Manuel de preparation a cisa pour les nuls

Par: Mvondo bekey Anael Ndzoa Sixako Typhereth

A propos de l'auteur

Mvondo Bekey Anael Ndzoa Sixako Typhereth est un expert en

sécurité informatique camerounais multi certifier et passionné d'audit
des systèmes d'information et sécurisation des systèmes d'information
et du developpement d application avec plus de 12 ans d'expérience.

dans le domaine de la sécurite informatique et d’audit des si ainsi que

du pilotage de projec informatique .

Il est le fondateur de www.akamasoft.cm ou il partage sa passion et

prestation de services dans les domaines de l’informatique.

Contact De L’auteur :

Email: Mvondobekey@hotmail.com / Akamabil@gmail.com

Présentation

- Qu’est ce que cisa

- Pourquoi cisa
 - Public cible
- Prérequis
- Introduction
Plan de la formations
Domaine 1 ( -21%) Processus d'audit des systèmes d'information
- Les standards d’audit
- L’analyse de risque et le contrôle interne
- La pratique d’un audit SI
Domaine 2 (-16%) Gouvernance et gestion des technologies de l'information (TI)
- Gouvernance des SI
- Stratégie de la gouvernance du SI
- Procédures et Risk management
- La pratique de la gouvernance des SI
- L’audit d’une structure de gouvernance
Domaine 3 (-18%) Acquisition, développement et mise en œuvre de systèmes
d'information
- Gestion du cycle de vie des systèmes et de l’infrastructure
- Gestion de projet : pratique et audit
- Les pratiques de développement
- L’audit de la maintenance applicative et des systèmes
- Les contrôles applicatifs
Domaine 4 (-20%) Exploitation, maintenance des systèmes d'information
- Fourniture et support des services
- Audit de l’exploitation des SI
- Audit des aspects matériels du SI
- Audit des architectures SI et réseaux
Domaine 5 (-25%) Protection des avoirs informatiques
- Gestion de la sécurité : politique et gouvernance
- Audit et sécurité logique et physique
- Audit de la sécurité des réseaux
- Audit des dispositifs nomades
Objectifs Du Manuel
- Les cinq grand domaines sur lequels porte la certification cisa
- les connaissances, concepts techniques nécessaires pour l examen
- le vocabulaire et les idees directrices de l’examen

Présentation
Qu’est ce que cisa ?

CISA (Certified Information Systems Auditor) est la certification internationale des

auditeurs des systèmes d’information, éditée par l’association internationale des
auditeurs informatiques ISACA ( http://www.isaca.org/ ).
est une certification mondialement reconnue, méticuleusement conçue pour les
professionnels responsables de la surveillance, de la gestion et de la protection de
l'environnement informatique et commercial d'une organisation. Le cours de formation à
la certification CISA valide les compétences et l'expertise du titulaire de la certification
pour évaluer les vulnérabilités, signaler les problèmes de conformité et mettre en œuvre
avec succès les contrôles de sécurité informatique pour une organisation .

Pourquoi cisa ?

CISA vous permet d'être reconnu, non seulement au niveau national, mais aussi au
niveau international, comme un professionnel possédant les connaissances, les
compétences et la crédibilité nécessaires pour offrir des avis et des solutions, et
pour auditer tous les domaines liés aux systèmes d'information.

Public cible
- Auditeur
- Consultant It
- Responsable It
- Responsable sécurité

Prérequis
L’etudiant doit avoir des Connaissances générales en informatique, sécurité, réseaux en
administration system et en audit

Introduction
Qu'est-ce qu'un audit informatique ?
L’audit informatique consiste à évaluer le système informatique d’une entreprise à partir
d’une base de références commune au secteur et à la région d’activité. Son objectif est
d’identifier et d’analyser les risques liés à l’environnement numérique d’une entreprise ou
d’une administration. Il est un outil de contrôle et s’assure que l’organisme répond à trois
critères : la conformité aux lois, la fiabilité des informations financières, l’optimisation des
opérations.

La démarche répond à une lettre de mission précise, rédigée par le mandant, qui
correspond à l’état des bonnes pratiques. Basé sur l’infogérance, le mandataire va alors
évaluer les observations qu’il fait d’un service et proposer des recommandations. Les
critères sont les suivants : la conformité aux lois, l’intégrité et la confidentialité des
informations et l’optimisation des opérations.

Quels sont les types d'audit informatique ?

• La fonction informatique
L’audit va évaluer l’organisation de la fonction informatique au sein de l’entreprise, son
pilotage, son positionnement. Il se base ainsi sur les pratiques connues comme la clarté
des structures et des responsabilités de l’équipe, la définition des relations, l’existence
des dispositifs de mesures comme un tableau de bord, le niveau des compétences du
personnel.
Il a ainsi pour objectif de mettre en œuvre des procédures spécifiques à la fonction, de
définir ses responsabilités respectives, de suivre les coûts informatiques et de mesurer
l’impact de l’informatique sur les performances de l’entreprise.
Par ailleurs, au sein même de la fonction informatique, l’audit relève également des

études informatiques : les objectifs sont d’évaluer l’entreprise dans sa manière de

planifier les activités d’études, de respecter les normes de documentation, de contrôler la
sous-traitance ainsi que de la qualité des livrables.

• L’exploitation
On cherche également à s’assurer du bon fonctionnement et de la bonne gestion des
centre de production informatique en se basant sur l’organisation, la mesure de la qualité
des services fournis par l’exploitation informatique et la gestion des ressources et
incidents.

• Les projets informatiques

L’audit contrôle l’enchaînement logique et efficace des opérations et s’assure du bon
développement d’une application. Ses objectifs s’inscrivent dans la garantie de la clarté
du processus de développement, la vérification de l’application de la méthodologie, la
validation du périmètre fonctionnel, et la gestion des risques.

• Les applications opérationnelles

Contrairement aux audits précédents, l’audit d’applications opérationnelles s’étend à un
domaine plus large et couvre le système d’information de l’entreprise. Il est conseillé
d’en
faire un tous les deux ou trois ans pour s’assurer de son bon fonctionnement. L’audit va
également servir à la vérification de l’application des règles de contrôle interne. Les
objectifs sont de s’assurer de la conformité de l’application opérationnelle, de la
vérification des dispositifs de contrôle mis en place, de la fiabilité des traitements ainsi
que de la mesure des performances.

• La sécurité
Enfin, l’audit de la sécurité informatique donne au management d’une entreprise une
garantie du niveau de risque de l’organisme et de ses vulnérabilités. L’audit de sécurité
informatique va ainsi se baser sur le repérage des actifs informationnels de l’entreprises
afin d’adapter leur procédure de gestion, l’identification des risques, l’évaluation des
menaces, la mesure des impacts et la définition des parades.

Pourquoi faire un audit informatique ?

Par définition, l’audit informatique n’est pas obligatoire au sein des entreprises. En
revanche, il est nécessaire pour se préparer à toutes les problématiques d’un projet dans
la mesure où il repose sur l’étude préalable de la stratégique informatique. Il permet
d’éviter les problèmes ou au moins de mieux se préparer face aux risques. Il renforce
ainsi la résilience informatique, dans l’objectif d’améliorer sa sécurité informatique.

L’audit informatique présente également un avantage aux entreprises : celui du temps.

En effet, il vous permet d’anticiper des futurs et potentiels problèmes liés aux erreurs
techniques tout en vous recentrant sur votre cœur d’activité. Il fait l’état des lieux du
système informatique pour mieux se mesurer face à la concurrence.

Domaine 1 ( -21%) Le processus d'audit des systèmes d'information.

Ce domaine définit les procédures et la méthodologie qu’un auditeur des SI doit suivre
lors de la réalisation d'un audit des systèmes d'information.

Objectif du chapitre:
A la fin de ce chapitre l apprenant doit savoir :

- Démontrer une connaissance des normes, directives, outils et techniques d'audit et

d'assurance des TI de l'ISACA.
Code d'éthique professionnelle, et d'autres normes applicables.

- Comprendre les concepts nécessitant une connaissance des processus métier

fondamentaux (par exemple, les achats, la paie, les comptes fournisseurs, les comptes
clients) et le rôle des SI dans ces processus.
- Comprendre les principes de contrôle liés aux contrôles dans les
systèmes d'information.

- Expliquer les concepts de la planification de l'audit basée sur les risques et les
techniques de gestion de projet d'audit, y compris le suivi.

- Expliquer le rôle de la compréhension par l'auditeur des lois et règlements applicables

qui ont une incidence sur la portée, l'étendue et la qualité de la vérification.
lois et règlements applicables qui influent sur l'étendue, la collecte et la conservation des
preuves, et la fréquence des audits.

- Décrire les techniques de collecte d'éléments probants (par exemple, l'observation,

l'enquête, l'inspection, l'entrevue, l'analyse des données, les techniques
d'enquête judiciaire, la vérification assistée par ordinateur.

La première tâche
consiste à mettre en œuvre une stratégie d'audit des SI basée sur les
risques afin de s'assurer que les zones de risque primaire sont entièrement auditées.

Ces zones de risque sont celles qui ont le plus d'impact ou d'exposition pour
l'organisation.
Ces zones se trouvent généralement autour des activités critiques de l'organisation.
L'auditeur SI doit toujours garder à l'esprit que tout n'a pas besoin d'être audité, ni
même ne peut l'être.
Et que, par conséquent, les domaines d'intérêt supérieur doivent être priorisés.
Pour ce faire, l'auditeur SI doit connaître les stratégies et les normes d'audit en vigueur.
Du point de vue de la CISA, la meilleure source est peut-être le Cadre de pratiques
professionnelles pour l'audit et la certification des SI (ITAF) qui peut être téléchargé sur
http://www.isaca.org. Bien que les questions de l'examen ne sont pas directement tirées
de l'ITAF, il couvre néanmoins toutes les normes et directives intégrées dans la CISA.
normes et directives intégrées dans l'examen CISA.

La deuxième tâche

La deuxième tâche intégrée à ce domaine consiste à formuler les plans d'audit pour des
audits spécifiques afin de déterminer si les systèmes d'information sont protégés,
contrôlés et apportent une valeur à l'organisation.
Le plan incorpore la portée de l'audit, c'est-à-dire ce qui est inclus et ce qui est exclu de
cet audit particulier.
la sélection des systèmes à auditer étant dérivée de l'évaluation du risque d'audit.

Le plan d'audit type comprendra l'identification des risques liés au système, des
contrôles
internes conçus pour atténuer ces risques, et de l'évaluation des risques.
internes , y compris les contrôles généraux et l'environnement des systèmes, ainsi que
les contrôles spécifiques aux systèmes conçus pour traiter les risques dans un domaine
d'application donné.
Après avoir identifié les contrôles généraux, l'auditeur
identifierait généralement les contrôles clés qui régissent la majeure partie du risque et
conçoit les tests appropriés afin d'évaluer l'efficacité et l'efficience de ces contrôles dans
l'atténuation des risques.

La première étape de la conception du programme d'audit consiste à identifier les

sources d'éléments probants sur lesquels l'auditeur s'appuiera pour évaluer le contrôle.
Une fois les éléments probants localisés, l'auditeur peut choisir la technique d'audit
appropriée pour les obtenir et, si nécessaire, sélectionner l'outil d'audit approprié.

La sélection de ces outils et techniques

doit être conforme aux normes professionnelles qui, comme indiqué précédemment,
peuvent être consultées sur le site Web de l'ISACA, ainsi que les documents suivants
des lignes directrices, des outils et des techniques destinés à aider l'auditeur à
la mise en œuvre du plan.

La troisième tâche

La troisième tâche concerne l'exécution de l'audit pour s'assurer qu'ils sont

menées conformément aux normes d'audit des SI pour atteindre les objectifs
d'audit prévus.
Si le programme d'audit conçu permet de traiter les principaux risques importants
et que les tests d'audit ont été conçus de manière appropriée pour obtenir les
preuves souhaitées, tout ce que l'auditeur doit faire est de suivre l'audit

pour obtenir les preuves et évaluer les résultats. L'évaluation doit aboutir à la conclusion
que le contrôle est maintenu niveau adéquat pour atténuer le risque d'entreprise ou qu'il
ne l'est pas, ainsi que des niveaux adéquats et que des recommandations pour
améliorer
l'efficacité du contrôle seront nécessaires.
Ces recommandations peuvent consister à l'amélioration de l'efficacité des contrôles
existants ou, lorsqu'il existe une lacune dans la structure de contrôle.
la mise en œuvre d'un nouveau contrôle peut être requise ou peut s'avérer nécessaire.

La quatrième tâche

Une fois le travail d'audit sur le terrain terminé et les résultats évalués,
la quatrième tâche consiste à communiquer les résultats de l'audit et les
recommandations aux principales parties prenantes et aux décideurs par le biais de
réunions et de la production de rapports d'audit afin de promouvoir le changement des
structures de contrôle si nécessaire.

La valeur que l'organisation tire d'un audit dépend de l'efficacité de la communication des
résultats de l'audit.

En règle générale, il s'agira de présenter à la direction générale

des principaux risques, des objectifs de contrôle, de l'efficacité du contrôle, des
éventuelles faiblesses et des recommandations d'amélioration.

Cette présentation sera normalement accompagnée d'un rapport d'audit écrit.

qui contiendra un résumé exécutif ainsi que des résultats détaillés et des
recommandations à mettre en œuvre par la direction intermédiaire, ainsi que le degré
d'acceptation des recommandations et le calendrier de mise en œuvre.

Le rapport doit comprendre (au minimum) le champ d'application et les objectifs de

l'audit, une description de l'objet de l'audit , une description de l'activité d'audit réalisée,
les conclusions, les constatations et les recommandations. Pour être efficaces, les
rapports d'audit doivent être opportuns, crédibles, lisibles et avoir un ton constructif.

L'étape finale
L'étape finale de l'audit est la réalisation d'un suivi. Il est essentiel
que toutes les recommandations formulées dans le rapport d'audit soient suivies
afin de déterminer si la direction a pris les mesures correctives appropriées pour
résoudre
les faiblesses du contrôle en temps opportun.
appropriées pour remédier à toute faiblesse du contrôle en temps voulu.

Il peut arriver que l'auditeur constate que la direction a accepté le risque de ne pas
prendre de mesures supplémentaires ou même qu'elle n'a pris aucune mesure.

Ce suivi débouchera lui-même sur la production d'un rapport, quoique un bref rapport,
qui, espérons-le, indiquera que toutes les questions en suspens seront surement
résolues.

Énoncés de connaissances

Les énoncés de connaissances décrivent en détail les domaines et l'étendue des

connaissances dont l'auditeur a besoin pour mener à bien les tâches dans un domaine
de
pratique spécifique.

Les énoncés de connaissances du domaine 1 couvrent :

Les Connaissance des normes, les lignes directrices et outils d'audit et
d'assurance des TI de l'ISACA et techniques, du code d'éthique professionnelle et
d'autres normes applicables.

Les normes elles-mêmes sont structurées de la manière suivante :

La série 1000 (c'est-à-dire les normes 1000 à 1008) se concentre sur l'audit et
planification elles couvrent :

- 1001 La charte d'audit

- Les chartes ont tendance à être communes dans leur approche, bien que les chartes
individuelles soient adaptées pour répondre aux besoins uniques de l'organisation pour
laquelle elles sont conçues.
En raison de son rôle, définir la relation et les responsabilités qui devraient exister entre
Le chef de la direction, le responsable de l'audit du SI et le comité d'audit hiérarchique.
Dans la plupart des organisations, il est généralement perçu comme le cadre de
référence du chef de l'audit.
de référence pour le responsable de la fonction d'audit et fournit à la direction générale
une mesure du niveau d'assurance concernant la fiabilité et la qualité de l'audit interne.
d'assurance concernant la fiabilité et la qualité du contrôle interne au sein de
l'organisation.
Il sert également de point de référence lorsque la structure, les plans ou les rapports de
la fonction de ou les rapports de la fonction d'audit sont examinés.

- Pour les responsables opérationnels d'une organisation, la charte indique le niveau

d'autorité à agir délégué à la fonction d'audit pour la fonction d'audit dans l'examen de
chacun de leurs systèmes de contrôle interne sur les systèmes informatiques et
manuels.
contrôle interne sur les systèmes informatiques et manuels.

Ils peuvent s'attendre à voir des contraintes dans le corps du document, qui préservent
leurs propres droits.
document, qui préserve leurs propres droits en tant que décideurs.
décisionnaires.
- La forme, le contenu et la formulation de la charte seront normalement choisis par la
fonction d'audit elle-même.
Ils seront généralement influencés par les normes d'audit des SI et doivent
encourager les meilleures pratiques professionnelles telles que définies par les
organismes professionnels appropriés.
La charte d'audit du SI peut être une publication indépendante ou, dans le cas d'une
ancienne fonction d'audit ou, dans le cas d'une fonction d'audit informatique déjà
constituée, faire partie de la charte d'audit informatique.
d'audit du SI.

- Le document est normalement signé à la fois par le directeur général et par le président
du comité d'audit.

Le document lui-même consiste généralement en une définition officielle

de l'audit des SI au sein de l'organisation et de ses objectifs ses principaux objectifs,
l'autorité sous laquelle le responsable de l'audit SI
agit, y compris la ligne hiérarchique ainsi que les droits d'accès aux personnes,
propriétés,actifs, etc.

d'accès aux personnes, aux propriétés, aux actifs et aux dossiers, ainsi que les
les termes de référence décrivant, en détail, le rôle et les objectifs de travail du
responsable de l'audit informatique.

1002 Indépendance de l'organisation

- La fonction d'audit doit être libre de tout parti pris ou influence
si l'on veut que l'intégrité du processus d'audit soit appréciée et reconnue pour sa
contribution aux objectifs de l'organisation.
reconnu pour sa contribution aux buts et objectifs de l'organisation
et aux objectifs de l'organisation en utilisant les structures hiérarchiques appropriées.
Lors de la collecte des éléments probants, les auditeurs doivent s'assurer qu'ils
conservent une attitude indépendante et objective, tant dans les faits qu'en apparence.
Cette indépendance est normalement considérée comme lorsqu'un auditeur est chargé
d'auditer un domaine où il existe une responsabilité hiérarchique au sein de
l'organisation.
domaine dans lequel il a exercé une responsabilité hiérarchique au cours de l'année
l'année précédente. De nombreux auditeurs interprètent cela comme indiquant
qu'ils ne peuvent pas être trop détaillés dans leurs recommandations, car cela les
empêcherait de réaliser des audits ultérieurs en raison d'un manque perçu
d'indépendance et d'objectivité.
Cela peut effectivement être le cas, et tant la direction que les auditeurs doivent
comprendre que, lorsqu'une dans la conception de structures de contrôle pour la mise en
œuvre de l'audit, l'auditeur fonctionne principalement comme un consultant en contrôle
interne.
L'audit ultérieur de ces structures doit être effectué indépendamment du consultant.

Domaine 2 ( -16%) Gouvernance et gestion des TI.

Ce domaine est axé à la fois sur les processus de leadership et d'organisation qui
garantissent que l'informatique fonctionne efficacement, l'auditeur s'assurant que
l'organisation est suivant ses propres processus et procédures.

Domaine 3 ( -18%) Acquisition, développement et mise en œuvre de systèmes

d'information

L'accent est mis sur le rôle de l'auditeur dans l'examen et la validation des méthodes
d'acquisition et de test du matériel pour s'assurer qu'elles sont à la fois adéquates et
suivent les meilleures pratiques de l'industrie, et s'assurer que les systèmes
promulgués par l'informatique sont à la fois fiables et permettent d'atteindre les objectifs
de l'organisation.

Domaine 4 ( -20%) Exploitation, maintenance des systèmes d'information

Ce domaine englobe les opérations quotidiennes des systèmes d'applications utilisés au
sein de l'organisation ainsi que la maintenance de ces systèmes.
Les opérations incluent la planification de la continuité ainsi que la récupération
Et la planification de la reprise après un sinistre.
Domaine 5 ( -25%) Protection des actifs informationnels.
Ce domaine a pris une importance croissante au cours des dernières années et implique
l'examen et l'évaluation des contrôles internes destinés à garantir que
les systèmes d'information sont protégés de manière adéquate contre une variété de
menaces.