Contrôle interne de processus de système d’information

Le contrôle interne de système d'information (SI) est un ensemble de mesures et de

procédures visant à garantir la fiabilité des informations, la protection des actifs et le respect
des directives. Il s'applique à tous les aspects du SI, y compris les processus, les données, les
systèmes et les infrastructures.

Les objectifs du contrôle interne de SI sont les suivants :

 Assurer la fiabilité des informations : les informations doivent être exactes,

complètes et fiables.
 Protéger les actifs : les actifs du SI doivent être protégés contre le vol, la destruction
ou l'altération.
 Assurer la conformité : le SI doit respecter les lois, les règlements et les politiques
internes.
1. Gestion de la sécurité logique et des accès physiques
La sécurité logique et physique est un thème ancien et récurrent dès lors qu’on parle de
contrôle interne des systèmes d’information : cette antériorité ne signifie pour autant pas
que ce sujet soit parfaitement sous contrôle. Au contraire, il convient dans chaque
organisation de comprendre et qualifier les vulnérabilités et les menaces, afin de construire
la réponse adéquate en matière d’exigences de sécurité devant peser sur le système
d’information.
Notre définition de la sécurité logique comprend la confidentialité, la disponibilité et
l’intégrité de l'information, des applications et de l'infrastructure informatique. Le champ de
la sécurité physique a été limité au sujet des accès non autorisés.
 Etape Risque Activité de contrôle Bonne pratique
-Accès aux -Diffusion non - Attribution des -Formaliser une
systèmes autorisée des codes droits d’accès procédure
d'information d'accès -Politique de gestion d'attribution (arrivée,
-Listes d'accès mutation), de
obsolètes des identifiants et
suppression et de
-Accès non autorisé de mode passe mise à jour des mots
- Procédure de de passe et codes
suppression des d'accès.
droits d’accès - - Désigner un
responsable de
l'attribution des
niveaux de
confidentialité et de
la gestion des
autorisations d'accès.

- Revoir
périodiquement la
liste des logins et
mots de passe actifs.
Définir le principe
de séparation de
fonctions dans la
gestion des
autorisations d'accès
(séparation
décision/réalisation).

-Sécurité physique -Destruction ou -Liste des -Liste des

des systèmes altération du différents différents
informatiques matériel et/ou des dispositifs de dispositifs de
fichiers. sécurité sécurité
- Non-sécurisation - Modalités de - Modalités de
externe du Sl. fonctionnement fonctionnement
- Dispositif de des dispositifs de des dispositifs de
sécurité incendie sécurité. sécurité.
insuffisant. - Procédure de - Procédure de
mise à jour mise à jour
périodique des périodique des
outils de sécurité. outils de sécurité.
 2. Gestion de la sous-traitance
La maîtrise de la sous-traitance est devenue une préoccupation essentielle des DSI, dans
l’accomplissement de l’ensemble de leur mission qui vise à concevoir, maintenir et exploiter
des systèmes complexes, répondant aux besoins des métiers au meilleur rapport
qualité/coût. La sous-traitance moderne s’étend donc à tous les processus de production des
systèmes d’information, depuis la réalisation des projets jusqu’à la maintenance et
l’exploitation des systèmes, tout en intégrant les aspects de sécurité et de performance.

Etape Risque Activité de Bonne pratiques

contrôle
-Absence de maîtrise des
projets sous-traités -Liste des
(adéquation aux besoins, personnes -Analyse du niveau
respect des délais et des habilitées à rédiger de dépendance vis-
coûts, maintenance et et signer des à-vis des sous-
évolution des applications..). contrats. traitants.
Gestion des - Absence de contrats de -Choix de
relations maintenance avec les prestataires de
avec prestataires de services. - Clauses services certifiés.
l’extérieur -Clauses de contrats contractuelles : -Existence de
inadaptées avec les délai, paiement… contrats entre la
prestataires de services société et les
(risque juridique). -Veille sur les prestataires de
- Délai de paiement des fournisseurs services, validés et
prestataires de services non contrôlés par un
respecté (risque financier). organisme
- Absence de procédure de compétent.
gestion des contrats de
prestation.

3. Maintenance et gestion des changements

La maintenance est l'ensemble des activités visant à maintenir le système d'information en
état de fonctionnement et à améliorer ses performances. Elle peut être divisée en deux
catégories principales :

 La maintenance corrective, qui consiste à remettre en état un système d'information

qui est en panne ou qui ne fonctionne pas correctement.
 La maintenance préventive, qui consiste à effectuer des interventions régulières
pour prévenir les pannes et les dysfonctionnements
 Etape Risque
Maintenanc -La perte de données
e -La non-disponibilité du
système d'information
(une panne ou un
dysfonctionnement)
- Pas de mise a jour des
programmes
Contrôle d’activité Bonne pratique
-La vérification des -Mettre en place un
équipements et des contrat de maintenance
logiciels avec un prestataire
-La formation des externe.
personnels de -Création d'un service de
maintenance maintenance interne
-Classification des - mise en œuvre
bugs génériques d'onduleurs , groupes
électrogènes pour la
continuité de
l'alimentation des SI

4 : Gestion des incidents

Processus-clé du support informatique, la gestion des incidents a pour objectif le
rétablissement d’un service, interrompu ou altéré par un événement qui ne fait pas partie
des opérations standards. La multiplication des technologies et l’interconnexion des
systèmes et plateformes complexifie l’identification et le traitement des incidents : en effet,
les symptômes visibles peuvent être très éloignés des causes ayant engendré un incident. De
même, un incident peut entraîner une multitude d’autres incidents, qui à leur tour vont être
traités par ce processus.

Etape Risque Activité de Bonne pratique

contrôle
Enregistrements -Mauvaise description -Revue périodique -Existence d'une
Documentation ou compréhension de des fiches procédure "support
des incidents l'incident. d'incident. utilisateur"
-Vérification de la d'enregistrement
-Non-enregistrement documentation de systématique et de
de l'incident. chacun des documentation des
champs prévus incidents.
dans la fiche
-Utilisation d'outils de
d'incident.
monitoring permettant la
déclaration automatisée
d'incidents de
production.

-Utilisation d'un outil

pour l'enregistrement et
la documentation
centralisés des incidents
 -l'élaboration de
tableaux de bord.

-Formations/
informations régulières
sur les procé-dures, les
outils, les retours
d'expériences

Analyse -Analyse d'impact -Utilisation de -Existence de SLA / OLA

d’impact et erronée. grilles d'analyses en relation avec le
classification -Classification erronée documentées dans degré de sensibilité des
la procédure et
des incidents de l'incident. permettant systèmes et des
-Diagnostic non réalisé l'analyse, la données.
ou réalisé tardivement. classification et la
priorisation de -Existence et diffusion
l'incident. de documentation
d'aide au diaqnostic
incluant des grilles
d'analyse.

5. Gestion de sauvegarde
La gestion des sauvegardes est l'ensemble des activités visant à protéger les données du
système d'information contre la perte, la corruption ou la destruction. Elle est un élément
essentiel de la sécurité du système d'information.

Etape Risque Activité de contrôle Bonne pratique

Gestion des - Absence de sauvegarde -Liste des -Mise en place d'une
sauvgardes systématique sauvegardes procédure Périodique de
- Absence de sauvegarde systématique sauvegarde automatisée
régulière en fonction du - Code classifiant Des données.
niveau d'importance des l'importance des - Hiérarchisation des
données . données données à sauvegarder.
- Absence de protocole de - Salle de confinement
stockage de sauvegarde des sauvegardes avec
des accès sécurisés et
limités.
Suivi par registre des
personnes accédant aux
sauvegardes.