Les normes

Assurer le fonctionnement continu et la protection d'un Système d'Information n'est

plus aujourd'hui considéré comme un simple exploit mais plutôt une nécessité. Parmi
toutes les tâches qui incombent aux Responsables de la Sécurité des Systèmes
d'Information (R.S.S.I) dans les organismes privés ou publics, celle qui consiste à
bâtir une politique de sécurité cohérente prenant en compte les aspects humains,
organisationnels et juridiques est certainement la plus difficile. Une telle politique doit
se baser sur une norme bien spécifique. En effet, il existe de nombreuses normes et
méthodes sur lesquelles se basent les missions d'audit de la sécurité des systèmes
d’information.

Une norme (qui peut être organisationnelle ou technique) a un objet souvent très
vaste et s'appuie généralement sur des concepts ou des notions générales. Le
champ d'application de chaque concept doit alors être précisé, pour que la norme
puisse être appliquée efficacement.
 La Norme ISO/IEC 27001 : définit les exigences en matière de mise en place
d’un système de management de la sécurité de l’information et est la seule
norme de certification  parmi la famille des normes 2700x. Elle est
naturellement, alignée avec un certain nombre d'autres matières, y compris
ISO 9000 (gestion de qualité) et ISO 14000 (gestion environnementale).
 La Norme ISO/IEC 27002 : Référentiel de bonnes pratiques pour le
management de la sécurité de l’information.  Elle constitue l’annexe A de la
norme ISO/IEC 27001.
 ISO / IEC 27002 : Comparatif entre la version 2013 et la version 2005
 La Norme ISO/IEC 27003 se concentre sur les aspects essentiels
nécessaires pour la conception et la mise en œuvre réussie d'un système de
management de la sécurité de l'information (SMSI) en conformité avec la
norme ISO / IEC 27001:2013.
 La Norme ISO/IEC 27004 La norme ISO/IEC 27004:2009 fournit des lignes
directrices sur le développement et l'utilisation des mesures afin d'évaluer
l'efficacité du système de gestion de la sécurité de l'information (SMSI) et des
contrôles mis en place, comme spécifié dans la norme ISO/IEC 27001.
 La Norme ISO/IEC 27005 La norme ISO 27005 fixe un cadre pour la gestion
des risques de sécurité de l'information. Elle fournit ainsi les conditions à
respecter par toute démarche méthodologique. S'y conformer permet de
garantir que les principes communément reconnus ont été appliqués. La
norme constitue une référence utile pour les faire respecter, sans préjuger des
méthodes et outils nécessaires pour les mettre en œuvre.

La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information,
publiée conjointement en 2005 par l'Organisation internationale de normalisation ISO et la
Commission Electrotechnique Internationale IEC, révisée en 2013, dont le titre en français est
Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le
management de la sécurité de l’information. Elle fait partie de la suite ISO/CEI 27000.

L'ISO/CEI 27002 est un ensemble de 114 mesures dites « best practices » (bonnes pratiques en
français), destinées à être utilisées par tous les responsables de la mise en place ou du maintien d'un
Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est
définie au sein de l…

A quoi ça sert la norme ISO 27002 ? C’est un ensemble de propositions de mesures pour aider à
répondre, en particulier, aux exigences de l’ISO 27001. Et l’ISO 27001 identifie les exigences à mettre
en œuvre pour un système de management de la sécurité de l’information (SMSI).

Les objectif

ISO/CEI 27002 Elle présente une série de contrôles (35 objectifs de contrôle) qui suggèrent de tenir
compte des risques de sécurité des informations relatives à la confidentialité, l'intégrité et les aspects
de disponibilité. Les entreprises qui adoptent l'ISO/CEI 27002 doivent évaluer leurs propres risques
de sécurité de l'information et appliquer les contrôles appropriés, en utilisant la norme pour orienter
l’entreprise. La norme ISO 27002 n'est pas une norme au sens habituel du terme. En effet, ce n’est
pas une norme de nature technique, technologique ou orientée produit, ou une méthodologie
d'évaluation d'équipement telle que les critères communs CC/ISO 15408. Elle n’a pas de caractère
d'obligation, elle n’amène pas de certification, ce domaine étant couvert par la norme ISO/CEI 27001.

ISO/CEI 20000, issue de la norme BS 15000 de BSI [archive] (British Standards Institution), est une
norme de certification des services informatiques des organisations prouvant le respect de normes
de qualité éditées au travers de phases, de contrôles et de procédures mises en place. Elle comporte
deux volets :

ISO/IEC 20000-1:2018 : Technologies de l'information -- Gestion des services -- Partie 1: Exigences du

système de management des services ;

ISO/IEC 20000-2:2012 : Technologies de l'information -- Gestion des services -- Partie 2: Guide pour
l'application des systèmes de management des services.

Les objectifs

L'informatique irrigue aujourd'hui l'ensemble des processus métiers des organisations ; par
conséquent, une rupture de ces services entraînerait des conséquences graves quant aux pertes de
production.
Cette rupture peut engendrer des problèmes avec les fournisseurs par exemple, en cas
d'externalisation de la production, des informations doivent être transmises. Il faut donc garantir la
fiabilité des services informatiques afin d’en permettre sa continuité.

La norme ISO/CEI 20000 est un consensus pour une « qualité standard » de cette gestion des services
informatiques. Certifier les organisations notamment par le respect de bonnes pratiques en
appliquant les exigences d’un référentiel comme ITIL permettra de garantir une qualité élevée de ces
services

Iso 9001

Cette norme définit des exigences pour la mise en place d'un système de management de la qualité
pour les organismes souhaitant améliorer en permanence la satisfaction de leurs clients et fournir
des produits et services conformes. La norme ISO 9001 s'adresse à tous les organismes, quels que
soient leur taille et leur secteur d'activité. Elle fait partie de la série des normes ISO 9000 (ISO 9000,
ISO 9001 et ISO 9004).

La norme ISO 9001 a été publiée pour la première fois en 1987 et est régulièrement révisée depuis.
Sa première révision date de 1994, la suivante de 2000 (et a intégré la notion de processus
d'amélioration), les suivants ont eu lieu en 2008 et enfin, en 2015.

L'ISO 9001 est un référentiel certifiable par une tierce partie appelé organisme de certification.
Actuellement, un organisme peut demander une certification ISO 9001 selon la version 2015

Diagramme de flux

objectif

Représenter graphiquement le déroulement d'un processus*: un enchaînement chronologique

d'activités ; les acteurs qui réalisent les activités ; les flux d'informations d'une activité à l'autre. Cette
représentation graphique pourra être utile à l'auditeur interne pour identifier les risques relatifs à
chaque activité du processus et les contrôles clés qui devraient permettre de les maîtriser.
*Définition d'un processus (norme ISO 9000:2000) : Ensemble d'activités corrélées ou interactives qui
transforme des éléments d'entrée en éléments de sortie.

Referentiel des taches

Objectif

Recenser les objectifs de chacun des processus/ sousprocessus de l'entité auditée et pour chacun
d'eux les risques auxquels ils sont exposés et les contrôles qui devraient permettre de réduire ces
risques. Les contrôles identifiés constitueront la référence à partir de laquelle sera réalisée
l'évaluation du système de contrôle interne de l'entité auditée
Grille d’analyse des taches

Visualiser les attributions des personnes ou des services. Identifier « qui fait quoi » et mettre en
évidence une éventuelle inadéquation de la répartition des tâches d'un processus entre les
personnes et/ ou les services (ainsi que les tâches non faites

Audit de système d’information : 4

bonnes pratiques de pilotage
Par Ivision|16 janvier , 2017

Processus administratifs, RH, marketing ou métiers, le système d’information de

plus en plus à gérer l’ensemble des éléments de fonctionnement d’une entreprise. En
conséquence, la performance de ce système d’information influe de plus en plus sur
la capacité de l’entreprise à atteindre ses objectifs.

Mais toutes les structures ne réalisent pas forcément l’impact de leur système
d’information sur leur capacité de succès, et bien souvent, le SI est un parent pauvre
en matière de budget ou de ressources humaines. Technologies obsolètes ou
inadaptées, non-respects législatifs (RGPD), absence de renouvellement de licences,
ou absence de protection et de sauvegardes des données font ainsi le quotidien de
bon nombre de structures.

L’audit de système d’information est la première brique d’une démarche

de rationalisation de la gestion de son SI. Car pour mieux gérer ses
équipements et prendre les bonnes décisions, il importe avant tout de connaître
l’ensemble des éléments qui composent le SI, leurs interactions, les besoins et les
pratiques des utilisateurs, ou encore les enjeux et les risques du SI pour l’entreprise.

Dans cet article, nous allons présenter d’une part les caractéristiques et les
objectifs d’un audit de système d’information et d’autre part, 4 bonnes pratiques de
pilotage de cet audit.

Le système d’information : définition

Pour bien comprendre les tenants et les aboutissants d’un audit de système
d’information, il faut avoir une idée précise de ce qui compose ce système
d’information.

Un système d’information, c’est l’ensemble des logiciels et des matériels,

informatiques, électroniques ou de télécommunication, qu’il s’agisse de ressources
physiques (fibres optiques, surface d’hébergement, alimentation électrique,
climatisation) ou de plates-formes logicielles ou matérielles (serveurs, systèmes
d’exploitation, bases de données…) qui participent au stockage, à la gestion,
au traitement, au transport et à la diffusion de l’information au sein d’une entreprise.

On inclut parfois également dans le système d’information les personnels qui

conçoivent, déploient, maintiennent et rendent opérationnel ces ressources, ou
encore les procédures liées à ces ressources.

À propos de l’audit de système d’information

Effectuer un audit de système d’information, ce n’est pas juste faire un inventaire du
système d’information. C’est aussi évaluer dans quelle mesure le système
d’information répond aux facteurs de performance et aux objectifs stratégiques de
l’organisation concernée.

Les objectifs de l’audit de système d’information peuvent être multiples :

 évaluer l’efficacité et la performance du système au regard des objectifs

stratégique de l’entreprise,
 évaluer la sécurité du système, sécurité des équipements, stockage et
intégrité des données, en comparaison avec les risques pour l’entreprise en
cas de sinistre ou de perte d’intégrité de ces données
 effectuer des recommandations pour l’adaptation du système
d’information, en fonction des besoins de l’entreprise, à la hausse ou à la
baisse
 se mettre en conformité avec une législation, une norme ou une évolution
technologique

Ainsi, un audit d’information se concentre généralement sur un ou plusieurs des

points suivants :

 réduction des coûts non justifiés lié au système d’information

 conformité du système d’information avec les obligations légales
 optimisation du traitement des processus métiers de l’entreprise par le
système d’information
 optimisation de l’interopérabilité et de l’accessibilité du système
d’information
 optimisation de la sécurité du système d’information
 efficience et pérennité du système d’information

Comment bien piloter l’audit de système d’information ?

La réussite d’un audit de système d’information repose sur la mise en place de
certaines recommandations :
Déterminer les enjeux stratégiques de l’entreprise et les processus clés
qui leur sont associés.

Cette étape est absolument indispensable pour un audit du système d’information

qui ne se contente pas d’un catalogue de bonnes pratiques, mais qui évalue
véritablement l’adaptation du système d’information et sa performance au regard de
l’utilisation qui en est faite et des besoins de l’entreprise.

Les recommandations obtenues via le système d’information doivent être utiles,

nécessaires et oeuvrer à la performance globale de l’entreprise. Ainsi, il sera
nécessaire de réaliser une véritable cartographie des processus de l’organisation et
des données associées.

Faire effectuer l’audit par un prestataire indépendant de la DSI

 Le recours à un prestataire externe pour la réalisation de l’audit permet

une prise de position neutre et un regard extérieur bénéfique à la démarche.
 Les compétences de l’équipe en charge de la réalisation de l’audit devront être
suffisamment multidisciplinaires, qu’il s’agisse de connaissances
en gestion ou de connaissances techniques.
 Il pourra également être nécessaire de faire appel à des spécialistes dans le
cadre de problématiques précises, par exemple concernant la conformité à la
législation d’un domaine en particulier, ou encore dans l’optique d’évaluer la
sécurité du système d’information.

Cahier des charges et référentiel

Des éléments supplémentaires peuvent être utiles à la fiabilisation de l’audit :

l’utilisation d’un cahier des charges ou le recours à des référentiels.

Le cahier des charges représente le point de départ de l’audit. Il permet

d’exprimer les besoins fonctionnels de l’entreprise pour lequel l’audit est effectué, et
également de définir les responsabilités des deux parties concernées (entreprise et
prestataire), ainsi que certaines conditions d’engagement.

Les référentiels d’audit sont des recueils de règles, de procédures et de bonnes

pratiques établis par des organismes reconnus. Les utiliser dans le cadre de l’audit
de système d’information permet donc d’apporter de la crédibilité à l’audit. À titre
d’exemple, dans le domaine informatique, il est possible de citer les
référentiels COBIT et ITIL, ou encore l’ISO/CEI 27000 pour la sécurité de
l’information.
Utiliser un référentiel d’audit et élaborer un cahier des charges d’audit permet de
renforcer la fiabilité et la pertinence des recommandations effectuées par l’équipe
auditrice.

S’approprier le système d’information de l’entreprise en profondeur

Pour un audit de système d’information qui n’oublie aucun détail, un certain nombre
d’aspects seront à maîtriser par le prestataire auditeur, qui devra réaliser
une cartographie des données, des informations et des ressources informatiques de
l’organisation, mais aussi, prendre connaissance des différentes politiques et
procédures liées au système d’information de l’entreprise, telle que la politique de
sécurité du système d’information ou encore, les chartes utilisateurs éventuellement
en place.

Bénéficiez de conseils et d’une méthodologie experte pour la réalisation de votre

audit de système d’information.

 Élaboration de la cartographie de vos processus

 Rédaction du cahier des charges
 Gestion du processus d’audit de bout en bout,
 Recommandations personnalisées adaptées aux problématiques de votre
entreprise
 Mise en place de ces recommandations…

Ivision vous accompagne dans la mise en place de votre audit de système

d’information, pour vous permettre de parvenir à vos objectifs de performance et de
développement. Contactez-nous pour nous soumettre votre problématique !

Partager cet article