
➢ Veiller à ce que les risques IT soient gérer de manière efficace.
➢ Assurer un retour sur investissement sur les dépenses liées aux
services IT et technologies.
➢ Se conformer aux lois, règlementations et accords contractuels.
Formateur: Maazou Mohamed Mansour 17
 Structure de COBIT
Le pentagone de COBIT 4.1

Formateur: Maazou Mohamed Mansour 18

 Structure de COBIT
COBIT 5 distingue clairement la gouvernance et la gestion IT et se
concentre sur cinq principes :
➢ COBIT Principe 1 : Répondre aux besoins des actionnaires
➢ COBIT Principe 2 : Couvrir l’entreprise de bout en bout
➢ COBIT Principe 3 : Mettre en place un cadre intégré unique
➢ COBIT Principe 4 : Permettre une approche holistique
➢ COBIT Principe 5 : Séparer la gouvernance de la gestion

Formateur: Maazou Mohamed Mansour 19

Redistribution basique

Le modèle ITIL
Formateur: Maazou Mohamed Mansour 20
 Le modèle ITIL
• ITIL: IT Infrastructure Library
• ITIL est un référentiel définissant les bonnes pratiques à adopter ou à
mettre en place dans un système d’information pour une bonne
gestion.

Formateur: Maazou Mohamed Mansour 21

 Le modèle ITIL
Caractéristiques du référentiel:
• Identifier les services IT répondant au mieux aux attentes du système
d’information
• Qualité du service informatique aux utilisateur du SI
• Optimiser et améliorer les services IT
• Réduire les coût
• Améliorer la disponibilité du service IT
• Mettre en place des SLA (Service Level Agreement): Définir des
indicateur de performance comme le taux de disponibilité de service afin
de vérifier si les contrats y afférent sont bien respectés, ou en cas
d’intervention suite à un incident, définir le temps minimum
d’indisponibilité que l’employer doit respecter dans son intervention.
Formateur: Maazou Mohamed Mansour 22
 Le modèle ITIL
Caractéristiques du référentiel (suite):
• Définir des indicateur de performance par employé
• Intégrer le management des services: suivi permanent des service afin
de les adapter au besoin des utilisateurs
• Identifier tous les besoins des utilisateurs
• Fournisseur de service: Les entreprises peuvent avoir un ou plusieurs
FAI. De ce fait il faut établir des SLA avec eux afin d’assurer une bonne
QoS
• Définir des process: ensemble de procédures ou activité dans le but de
fournir un résultat
• Asset(Atout): Générer de la valeur avec le SI
Formateur: Maazou Mohamed Mansour 23
 Le modèle ITIL
Caractéristiques du référentiel (suite):
• Availability management: S’assurer de la disponibilité du service
• Baseline: Mesure du fonctionnement normal d’un service, d’une
application ou d’un équipement et à comparer avec une Baseline
précédente
• Mettre en place des solutions de contournement d’un problème dont la
solution n’est pas connue afin de limiter les dégâts causés par la panne
• Documenter les erreurs connue et comment les résoudre

Formateur: Maazou Mohamed Mansour 24

Redistribution basique

Merci!!!
Formateur: Maazou Mohamed Mansour 25