Académique Documents
Professionnel Documents
Culture Documents
L'Audit Des Systemes D'Information
L'Audit Des Systemes D'Information
Généralités
Généralitéssur
sur
l'Audit
l'Audit
La fonction Le système
informatique d’information
• Leur nature.
• Les objectifs.
Réalisation de missions
Support de missions
spécifiques d’audit des
audit/inspection “classiques”
systèmes d’information
La sécurité L’efficience
Progressive
Modulaire
Universelle
Opérationnelle
Organisationnels
En résumé
Adéquation
aux besoins
Environnement français
Politique de sécurité
AUDIT INTERNE
Aspects contractuels
Sensibilisation / formation
SYSTEME D’INFORMATION
ARCHITECTURE TECHNIQUE
d’information
Audit
Auditfonctionnel
fonctionnel
(ou
(oud'application)
d'application)
LES
LESSYSTEMES
SYSTEMES
D’INFORMATION
D’INFORMATION
usine
Système d’information
Flux physiques
Flux d’information
Industrialiser le
Industrialiser
traitement de
la production
l’information
Gestion de production
Référencement - Nomenclatures Gestion de la force de vente
- Programme de production
fournisseurs/produits - Ordonnanement lancement / réseau de distribution
F
I
Gestion et valorisation des stocks Gestion F
C Gestion des achats I
H commerciale
C
I
H
E
FICHIER PRODUITS / TARIFS I
R
E
R
F
O Comptabilité auxiliaire
Facturation C
U fournisseurs Comptabilité L
R
- Générale I
N
- Analytique E
I
- Budgétaire N
S Gestion des Comptabilité auxiliaire T
S
E immobilisations clients / Recouvrements S
U
R Reporting Reporting
S Paie comptable Consolidation comptable Trésorerie
fiscal maison mère
• Politique générale
• Schéma directeur
• Directives du Groupe
• Évolution technologique
LA
LADEMARCHE
DEMARCHED’AUDIT
D’AUDIT
D’UNE
D’UNEAPPLICATION
APPLICATION
A quoi ça sert ?
APPLICATION 1
Comment est-ce
Est-ce que arrivé là ?
ça marche ? Combien ça
coûte ?
• Etapes de la démarche
• Prise de connaissance
• Evaluation des enjeux
• Evaluation fonctionnelle
• Evaluation technique
• Evaluation financière
• Evaluation de la conduite de projet
• Evaluation de la sécurité et des contrôles internes des
traitements
• Evaluation du support aux utilisateurs
Interlocuteurs
• Sécurité
Interlocuteurs
• Direction Générale
• Direction utilisatrice
• Direction informatique
Interlocuteurs
• Évolutivité fonctionnelle
Interlocuteurs
• Évolutivité technique
• Performance de l’outil
Interlocuteurs
• Contrôle de gestion
• Rentabilité de l’application
Interlocuteurs
Interlocuteurs
Interlocuteurs
• Support fonctionnel
• Support technique
Audit
Auditdes
desFonctions
Fonctions
Informatiques
Informatiques
Procédures d’exploitation Î
SECURITE
SECURITEDES
DES
SYSTEMES
SYSTEMES
D’INFORMATION
D’INFORMATION
45%
57%
62%
26% 24%
31%
24%
17% 14%
Source : CLUSIF
Volontaire : E
M H Volontaire :
malveillance N M
E
U malveillance vol
V
I
E
M vol sabotage I
N A sabotage détournements de
R
N N
O
A
I vol d’information ressources N T
E
A
N copie illicite DISPONIBILITE INTEGRITE N
C E E R C
N
Involontaire : M
E
S DISSUASION PREVENTION
destruction du E E E
S Involontaire : matériel par erreur
N
T
S
Biens matériels
erreur d’exploitation équipements
réseaux
erreur d’utilisation Panne :
Biens
locaux
dysfonctionnement
P
Ressources
L N
immatériels
logiciels
humaines
matériel E H
O
données
N
O N
Panne :
procédures
V Y
I
G dysfonctionnement Accidents :
R E S
H logiciel incendie X
I U
DETECTION PROTECTION inondation
O
N T I
orage, foudre E
Q M CONFIDENTIALITE avalanche
N
E R Q
A
U I
Accident : pollution, vibrations M N
E
U
E
N incendie entraînant perturbations E
E E l’altération des électriques ou
N
T
S S ressources électromagnétiques S
Objectifs :
Approche d’audit :
SCHEMA
SCHEMADIRECTEUR
DIRECTEURSECURITE
SECURITE
Document
Documentde
dedécision
décisionet
etd'orientation
d'orientationpour
pourla
la
Direction
DirectionGénérale
Généraleet
etles
lesprincipales
principalesdirections
directionsconcernées
concernées
Proposition
Proposition
Analyse
Analyseetet Analyse
Analyseetet cohérente
cohérenteetet Prévision
Prévisiondede
hiérarchisation
hiérarchisation hiérarchisation
hiérarchisation adéquate
adéquatedede résultats
résultats
des
desenjeux
enjeux desdesvulnérabilités
vulnérabilités moyens
moyensdede
sécurité
sécurité
Personnel
Matériel
Service technique
Logiciel de base
Développement du système
Logiciels d'application
Stockage externe
Solution de secours
Assurances
SECURITE
SECURITEGENERALE
GENERALE
Suivi
Suividu
duschéma
schémadirecteur
directeursécurité,
sécurité,des
desactions
actionsde
desécurité
sécurité
Suivi
Suivide
del'évolution
l'évolutiondes
desrisques
risquesliés
liésààlalastructure
structuredu
dupersonnel
personnel
SECURITE PHYSIQUE
SECURITE PHYSIQUE
Nombre d'accès (création de badges), de vols et fraudes, ...
Nombre d'accès (création de badges), de vols et fraudes, ...
Disponibilité
Disponibilitédes
desmatériels,
matériels,interruptions,
interruptions,durée
duréede
demaintien
maintien
TABLEAU
TABLEAU SECURITE
DE SECURITELOGIQUE
LOGIQUE
DEBORD
BORD
SECURITE Gestion
Gestiondu
dulogiciel
logicielde
decontrôle
contrôle(création
(création/ /suppression
suppressiondes
desidentifiants,
identifiants,...)
...)
SECURITE
FIABILITE
FIABILITEDU
DUS.I.
S.I.
Nombre
Nombred'anomalies
d'anomaliespar
paractivité,
activité,respect
respectdu
duplanning,
planning,
Maintenance
Maintenance (nombre et durée des dépannages,...)
(nombre et durée des dépannages, ...)
CONTROLE
CONTROLE
Nombre
Nombrede
deréclamations
réclamations
Nombre
Nombrede
demots
motsde
depasse
passerefusés,
refusés,nombre
nombrede
dedéconnexions,
déconnexions,......
Identification
Identificationdes
des Identification
Identificationdes
des Recensements
Recensementsdes
des Evaluation
Evaluationforces
forces/ /
sites à protéger
sites à protéger menaces
menaces mesures de protection
mesures de protection faiblesses
faiblesses
Accès physiques
• système de surveillance
• la classification de celles-ci
• onduleur
• groupe électrogène
• température
• hygrométrie
• filtrage de l’air
• climatisation de secours
PROCEDURES
PROCEDURES
D’EXPLOITATION
D’EXPLOITATION
Démarche
Démarche
Examen
Examendes Examen
des Examendu dudispositif
dispositif
procédures
procédures duservice
du de
service de protectiondes
protection des
système
système logiciels de base
logiciels de base