Académique Documents
Professionnel Documents
Culture Documents
D’INFORMATION
Présenté par :
SASSA Giquel Thérance
Certifié: COBIT5 – Big Data – Scrum Master – Prince2
OBJECTIFS
Communication : claire les métiers et les services de l’entreprise à travers les SLA
Dans les faits, cela signifie que les progrès technologiques sont rapides
et par conséquent, les risques liés aux SI ne sont pas statiques.
III - RISQUES LIES AUX SI
Caractéristiques des risques SI : Evolutivité et dynamisme
Pour éviter ce risque, le responsable de l’audit doit :
Reconnaître la nature dynamique du risque lié aux SI et mener
des évaluations indépendantes de ce risque sur des périodes
fixées
Comprendre les plans à court terme de le direction en charge
du SI pour une période donnée et déterminer quelles peuvent
en être les conséquences sur l’évaluation du risque lié à celui-ci
Actualiser l’évaluation du risque d’audit avant de commencer
le prochain audit
surveiller le profil de risque de l’organisation et être prêt à
adapter les procédures d’audit à son évolution.
III - RISQUES LIES AUX SI
C’est un risque qui évolue sans cesse. Il est moins tributaire du secteur de
l’organisation et davantage lié à l’évolution technologique (cf. la loi de
Moore)
Illustration : La découverte d’une faille dans Windows server 2003. Les audits
n’ont pas pu détecter la faille jusqu’à ce que le système présente des faits
d’incohérences et que Microsoft définisse un patch pour y remédier.
Dans ce cas, l’audit devra se concentrer sur le processus mis en place pour
piloter les patchs et mesurer la rapidité avec laquelle ils sont introduits.
IV- MISSIONS DES AUDITS DES SI
2- Comprendre l’environnement
a- L’organisation de la fonction SI :
On distingue les preuves qualitative : celle qui découle de l’analyse de renseignements non
quantifiables concernant la détermination des critères de vérification. Il vise généralement
à évaluer si la conception du contrôle respecte les critères d’audit.
Par exemple, une entrevue avec les responsables de l’assurance de la qualité, le manuel
des procédures d’assurance qualité. Ce manuel sert de preuve pour valider si le processus
d’assurance de la qualité est conforme aux exigences
V- METHODOLOGIES DES AUDITS DES SI
La preuve confirmative : Elle est une confirmation sur un ou plusieurs éléments observés
au cours de l’audit. Elle est généralement fiable et pertinente lorsqu’elle vient d’un tiers
extérieur à l’organisation. Par exemple : Rapport de vérification d’un cabinet , les factures
de licence, l’avis juridique d’un bureau reconnu, un certificat délivré par un organisme de
formation professionnelle reconnu, etc.
La preuve analytique : Elle consiste à analyser les données et leurs variations pour
découvrir leurs tendances ainsi que les écarts potentiels. Le vérificateur fait appel à son
jugement professionnel pour interpréter les différences et les écarts, car ils ne sont pas
nécessairement synonymes de non-conformité.
Par exemple le résultats d’analyse d’un échantillon d’employés sur leur compréhension des
contrôles de sécurité en place dans l’organisation, le résultats de l’analyse de la procédure
de retrait des droits d’accès sur un échantillon d’utilisateurs ayant quitté l’organisation, les
résultats de l’analyse d’un échantillon d’événement liés à des incidents, etc
V- METHODOLOGIES DES AUDITS DES SI
La preuve documentaire : Elle consiste en la vérification de tout document sur la base la
nature, la source et le processus de gestion de la documentation. Par exemple la
vérification de la politique de sécurité, la vérification des accords de confidentialité, la
vérification de la politique et de la procédure de sauvegarde de l’information, la vérification
des SLA, etc
La preuve verbale : Elle consiste généralement en une entrevue avec une personne qui
possède les connaissances et les responsabilités nécessaires pour exécuter l’opération
faisant l’objet de la vérification.
La preuve verbale est plus faible et nécessite plus de corroboration. Bien qu’elle soit moins
fiable, c’est la principale méthode utilisée par le vérificateur pendant la vérification
Ces preuves peuvent être renforcées par une confirmation/déclaration écrite d’un employé.
Par exemple les notes sur la discussion tenue avec le personnel de l’entité vérifiée
expliquant leurs rôles et responsabilités en matière de sécurité de l’information, Entretien
avec le technicien responsable de la gestion de l’antivirus pour expliquer son
fonctionnement et les processus liés aux logiciels antivirus : installation, mises à jour, etc.
V- METHODOLOGIES DES AUDITS DES SI
Selon l’AICPA (American Institute of Certified Public Accountants) les principaux facteurs qui
influent sur la fiabilité (le niveau d’assurance acceptable) des preuves sont les suivants :
Objectivité : La preuve est plus fiable si elle se passe d’interprétation. Par exemple, une
image est toujours considérée comme plus objective que la simple affirmation de l’audité
qu’une caméra est installée
Le moment des preuves: Les preuves sont d’autant plus fiables qu’il est possible d’obtenir
l’assurance qu’elles ont été recueillies au moment indiqué; par exemple : la signature
électronique lors de l’enregistrements d’une transactions, etc. Dans cette situation, la fiabilité
du "temps" dépend de la fiabilité du mécanisme d’enregistrement du temps.
Par exemple, la date de création indiquée dans les propriétés d’un document Word n’est pas fiable
et peut facilement être manipulée. Cependant, la réception d’une lettre envoyée par la poste sera
très fiable pour prouver l’envoi "moment."
V- METHODOLOGIES DES AUDITS DES SI
Indépendance de la source : La preuve est plus fiable si elle a été produite par un tiers
indépendant; par exemple, un rapport de test d’intrusion effectué par une entreprise
externe, un rapport de certification qui provient d’un tiers.
On distingue :
Les objectifs génériques : CMMI fournit cinq objectifs
génériques et les pratiques associées qui s'appliquent à
tous les domaines de processus.
Les pratiques génériques : les pratiques génériques
appartiennent aux objectifs génériques. Elles doivent
être systématiquement implémentées pour prétendre
atteindre un niveau de maturité ou de capacité
VI-RÉFÉRENCES ET NORMES
CMMI définit :
une échelle à cinq niveaux de mesure de la
maturité des processus
NIVEAU DE MATURITE 3 « Defined », (ajusté) : Ce niveau est caractérisé par des lignes
directrices, un plan stratégique, une planification de l'amélioration de
processus, en ligne avec les objectifs d'affaire de l'organisation, la
formalisation des responsabilités et des devoirs des employés.
NIVEAU DE MATURITE 3 « Defined », (ajusté) : Ce niveau est caractérisé par des lignes
directrices, un plan stratégique, une planification de l'amélioration de
processus, en ligne avec les objectifs d'affaire de l'organisation, la
formalisation des responsabilités et des devoirs des employés.
CobiT Quickstart :
Version simplifiée de CobiT s'adresse principalement aux
PME1 pour lesquelles les techniques informatiques ne
représentent pas un enjeu stratégique mais simplement
un levier dans leur stratégie de croissance.
la couche business ;
la couche des données ;
la couche application ;
la couche technologique
VI- RÉFÉRENCES ET NORMES
L’audit de l’organisation
1- L’audit de l’organisation
L’auditeur devra à cet effet :
Etudier le fonctionnement de la comitologie associée au
pilotage des SI ;
Se demander si les ressources informatiques sont convenables
et dimensionnées conformément aux besoins et la charge de
l’activité ;
vérifier que l’organisation a mis en place le corpus minimal de
politique du SI, politique de sécurité du SI, charte d’utilisation
VII - Catégories d’audits des SI
2- L’audit de processus
l’auditeur devra se procurer :
la cartographie des processus ;
la description du processus audité, incluant l’inventaire des données
et informations manipulées et des applications et infrastructures
utilisées
les tableaux de bord de reporting du déroulement et de la
performance des processus ;
la cartographie des données, informations et applications
informatiques de l’organisation ;
Catégories d’audits des SI
la déclinaison des politiques SI et de sécurité SI à l’égard du
processus audité ;
La déclinaison de la charte des utilisateurs à l’égard des
acteurs du processus ;
En définitive, l’auditeur devra porter une appréciation sur
l’efficacité, l’efficience, la sécurité, et la résilience de
l’informatique aux besoins du processus audité
Catégories d’audits des SI
3- L’audit de régularité
L’audit de la régularité porte sur le respect des normes et du corpus
normatif qui impliquent les processus, les infrastructure, les applicatifs,
les données du SI.
Il permet de vérifier que les activités portées par les ressources
informatiques respectent elles-mêmes le cadre normatif à travers les
leurs règles.
L’auditeur devra :
identifier les ressources informatiques utilisées dans le périmètre de son
audit ;
Catégories d’audits des SI
3- L’audit de régularité
vérifier que les ressources sont en elles-mêmes régulières (licences,
respect des règles de conservation des données personnelles, respect
des règles de confidentialité, etc.) ;
vérifier et évaluer la fiabilité des traitements automatiques
conformément au corpus normatif applicable ;
vérifier que la sécurité appliquée à ces ressources, outre le respect
des règles de confidentialité, garantit raisonnablement qu’elles ne
peuvent être utilisées à des fins frauduleuses.
Catégories d’audits des SI
3- L’audit de régularité
L’auditeur devra rencontrer :
Les acteurs stratégiques du périmètre du champ audité
pour évaluer s’ils sont conscients de l’obligation du
fonctionnement du SI dans un cadre normatif et s’assurer
qu’ils respectent et font respecter les corpus normatifs
applicables
les acteurs opérationnels de l’entité/processus audité pour
identifier les ressources utilisées ;
Catégories d’audits des SI
Il devra se procurer :
la cartographie des applications et des systèmes, les
contrats et les licences ;
la description du dispositif de contrôle des règles du cadre
normatif ;
Sur ce point, l’auditeur devra apprécier à la fois sur la valeur
de la contribution de l’informatique à la réglementation des
activités informatiques.
Catégories d’audits des SI
4- Les audits des fonctions externalisées
Les motifs d’ouverture des système informatiques des organisations
vers des systèmes externes sont nombreux. A l’instar des taches liées à
l’administration de serveurs, de données ou d’applications via les
technologies de dématérialisation de l’informatique
Il y a des échanges des données, en temps réel ou non, entre des
parties cocontractants. Le cocontractant a alors la responsabilité de
l’intégrité, de l’accessibilité et de la protection des données.
Cet audit aborde les obligations des parties cocontractantes dans les
prestations des services informatiques
Catégories d’audits des SI
4- Les audits des fonctions externalisées
l’audit des fonctions externalisées a pour objectifs :
D’identifier les données et informations numériques
échangées entre les parties
D’identifier les ressources informatiques matérielles (serveurs,
réseaux, etc.) et applicatives qui y contribuent, ainsi que le
personnel interne et extérieur qui y participe ;
vérifier que le contrôle interne, y compris la résilience,
appliquée aux ressources est en cohérence avec les enjeux
de l’organisation ;
Catégories d’audits des SI
4- Les audits des fonctions externalisées
Vérifier la conformité de l’exécution des prestations conformément au
cadre normatif des services IT de l’organisation ;
Vérifier la conformité de l’exécution des prestations conformément au
marché ;
L’auditeur devra rencontrer :
les acteurs opérationnels de l’organisation chargés des relations
courantes avec le prestataire, pour identifier les ressources
informatiques (informationnelles, matérielles et humaines) concernées
par la prestation externalisée ;
Catégories d’audits des SI
4- Les audits des fonctions externalisées
la direction chargée du SI, pour vérifier qu’elle a validé les échanges
avec le prestataire, y compris le cas échéant, les modalités
d’interconnexion avec les systèmes externes
Les documents à utiliser sont :
les marché(s) qui régissent l’externalisation ;
la description des processus externalisés et de ceux impactés par
l’externalisation
Catégories d’audits des SI
4- Les audits des fonctions externalisées
L’auditeur devra se procurer :
l’inventaire des ressources informatiques utilisées ou impactées par
l’exécution de la prestation externalisée (notamment la cartographie
des applications et des systèmes)
la description du dispositif de suivi et de contrôle interne des
prestations
Sur ce point, l’auditeur devra porter une appréciation sur la qualité de
la prise en compte des prestations externalisées et se prononcer sur les
fragilités éventuelles qui peuvent résulter de l’externalisation,
notamment en termes de irréversibilité, de sécurité et de contrôle
interne.
VIII- APPROCHE D’AUDIT DES SI
1- La planification
Le Système d’information est considéré comme un ensemble
de parties interdépendantes (structures physiques, personnel,
outils informatiques) qui interagissent afin d’enregistrer, de
contrôler, d’évaluer et de gérer les transactions.
Cette phase permet d'acquérir une compréhension des
procédures, des méthodes, des opérations, des contrôles et
des risques liés au système
VIII- APPROCHE D’AUDIT DES SI
Outils d’analyse de réseau : Ce sont des logiciels que l’on peut lancer sur un
réseau pour recueillir des informations sur son état.
Les auditeurs SI y font recours pour diverses procédures dont entre autre :
La vérification de l’exactitude des diagrammes de réseau par une cartographie du réseau
d’entreprise
L’identification des dispositifs clés du réseau
La collecte des informations concernant le trafic autorisé sur un réseau
NB : Ia liste des outils les plus utilisés se trouve sur www.insecure.com
IX- FACILITATEURS D’AUDITS DES SI
Outils de piratage
Les outils de piratage offrent une solution automatisée pour vérifier les vulnérabilités des mots de passe
et des identifiant. Ils sont pour les parefeux, les serveurs, les réseaux et les systèmes d’exploitation.
Outils d’analyse de la sécurité des applications
la sécurité des applications doit être conçue et mise au point en parallèle des processus et des
contrôles applicatifs de manière à intégrer un environnement qui inclus tous les processus
management, opérationnel et support)
Ces outil permettent également d’évaluer la séparation des fonctions au sein d’une application
Quelques fournisseurs dans ce domaine sont :
Approva : http://www.approva.net/
LogicalApps : http://www.logicalapps.com/
Q Software : http://www.qsoftware.com/index.htm
Control Solutions International : http://www.csi4sap.com/en/home
IX- FACILITATEURS D’AUDITS DES SI
Outils d’analyse des données
1- Présentation de la couverture
1. Nom du bureau d’audit y compris le logo
2. Nom de l’organisation auditée y compris le logo
3. Intitulé du document. Exemple: Rapport d’audit du SI de….
4. Nom de l’expert auditeur (celui qui conduit les travaux)
5. La signature de l’expert auditeur
6. Date du document, version le cas échéant
7. Le socle document confidentiel
X- MODÈLE DE LA STRUCTURE D’UN RAPPORT D’AUDIT DES SI
2- Première de couverture
1. Avant propos (clause de confidentialité, de reproduction du
document, l’historique des modifications, le cas échéant )
3-Cadre de la mission
1. Rappeler le cadre de la mission d’audit
2. Indiquer si la présente mission est un audit exhaustif ou audit de suivi
3. Présenter l’objectif de la mission d’audit (Etat de conformité par rapport à un
standard, recommandations, plan d’action)
4. Indiquer, le cas échéant, si la présente mission rentre dans le cadre de la
préparation à la certification ou dans une démarche de conformité
5. Indiquer, la cas échéant, le(s) standard(s) métier de référence par rapport auquel
est réalisée la présente mission d’audit,
6. Indiquer les limites et les contraintes de l’audit
X- MODÈLE DE LA STRUCTURE D’UN RAPPORT D’AUDIT DES SI
4-Termes et définitions
Donner les définitions des termes utilisés dans le présent rapport
5-Références
Indiquer tous les documents de référence utilisés pour la
réalisation de la mission d’audit
6-Présentation de l’organisme audité
1. Présenter brièvement l’organisme audité (création, nombre
d’employés, étendu géographique, missions, services fournis,
parties prenantes, clients, etc)
2. Présenter le champs audité avec les processus y afférents
X- MODÈLE DE LA STRUCTURE D’UN RAPPORT D’AUDIT DES SI
7- Champ d’audit
1. Périmètre géographique (Présenter la liste des département concerné
et à auditer en justifiant leur choix)
2. Description des systèmes d’information
3. Décrire les systèmes d’information des différentes
départements (Composants : serveur, application, base
de données, équipement réseau, solution de sécurité,
d'administration du système d'information)
4. Toute exclusion d'un composant doit être justifiée.
X- MODÈLE DE LA STRUCTURE D’UN RAPPORT D’AUDIT DES SI
7- Champ d’audit
1. Schéma synoptique de l’architecture du réseau(vue
infrastructure)
2. Faire apparaitre les connexions (LAN, WAN, etc), la
segmentation, l’emplacement des composantes du SI, etc…
8- Méthodologie d’audit
1. Décrire en détail la méthodologie d’audit adoptée tout en
établissant la correspondance entre les domaines couverts et les
référentiels d’audit utilisés
2. Présenter les outils (version, licence, fonctionnalité, etc) d’audit
utilisés
X- MODÈLE DE LA STRUCTURE D’UN RAPPORT D’AUDIT DES SI
8- Méthodologie d’audit
3-Présenter l’équipe d’auditeur
4-Présenter l’équipe audité
5-Présenter le planning d’exécution de la mission
d’audit
X- MODÈLE DE LA STRUCTURE D’UN RAPPORT D’AUDIT DES SI