Académique Documents
Professionnel Documents
Culture Documents
D’INFORMATION
Présenté par :
SASSA Giquel Thérance
Certifié: COBIT5 – Big Data – Scrum Master – Prince2
OBJECTIFS
Communication : claire les métiers et les services de l’entreprise à travers les SLA
2- Comprendre l’environnement
a- L’organisation de la fonction SI :
On distingue :
Les objectifs génériques : CMMI fournit cinq objectifs
génériques et les pratiques associées qui s'appliquent à
tous les domaines de processus.
Les pratiques génériques : les pratiques génériques
appartiennent aux objectifs génériques. Elles doivent
être systématiquement implémentées pour prétendre
atteindre un niveau de maturité ou de capacité
VI-RÉFÉRENCES ET NORMES
CMMI définit :
une échelle à cinq niveaux de mesure de la
maturité des processus
NIVEAU DE MATURITE 3 « Defined », (ajusté) : Ce niveau est caractérisé par des lignes
directrices, un plan stratégique, une planification de l'amélioration de
processus, en ligne avec les objectifs d'affaire de l'organisation, la
formalisation des responsabilités et des devoirs des employés.
NIVEAU DE MATURITE 3 « Defined », (ajusté) : Ce niveau est caractérisé par des lignes
directrices, un plan stratégique, une planification de l'amélioration de
processus, en ligne avec les objectifs d'affaire de l'organisation, la
formalisation des responsabilités et des devoirs des employés.
CobiT Quickstart :
Version simplifiée de CobiT s'adresse principalement aux
PME1 pour lesquelles les techniques informatiques ne
représentent pas un enjeu stratégique mais simplement
un levier dans leur stratégie de croissance.
la couche business ;
la couche des données ;
la couche application ;
la couche technologique
VI- RÉFÉRENCES ET NORMES
L’audit de l’organisation
1- L’audit de l’organisation
L’auditeur devra à cet effet :
▪ Etudier le fonctionnement de la comitologie associée au
pilotage des SI ;
▪ Se demander si les ressources informatiques sont convenables
et dimensionnées conformément aux besoins et la charge de
l’activité ;
▪ vérifier que l’organisation a mis en place le corpus minimal de
politique du SI, politique de sécurité du SI, charte d’utilisation
VII - Catégories d’audits des SI
2- L’audit de processus
l’auditeur devra se procurer :
la cartographie des processus ;
la description du processus audité, incluant l’inventaire des données
et informations manipulées et des applications et infrastructures
utilisées
les tableaux de bord de reporting du déroulement et de la
performance des processus ;
la cartographie des données, informations et applications
informatiques de l’organisation ;
Catégories d’audits des SI
la déclinaison des politiques SI et de sécurité SI à l’égard du
processus audité ;
La déclinaison de la charte des utilisateurs à l’égard des
acteurs du processus ;
En définitive, l’auditeur devra porter une appréciation sur
l’efficacité, l’efficience, la sécurité, et la résilience de
l’informatique aux besoins du processus audité
Catégories d’audits des SI
3- L’audit de régularité
L’audit de la régularité porte sur le respect des normes et du corpus
normatif qui impliquent les processus, les infrastructure, les applicatifs,
les données du SI.
Il permet de vérifier que les activités portées par les ressources
informatiques respectent elles-mêmes le cadre normatif à travers les
leurs règles.
L’auditeur devra :
identifier les ressources informatiques utilisées dans le périmètre de son
audit ;
Catégories d’audits des SI
3- L’audit de régularité
vérifier que les ressources sont en elles-mêmes régulières (licences,
respect des règles de conservation des données personnelles, respect
des règles de confidentialité, etc.) ;
vérifier et évaluer la fiabilité des traitements automatiques
conformément au corpus normatif applicable ;
vérifier que la sécurité appliquée à ces ressources, outre le respect
des règles de confidentialité, garantit raisonnablement qu’elles ne
peuvent être utilisées à des fins frauduleuses.
Catégories d’audits des SI
3- L’audit de régularité
L’auditeur devra rencontrer :
Les acteurs stratégiques du périmètre du champ audité
pour évaluer s’ils sont conscients de l’obligation du
fonctionnement du SI dans un cadre normatif et s’assurer
qu’ils respectent et font respecter les corpus normatifs
applicables
les acteurs opérationnels de l’entité/processus audité pour
identifier les ressources utilisées ;
Catégories d’audits des SI
Il devra se procurer :
la cartographie des applications et des systèmes, les
contrats et les licences ;
la description du dispositif de contrôle des règles du cadre
normatif ;
Sur ce point, l’auditeur devra apprécier à la fois sur la valeur
de la contribution de l’informatique à la réglementation des
activités informatiques.
Catégories d’audits des SI
4- Les audits des fonctions externalisées
Les motifs d’ouverture des système informatiques des organisations
vers des systèmes externes sont nombreux. A l’instar des taches liées à
l’administration de serveurs, de données ou d’applications via les
technologies de dématérialisation de l’informatique
Il y a des échanges des données, en temps réel ou non, entre des
parties cocontractants. Le cocontractant a alors la responsabilité de
l’intégrité, de l’accessibilité et de la protection des données.
Cet audit aborde les obligations des parties cocontractantes dans les
prestations des services informatiques
Catégories d’audits des SI
4- Les audits des fonctions externalisées
l’audit des fonctions externalisées a pour objectifs :
D’identifier les données et informations numériques
échangées entre les parties
D’identifier les ressources informatiques matérielles (serveurs,
réseaux, etc.) et applicatives qui y contribuent, ainsi que le
personnel interne et extérieur qui y participe ;
vérifier que le contrôle interne, y compris la résilience,
appliquée aux ressources est en cohérence avec les enjeux
de l’organisation ;
Catégories d’audits des SI
4- Les audits des fonctions externalisées
Vérifier la conformité de l’exécution des prestations conformément au
cadre normatif des services IT de l’organisation ;
Vérifier la conformité de l’exécution des prestations conformément au
marché ;
L’auditeur devra rencontrer :
les acteurs opérationnels de l’organisation chargés des relations
courantes avec le prestataire, pour identifier les ressources
informatiques (informationnelles, matérielles et humaines) concernées
par la prestation externalisée ;
Catégories d’audits des SI
4- Les audits des fonctions externalisées
la direction chargée du SI, pour vérifier qu’elle a validé les échanges
avec le prestataire, y compris le cas échéant, les modalités
d’interconnexion avec les systèmes externes
Les documents à utiliser sont :
les marché(s) qui régissent l’externalisation ;
la description des processus externalisés et de ceux impactés par
l’externalisation
Catégories d’audits des SI
4- Les audits des fonctions externalisées
L’auditeur devra se procurer :
l’inventaire des ressources informatiques utilisées ou impactées par
l’exécution de la prestation externalisée (notamment la cartographie
des applications et des systèmes)
la description du dispositif de suivi et de contrôle interne des
prestations
Sur ce point, l’auditeur devra porter une appréciation sur la qualité de
la prise en compte des prestations externalisées et se prononcer sur les
fragilités éventuelles qui peuvent résulter de l’externalisation,
notamment en termes de irréversibilité, de sécurité et de contrôle
interne.
VIII- APPROCHE D’AUDIT DES SI
1- La planification
Le Système d’information est considéré comme un ensemble
de parties interdépendantes (structures physiques, personnel,
outils informatiques) qui interagissent afin d’enregistrer, de
contrôler, d’évaluer et de gérer les transactions.
Cette phase permet d'acquérir une compréhension des
procédures, des méthodes, des opérations, des contrôles et
des risques liés au système
VIII- APPROCHE D’AUDIT DES SI
Outils d’analyse de réseau : Ce sont des logiciels que l’on peut lancer sur un
réseau pour recueillir des informations sur son état.
Les auditeurs SI y font recours pour diverses procédures dont entre autre :
La vérification de l’exactitude des diagrammes de réseau par une cartographie du réseau
d’entreprise
L’identification des dispositifs clés du réseau
La collecte des informations concernant le trafic autorisé sur un réseau
NB : Ia liste des outils les plus utilisés se trouve sur www.insecure.com
IX- FACILITATEURS D’AUDITS DES SI
Outils de piratage
Les outils de piratage offrent une solution automatisée pour vérifier les vulnérabilités des mots de passe
et des identifiant. Ils sont pour les parefeux, les serveurs, les réseaux et les systèmes d’exploitation.
Outils d’analyse de la sécurité des applications
la sécurité des applications doit être conçue et mise au point en parallèle des processus et des
contrôles applicatifs de manière à intégrer un environnement qui inclus tous les processus
management, opérationnel et support)
Ces outil permettent également d’évaluer la séparation des fonctions au sein d’une application
Quelques fournisseurs dans ce domaine sont :
Approva : http://www.approva.net/
LogicalApps : http://www.logicalapps.com/
Q Software : http://www.qsoftware.com/index.htm
Control Solutions International : http://www.csi4sap.com/en/home
IX- FACILITATEURS D’AUDITS DES SI
Outils d’analyse des données
1- Présentation de la couverture
1. Nom du bureau d’audit y compris le logo
2. Nom de l’organisation auditée y compris le logo
3. Intitulé du document. Exemple: Rapport d’audit du SI de….
4. Nom de l’expert auditeur (celui qui conduit les travaux)
5. La signature de l’expert auditeur
6. Date du document, version le cas échéant
7. Le socle document confidentiel
X- MODÈLE DE LA STRUCTURE D’UN RAPPORT D’AUDIT DES SI
2- Première de couverture
1. Avant propos (clause de confidentialité, de reproduction du
document, l’historique des modifications, le cas échéant )
3-Cadre de la mission
1. Rappeler le cadre de la mission d’audit
2. Indiquer si la présente mission est un audit exhaustif ou audit de suivi
3. Présenter l’objectif de la mission d’audit (Etat de conformité par rapport à un
standard, recommandations, plan d’action)
4. Indiquer, le cas échéant, si la présente mission rentre dans le cadre de la
préparation à la certification ou dans une démarche de conformité
5. Indiquer, la cas échéant, le(s) standard(s) métier de référence par rapport auquel
est réalisée la présente mission d’audit,
6. Indiquer les limites et les contraintes de l’audit
X- MODÈLE DE LA STRUCTURE D’UN RAPPORT D’AUDIT DES SI
4-Termes et définitions
Donner les définitions des termes utilisés dans le présent rapport
5-Références
Indiquer tous les documents de référence utilisés pour la
réalisation de la mission d’audit
6-Présentation de l’organisme audité
1. Présenter brièvement l’organisme audité (création, nombre
d’employés, étendu géographique, missions, services fournis,
parties prenantes, clients, etc)
2. Présenter le champs audité avec les processus y afférents
X- MODÈLE DE LA STRUCTURE D’UN RAPPORT D’AUDIT DES SI
7- Champ d’audit
1. Périmètre géographique (Présenter la liste des département concerné
et à auditer en justifiant leur choix)
2. Description des systèmes d’information
3. Décrire les systèmes d’information des différentes
départements (Composants : serveur, application, base
de données, équipement réseau, solution de sécurité,
d'administration du système d'information)
4. Toute exclusion d'un composant doit être justifiée.
X- MODÈLE DE LA STRUCTURE D’UN RAPPORT D’AUDIT DES SI
7- Champ d’audit
1. Schéma synoptique de l’architecture du réseau(vue
infrastructure)
2. Faire apparaitre les connexions (LAN, WAN, etc), la
segmentation, l’emplacement des composantes du SI, etc…
8- Méthodologie d’audit
1. Décrire en détail la méthodologie d’audit adoptée tout en
établissant la correspondance entre les domaines couverts et les
référentiels d’audit utilisés
2. Présenter les outils (version, licence, fonctionnalité, etc) d’audit
utilisés
X- MODÈLE DE LA STRUCTURE D’UN RAPPORT D’AUDIT DES SI
8- Méthodologie d’audit
3-Présenter l’équipe d’auditeur
4-Présenter l’équipe audité
5-Présenter le planning d’exécution de la mission
d’audit
X- MODÈLE DE LA STRUCTURE D’UN RAPPORT D’AUDIT DES SI