Académique Documents
Professionnel Documents
Culture Documents
SYLLABUS
MASTER II PROFESSIONNEL
COMPTABILITÉ AUDIT ET CONTRÔLE
Chargé de Cours :
L’objectif principal de ce cours est de doter l’étudiant(e) des outils de maîtrise et de pilotage
de la sécurité des Systèmes d’Information.
PLAN DU COURS
INTRODUCTION
CONCLUSION
BIBLIOGRAPHIE INDICATIVE
2
INTRODUCTION
3
1. CONCEPTION ET GOUVERNANCE DES SYSTEMES D’INFORMATION
Il est parfois utile de distinguer système d’information et système informatique:
• Le système d’information est la partie du réel constituée d’informations organisées,
d’événements ayant un effet sur ces informations et d’acteurs qui agissent sur ces informations
ou à partir de ces informations, selon des processus visant une finalité de gestion et utilisant les
technologies de l’information.
• Un système informatique est un ensemble organisé d’objets techniques - matériels, logiciels,
applications - dont la mise en œuvre réalise l’infrastructure d’un système d’information.
4
1.1.2. Les objectifs des projets systèmes d’information
Comprendre les objectifs du projet et faire émerger des réponses adéquates est de la
responsabilité du chef de projet. On rencontre souvent les grandes catégories suivantes,
qui auront des conséquences sur le management du projet système d’information. Nous
allons les esquisser :
• Productivité administrative
• Aide au management
• Efficacité opérationnelle
• Évolutivité
• Utilisation d’une nouvelle technologie
5
1.2.2. Délimitation du périmètre de gouvernance des SI
6
Figure 2 : Les bonnes pratiques de la gouvernance des SI (Source J.L. Leignel, IGSI,2006)
7
2. GESTION DES RISQUES DES SI
2.1. Notion de risque et sécurité des SI
Le risque, terme d’utilisation courante, se teinte de considérations plus élaborées quand il s’agit
des SI. En général, le risque est l’éventualité d’un événement ne dépendant pas exclusivement
des parties et pouvant causer la perte d’un objet ou tout autre dommage ; par extension, le risque
est un événement contre la survenance duquel on s’assure.
Spécifiquement, en entreprise, Le risque est la probabilité qu'un effet spécifique se produise
dans une période donnée ou dans des circonstances déterminées. Le risque est la combinaison
de la probabilité et des conséquence(s), de la survenue d'un événement dangereux spécifié. Le
risque est la menace qu’un événement, une action, ou une inaction affecte la capacité de
l’entreprise à atteindre ses objectifs stratégiques et compromette la création de valeur.
Les mesures de sécurité répondent à des objectifs et des exigences de sécurité qui traduisent les
contraintes et les risques qui pèsent sur le système d’information. L’audit de sécurité du système
d’information est un examen méthodique d’une situation liée à la sécurité de l’information en
vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. Compte tenu du
cadre de gestion de la sécurité de l’information, les audits de sécurité peuvent adresser des
problématiques différentes comme par exemple :
•La prise en compte des contraintes,
•La politique de sécurité,
•La prise en compte de contraintes spécifiques dans la mise en œuvre d’un système
d’information particulier (problématique liée à l’audit des projets),
•La mise en œuvre de politique de sécurité,
•Les mesures de sécurité.
•L’analyse des risques.
Le concept de gestion des risques (ou risk management) a fait son apparition à la fin des années
50 aux États-Unis dans le domaine financier, en relation avec des questions d’assurance. Par la
suite, la notion de gestion des risques a été étendue à d’autres domaines, citons notamment
l’environnement, la gestion de projet, le marketing, ainsi que la sécurité informatique, qui nous
intéresse tout particulièrement.
8
La gestion des risques est définie par l’ISO comme l’ensemble des activités coordonnées visant
à diriger et piloter un organisme vis-à-vis du risque. On dégage en général trois finalités à la
gestion des risques pour les SI :
1. Améliorer la sécurisation des systèmes d’information.
2. Justifier le budget alloué à la sécurisation du système d’information.
3. Prouver la crédibilité du système d’information à l’aide des analyses effectuées.
9
Le processus de gestion des risques des SI comprend donc sept étapes :
- Identification du contexte et des assets
- Détermination des objectifs de sécurité
- Définition des exigences de sécurité
- Analyse des risques
- Sélection des contrôles
- Implémentation des contrôles
- Suivi et mise en oeuvre des mesures correctives
10
CONCLUSION
Aujourd’hui au plus haut sommet de la sphère des entreprises, la sécurité des SI est de plus en
plus abordée à l’aide d’approches basées sur les risques. Les audits des risques des SI permettent
un meilleur pilotage de l’action pour une efficacité de la clé de voûte de l’immatériel dans
l’entreprise. L’expérience montre que de telles études prospectives réduisent de manière
considérable les pertes liées aux faiblesses de sécurité des systèmes d’information.
La valeur et la performance des SI ont fait l’objet de multiples travaux au cours des trente
dernières années. Ceux-ci ont progressivement évolué d’une approche d’efficience (à travers
l’analyse de l’impact des Technologies de l’Information sur la productivité), vers une approche
plus focalisée sur les actifs complémentaires, le capital organisationnel (notamment les
processus), et les actifs immatériels. Cette dernière approche apporte un éclairage novateur et
original à la problématique générale de la valorisation des SI.
11
BIBLIOGRAPHIE INDICATIVE
12