-f/SACA"

Trust in, a!ld value from, information systems

Manuel de Préparation

8
26 édition

An ISACA• Certification

•
 e Certified Information
Systems Auditor"
M IS.I.C.I." C6ltll.:aloan

ISACA®
Dans un monde numérique en constante évolution, 1'ISACA® (isaca.org) aide 1'ensemble des professionnels à conduire,
s'adapter et créer la confiance en offrant des connaissances, normes, réseaux, certifications et évolutions de carrière
innovants et d'un niveau mondial. Créée en 1969, l'ISACA est une association mondiale sans but lucratifrétmissant
140 000 professionnels de 180 pays. I.:ISACA propose également Cybersecurity Nexus™ (CSX), un ensemble complet de
ressources sur la cybersécurité, et COBIT®, référentiel de gouvernance des systèmes d'infonnation de l'entreprise.

I.:ISACA fait aussi progresser et valide les cmmaissances et compétences métier essentielles par le biais des certifications
mondialement recmmues du CISA®(Certified Infmmation Systems Auditor1l>), du CISM®(Certified Information Security
ManagerŒ'), du CGEIT® (Certified in the Governance ofEnterprise IT®) et du CRISC™ (Certified in Risk and Information
Systems Control'~'M) .

Énoncé de qualité
Ce travail a été traduit en français à partir de la version anglaise du Manuel de Préparation CJSA ®26" édition par la section
de Québec de l'Information Systems Audit and Control Association (ISACA) avec la permission de l'ISACA. La section de
Québec assume l'entière responsabilité de l'exactitude et de la fidélité de la traduction .

Quality Statement
This Work is translated into French from the English language version of the CISA®Review Manual 26'" Edition by the
Que bec Chapt er of the Information Systems Audit and Control Association (JSACA) with the permission of ISACA. The
Quebec Chapter assumes sole responsibility for the accuracy andfaithfùlness of the translation.

Clause de non-responsabilité
I.:ISACA a conçu et créé le Manuel de Préparation CJSA ®26'' édition principalement en tant que ressource pédagogique
visant à aider les personnes qui se préparent à passer 1'examen de certification CISA. Il a été produit indépendamment de
l'examen CTSA et du Groupe de travail de certification CISA, qui n'est aucunement responsable de son contenu. Aucune
copie des anciens examens n'est rendue publique, et l'ISACA n'y a pas eu accès pour préparer cette publication. I.:ISACA
n'offre aucune garantie que la présente publication ou toute autre de ses publications puisse assurer la réussite du candidat à
l'examen.

Dise/aimer
ISACA has designed and created ClSA ®Review Manual 26'" Edition primarily as an educational resource to assist
individuals preparing to take the CJSA certification exam. ft was produced independently.fi·om the CISA exam and the
CISA Certification Working Group. which has had no responsibility for its content. Copies ofpast exams are not released
to the public and were not made available to !SA CA for preparation of this publication . ISACA makes no representations or
warranties whatsoever with regard to these or other ISACA publications assuring candidates'passage of the CJSA exam.

Réserve de droits
© 2015 ISACA. Tous droits réservés. Aucw1e partie de cette publication ne peut être utilisée, copiée, reproduite, modifiée,
distribuée, affichée, stockée dans un système d'extraction ou transmise par quelque moyen que ce soit (électronique,
mécanique, photocopie, enregistrement ou autre) sans 1'autorisation éctite préalable de 1'lSACA.

Reservation of Rights
© 2015 ISACA. A tl rights reserved. No part of this publication may be used, copied, reproduced, modified, distributed,
displayed, stored in a retrieval system or transmitted in any.fàrm by any means (electronic, mechanical, photocopying,
recording or otherwise) without the prior Yolf'itten authorization of JSACA .

Il Manuel de Préparation C/SA 26" édition

ISACA. Tous droits réservés.
e. Certifie<~
Information
Systems Auditer·
AIIISACA'torl•la loon

Manuel de Préparation CISA 26e édition

L'ISACA est heureuse d'offrir la 26" édition du Manuel de Préparation ClSA®. L'objectif de ce manuel est d'offrir au candidat au titre
CISA de l'infom1ation technique et des références, à jour, pour l'aider dans son étude et dans sa préparation en vue de l'examen CISA.

D'importantes mises à jour ont été apportées au contenu de ce manuel. La plupart des changements apportés servent à reconnaître
et à définir les nouveaux énoncés de tâches et de connaissances dérivés de la nouvelle analyse des domaines d'emploi CISA. La
section intitulée NOUVEAUTÉ- Domaines d'emploi ClSA comporte de plus amples détails concernant les nouveaux domaines
d'emploi; de l'information peut également être trouvée au www.isaca.org/cisajobpractice et dans le Guide d'information destiné aux
candidats aux examens de l'ISACA au wwwisaca.org/examgrdde. L'examen est basé sur les énoncés de tâches et de connaissances
contenus dans les domaines d'emploi. L'élaboration des énoncés de tâches et de connaissances a requis la participation de milliers
de professionnels CISA et autres professionnels de l'industlie à travers le monde. Ceux-ci ont servi à titre de membres de comités, de
pmticipants aux groupes de discussion, d' experts en la matière et de répondants à des sondages.

Le Manuel de Préparation C/SA®est mis à jour afin de demeurer au fait des changements rapides dans les professions d'audit des
SI , de contrôle et de sécurité. Comme pour les manuels précédents, la 26" édition est le résultat de contributions de plusieurs autorités
qualifiées qui ont généreusement donné leur temps et leur expettise. Nous respectons et apprécions leur contribution, et souhaitons que
leurs eft'orts donnent une valeur éducative accrue pour les lecteurs du manuel CISA.

Vos commentaires et suggestions à propos de ce manuel sont les bienvenus. Lorsque vous aurez passé l'examen, veuillez prendre
le temps de remplir le questionnaire en ligne (www.isaca.org/studyaidsevaluation). Vos observations seront très précieuses pour la
préparation de la prochaine édition du Manuel de Préparation ClSA®.

Les exemples de questions contenus dans ce manuel sont conçus pour représenter le type de questions généralement trouvées dans
l'examen CISA et visent à foumir plus de clarté au contenu présenté dans ce manuel. L'examen CISA se base sur la pratique. Pour se
préparer adéquatement à l'examen, il n'est pas suffisant de simplement lire le matériel de référence dans ce manuel. Les exemples de
questions sont inclus à titre indicatif seulement. Les résultats ne sont pas garant<; du succès tùtur à l'examen.

La certification a eu un effet positif sur plusieurs carrières, et la désignation CISA est respectée et reconnue par des organisations à
travers le monde. Nous vous souhaitons bon succès pour votre examen CISA. Votre engagement en vue de l'obtention de la principale
certification dans le domaine de 1'audit, du contrôle, de la sécurité et fiabilité des systèmes d'information (SI) est exemplaire.

ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Téléphone: +1-847-253-1545
Télécopieur: +1-847-253-1443
Courriel : info@isaca.org
Site Web : www.isaca.org

Contribuez au centre de connaissances de l'ISACA : www.isaca.org/knowledge-center

Suivez ISACA sur Twitter : https://twittet:com/ISACANews
Rejoignez ISACA sur Linkedln : ISACA (officiel), http://linkd.in/ISACAOfficial
Aimez ISACA sur Facebook : wwwfacebook.com/ISACAHQ

ISBN 978-1-60420-376-9
Manuel de Préparation CJSA®26c édition
Imprimé aux États-Unis d'Amérique

CRISC est une marque de commerce/de service de I'ISACA. La marque a été enregistrée, ou une demande a été faite, dans plusieurs pays.

Manuel de Préparation C/SA 26° édition Ill

ISACA. Tous droits réservés.
 e. Certified Information
Systems Auditor"
Ani54CA" C..-I IIqhon

RECONNAISSANCE
Le Manuel de Préparation ClSA ®26'' édition est le résultat des eft'Orts collectifs de plusieurs volontaires. Des membres de 1' ISACA
provenant des professions d'audit des Tl, de contrôle et de sécurité ont participé, en offrant généreusement leurs talents et expertises.
Cette équipe internationale a démontré une énergie et un altruisme qui sont devenus la caractéristique des contributeurs à ce manuel.
La participation et la contribution de ces volontaires sont vraiment appréciées.

Nous souhaitons adresser des remerciements spéciaux à lan J. Cooke, CISA, CGEIT, CRI SC, CFE, CO BIT Foundation, CPTS, ITIL-F,
Six Sigma Green Belt, An Post, Irlande, et Jeffrey L. Roth, CISA, CGEIT, CISSP-lSSEP, QSA, É.-U. , qui ont travaillé à la 26" édition
du Manuel de Préparation CISA®.

Réviseurs experts
Rajeev Andharia, CISA, CJSSP, CO BIT 5 Assessor & Implementation, !TIL Expert, PMP, Business Technology Partner Pte Ltd., Singapour
Sunil Bakshi , CISA, CJSM , CGEIT, CRJSC, National Institute of Bank Management, Inde
lshwar Chandra, CJSA, FCA, 1 C & Associates, Inde
James T. Enstrom, CISA, CRI SC, CIA, Chicago Board Options Exchange, É.-U.
Mohamed Gohar, CISA, CISM , Égypte
Florin-Mihai Iliescu, Cl SA, Info-Logica Silverline SRL, Roumanie
Binoy Koonammavu, CISA, CISM , CRISC, CISSP, ValueMentor lnfosec Pvt. Ltd, Inde
Shruti Shrikant Kulkarni, CISA, CRI SC, CISSP, CPISI, CCSK, !TIL V3 Expert, Monitise Group Ltd, Royaume-Uni
S. Krishna Kumar, CISA, CISM, CGEIT, Inde
Juan Carlos L6pez, Cl SA, CGEIT, CRI SC, CO BIT Implementation, CO BIT Certified Assessor, !TIL, PMP, Exacta Consulting, Équateur
Balakrishnan Natarajan, CISA, C!SM, Pivotai Software, lnc., É.-U.
S. Peter Nota, Cl SA, CISM, C!SSP, MBCS, PCI-ISA , Premier Farnell pic, Royaume-Uni
Derek J. Oliver, Ph.D. , CISA, Cl SM, CRI SC, DBA, Ravenswood Consultants Ltd., Royaume-Uni
Opeyemi Onifade, CJSA, CfSM, CGEIT, Afenoid Enterprise Limited, Nigeria
Manuel (Manolo) Pa lao, CISA, CISM, CGE!T, Accredited CO BIT 5 Trainer, CO BIT 5 Ceriified Assessor, P&T: S, SLU 1 Innovation &
Technology Trends Institute (iTTi), Espagne
Robert D. Prince, CISA, CJSSP, É.-U.
Beth Pumo, CISA, CISM, Kaiser Permanente, É.-U.
Sree Krishna Rao, CISA, Ernst & Young LLP, Royaume-Uni
Markus Schiemer, Cl SA, CGEIT, CRI SC, Microsoft Osterreich GmbH, Autriche
Hilary Shreter, CISA, PMP, É.-U.
Katalin Szenes, Ph .O., CISA, CISM, CGEIT, C!SSP, Obuda University, Hongrie
Hui Zhu, CISA, CTSM, CGEIT, Bluelmpact Ltd., Canada
Tichaona Zororo, CISA, CISM, CRI SC, CGEIT, Certified CO BIT 5 Assessor, CIA, CRMA, EGIT 1 Enterprise Governance oflT
(Pty) Ltd, Afrique du Sud

I..:ISACA a commencé la planification de la prochaine édition du Manuel de Préparation ClSA ®. La pariicipation de volontaires
conduit au succès de ce manuel. Si vous souhaitez devenir membre d'un groupe de professionnels de haut niveau et vous impliquer
dans ce projet d' envergure, veuillez communiquer avec nous par courriel au studymaterials@isaca.org.

IV Manuel de Préparation CISA 26e édition

ISACA. Tous droits réservés.
e. Certif!ed Information
Systems Auditor·
AniSAt:Kc.rt;!calooll

TRADUCTION FRANÇAISE
Traduction française sous licence et autorisation de I'ISACA

La traduction française de ce manuel est le fl"uit de la collaboration et l'investissement des chapitres francophones de Québec, de Paris,
de Montréal, de la Belgique, de la Suisse et de l' ISACA. La révision de la traduction a été possible grâce à la participation bénévole et
appréciable de plusieurs membres de différents pays fTancophones. Ils se sont assurés de la cohérence et de la qualité de la traduction.
Ils méritent tous nos remerciements et notre gratitude.

Manuel de Préparation CISA 26e édition v

ISACA. Tous droits réservés.
 e Certified Information
Systems Auditor·
M ISACK CWl!!lt.I IIQn

NOUVEAUTÉ - DOMAINES D'EMPLOI CISA

À COMPTER DE 2016, L'EXAMEN CISA CONTRÔLERA LES NOUVEAUX DOMAINES D' EMPLOI CISA.

Une analyse internationale des domaines d'emploi est réalisée au moins tous les cinq ans ou plus tôt afin de maintenir la validité du
programme de certification CISA. Dès le moins de juin 2016, les nouveaux domaines d'emploi formeront la base de l'examen CISA.

Les domaines d' emploi mettent principalement l'accent sur les tâches actuellement accomplies et les connaissances utilisées par les
détenteurs du titTe CJSA . En recueillant des observations sur les domaines d'emploi actuels de CISA, I' ISACA peut assurer que Je
programme CISA continue à répondre aux normes élevées d'agrément des professionnels partout dans le monde.

Les résultats de l'analyse des domaines d'emploi CISA sont étudiés atte ntivement et influencent directement l'élaboration de nouveaux
critères de test pour assurer que l'examen C ISA est représentatif des pratiques les plus actuelles.

Les nouveaux domaines d'emploi 2016 tiennent compte des sujets d'étude qui seront contrôlés et sont comparés aux anciens domaines
d'emploi ci-dessous. Les domaines d'emploi complets se trou vent au www.isaca.OJglcisajobpractice.

Ancien domaine d'emploi CISA Nouveau domaine d'emploi CISA 2016

Domaine 1 : Processus d'Audit des Systèmes d'Information (14 %)
Domaine 2 : Gouvernance et Gestion des Tl (14 %)
Domaine 3 : Acquisition, Conception et Implantation des Systèmes
d'Information (19 %)
Domaine 4 : Exploitation, Entretien et Soutien des Systèmes d'Information
(23%)
Domaine 5 : Protection des Actifs Informationnels (30 %)
Domaine 1 : Processus d'Audit des Systèmes d'Information (21 %)
Domaine 2 : Gouvernance et Gestion des Tl (16%)
Domaine 3 : Acquisition, Conception et Implantation des Systèmes
d'Information (18%)
Domaine 4 : Exploitation, Entretien et Gestion des Services des Systèmes
d'Information (20 %)
Domaine 5 : Protection des Actifs Informationnels (25%)

VI Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e. Certifred Information
Systems Auditor"
MISIJ:A"c.t,roa!Jin
Table des Matières

Ta b 1e des matières
À propos de ce manuel ................................................................................................... ...... ........................................ 11
Préface ... ..... ..... .. ... .... .... ................... ................. ..... ..... ..... .... ... ...... ..... .. ...... .... ... .......... .... .. ... ............ .. ....... ..... ...... .... ...... ...... ... ...... .. .... . 17
Format du manuel ..................... .... ... ... ..... ........ ........ ...... ..... .. ..... .......... ......................... ..... ............. ............. ....... ........... ... .... .... ..... ... . 17
Évaluation de ce manuel ... .......... ... .............. ...... ........... ... ..... .. ....... ..... ..................................................... ....................... .. .. .. .... ......... 18
À propos du manuel CISA : questions, réponses et explications .. .................................... .............. ............................................... 18
Cours de préparation en ligne CISA ........... .. ....... ...... ....... ......................... ...... ..... ..... .................................. ........ ........ ....... ....... ...... 18

Chapitre 1 :
Processus d'Audit des Systèmes d'Information .................................................................................. 19

Section un :Avant-propos .... .... ...................................................... ....... .................... ......... ......................................... ........... 20
Définition ..... .... .... ..... ... .......... ...... .............................. ........... ............. .. ........ .... ................. ............. .......... ... .. ..... ..... ....... ........ ........ ..... 20
Objectifs .... .............................. ......... ......... ............ ......... ............... ............. .. ...... ... ......... ... ........ ... .................................. ..................... 20
Tâches et énoncés de connaissances ....... ............. .................. ....... ......... ........... .... ....... ....... .. ..... .... ...................................... .... ....... .. 20
Tâches .. ...... ..... ........ .............................. ......... .. ... ... ........... ................. .... .. .. ...... ...... .................... .... ....... ... .. .......... ......... .. .... ....... 20
Énoncés de connaissances .. .... ........ ... ........ .... ..... ......... ....... .. ... ................ ........ ..... .............. ....................... ...... .............. ............ 20
Ressources suggérées pour approfondir l'étude .... ... .... ... .. .. ....... .... ........ ......... ........... ..... ............ ......... ... .......... ........ ..... ................ . 29
Questions d'autoévaluation ... .. ............. .... ... ... ...... ..... .. .... .. ............... ........ .................. ... ..... .............. ... .... ..... ...... ...... ... ...... ........ .... .... 30
Réponses aux questions d'autoévaluation ...... .. ...... .. .. ................... ...... .. .......... .. ............. ....... ..... ...................................................... 31

Section deux : Contenu ...... ...... :............................................................................................................................................... 33

1.1 Résumé ...................... .. ................... ... ... .... ................. .... .... .... ... .. ... ..... ..... .. ................ ... ....... .... ... .... ... .... .. .. ...... .... .......... .. ..... ... ... 33
1.2 Gestion de la fonction d'audit des SI ...... ....... .. ....... .. .. ......... .. .... .... .. ........... ................. ........ ..................................... .............. 33
1.2. 1 Organisation de la fonction d'audit des SI ....................................... ............. ........... .................. .. .. ............ ...... ..... ........... 33
1.2.2 Gestion des ressources de l'audit des SI ........................................................................................ .. .......... ...... ................ 34
1.2.3 Planification de 1'audit ........ ......... ..................... ... ..................................... ..... ...... ................ ....... .... ...... ......... .................. 34
Planification annuelle ..... .. .... .. .... ...... .. ......... ...... ........ ........·..... ...... ... .. ..... .. .. ... ... ... ................. ..... .... ..... ... ..... ... ..... .. ..... ... .. . 34
Missions d'audit individuelles ............... ..... ... .. ....... ... ...... ..... .. .......... ... .. ....... .... ...... .... ..... .. ..... .................. ... ....... ...... ... .... 34
1.2.4 Conséquences des lois et règlements sur la planification de 1' audit des SI ............ ......... .. .......... ..... .. ...... ............... .. ..... 35
1.3 Normes et directives d'assurance et d'audit des SI de I'ISACA ................ .... ................ .. ............................. .. ... ... .. ..... ..... .... 36
1.3.1 Code d'éthique professionnelle de I'ISACA .......................................... .... ............... ......... ................. ............................. 36
1.3.2 normes d'assurance et d ' audit des SI de l'ISACA ... ......... ..... ...... .. .............. .. ............. ..... ... .. ........ ...... ....... .. .. ... .. .. .... .. .. ... 37
Généralités ... ......................... ..... ........ ..... ...... .. .. ..... ........... ...... .................. ........... ... .... .................. ............... ... ...... ........... 37
Performance ....................... ..... .... ... ......... ........ ................................ ........ .............. .. .... ............ ......................................... 38
Rappo11 .. .... ... ..... ... ........ ......... ......... ...... ...... .. .......... ......... ............... .. .......... .............. ............ ..... ........ ..... ..... ... .. .. ............. 39
1.3.3 Directives d'assurance et d'audit des SI de I'ISACA .......................................... .................... ........ ............. .. ...... ........... 40
Généralités ..... ....... ..... ... ........ .. ................... ... ...... ........................... ........ ....... .. .. ............ .... .............................. ........ ..... .... 40
Pe1formance .. ..... ..... .......... ... ... ... ............ ... .. ..... ... ..... .... .. ......... ... ..... .. ...... ...... ... .... .. ................ .. ... .......... ... ............ .... ..... ... 41
Rapport ..... .. ..... ........... ........ .... ... ..... .... .. .. .... ... ... ... .. .. ... .......... ............. ........ .. .. ... .. ... ............... ... ........ ... .... ..... ...... .............. 42
1.3.4 Outils et techniques d'assurance et d'audit des SI de I'ISACA ............. ... .. ...... ............... ................ ....................... ........ . 42
1.3 .5 Relation entre les normes, les directives, les outils et les techniques ... ...... .. ...... .. .. ... ...... .. ....... ... .. .. ...... ... .. .. .. ....... .. ........ 43
1.3.6 ITAFTM..... .... ..... .. .. .. ........... ..... .. ...... .......... :.... .. .... ................ ... ....... ...... ........... ....... ... .. ... .. ... .... ...... ...... ......... ... ..... .. ........... 43
1.4 Contrôles de SI ............ .... ... .................. ........... .. .... ............. ......... ................... ..... ... .. .... ................. ............. .. .... ............. ..... ....... 43
1.4.1 Analyse du risque .................. .................. ....... .... ... ....... ..... ....... .... ... ...... .................................. ............ ................. ...... ....... 43
1.4.2 Contrôles internes ........... ......... ..... ... ..... ......... ....... ...... ... ................................... ..... .... .... ........................ ... ............. ........... . 45
1.4.3 Objectifs de contrôle internes ..... .. .. ................. ....... .... .. ...... .. ........................... ... ........................ ...... ........... ......... .. .. ..... ... 45
1.4.4 COBIT 5 .... ... ...... .. ... ..... ........ ....... ...... .......... ..... .. ...... ...... .. ........ .. ... .. ...... ..... ..... ............. ... ... .................. ... .... ... ........ .. ..... ... 47
1.4.5 Contrôles généraux .......... ... ......... ....... .. .......... .. ..... ........ .... ...... ... ... ....... ....... ..... ... ..... .... .... .. .......... .. .. .. .. ....... .... .. .............. . 48
1.4.6 Contrôles propres aux SI ..... .......... ...... ... ....... ..... .. .. ..... ........ ... ... ............ ...................... .... ........ ....... ................ .. .. .............. 48
1.5 Réaliser l'audit des 81 .... ........... ......................................................... .... ........ ...... .... ..... ................................... .... ... ..... ............ . 48
1.5.1 Objectifs de 1'audit .... ....... ................ .......... ... ..... .. ................. .... .............................. .. ... ................ ......... .. ....... ............. ..... 49
1.5.2 Types d 'audits ..... .. .. ... .................. ......... ...... .... ... ... ...... ..... .... ....... ... .... ..... ..... ... .. .. ...... ... .... ... ... ... ......... ......... .... ... ... .... ..... ... 49
1.5.3 Méthodologie de l' audit. ............. ......... .... ............... ... ............ ... ................... ...... ...... ...... ........................ .... .. ......... ..... ....... 50

Manuel de Préparation CISA 26e édition 1

ISACA. Tous droits réservés .
 Table des Matières
e. Certified Information
Systems Auditor'
MISAC..\'"Cirt•lo:..t"'"

1.5.4 Audit fondé sur le risque ............ .... ........... .. ...... ....... ..... .. ........ .... ... ......... ............ .. ........... .. ...... ............ ............ ... ............. 51
1.5.5 Risque d'audit et son importance relative ...... ........ ... ...... ... ... ............... ..................... ... ......... .. ....... .. ......... ................. ..... . 51
1.5.6 Éva luation et tTaitement des risques ............ .. ........ ..... .............. .... .. .... ..... .......... ..... ..... ........ .......... ........... ... ............... ...... 53
Évaluation du risque ....... ........ ... ..... .... ............. ...... ... ........ .......... ............ ......... .... .. ...... ......... .... ..... .... ... ..... ...... ... ....... ... ... 53
Traitement des risques ...... ... ..... ...... ....... ... .. ........ ..... ........ ........... ....... ...... .... ....... .. ... ...... .. .... .... ......... ... ... .. ...... ... .. ..... ..... .. 53
1.5.7 Techniques d'évaluation des risques liés à l'audit des SI ........... .... ........... ...... .. .. ........ ........... ......... ......... ...... ........ ..... ... 53
1.5.8 Programmes d'audit ............... .... ......... ............................. ... ...... ...... ..... ............................................ ........ ... .................... .. 54
1.5 .9 Détection d'une fraude ................. .. ..... ......... ....... .............................. ................. .. ... .... .. .. ... .............................................. 54
1.5.1 0 Tests de conformité par opposition à tests de corroboration ...... ............ ... ..... ........ .............. ........... ..... ... ...... ... .............. 55
1.5.11 Preuve ......... ....... .... ............. .... ... .... .. .... ................ ...... .... .... ........ .... ........... ....... .. .. ... .. ..... ..... ......... .... .. ... .. ... ................... .. 56
1.5.12 EntTevues et observation du personnel dans l'exécution de ses tâches .. ........... ....... .............. .......... ....... .... ...... ... ..... .. ... 57
1.5.13 Échantillonnage .. .... .... ................ ... ....... .... ..... .............. ... ... ............. .... .. ...... .... .. ................. ..... .... .... .... .... ................. ....... 58
1.5.14 Recours aux services d' autres auditeurs et experts ....... .............. ................. ........ ......... .... .............. .......... ... ......... ......... 60
1.5.15 Techniques d'audit assistées par ordinateur .. ........... .. ................................... .. .. .................... ........... ...... ...... ... .. .. ... ........ 60
Les techniques d'audit assistées par ordinateur en tant qu'approche d'audit en temps réel ou continu ....... ... .. ........... 62
1.5.16 Évaluation de l'environnement de contrôle .......... ........................ ............ ..... ... ........................ ....... .. ............ ....... ... .. ..... 62
Juger de l' importance relative des constatations ..... ............ ... ............... ................... ........... .......... ...... ............... ...... .. ..... 62
1.6 Communiquer les résultats de l'audit ........ .............. .... .. ................. .... .................. ... ....... ........ ......... ..... .... ..... ...... .................. 63
1.6.1 Structure et contenu du rapport d 'audit .. ......... ..................... .... ..... .. .... ...... .... ........ ............... ... ....... ........................... ....... 63
1.6.2 Documentation de l'audit ... ... ........... ........... ................ ................ ........... ...... .... ............. ... ... .............. ..... .. ...... ........ ......... . 64
1.6.3 Fermeture des constatations .. ............. ........ .... ..... ......... ...... ......................... .... ...... .......... .. ....... ... ..... ... ......... ........... .... ...... 65
1.7 Autoévaluation des contrôles ........ ............... .. ..... .. ............... ..... ........... ........ ..... ... .......... ........... .. .. .. ......... .... ................ ... .... ..... 65
1.7.1 Objectif de l'autoévaluation des contrôles ......................... ........................ .. .................. .... .......... .... .. .... ..... ............ ......... 66
1.7.2 Avantages de l' autoévaluation des contrôles .... .. ............ .. .. ............... ....... .. ... ............. ........ ........ ... ....... ...... ............... ....... 66
1. 7.3 Inconvénients de 1'autoévaluation des contrôles ...... .......... ............... .. .. ................... ... ... ......... ... .. .... ........ ............... .. ....... 67
1.7.4 Autoévaluation des contrôles et rôle de l'auditeur ........ ... ..... ...... .................... .. ......................... .... .... .............................. 67
1.7.5 Facteurs technologiques liés à l'autoévaluation des contrôles ...... ........... ..................... ........................ ... .. ......... .... .. ....... 67
1.7.6 Approche conventionnelle et autoévaluation des contrôles ....... ....... .................. .......................................... .... ................ 67
1.8 Changements dans le processus d'audit des SI .... ................... .............. .......... .. .. .......... .. .. ... .. ........ ...... .... .. ... ............... ...... .... 67
1.8.1 Audit intégré .. ......... ... .......... ... .................................... ........ ........ ................ ..... ............... .. ............. .... ..... ..................... ..... 67
1.8.2 Audit continu ................ ... ........................... .... ........ .. ..... .... .... ...... .. ....... ................. ..... .. ... .... .. .. .......... ... ............................ 68
1.9 Études de cas ...... ......... ....... ..... .. .. ....... ....... ... ................. ..... .. ........ .. ..... ... ......... .. ..... ... .. .. ... .... ........ .. .. ... ... ..... .. ... ............ ........... .. 70
1.9.1 Étude de cas A ........... ............................. ... ............... ....... ................. .. ............... .. ... ........... .......................... ..................... 70
1.9.2 Étude de cas 8 ................... .......... .. ................ ....... ..... ..... ............. .. ..... .... ........ ...... .......... ...... ..... ........ ........ .... ...... .... ......... 71
1.9.3 Étude de cas C ........... .. ............... ...... ...... ...... ... .............................. ....... .. ..... ................ ... ......................... .... .................. ... 71
1.10 Réponses aux questions des études de cas .... .... ......... ... .. .. .... ............... ... ....... .. ...... ............................... ...... .... .. .......... .. .. .... .... 71
Réponses aux questions de l'étude de cas A ....... .. .... .... ...... ..... ... ... .......... .... ......... .......... ......... ....... ........... .. ... .................. .. .. .... 7 1
Réponses aux questions de l'étude de cas 8 .... .. ..... ............ ... .... ................ ... ... .... ... .. ..... ..................... ....... ....... ... ................ ..... 72
Réponses aux questions de l' étude de cas C .......... ....... .......... ...... ............ ........... ........ ................. ... ......................................... 72

Chapitre 2 :
Gouvernance et Gestion des Tl ............................................................................................................................ 73
Section un :Avant-propos ................... .. ......................... ............................................................................................... ......... 74
Définition ... ..... .. .. ......... ..... ..... .... .. ... ....... ... ..... ... ......... ............ ... ...... ..... ... ....... .... ... .. .......... .... ........ .. .... ....... .... ... .... ..... ........ ......... ... .. .. . 74
Objectifs ... ................ .. .............. ... ................... ..... ........ .... .... ... ... ........ ........ .............. .... ... .. ......... ..... .... ... ..... ............... ..... ...... .. ....... ...... 74
Tâches et énoncés de connaissances ..... .................. ..... ...... ........... .. ................... ............ ..... .......... ........ .... .......... .... ..... ... .... .. ....... .... . 74
Tâches .......... .. ......... .............. ... .. ... .... .... .. ....... ... ............ ........... ............ .... .............. .. ......... ......... .... ..... .. ...... ......... ...... .............. .. 74
Énoncés de connaissances ....... .. .... ....... .. .... .... ...... .... .... .... ... ......... ..... .. ...... ..... ..... .. ... .. ... ........ ... ... .. .... .... .. .. .... ......... ... ......... ... .... 74
Ressources suggérées pour approfondir l'étude ...... ....... .... ........... ....... ..... ........................ ............................................ .... .. ............ 88
Questions d'autoévaluation ........... .. ...... .... .... ..... .... ... ....... ....... ... .... .... ........ ...... ........ .. .. ... ............. .. ... .. ... ......... ......... ..... .. .... ..... .... ..... 89
Réponses aux questions d 'a utoévaluation ....... ......... .... .............. ............... .... ............... ... ... ............. ................................ .......... ... .... 90

2 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e . Certifled lnfonnation
Systems Auditor'
MISJ.CA"CarlihtlbOII
Table des Matières

Section deux: Contenu ............ ........... ..................................................................................................................................... 92

2.1 Résumé ................. .... ................ ..................... ....... .......................... .......... .......... .............. ..... ... ................ .................................. 92
2.2 Gouvernance d'entreprise ........ .. .......... ...... .. .......... ........... ........ .. ............ ........... ....... ......... .. .. .... .... .... ... ...... .............. ........ .. ..... 93
2.3 Gouvernance des Tl d'entreprise ........ ............. ......................................... ................. ............................................. ........ ........ 93
2.3.1 Bonnes pratiques pour la gouvernance des Tl d'entreprise ... ...... ...... ...... ..... ......... .. ..... ... .......... ...................... ... ... ........ .. 94
Gouvernance des TI d'entreprise et référentiels de gestion .............. .... ... .. ... .. ...... ........... .. ........................ ....... ... ........ ... 95
Rôle de l'audit dans la gouvernance des TI d'entreprise ................ .... ... ..................... ..... .......... .. ................... ...... .. .. ...... 96
2.3.2 Comités de gouvernance des TI .......................... ........ ........ .. ......... ... .... ....................................... ............................... .... . 96
2.3.3 Tableau de bord de performance des TJ ..... ................... ..... ..... ....... ........ ...... ......... .. ... .. ...... ... ... .... .... ........... ........ ............. 96
2.3.4 Gouvernance de la sécurité de l'information ................ ............. ... ... .. ... ... .. ............. .. .... ........... .... ...... .......... .. .... .... ......... 97
Gouvernance efficace de la sécurité de l'information .. ..... ... ........... ......... ... .... ..... ... ........ ..... ................... ..... ......... .. ....... 99
Rôles et responsabilités de la haute direction et du conseil d'administration ...... .......... ................ ... ... .......... ......... .... . 100
Matrice des résultats et des responsabilités ......................................................... ... ... ........................ ........... ... ........... .. . 101
2.3.5 Architecture d'entreprise ................ ...................... .... .. .. .................. ....... ...... .. ......... ..... ..... ............... ....... ... ... ....... .. ...... .. . 101
2.4 Stratégie des systèmes d'information ... .. ................. .... ...... ........... ............... ........................ .................. ........ .... ...... .............. 103
2.4.1 Planification stratégique ............ ................ ..... ........................... ................ ............................ ........................ ... ... ... ........ 103
2.4.2 Comité directeur des Tl ..... ........... .... .. ... ......... ... ..... .. ..... ... ... ............ ...... ..... ..... ....... ..... .. .......................... ... ..... ..... .... .... .. 103
2.5 Modèles d'évolution des capacités et d'amélioration des processus ........ ..... ..... ... .... .... ....................... ......... .... .... .. ....... ... . 104
2.6 Investissement Tl et pratiques d'allocation ........................................................... .......... ........... ... ...... ... ........................... ... 104
2.6.1 Valeur des Tl ......... .... .... ..... .................. ........................................... ....................... .. ... ...... .......... ........ ............................ 105
2.6.2 Mise en place de la gestion du portefeuille de Tl... ........ ... .... ... .................. ..................................... .. ...... ......... .............. 105
2.6.3 Gestion du portefeuille de TI par opposition à un tableau de bord équilibré .... ........ ...... ........... .. ... .... ......... .......... ....... l 05
2. 7 Politiques et procédures .................................................... .. ........ .... ..... .. ..................................................... .. .......... ................ 105
2.7.1 Politiques ... ... ...... ... .... ..... .. ............ .. .......... ..... ... .. ..... ... ..... ... .... .... .... ........ ........ ........................................................... ... .. 105
Politique de sécurité de 1'information .......... ....................... ........................ .. .......................... .. .... ... ....... ......... .. .......... . 106
2.7.2 Procédures ........................... ...... ..... ............. .. ............ .. ........... ..... ..... .. .. .......... ... ...... .............. ...... .... .. .. ....... .......... .......... . 107
2.8 Gestion du risque .. ... ...... ....... ................ ................. .... ................ ... ..... .. ...... ... ....... .... ...... ........................... ...... ... .......... ...... .. ... 108
2.8.1 Conception d' un programme de gestion des risques ..... ............. ... ... .... .. ...... .. ...... .. .......................... ........... ... ... .. ........... l 08
2.8.2 Processus de gestion des risques ... .... ......................................................... .. .. ........ .......................... ..... .... ..................... 108
Étape 1 : Repérer les actifs .......... ... ... ..... ...... ... .. .. ......... ..... .... ........ .. .. .. ... .. ....... .... ... ........... ........ ... ... ........ ... .. .... ............. 108
Étape 2 : Évaluer les menaces et les vulnérabilités ....... .......... .... ...... ........ .... .. ............ ...... ......... .. .. ... .... ... ... ........... ....... l 09
Étape 3: Évaluer l'impact .......... ... .... .......................... ....... ... ...... ...... ........ .. ...... ..... ......................... .... .... ...... ... .. ... .. ...... 109
Étape 4 : Calculer le risque ............. .. ......... ..... .. ..... .. ........ .... .. ........ ..... ... ..... ............................ ....... ...... .... .. .... .... ........... 109
Étape 5 : Évaluer le risque et y répondre ......................................... ................ ....................... ..... ............ .... ...... ........... l 09
2.8.3 Méthodes d'analyse du risque .... ... ........ ..... .. ...... ... ..................................... .... ........... ....... ......................................... ..... 110
Méthodes d'analyse qualitative ... .. .. ........... .... ...................... ....... ........ ... ....... ........... .. ... ........ .. ........ ..... .. ....... ............. .. . 110
Méthodes d'analyse semiquantitative .......... .......... ..... ..... ..... ... .. ..... ... ............................ .... .... ........ ..... ........... .......... ...... 110
Méthodes d'analyse quantitative ............... ............................. ... .... ........ ...... ...... .... ...... ..... ... ....... .... ...... ..... .................... llO
2.9 Pratiques de gestion des technologies de l'information ......................... ...... .......... ..... ......... ....... ..... .... .......... ........ ... .. .... ..... 110
2.9.1 Gestion des ressources humaines ..... ..... ........ ...... ..... .................. .. .... ......................................... ............... ..... .... ........ ... .. Ill
Embauche .................... .... ... .. .......... .. ... ....... ... ..... .................... .......... .... .. ..... ........ ..... ......... ................... ... .......... ........... . l 1 1
Guide de l'employé ... .. ......... .. ........... ................. .......... ........... ..... ... ....... .. .. ....... .......... .............. ................. ... ..... .... .. .... .. Ill
Politiques de promotion ... .......... .. ...... .. ........... ...... .... .... .. ..................... .... ............ ... ............. .. .... ..... .............. ... ... ......... .. Ill
Formation ................... ............. ... ....... ......... .... .. ... .......... .. .. ............ ... ........... .......... .. .. .. ......... ........... ...... .... ..... ......... ... .... Ill
Répartition et déclaration du temps de travail. ........... .. .. ....... .... ..... ... .. .. ...... .. .. .. .... .. ...... ...... .. .................... .. .... ... ......... .. Ill
Évaluations du rendement de l'employé ....... ............. .. ............... ... .... .. ..... ....... ...... ....... .... .. .. ..... ..... ........... .. ... .... .. .... .... 112
Vacances obligatoires ........ .... .. .............................. .. .... .... .... ...... ............ ......... ... ..... ... .. ...... .... ............ ........... ..... ..... ........ 112
Politiques de cessation d' emploi .. .. ..... .. ...................... .. ... ........ .. ... ........ ...................... ...... ....... ..... .. ............. .. .............. . 112
2.9.2 Pratiques d'externalisation ............ ....... ..... .... ... ............. ......... .... ..... .. ... ...... .. .. .......... ............... .. ... ................. .... ... ...... .... 112
Pratiques et stratégies d'externalisation ........ ........................... ......... ...... .. ............. .. .......... ........................................... 113
Normes et analyse comparative de l' industrie .................. ...... .... .... ...... ........ .. .................. ...... ..... ......... ........... .... ......... 115
Pratiques et stratégies de mondialisation .. .......... ... ....... ......... ... ............ .... ....... .. ......... ..... .......... ....................... ... ......... 115
Informatique en nuage ................ ................... .......... .... ............... .... ... .. .................. ................. ................. ............ .... ...... 115
Rapports d'audit sur 1'external isation et les tierces parties ............ ..... ... ...... .... ..... ..... .. .......... .... ..... ............ ... ..... ...... ... 115
Gouvemance dans l'externalisation ...... ....... .. ...... ............ ................ ............... ....... .. .... ....... ...... .. .......... .......... .............. 117

Manuel de Préparation CISA 268 édition 3

ISACA. Tous droits réservés.
 Table des Matières
e. Certified Information
Systems Auditer"
AIIISJU."Cwtola!ian

Planification de la capacité et de la croissance ... .................. ... ......... .. .. ...... ................ .......... ................. ...... ......... ..... ... 1 18
Gestion de la fourniture de serv ices par une tierce pmtie .................. ......... ....... ....... ....... .......... .... ............ .. ................ . 1 18
Amélioration des services et satisfaction de l'utilisateur.. .. .......... ........... ......... ................ ................. ................... ........ 120
2.9.3 Gestion des changements organisationnels ...... ....... ...... .. ... .. ....... ........ .................. ................... ......... ....... .. .. ..... .......... ... 120
2.9.4 Pratiques de gestion financière ................. .......... .. .. ... .. .... ... ................. .. ............. ..... ... ............ .. ............ .... ................... ... 120
Budgets des SI ... ...... ...... .... ............. .. .. ........ ...... ... ... ... ........ ... ...... .... .... ......... ... .. ....... ............ .. ........ ...... ... .. ....... ......... ..... 120
Développement de logicie ls ..... ........ ........ .... .... ... ..... ..... .... ......................... ... .. .......... .. .. ... .. ... ................. .. ...... .......... ...... 120
2.9.5 Gestion de la qualité ..... ....... ................... ........ ... .................. ......................... .. ..... ................................ ... ........................ 121
2.9.6 Gestion de la sécurité de l'information .. .... ..... .................................... .. ..... ........... .. ..... ............................................. ... .. 121
2.9.7 Optimisation de la performance ................ ........... .... .. .. ... ... ................ ... ....... .... .......... ........................... .... ....... .............. 121
Facteurs essentiels au succès .. .... ..... ........ ....... ... .. ....... ..... .... .... ....... .... ...... ................ ........ ...... .... .. ........... .... .... ...... ........ 121
Méthodologies et outi ls .............. ......... .. ... .. ... ...................... .... ... .................... ... .. .. ............... .. ................ .................... .. . 122
Outils et techniques .... .................... ....................... ..... ........ .... ...... .. ..... ........ ...... ....... ..... ............................. .................. . 122
2.10 Structure organisationnelle des Tl et responsabilités ........... ........ .. .... ......... ................ ............ .... ............ ..... .. .............. .. ..... 123
2.10.1 Rôles et responsabilités des Tl .................... ..... ........ .... ... ............. ... .. .......... ............................................. .. ...... ... ....... .. 123
Gestion des fournisseurs et des services impmtis .. .. ................. ....... ..................... ... .. ............................................ .. .. ... 124
Opération et entretien de l'infrastructure ...... ............... ... .. ...... .... ......... ............. ........ ............................ ........ ...... ..... ..... 124
Gestion des supports ... ... ... ...... .. ............... .. ..... ......... ............ ...... .. .......... .. ...... ........................................... .. ... ............ .... 125
Saisie de données .. ...... .. ....... .. .... ... ...... ... ..... .. .. ..... ... ..... .. ...... .......... ... ...... ..... ........... ........ .......... ........ ....... ... ... ........ ........ 125
Contrôles de supervision et acquisition de données ..... .. ...... ....... .... .... ....... .............. ............... ........ ........ ...................... 125
Admi nistmtion des systèmes ....................................................... .. .. .. ....... .... .. .. ......... ..... ............... ..... ........... .. ....... ....... 125
Administmtion de la sécurité .. ......... .... ....... ........ ...... .... ......... .... ...... ....... .. ......... ......... ...... ..... ....... ...... ........ ..... ....... .... ... 125
Assurance de la qualité .. ...... ............................................ ........... ...... ... .... .... ... ...... .............. ..... ........ ...... ........................ 126
AdministTation de base de données ........ ................. ........................ ......... ...... .. .... .. .... ...... .. ... ...... ........ ........... .. ...... .. .. ... 126
Analyste de systèmes ........... .......... ...... .................... .... ....... ... ........ .... .... ... .. .. ... .. ......... .... ...... ........ ..... ... ............... .. ........ 127
Architecte de la sécurité ............................. .............. ....... .... .. ....... .............. ...... ........................ ........... ... ... ...... ...... ........ 127
Ingénieur en sécurité de système ... .. ....... ....... ......... ............ .... .................... ...... ........... ..... ............................. .. ....... .... ... 127
Conception et entretien des applications ..................... .. ... .. .. .... ........................ .. .. ................ .......... ...... ....................... .. 127
Conception et entretien de l' infrastructure .... .. .. .... ............. ............................................................ .... ...... .... ......... ........ 127
Gestion du réseau ......... ..... ........ ............. ............ .. .. ................. .. ....... ... .. ... ........ ... ............ ............... ... ... ... ..... .... .. ... ........ 127
2.1 0.2 Séparation des tâches au sein des TI ............... .. .. ........ .. .... ............. ............... .. .. .. .. .... .......... .... ................................ .. ... 127
2.10.3 Séparation des contrôles de tâches ................. ....... .. .. ..................... .. ......... ...... .. ..... ........ .. ... ............... .... .. ............... ..... 129
Autorisation de transaction .............. ........... .................... ..... .... ............ .......... .. .......... ... ........ ....... ............ .. ......... ......... .. 129
Garde des actifs .... ...... ... ... .. ..... .... ... .. ......... .... .. ... .......... ... ... ..... .. ... ....... ..... ... .... .. .... .... ......... ....... ...... ........... ... .. ... ........ ... 129
Accès aux données ................ ..... ....... .. ... .... .. ..... .... ............... ... .......... ......... ... .... .... .... ........ .... ........ ..... ... ......... .. ... ........ .. 129
Contrôles compensatoires pour le manque de séparation des tâches .. ...... .......... .. .. .......... ....... .... ................ .......... ....... 130
2.11 Structure de gouvernance pour l'audit des TI et mise en œuvre ... ...... ........... ...... .. ....... ..... .. .... .... .. ...... .... ....... .... .. ............. 130
2.11. 1 Revue de la documentation ........ ............................................ ....................... ..................................... .......................... 130
2.11.2 Revue des engagements contractuels ............................... ... ................ .. ... ..... .. ........... ......... .. ..... ... ...... ...... ................... 13 1
2.12 Planification de la continuité des activités ................. .. .. ............ ........... ........... ................... ....... ...... .... ....................... ..... .. ... 131
2.1 2.1 Planification de la continuité des activités des Tl ........ ................... ........................ ... ............................ ............. ... .. .... 132
2. 12.2 Sinistres et autres événements perturbateurs .... ..... ........ .. .......... ...... ........ .. ... ... .................... ......... ...... ........... .. ....... ...... 133
Planification en cas de pandémie .. ....... ... ...................... ........ ....................... .................. .... .. ... ...... ........... .. .................. . 134
Gestion des atteintes à l'image, à la réputation ou à la marque ...... ................. ...... ................................................ ....... 134
Événements imprévus ou imprévisibles .. .. .. ........... ......... ....................... ...... ....... .............. ................ .. ............ .............. 134
2.12.3 Processus de planification de continuité des activités ..... .... ............ ......... .................. .... .. .... .............. ...... ..... ..... ... ...... 134
2.12.4 Politique de continuité des activités ...... ................ ....................... ...... ....................... ........ .. .. .......... .. .. .............. .. ......... 134
2. 12.5 Gestion des incidents et plan de continuité des activités ........ ...................... ............ ...... ............... ........ ........... .. ..... ... 135
2.12 .6 Analyse de l' impact des risques de J'entreprise ................................ ........ .............. .................................. .. ......... ... ... .. 136
Classification des opérations et analyse de criticité ............... ..... .. .. .......... ....... ...... ......... .. ...... ...... ...... ...... .. ......... ......... 139
2.12.7 Développement de plans de continuité des activités ... .......... ....... ...... ........ .................. .. .............. ........... .. ... ............. ... 139
2.12.8 Autres problèmes liés au développement de plans ......... .. ......... ... ...... ......... .......... ........................................ ............... 139
2.12.9 Éléments d ' un plan de continuité des activités .... ..... ......... ..................... .. ................................. ....... ........................... 140
Décideurs clés .... ...... ....... .... ................... ................ .. ...... ..... .. ..... ................. ....... ..... ............... .... ........ ...... ... ........ ...... ... .. 140
Réserve des fournitures requises ............. ............................ ............. .... ....................... ... ..................... .... ............. ...... ... 141
Assurances ...... ......... ......... .... ... ...... ........... ................. ...... ........ ... .......... ...... ..... ........ ........ ... .... .. ... ....... ... .... ........... .. .... ... 141

4 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e. Certifled Information
Systems Auditor"
.lniUCA' t ...I IHca blll'l
Table des Matières

2.12.10 Mise à l'essai du plan .. ...... ............ .. ....... ...... ... ..... ... ......... ..... ... ......... .. ... ... .... .... ...... ................... ... .... ....... .. .......... .. .. .. 142
Spécifications ..... .... ........ ........ .... ...... ......................... ....................... ... ..... .... .......... .... ............... .. ..... ............................. 142
Exécution de la mise à l'essai ............ .. ..................................... .................................... .. ... ........................................... 143
Documentation des résultats ... .. .... .. .. .. .. ........... .. .......... .... .. .. .. .... .... .. .... .... ......... .. ........... ........... .. ....... ....... .... .... .... ........ . 143
Analyse des résultats ............... ......... ..... ...... ... .... ............ ........ ................... ...... ..... ............. .................... .... .................... 143
Mise à jour du plan ...... .... .............. .. ... .................... .... .... .. ..... .... ..... ......... .. .......... .. .................... ................ .. ..... .. .... ..... .. 143
Bonnes pratiques de gestion de la continuité des activités .. .. .. .. .. ... .. ........ .. .. .. .................. .. .. ......... ... .......... ....... .. .. ...... . 144
2. l 2.11 Résumé du plan de continuité des activités ....................... ... ..... .. ......... ... ... .. ............................ ... .... ............ .. .... .. ....... 144
2.13 Audit du plan de continuité des activités .. .. .. .. ...... .. .. ...... ..... ....... .. .. .. ..... ................ ....... ..... .. ..... .... ........ ... .................... ......... 144
2.13.1 Rév ision du plan de continuité des activités ....... .. ............ .. .... .. .. ............ .... .... ............................... ........ .. .... ...... .......... 145
Examiner le document ................ .... ........ .. ... .................... ......... ........ ............ ...... ...... .......... .. ... ................ ........ .. .... .. ...... 145
Révision des applications couvertes par le plan ...... .. ...... ....... .... .. ...... ..... ........... .... ...... .. ...... .. .... .. .. .. ............................. 145
Révision des équipes de continuité des activités ............ .. ..... ... ......... ..... ........ .. .. .... .. .. ............. .. ... .. .... .. ... ........ .. .. .......... 145
Mise à l' essai du plan .. .. ........ ..................................................... .. .... .. .................. .. ..................... .. ................................ 145
2.13 .2 Évaluation des résultats de tests précédents .. .................... .. .... ......... .. ............... .. ...... .. .......... .. .... .. .. .......... ................... l 46
2.13 .3 Évaluation de l' installation d'entreposage hors lieu ....... .. ............ ... ..... .. ..... ......... ... ............. .. ......... ...... .. .. .. .... .... .. .. .... 146
2.13 .4 Entretien avec le personnel clé ....................... ........... .. ...... .. ...... .. .. .. .. .. ..... .... .......................... .. ... ... ... ........... .. .............. l 46
2.13.5 Évaluation de la sécurité à J'installation hors lieu ........ ..... .. .. ............... ... .. ............................... .......... .. ...... .. ............... 146
2.13 .6 Révision du contrat pour l'installation de traitement de secours ... ... ... .. .......... .. .................... .... .... .. .. ... .. ..................... 146
2. l 3.7 Révision de la couverture d'assurance .... .......... .. .................. ...... .. ................... .. .. .. .. .. .......................................... ........ 147
2.14 Études de cas .. .. .. .. ................. .. .................................. .. .. .... .................... .......................... ... ........ .......... ... ..... ... .. .. .. .... .. ......... ... 147
2.14.1 Étude de cas A .............. ........................ .... .. ...... ...... .. ..... .. ... .................. .. ............... .. ... .. ...................... .... .. .......... .......... 147
2.14.2 Étude de cas B ........... ........ ...... .. .... .... ...... .. .. .. ................... .. ......... ........ .. .... .. .... .. .. .... ........ .. .. .. .. .... .... .... ......................... 147
2.14.3 Étude de cas C ......... .. .... .. .. .. .... .... ... ... .. .............. .... .. .. ....... .. .. ................... .. .. ........ .. .. .... .......... .. ..... ..... .. ......................... 148
2.14.4 Étude de cas D ..... .. ...... ............ ............ .. .. .. ............ .. ......... .... .. ..... .... .. .. .......... .. ... ... .... ................ ................. ...... .. ... .. ..... 148
2.14.5 Étude de casE ..... ...... ...... .......... .. ......... ......... ..... .. .... .......... .. .. ... .. .... .. .............. .... .. .. .... ...... .. .... .. ................... ................ 149
2.15 Réponses aux questions des études de cas ............... .. ............ ...... .. ....................... ................................. ............. .. .. .. ............ 150
Réponses aux questions de l' étude de cas A ................ .... ... .... ... .... ...... .. .. ......................... ..... .. .... ..................... .... .. ........ ..... ... 150
Réponses aux questions de 1' étude de cas B .... .. .............. .... ............ .. .. .. ...... .... .. .. .... ............... .... .... .. ............................. .... .... . 150
Réponses aux questions de l'étude de cas C .. .................. .. .... .... .......... .. .. .. .......... .. .. ............... .. ... .. .. ....................................... 150
Réponses aux questions de l'étude de cas D ......... .... .. ........ ............. .. .. .... .... .... .... ...... .......... .. .. .. ... .. ..................... ............ ....... 150
Réponses aux questions de 1'étude de cas E ............................ .. ..... .. .. .... ....... .. .................................. .. ...................... .. ........... 150

Chapitre 3 :
Acquisition, Développement et Implant at ion des Systèmes d'Informat ion ............ 153
Section un :Avant-propos .......... .... ..... ................... ............................. .............. .. ........... ....................... .. .. ........................... 154
Définition ...... ..... ... ... ....... ... .. ............... ... .. .... .. ..... .. .. ... .... .. ... ..... ...... ....... ... .. ........ ........ ... ... .......... .... ... ... ............... ... ......... ....... .... ...... . 154
Objectifs ... ............................... ................ ...... ... ........ ...................................... ........ ................ ..................... .. .. .... ....... .... .... .... ...... .. ... l 54
Tâches et énoncés de connaissances .... .. .. .. ................... ..... .... .... .. ...... ... ...... .......... .. .......... .............................. ........ .. ..... .... .. .. ......... l 54
Tâches ... ... ..... .... ....... .. .... ......... ........ .... ... .... ... ...... ... ..... ... .. .... ... .. ......... ......... ...... ......... ..... .. ....... .. .... .. .. .. .. ... .... ... ... .... .. .. ... ....... ... 154
Énoncés de connaissances ................... .. ............................................. .. ............................................. ... .. ... ..... .. ...... ..... ........... . 154
Ressources suggérées pour approfondir l'étude .. ........ .... .... ..... .. ....... .. .... ............ ....... ..... ... .... ........ .... .. .................... .. ... ...... .......... 163
Questions d 'autoévaluation ..................... ... .. .. ..... ....... .... ... .... ..... ..... ......... ..... .. ... ...... .... ............ .. ... ... ..... ..................... ... .. .... ... .. .. ... .. 164
Réponses aux questions d'autoévaluation ... .. ........................................... .... .... ...... ..... .. ... .. .. ..... .......... .. ........................... .. ...... ...... 165

Section deux: Contenu .......... ...... ...................................................... ............................................ ........................................ 167

3.1 Résumé .. ............ .. ... ..... ..... .. ... ......... .. ..... ... ...... .. ... ... ... ... ...... ... ... ... .. .... ... ... .. ...... ..... ....... .... ....... ........ .... .. .. .. ...... .. ... ...... .. .. ..... ...... 167
3.2 Réalisation des bénéfices .... .. ........ .... .. .. .. ........................... .. .. .. .. .... .... .... .. ... .. ...... .. ........................ ...... .. .. .. ... ....... ... ............ ..... 168
3.2.1 Gestion du portfolio/programme de projets ........ .. ........ ................ .. ............................. .. ... ............. .. .... .... ....... .. .. .... .... .. . 168
3.2.2 Développement et approbation du plan de mise en œuvre .................................................. .. .. .... .. .. .. .. .. ...... .... .... ........ .. 169
3.2.3 Techniques de réalisation des bénéfices ........... .. .......... .. .. .. .... .. ............ ........... .. .. ... ...................... ......... .... .... ..... ............ 170
3.3 Structure de gestion de projet... .......... .............. ................. .... ................. .. ................ .. ...... .. ..... .. .... .. .. .... .... .. .. .. .... .. .... ............ 171

Manuel de Préparation CISA 26e édition 5

ISACA. Tous droits réservés.
 Table des Matières
e. Certified Information
Systems Auditor"
MIUCA"" !MUI.cr.1ox1

3.3 .1 Aspects généraux ...... ... ............. ..... ....... .. .................................... ......... .. ...... ......... .. ..................... ............ .. ........ .. ........... 172
3.3 .2 Contexte et environnement de projet.. .. .. .... ...... ................ ... ..... ......... ..... .. .. ........... ... .......... ... ... ... .. .......... ..................... .. 172
3.3 .3 Structure d'organisation de projet ... .. .... .... ..... .. .. .. ...... .. .... ....... ... ........ .. ......... .. ...... .. ...... ....... .. .... .. ...... ...... .. .. ..... ............. 172
3.3.4 Communication et culture de projet .. .. ..... ...... .. .. ... .. ...... ........ ............ ............... .. ................. .. .. ...... .. .. ........ .. ... ..... .......... . 173
3.3.5 Objectifs du projet ........... ...... ............. ............................ .. .. .. ............. ...... .... .......... .... ........ .. .. ........ .. ............. .. ............. ... 173
3.3.6 Rôles et responsabilités des groupes et des personnes ................. ... .. ...... ... ............. .. .............................. .. ...... ...... .... ..... 175
3.4 Pratiques de gestion des projets ................. ..... ........................... .. .. .... ..... ... ....... .. ........... .. .. ..... ........ .. ............. .. ........... .... .. .... . 176
3.4.1 Lancement d' un projet ............. ............ ....... ..... .......................... ......... .. ....... ............... ..... .. ..... ................ .. ........... ........... 177
3 .4.2 Planification du projet ........... .. .. ... .......... ..... .... .. .. .. .. .. .. .. ... ... ...... ... .. .. ........ .. .. .. .............. .. .... ... .. ....... .... .. ....... .. .... .... .. ...... . 177
Évaluation des coûts du projet d 'élaboration de système ........ .. ...... ........................................... .... .. .. .............. .. ....... ... 178
Estimation de la taille du logiciel .............................. ... .. .......... .. ...... ....... :..... ....... ................. ...... ...... ...... .. ............... ..... 178
Analyse des points fonctionnels ............................................... .. ........................ ....... ...................... .. .. .. ........ .. .. ... .... .. ... 178
Caractéristiques de 1'APF .......... ..... ........................ .. .... .. ..... .... .. ... .. .... ..... .. ...... ........ ....... .. ... ............. .......... .. ..... ......... ... 178
Chiffrer les dépenses ............. ............... .. ... ... ... .. ......... ............. ..... ......... ... .. .. .. .... ... ........... ........... .... .... .. ... .. ... .. ....... ....... 179
Estimation du coût du logiciel .. .. ............ .... ........ ..... .. ..... ...... .. .. .. ........ .... .. ...... .. ...... .... .... ... .. ....................... .. ...... .. ... ... ... 179
Planification et élaboration du délai d'exécution .................. .. ............................. ... .. ............................... .. ............. ...... 179
Méthode du chemin critique ......................... ............ ........ .. .. ....... ... ... .. ........................ .. ... .. .............. .... ... .. .. ....... .. ......... 180
Diagrammes de Gantt ... ........ ... ........... ... ..... .. .. ..... .... .... ... ..... .......... .......... .... ... .. .... ......... ...... ... .. .. ... .. .............. ...... .... ...... 180
Méthode de programmation optimale (MPO) .. ..... ....... ..... ......... .... ................ ... ....... .... ... ...... .. .... ... .... ..... .. ... ......... .. ...... 180
Gestion de 1'échéancier ................. .. ..... .... ........ .. ..... ..... .......... ...... ...... ........ ........................ .. .................... ...... ............... 181
3.4.3 Exécution du projet ............... ...... ....... ....... .. .. .............. ......... ...... .... ....... ... .. .................................. .. .......... .. .. .. ........ .. .... .. . 181
3 .4.4 Contrôle du projet .... .. .... .. ..... ..... ..... .. ..... .... ... .. .. ...... ..... .. ... ... .................. ........................... .. ................ .. ......... .. .. .. ........... 182
Gestion des changements de la portée ................................... .... ............ .... .. .. .. ......... .. ........................... ...... .. ... .. .......... 182
Gestion de 1'utilisation des ressources ....................................... ........... .... ... .... ... .................................. ... ... ... .. ....... .... .. 182
Gestion du risque ......... ... .. .... ...... .. ..... ... .. ........ ............. .. .. ... ........................ ... ............................................ .. .... .... ....... ... 182
3.4.5 Fermeture du projet ................................................ .. ...... .. .... ....... ........... .. ........ ..... .... .. .... ....... ... .... .. ........ .. ....... ...... ........ 183
3.5 Développement des applications d'affaires .... .. .. .... ...... .... ... .................. .. .... .. .. .. ... ...... .. ... ...... .. ...... ...... ............... ......... .. ....... 183
3.5 .1 Approche traditionnelle du cycle de développement de systèmes ..................................... .................... ................... .. ... 185
3.5.2 Description des phases traditionnelles du cycle de développement de systèmes ................. ................... .. .. .. ............. ... 186
Phase 1 -Étude de faisabilité ............. .... .... .. .......... .. ...................... .... .............. .... ......... .................. .... .... ..... ..... .... .. .. .. .. 186
Phase 2 - Définition des exigences .. ... .. .................... ..... .. .. ............ .... ............... .. ...... ......................................... .. ......... 187
Phase 3A - Sélection et acquisition du logiciel .. ... ................... .. ...... ....... ... .. .. .. ..... ............. ... ......... ..... .. .. .. ................... 188
Phase 38- Conception .. ... .. .. .. .. .. ............ .. .................... ........... ..... .... ....... .... ............ ... .. .... ............. ... .. ....... .... ................ 190
Phase 4A- Configuration .......... .. ... ....... .... .... .. .. ........... ...... .. ... ........ .. .... .. ....... .. .... .... .. ........ ....... ...... ... .......................... 191
Phase 4B - Développement.. .. .... ..... .. ............................. .......... ............... ... .. .... ... ....... ..... ... ... .. ... ......... .. .............. .......... 192
Phase 5 -Essai final et implantation ............. ...... ................... ..... ......... ... ........................... .. ........ ....... .... .......... ... .. ...... 196
Phase 6 - Révision postimplantation ...... .. ........ .... ........... .. ... ... ......... ... .. ................. .. ....................... .. .. .... .... ................. 202
3.5.3 Systèmes de gestion intégrée des ressources ..................... .. ........... .......................... ... .. .. ................ ..... .. ....................... 202
3.5.4 Risque associé au développement de logiciels ......... .. ........ .................. .......... .. ........... ....... ... ................... .. ... .. ........... .... 203
3.6 Virtualisation et environnements d'infonuagique ....... ...... ... ....... ......... ..... .... ...... ..................... ... .... .. ........ .... ... .. .. .............. .. 204
3.6.1 Virtualisation ... ........ ... .... .. ... .................................. ...... .. ... ....... .. .. .. .... ...... ...... ........ .... ..... .... .. ..... ....... .. .. ...... ....... .. ..... .... ... 204
Secteurs clés de risque ........ .... .... .. ... ......... ... ...... .... .... .......... ........ ... ..... .. ..... ............ .... ..... ............... ... .......... ....... ........... 205
Contrôles typiques ....... .............. ................. ... ......... .... ... .. ... ....... .. ......... ......... ......... ... ........ ..... ....... ....... ... ....... ..... ......... . 205
3.7 Systèmes d'applications d'affaires .. ..... ............ .. .... ......................... ...... ....... ........... .. .... .... .. .... ........... .. ............. .... ..... ........ ... 205
3.7.1 Commerce électronique .. .... .. .. .. ... ..... ........ .. .. .. ... ..... .. ..... ...... .... .. ... ....... ... .. .. ........ .. ............ ........... .... ... .................. .......... 206
Modèles de commerce électronique ......... .... .. ......... .. ..... ... .......... ... ...... ... .. ......... ... .... .......... .. .. ........ ............ ... .. ............. 206
3.7.2 Échange de documents informatisés ................ .. .. ............. .. ...... .... .. ..... ... ............ ................................................... ... .. ... 209
Exigences générales ........ ....... ....... ........ ...... .... ...... ........... .... ................. .... .. ... ......... ...... .......... .......... ... ..... ....... ... .. ......... 210
EDI traditionnel ... ..... ........ ... .... .... ..... .. ... .... ......... .... .......... ..... .. .......... .............. ...... ....... .... ... .. ........ .. .......... ... ... ....... .... ... 210
EDf sur le Web ............................ .. .. ............. .. .. .......... ......... .... ............ .. ............ ..... ......... .. ..... ........ .......... .. ............. .. ..... 210
3.7.3 Risques et contrôles d ' EDI ...... ....................... .. .. .. .............. .............. .. ..... .. .. .. ................ .... ............. .. ...... .. ..... .. .. ..... ........ 211
3.7.4 Contrôles dans un environnement d'EDI ............................... ................... .... .................. .. ......... .. ....... .......... .. ......... .. .. .. 211

6 Manuel de Préparation CISA 26e édition

ISACA. Tous droits réservés .
e. CertifJed lnfurmation
Systems Auditor·
MI S4tA"c.rt•lcaLon
Table des Matières

Réception d ' une transaction entmnte ... ....... .. .... .... .. ..... ..... .. ............. ... ..................... ................. ........ ............ ..... .. .. ...... . 212
Transactions sortantes .. ..... ...... .... ......... ... ....... .... ........ ... ....... ..... ... ......... ... ....... ..... ....... ............ ..... ... ... ... .. .. .......... .. ... ... ... 212
Audit d'EDl ..... ............. ........... ......... ..... .. ..... .... ................... .. ............ ........... ........ ............. .. ..... ..... .... ................. ..... ...... 213
3.7.5 Courrier électronique .......... .. ........... .... ... ...... ...... ..... ........ ...... ...... .... ........... ......... ... ...... ......... ... ............. .... ......... ......... ... 213
Problèmes de sécurité liés au couniel ... .. ..... ........ ................... ............ .. .......... ................. ... ........ ...... ......... .... ...... .... .... . 214
Normes pour la sécurité du courriel ...... ............................................................................ ....... ........... ............... .. .. ....... 214
3.7.6 Systèmes de terminaux de point de vente ........ ................ .............. .. .......... .. ..... ..... ...... ...... .. .. .................. ..... .. ..... ... .... .. . 215
3.7.7 Banque électronique .. ...... ...... .... ......................... .. ............ .... .......... :.............................................. ....... ........ ........... ....... 215
Défis de gestion des risques dans la banque électronique (E-banque) ...... .... ......... ......... ... ............... ......... .. ........... ... .. 215
Contrôle de la gestion des risques pour la banque électronique .................. ... ........ ................. .... .. ...... .................. .... .. . 216
3.7.8 Finance électronique .......... ... .............. .... ............................ ..... .. ....... ..... .. .. ... ........... .... ..... ............... .... ... ........ .... ...... ...... 216
3.7.9 Systèmes de paiement... ........ .. ...................... ...... .. .... .... .... .................... .. ..... ........ ..... ............................................. ...... .. . 216
Modèle d' argent électTonique ..... ...... .. ................. .......... ................... .............. ........... ... ........................ ...... .. .......... ... .... 216
Modèle de chèques électroniques ....... ........ .. ......... ... .... ........ ... .. .. ......................... ..... .... ........... .. ................. ...... ....... ..... 217
Modèle de transfert électronique .. ....... ... .......... ... .. ..... .. .... ..................... .... ... ....... .. ................... .... ..... ... ... ... ...... .... ...... ... 217
3.7. 10 Systèmes intégrés de fabrication ........ ... ... ..................... ................ .. ..... .............. .. ............... ............... ............. ......... .... 217
3.7.11 Transfert électronique de fonds ........... ....... .. ......... .. .. ................... ... .......................... ............. ......... ..... ..... ........ ........... 217
Contrôles dans un environnement de TEF ... .. ... ....... ..... .... ........ ............ .. ...... ............... ........ ......... ...... ........ ......... .... ..... 218
3.7.12 Guichet automatique bancaire ........... .. ............ .. ....... .... ........... ...................... ...... .. .... ........ .......... ..... .................. ......... . 218
Audit d'un guichet automatique bancaire ....... .. .. .... ................................... .. .... ......... .. ............. ... .. ......... .............. ......... 219
3.7.13 Réponse vocale interactive ......... .. ...................... .... ...... ...... .. .. ................................. .......... ..................... ......... ............. 219
3.7.14 Système de comptabilité des achats .. ... .... ...... .. .. .... .. .. ...... .... ................. ........ .......... .. .. ............ ................... ... .......... ..... 219
3.7.15 Traitement d' image ..... .............................. .. .. .. .. ......... ... ...... .... .... ....................... ... ............. ..... ...... ...... .. ............. ..... .. .... 219
3.7.16 Systèmes de contrôle industriels ...... ........... .... ..... .................. ... .. ...... ....... ............................ ................ ...... ...... ............ 220
Facteurs de risque .. .. .. ... ............ .......... .. ............. ....... ... ..... ... ................ .......... .. ................. ......... ... .......... .... ..... ... ...... ... .. 220
Contrôles typiques ....... .... ............ ......... ......... ..................... .. .......... .... .... ...................... ... ............... ....................... ........ 221
3.7.17 Intelligence artificielle et systèmes expe11s ...... .. .. ..... ................................. ........... .. ................................... .. ............... 221
3.7.18 Intelligence d'affaires ... .. .... ...... ..................... .... ........ .. ........ ........... ............ ............ .......... ........ .. ......... .............. ..... ...... 222
Gouvernance de l'intelligence d'affaires ........ ...... .... .. ........ ...... .. .. .... .................. ... ... .............. ........ .............. .. .... ...... .. .. . 225
3.7. 19 Système d'aide à la décision (SAD) ............... ... .................. .. ......... .............. ..... ................ ..................... ........... ........... 225
Efficience et efficacité ... ........... .. .. ..... ... ............ ............. ... ............... ....... ....... .......... ... ... .... ... ...... ...... .. ..... .. .. .... .... ....... ... 226
Décisions comme point de mire ... .... ..... .. ....... ..... .... ... ................................................. ........... .... ........... .... .. ...... .. ....... ... 226
Structures de systèmes d' aide à la décision .... ............... .. .. ... ...... .......... ...... ... .. ... ................. .. ... .. ... ............. .... .............. 226
Conception et développement ...... .......... ............ ,............... .... ..... .. ......... .... .... ......... ............. ......... .. ..... .. .. ..... .. .... .. .. ..... . 226
Mise en œuvre et utilisation ...... ... ... .. ... .... .. .. .......... ... .. ..... ...... ... .......... ... ...... .. ........ ......... ... .. ... ......... .............. .. ..... .... .... 226
Facteurs de risque ...................... ....... ..... ...... .. ........ ................ .... ... ..... .. ....... ... ........ ... .. ........ ............ ..... ..... .......... ......... .. 227
Stratégies de mise en œuvre .... ......................................... .......... ................ ...... .................................................. .. ......... 227
Examen et évaluation .. ............. ..... ...................... ........... ........ .. ........ .... .. ....... ....... ... ... .......... ....... .... .... .... ... ............ ..... ... 227
Caractéristiques communes des systèmes d'aide à la décision .. .......... ................... .... .... .... .............. .... ........ ............... . 227
Tendances dans les systèmes d'aide à la décision .. .... ........ ............. ......... ..... .. ................. .... ................. ... ..................... 227
3.7.20 Gestion des relations avec la clientèle (CRM) ...... ............. ... ............. .. .. ......... ....... .... ..................... .. .. ....................... .. 227
3.7.21 Gestion de la chaîne d' approvisionnement... .... .... ....... ....... ..... ..... ...... ......... ........... .... .................................... ........... ... 228
3.8 Méthodes de développement ..... ...... ................... .. ...... .......................................... ..... ......... ............... ................... ........ ... .. ... .. 228
3.8.1 Utilisation des techniques d'analyse structurée, de conception et de développement.. ............................. ...... ............. . 228
3.8 .2 Développement agile .. ................. .. ..... ....... .... .... ... .. .... .. .. .... .......... ... .... .... ..... .. ........... .. ... .. ... ......... .. .. .. ... ..... ...... .... ...... ... . 229
3.8.3 Prototypage - développement évolutif.. .. .... ....... ........ ... .............. ...... ........... ............. ..... ............................. .... .. ........ ...... 230
3.8.4 Développement rapide d'applications ........ .. ...... ............ .. .. ................... ...... .... .. ................................. .. ........... ..... ...... .... 231
3.8.5 Développement de systèmes en orienté objet ........ ...... ............ ... .................. ...... .. .. ............ ........... ... ... ........ .. ...... .......... 231
3.8.6 Développement à base de composantes ............. ...... .. ... .... .. .......... ............. ............ .... ........ ... ...................................... .. . 232
3.8.7 Développement d' applications Web .... .. .. .... ..... .. .. .... ....... .................. ......... .............. .... .. ...... .. ...... .. ... ........... ............ ...... 233
3.8.8 Réingé~ierie logicielle .................. ................. ...... ...... ..... ................ .. ............... .. .. ... ......... .... ...... ... ..... .... ........... .... .... .. .... 234
3.8.9 Rétro-ingénierie ..... ......... .... ................. ......... .......... ... ......... ... ........ .......... .. ...... .. ..... ...... ... ..... ........ ........ ..... ... ... ... .. ... .... .. . 234
3.9 Pratiques de développement/ Acquisition d'infrastructure ...... .. .... .......................... ...... ......... ............. .. ................. ...... ...... 234

Manuel de Préparation CISA 268 édition 7

ISACA. Tous droits réservés.
 Table des Matières
e Certified Information
Systems Auditor'
MISJ.CA"CI<tllocalbl

3.9.1 Étapes de projet de l' analyse de l' architecture physique ...... ...... .................... ............ ..... .... .. ......... .......... ............ ..... .... 235
Revue de l'architecture existante ... ..... ... ....... .......... ......... ...... .. .... ......... ....................... .... ...................... ... .................... . 235
Analyse et conception ........ .. ............... .... ... ............................ ... ....................... .... .... ... .... ..... ....... .. ......... .. ..... ........ .. ....... 236
Ébauche des exigences fonctionnelles .. .... ..... .. .... ... ..... .. ...... ......... ... .... ..... ....... .... ... .. ....... ...... ........ .......... ... ..... ..... ......... 236
Choix du fournisseur et du produit. ..... ......... ....... .. ........................................ ....... ...... ........... ...... ..... ........... ....... ... ........ 236
Rédaction des exigences fonctionnelles .. .. ... .... ......... .... .... ..... ............. ....... ................ ............. ....... ............. ................ .. 236
Preuve de concept ... ..... .. .. .................... .. ...................... ... ......... .............. .................. .... .. .. .. ... .. ... .................................... 236
3.9.2 Planification de l'implantation de l' infrastructure ..... .. ........................................................................................ ... ....... 237
Étape d'approvisionnement ......... ...... .. ........... .... .... .... ....................... ... ............................. .. ...... ... ...... ......... .. .. .......... ... . 237
Délai de livraison ..... ..... ... .... ............... .. ... ................. ....... .. ........................ ..... ............................ ..... .......... ... ................. 237
Plan d'installation ......... ...... ... .............. .... .... ............................ .. ........ ... ... .. ..... ... ... .. ........... ...... .......... ... .. ... ... ................. 237
Plan de test de 1'installation .............. .... ........................................ ...... ... ...... ... ......... ....................................... ....... ... .... 23 7
3.9.3 Facteurs essentiels au succès .......... .......... .......................... ................... .......... ............. ...... .................... .. ...................... 237
3. 9.4 Acquisition du matériel... ..................... .................... ... ... ......................................................... .. ....... ................ .. ... .... ...... 23 7
Étapes d' acquisition ......... .... ..................... ........ .. .. ....... ..... .... ..... ................. ........... ..... ................... ........... ..... ........... ..... 240
3.9.5 Acquisition d'un logiciel d'exploitation ..... ...... ..... ................. ... ... ................... ........... .... ............... .. ........... .... .............. .. 240
3.9.6 Implantation du logiciel d'exploitation ......... .. ............................................................................. .... .................... ....... .. . 240
3.10 Pratiques en matière de maintenance des systèmes d'information ........................... ............... .......................................... 241
3.1 0. 1 Aperçu du processus de gestion des modifications .. ... ........................... ........ ... .. ..... .............. ......... ..... ...... .... .............. 241
Déploiement des modifications .. .. ............. .. ... ...... ............ .... ...... .. .... ............ .... .... ...... .......... .. ............................. .. ........ 244
Documentation .. ... ............ ...... .. ....... .. ........ ....... ..... ... .. .. ...... ................ ........ ................ ..... .. ............ .... .. ......... .................. 244
Test des programmes modifiés ...... .... .. ........... ....... .... ... .. ... ... ....... ........... .... ... ... ........... ....................... ..... .. ..... ....... ..... ... 244
Audit des modifications de programme .......................... ........... ................. ..... .................... ........... ..................... ... ...... 244
Modifications d'urgence .............. ....... ........... .... .. ........ .... .......... ............... ....... ..... ..... .............. ...... .... .... ... .. ................... 244
Déploiement des modifications vers la production .. .... .... ............ .... ................................. .......................... ..... .. .... .. ..... 244
Risques des modifications (modifications non autorisées) .............. .......... ..... .......... ............... ... .. .... .. ......... .............. ... 245
3.1 0.2 Gestion de la configuration ........ .. ... .. .......................... ................................................................ ................ ................. 245
3.1 t Outils de développement des systèmes et aides à la productivité ................................................. ................ ... ................... 246
3.1 1. 1 Générateurs de codes .. .......... .............. ...................... .. ................ ............. .................................................... ... .............. 246
3.1 1.2 Génie logiciel assisté par ordinateur ............................................................................................................................ 246
3.1 1.3 Langages de quatrième génération ......................................... .. ......................... .. .............. ................... ...... .................. 247
3.12 Pratiques d'amélioration des processus ................ .......................................................................................... .... .................. 248
3.12. 1 Reconfiguration des processus et projets de modification des processus .......... ............ .. ....... ........ ... ...... .... ............... 248
Méthodes et techniques de reconfiguration des processus ......... .................... .... ..... .. ........ .. .......... ................ ............... 249
Audit et évaluation de la reconfiguration des processus ........ ........ ........................ ............... ................... ............... ...... 250
3.12.2 Norme ISO 250I0:2011 ............................................................................................................................................... 250
3.12.3 Intégration du modèle de matutité des capacités ................................................................. .... .. .. ......... ....................... 250
3.12.4 Série ISO/CE! 330XX ..... ........ .......................... ... ... ................................ .. ............... .. .... ............... .. ... .......... ... .... ...... ... 250
3.13 Contrôles applicatifs ......................................... .......... ..... .. .... .................... ............. .............. .... ................. ...... ....................... 250
3.13.1 Contrôles de saisie .... ... .................................... .... ................................ .. .. .... ........... .... ...... .................... ...... .. ... ............. 251
Autorisation de saisie ........... ... ........................................... ............ ... ........ ........ .... ......... ........... .................................... 251
Contrôles des lots et contrôle de concordance des lots ............................... ....................... ............... ........... .......... ....... 252
Rapporter et traiter les erreurs .................................................. .................. ........ ......... ............................. ...... .... ........... 253
3.13 .2 Procédures et contrôles du traitement .......... ... ........ .... .. .... .... ............. .... .................... .... .... .... ............... .... .... .. ............. 253
Procédures de validation et d'édition des données ................ .. ........................................ ... ....... .. .. ...... .. ...... .................. 253
Contrôles du traitement ........... ... ....... ... ................. ..... .. ........ ...... ................ ...... .... ...... ................. ..... ............ ........ ... ...... 253
Procédures de contrôle de fichier de données .. ............ .. .................. ....... ................................................ ............. .. ....... 254
3.13 .3 Contrôles des données de sortie ... .............. ................ .............. ........... ..................... .............................. .. .. .... ... .. ......... 255
3.13.4 Garantie de contrôle des processus de gestion ............ ..... ............................................................................................ 257
3.14 Audit des contrôles applicatifs ............................ .... ......... ..... .. .... .............. ...... .................................................... ........ ........... 257

8 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés .
e Certified Information
Systems Audilor"
MISACKC•tola1GI
Table des Matières

3. 14.1 Flux des transactions dans le système ...... ....... ..... ......... ..... ........ ..... .... ....... ...... ... ... .......... .. ........ ....... .. .............. ..... ...... 258
3.14.2 Modèle d'évaluation des risques pour 1'analyse des contrôles de l'application ....... ... ............................ ........ ............ 258
3. 14.3 Observation et essai des procédures d ' exécution de l' utilisateur .. .................................... .... .... ........... .. ................... ... 258
3.14.4 Test de l' intégrité des données .. ....... ........... ...... ... ...................... ....... .. .............. ...... .. ....... ...... ...... ... ...... ................ ........ 258
3.14.5 Intégrité des données dans les systèmes de traitement des transactions en ligne .. ........... ..... .. .......... ....... ............. ... .. . 259
3.14.6 Vérification des systèmes d'application .. .. ...... ....... ....... ........ ................ ... .......... ........ ............ ............... ........ .. ......... .... 259
3. 14.7 Audit permanent en ligne ....... ... .. ............ ...... ... .. ......... .... ....................... ....... ..... ... ...... ... ................ ..... ........ ...... .......... . 259
3.14.8 Techniques d' audit en ligne ...... ............ .. ................ .................... ................... ..... .. ........................ .... .................... ... ..... 261
3.15 Audit du développement, de l'acquisition et de la maintenance de systèmes .. ...... ... ................ ................................... ...... 261
3.15.1 Gestion de projet.. ...... ....................................... ............ ...... ............................. ........ ................................................. .... 262
3.15.2 Étude de faisabilité ... ............ ................ ......... ....... ........ .... ................. .... .. ........ ...... ... ......... ........................... .... ...... ...... 263
3. 15 .3 Définition des exigences ... ... .. .... ................... ........... ..... ........ ... .. ...... .. .. .. ... ...... ..... ........... .... .... ..... ... ....... ......... ....... ...... 263
3. 15.4 Processus d'acquisition de logiciels ..... ...... ................. ................. ........ .............. .... ...................................................... 263
3.15 .5 Conception et développement détaillés .......... ................. ............ ............ .... .... ................ ...... ....... .. .. .... ...... .... .. ....... .... . 263
3.15.6 Mise à l' essai ................ .. ....... .... ............ .... .............. ........ ..... ...... ... .................. .... .................. .. .................. ... ............. ... 263
3.15.7 Phase d'implantation ...... ....................................................... ........ ... .. .. .... .. ........... ....... .. .............................. ...... .... .... .. 264
3.15. 8 Examen après implantation ........ ... .......... ... ... .. ...... ......... ..... ..... .. ............ ...... .. ........ ............ ....... ................ ........... ....... . 264
3.15.9 Procédures de modification du système et processus de migration du programme ...... ... ........... .. .... .......................... 264
3.16 Études de cas ..... ....... .... ..... ........... ... ....... .... ...... ...... ..... ...... .... ......... ..... ................... .... .......... ............ .. ... ............. .. ......... .. .. .. .... 265
3.16.1 Étude de cas A .. ...................... .. .. ... ....... ... ........... .. .. ...... .... ......................... ... .......... .. .......... .... ....... ....... ... .... ........ ......... 265
3.16.2 Étude de cas 8 .. ................... .......... .......... ...... .............. ..... .. ......... ... .. ............. ........ .... ............................................... .... 265
3.17 Réponses aux questions des études de cas .......... .. .............................. ...... ........ ......................... ........ ... ....... .......... ............... 266
Réponses aux questions de l'étude de cas A .................... ...... ........ ......... ........ ... .... .. ... ..... ............. ...... ....... ..... ....... ..... .... ........ 266
Réponses aux questions de l'étude de cas 8 ..... .......... ... ......... ............................... ........ ...... ........................ ...... .......... ....... .. .. 266

Chapitre 4 :
Exploitation, Entretien et Gestion des services des Systèmes d'Information ..... 267
Section un : Avant-propos .................................................... ................................................................................................ 268
Définition .. ......... ..... ... ... .. ... .... .. ....... .. .. ................ .. ..... .. ....... .. ... ......... .... .......... ..... ........ ... ........... ..... ...... .... ....... .... ......... ..... ......... ..... . 268
Objectifs ........... .. .. ... .. .... ...... ...... ... .... .. ... .... .... ..... .... ... ..... .......... .. ........ .. .......... .. ........................... .... ..... .... ... ...... ................ .... .... ...... .. 268
Tâches et énoncés de connaissances .. .... ......... ..... .. .. ...... .. .................. ... ..... ...... .. ... ............. .. ........ .. ....................... .................... ..... . 268
Tâches .................... .......... .... ........... ....... ............ .. ...... ..... ......... ...... ..... ... ... .... .. ...... .... ....... .. .... ...... .... ....... ....... ... ................... .... 268
Énoncés de connaissances ...... ... ....... ........................ .. .... ... .. ..... ......... ...... ........ ......... ........................................... ......... ........... 268
Ressources suggérées pour approfondir l'étude ........... ... ..... .... ............. .... ... ........................ .......... ..... .......... ................................ 279
Questions d'autoévaluation .... ............ ..... ........ .. ..... ....... ..... ... .. .... ... .... ... ........... ... ... ... .... .. ........ ... ......... ... .......... ...... .... ........ .... ..... ... . 280
Réponses aux questions d'autoévaluation ... ...... .. ... ..... .. ..... .. ......... .. .. ... .... .. ...... ............ .. .... ......... .... ....... .. ...... .......... ...... ......... ....... 281

Section deux : Contenu .......................................................................................................................................................... 284

4.1 Résumé ............... ... ........ ...... ............. ...... ..... ... ... .. ...... .... ................ .. ....... ........... ........ .... .......... ... .. ..... .............. .. ............ .... ....... 284
4.2 Opérations des systèmes d'information .............................. .. .......... .. .............. ...... .. ...... ... ............. .... ...... .................. ... ..... .... 285
4.2.1 Gestion des opérations des SI .... ... .............. ....... ............ .. ............ ......... .. .. ... ...... .... ... ..................... ............... ..... ...... ....... 285
Fonctions de contTôle .......................... ............. .... ....... .. ............... .......... ........... ..... ....... ... .......... ..... ..... ....... ...... ......... .... 285
4.2.2 Cadres de gestion du service des Tl ..... ....... ...... ...................... ............................... .. ....... .. ......... .................................... 285
4.2.3 Gestion des services des Tl ...... .................. .... ....... .. .. .... .............. ............ ..... ..... .. ............................ .... ............. .............. 286
Niveau de service .. ..... ................ ............. .... .... .... ...... .. ....... .. .. ... .... .... ........ .. ...... ....... .... ........... ...... .. ............... ..... ... ........ 287
Surveillance des niveaux de service ................ .. .......... .............. .......... ......... ........ ... .. ..... ... ................... ......... ... ..... .. .. .... 288
Niveaux de service et architecture d'entreprise .......... ..................... .... .. .............. .... ... .. .... ...... ...... .... ........ .......... ..... .. ... 289
4.2.4 Opérations des SI ........ ... .... .... .... ..... ... ..... ......... .... ...................... ... ....... ... ....... .... .. ... ....... .... .............. .. ....... ....... .. .......... ... 289
Planification des travaux ..... .. .. .... ........ ........ .. .... ....... .. ... ............ .... .. ..... ...... .......... .. ........ ..... .... ..... ...... ...... .. ....... ...... ...... 289
Logiciel d'ordonnancement des travaux ... ....... .. ........ ... .... ...... ............ .. ....... .... ................ ......... ........ .... ...... .. .... ...... ..... .. 289
4.2.5 Gestion des incidents et des problèmes ................................... ..... .. ..... .. .......... ........ ........ ................. ........... .. ..... .. ......... . 290

Manuel de Préparation CISA 26e édition 9

ISACA. Tous droits réservés.
 Table des Matières
e . CertifJed Information
Systems Auditer'
MlS.t.CA"Corti!.c&L.,.,

Processus de traitement des incidents ... .... ..... .. .... ... ...... ............ ........ .............. ....... ...... .. ............... .. ..... .... ...... ........ ....... 290
Gestion des problèmes .... ........ ........ ....... .. ................. .... ... .............. ........ ........ ....... .. .. .... ........ .. ........... .. ... .. ... ...... ..... ....... 290
Détection, documentation, contrôle, résolution et signalement des conditions anormales ............................... ....... .... 290
4.2.6 Centre d'assistance/de soutien .... .... ....... ......... .... ..... .......... .. .......... .. .. ..... ....... ................... .. ................ ... .... .................. ... 291
4.2.7 Processus de gestion des modifications ...................... ................ ...... ............ ...... ............ ............... ..................... ........... 291
Gestion des programmes de correction ... .... .......... ...... ...... .......... .. ............ ... ..... .... .. .... ................ .... ... .... .... .... ........... ... . 292
4.2.8 Gestion des versions ............ .......... ... .. ... .................................. ...... .... ..................... .. ... ...... ........ ..... ....... ......... ...... .......... 292
4.2.9 Assurance de la qualité .. ........ ...................... ..... .... .. ............... .... .. .. .................. ...... .. ............................ ... ..................... ... 293
4.3 Gestion des actifs des Tl ...... ............ .......... .. .......... .. .................................. .... ................................... .. ....... ... ............ .............. 293
4.4 Structure matérielle des systèmes d'information .......... ............... ........... ........... .......... ... .. ... ........... .. ........ ... ...... ...... .. ... ... .... 293
4.4.1 Composantes et architectures du matériel informatique ........ ...... ... .. ......... ... .... ....... ....... ... .................. ........ ........... ....... 294
Composantes du traitement ........ ....... ...... ........................ ...... ..... .... ....... .... ............. ....... ... .... ........... ..... .... ... ............. ..... 294
Composantes d'entrée-smtie ......... ........... ........... ........ ............ ..... ........ ..... .... ....... ....... ...... ....... ...... ............. ... ............... 294
Types d'ordinateurs .... ......... .... ....... .. ....... ......... .. ... ... ........... ... ........... ..... ....... .............. ... ........ ... .... .. ..... .............. .......... .. 294
Dispositifs d'arrière-plan communs pour les entreprises ....... .......... ...... .. ... ........ ....... ........ ............. ... .... ...... .............. ... 294
Bus USB ..... ......... ...... .... ...................... ... .......... ... ....... ....... ..................... ... .... .. ....... ... ............ ...... ........... ..... ............. .... . 295
Cartes mémoire et disques durs à mémoire flash ...... .. .. ............ ........ .. ........ ...................... ..... .. .. .. .................. .......... ..... 296
Identification par radiofréquence .. ......... .. .................. .. .... ... ............. .. ........... .. ............ ... .. .................. ... ...... ...... ........... . 297
4.4.2 Programme de maintenance du matériel ........ .... .... ......................... .. .. .... ........... .... ... ...... ...... .. ..... .. .. .............................. 298
4.4.3 Procédures de survei llance du matériel ............ .. .... ...... ... ..... ... ...... .. ................ ... ....... ........................ ..... .......... ... .. ..... .... 298
4.4.4 Gestion de la capacité .... ......... .... ....... ............... ... .... ... .............. .............. ...... .. ... ..... ......... .... .. .... .......... .... ..... .... ............. . 298
4.5 Architecture et logiciels des SI .. ...... .... ... ... .......... ....... ............... ... ..... ...... ............ .......... .... .. .. ... .. ................. ............ ............... 300
4.5.1 Systèmes d'exploitation ..... ........ ................. ......... .... .... .......... ........ ........ ......... .................. ... ..... .......... ....... ................... .. 300
Caractéristiques ou paramètres de contrôle des logiciels ................. .... .................. .. .... ......... ... ....... .. ..... ............... ...... .. 301
Problèmes d'intégrité du logiciel. ... ....... .... ........ ....... ........ .............. ................ .............. .......... ....... .......... .. .. .. .. ........ ...... 301
Options de journalisation des activités et de production de rapports .......... ............ ..... .... .......... ............................ ...... 302
4.5.2 Logiciel de contrôle d' accès ............. ........ ................ .... ..... .... ....... ...... ............ ..... .............. ... ............. ... ......... ........... .. .... 302
4.5.3 Logiciel de communication de données .......... .. .... .. .. ... ....................... .. ...... ........... .. ....... .................... ..... ..... ................. 302
4.5.4 Gestion des données ... ........ ............... ... .... ................. ... .. ........ ................ ......... ..... .. .. .......... ... ..... ....... ...... ......... ...... .... .. .. 302
Qualité des données ........ .. ... ...................... .. ......... .... ........... .. .... ....... ........ ......... ........ .... .... ...... ........ .... ....................... ... 303
Cycle de vie des données .. ..... ....... ... ... ....... ... ............... ........ .......... ....... ....... ..... ...................... ..... ...... .. ... ....... ........... .... 303
4.5 .5 Système de gestion de base de données ... ...... .. .... .... ..... ... ............. .. .... ....... ... ... .......... .......... .... .............. .. ...................... 303
Architecture d'un SGBD .. ............ .... ................... ... .. ... .. ... .. ........... ....... .... ......... ..... .. ... ..... ........... .... ........... ................. .. 305
Architecture détaillée des métadonnées du SGBD ....... ... .... ........ .... ... ... .. ... ................. ....... ........ ............ .. ............ ....... . 305
Dictionnaire de données/système annuaire .. .............. .............. .... .......... ............. .......... .. ... ....... .......... ........ ........ .. .. ...... 305
Structure de bases de données ...... .............. ........ .......... .... .. ....... ...... .... ...... .. ....... .......... ... ............. .............. ......... ..... .... . 305
Contrôles de la base de données ..... .... .. ............... .. ... .. .................. ........ ..... .............. ......... .. .. .................. .... ...... .. ........... 308
4.5.6 Programmes utilitaires ...... ....... .......... ...... ...... ... ..... .. ... .... ... ........ ....... ...... .. ....... .................. ....... ........................... .. ......... 308
4.5.7 Problèmes de licences de logiciels .. ..... ............... .. .... ...... ....... ... ... .. ..... ....... .... .. .. .. .......................... ...... ... ....................... 309
4.5.8 Gestion du code source .... .... ....... ............. ............ ... .. .. ... ............... .......... ... .............. ........ ........................ .. ... ...... ... .. .... ... 309
4.5.9 Informatique individuelle ........ ..... ..... .. .. ........... .. ............................. ................. ... ... .. ............................. ....... .. ..... ... ... ..... 310
4.6 Infrastructure du réseau des SI ......... ...... ........................ ... .............. ............ .......... ..... .... ....... ........ ............ ...... ............... ...... 3 10
4.6.1 Architectures du réseau d'entreprise ................ .. ..... ..... ....................... .. .. ....... ........ ............. .... ............. .. .......... .............. 311
4.6.2 Types de réseaux .............. ......... ......... ..... ..... ... ... .. .... ................................. ... ...................... ..... ...... .... ......... ..... .. .............. 3 11
4.6.3 Services réseau ........ ............. .... ... ......... ............. ... .... .. .. .... .. .... ... .... ... .. ... ... ... .. .......... ........ ... .... ........ .... ..... ........... ... ....... .. 312
4.6.4 Normes et protocoles du réseau .............................. .................................... .. .............. ...... ............................................. 312
4.6.5 Architecture du modèle de référence osi ................. ............. ................................ .. ....... ......... .......... ........... .................. . 313
4.6.6 Application du modèle osi dans les architectures du réseau ...... ........ ..... ..... ................... .... ..... ........... ......... ................. . 314
Réseau local (LAN) .. ......... ......... ... .. .......... ....................... .................. ... ...... .............. .. ... ..... ...... ............................. ...... . 315
Réseau étendu (WAN) ...... ...... ............ .. .. ..... ... ......... .......... ................ ...... ............ ........ ...... ........... .......... ....................... 319
Réseaux sans fil .. ......... .. ...... ... ................................... ..... .................... ...... ....... ... ...... ... .. .......... ............. ............ ..... ........ 323
Infrastructure d'Internet publique « mondiale» .......................................................... ... ...... .. ..... ......... ... .. .. ..... ............ 325
Administration et contrôle du réseau .. ..................... ...... .. ................................................ ..... .................... ... ............... .. 328

10 Manuel de Préparation CISA 2& édition

ISACA. Tous droits réservés.
e. Certifie<! Information
Systems Auditer·
MISJrt.t'C..Uial#l
Table des Matières

Applications dans un environnement en réseau ............... .. ....................... ... .. .......................... .............. ...... .. .... ........... 330
1nformatique à la demande ................................. ..... .... ... ............................................................... ........... ..................... 331
4.7 Audit des opérations et de l'infrastructure .. .......................... .. ............ .. ..................... .. ............ ....... ................... .......... ...... .. 331
4.7.1 Architecture d'entreprise et audit .. .. .................. .. ........ .. ................ .. ....................................... ......................... ............... 331
4.7.2 Révisions du matériel ... ......................... .. ...... .............................. .. ..... ..... .. ............. ......... ..... ..... ...................... .... .. ... .... .. 332
4.7.3 Révisions des systèmes d'exploitation ... ....... .. .. ...... ....... ........... ....... ........ .. ................................................. ... ........ ........ 332
4.7.4 Révisions de la base de données .... .. .. .............................. ...... .......... ........ ......................... .... .................. .... ..... ..... ........ . 332
4.7.5 Révisions de l' infrastructure et de l'implantation du réseau ... .. .. .. ............................... ....... .......................................... 332
4.7.6 Révision des opérations relatives aux SI ..... .. ......................................................... ... .... ... .. ........................ ...... .. ............ 332
4.7.7 Révisions de la planification ................ ............. .................................. .... ... ..... .. .. .. ............ .. .................... .................. ..... 332
4.7.8 Révisions des rappotts de gestion des problèmes ........... ...... .................. ....... .. ......... ......................... ...... .. .................. .. 332
4.8 Plan de reprise après sinistre ....... .. .. ... ......... ............ ........ ............ ........................................ ................................. .... ........ ..... 340
4.8.1 Objectif de point de reprise et objectif de temps de reprise ...... ..... ....... ... .... ... .. .. ........ ...... ... ........... ... ........ .............. ..... 340
4.8.2 Stratégies de reptise des opérations ........ ..... ........ ............................. .. .......... ................................ .. ......................... ... .... 341
4.8.3 Autres solutions de reprise des opérations ........ ... ................ ........................... .... ........................................ .. ...... ........... 341
Dispositions contractuelles ...... ....... ..... ... ...... ...... .. ...... ... .... ........ ...... ... .... ........ .. ..... ............ .... ... ...... ... ... ... .. ... ................. 342
Obtentio n de matériel de secours ....................... .. .. ... .......... ................ .... .. .. ..... .......... .................. ....................... ....... ... 343
Résilience des applications et méthodes de reprise après sinistTe ............................................................ ..... ............... 343
Résilience des données stockées et méthodes de rétablissement après sinistre ..... ... ............ ... ............ .. .. ..................... 344
Résilience des réseaux de télécommunication et méthodes de rétablissement après sinistre ..... ....................... ........... 344
4.8.4 Élaboration des plans de reprise après sinistre ...... .. .............. .. ...................................................................................... . 345
Contenu du PRS de Tl .. .. ................................... .... ........................ .. ..... ..... ..... .... .... .... ... ............................ ...... ..... ......... 345
Scénarios de PRS des TI.. ...... ...... ..... .. ....... .......... ..... .. .... ..... ....... ................. ... ..... .. ...................... .... .............................. 346
Procédures de récupération .. ........ .......... ....... .......... ...... ........ ........ .... ..... ..... ........... .... ........... ... ......... .......... .... ....... .. .... .. 346
4.8.5 Organisation et affectation des responsabilités ............. .......... ........... ............................. ....................................... ........ 346
4.8.6 Sauvegarde et rétablissement. .................... ..... .... ....... ....... ..... ................... .... .... .. ......... .. ... ... .. .. ............ ............. ......... .... . 347
Contrô les des bibliothèques hors site ................. ...... .... ...... ... .... ... .. ........... .. .......... ... ......... ... ......................................... 348
Sécurité et contrôle des installations hors site ........ .... .. .............. ..... ......................................... ................. .. .................. 348
Sauvegarde des médias et de la documentation ..... .... ........ .... .......... ............. ........................... ........ ........ ........ ...... ..... .. 348
Types de dispositifs et de supports de sauvegarde ...... .. .. ................................................................................. .... .... ..... 348
Procédure de sauvegarde périodique ...... ..... ............... ... ............................... .... ................. ..... .............. .. .. ............ ....... .. 349
Fréquence de rotation ............... ............... ........ .......... .......... .. ............... ... ........................ .. ..... ........ ......... .. ...... .. ...... .... .. 350
Méthodes de sauvegarde ..... ... ............ ........... ............ .......... ... ... .... ...... .. ... ........... .......... .... ... .. .... ....... .. ....... .... ... ... .... ...... 351
Méthode de rotation .... ...... .. ....... ..... ..... .. .... .. ............ ........ .............. ....... .... ...... .. ..... ........ .. .. .. .......... ... ... .... .. ...... ...... ........ 351
Tenue de registres pour le stockage hors site ............................................. ........... ..... ... .................. ................ ...... ........ 352
4.8 .7 Méthodes de test de reprise après sinistre .. .... .............................................................................. ... ..... ................... ....... 352
Types de tests ............. .. ...... ............... ............ ..... .... ..... ... .. ... ... ....... ... ........ ...... ............... .. ... .. ... ..... ... ... ,....... ... ..... ... .... ..... 353
Tests ...... ... ............. ... .. ..... .................. ................... .. ............. ..... ....... .......... ....... ........... ... ...... ........... .. ... .... .. ........... ......... 353
Résultats de tests .......... .. .... ..... ............ ... .... ..... ...... .......... ... ....... ....... .. ..... ... ............ ................... ............ ... ... ............... .. .. 354
4.8 .8 Invoquer les plans de reprise après sinistre ........ ... ............. .................. ............ .. ............ .. ... .......................... .. ...... ...... .. . 354
4.9 Études de cas .... ........................... .. ............................... .... ............ ..................... ... ....... .... ................................... .. .. ................ . 354
4.9.1 Étude de cas A .................................. ........... ... .......................................... ............ ...... ..... .............................................. . 354
4.9.2 Étude de cas 8 ........... ... .......... ........ ........ ...... ......... .. .................... .. ...... .. ...... .... ........ .......... ......... ........................ ..... ...... . 355
4.10 Réponses aux questions des études de cas ......................... .. ............................... ...... .. ........... ..................... ........ .. .... ... .... .. .. . 355
Réponses aux questions de l'étude de cas A ....................... ...... ........................................... ......................... ........ ...... ............ 355
Réponses aux questions de l'étude de cas 8 .... ... ............... ...... ........... .... ........ ........... .......... ....... ........ ............... ... ...... ...... .... .. 356

Manuel de Préparation CISA 26e édition 11

ISACA. Tous droits réservés.
 Table des Matières
e. Gerti!ied Information
Systems Auditer'
MIS.t.CA" C«<•!UlQ'I

Chapitre 5 :
Protection des Actifs Informationnels ........................................................................................ ................. 357
Section un :Avant-propos ................................................................................... ................. ................................................ 358
Définition .. ..... ....... .. ........ ......... ........ ...... ... .... ... ...... .. .. ..... ...... ..... .... ... .. ...... ..... .. .. ............. .. ....... ........ ... ... .... ................. ......... .. ... .... .... 358
Objectifs .... .... ... .............. ...... .......... ... .. ... .. ..... .... ........ ..... .. ..... ....... ...... .......... ........ ........ .... ..... ....... ....... .... ...... .. .... ....... .... .... ...... ......... 358
Tâches et énoncés de connaissances ... .. .. .......... ...... ........ ..... .... .... .... ... .. ............. .......................... .. ........ ......... ... ... ........ ..... ............. 358
Tâches .... ..... .... .... .... ..... ... ... ....... ........... .... ............... ..... ....... ..... ..... ........ .... ... ..... ... ...... .. .......... ....... ........... ...... ... ....... ...... ..... ... .. 358
Énoncés de connaissances ... ... ......... ............. .... ..... ...... ..... .... ... ....... ... ....... ..... ..... ... ...... .. .. .. .. .................. .............. ..... ........... .... 358
Ressources suggérées pour approfondir l'étude ....... ....... ... .... .. ...... ........................................ ............ .'............. .. ................. .......... 372
Questions d'autoévaluation ... ... ... ................. ........ ..... .................... ...... ........... ..... ............... ........... ... .... .............. .... .. ..... .................. 373
Réponses aux questions d'autoévaluation .. ............... ... ..... ........... ....... ..... ... ...... .. .. .. ... ....... .... .... ... ............. ..... .. ............. ... ... .. ..... .. .. 374

Section deux: Contenu .................................... .................................................. .................................................................... 377

5.1 Résumé ............... ......................... ......... ... ........ ........ ....... ............... .... .. .. ............ .... .............. ...... .. ...... ................. ...... ........ .... .... 377
5.2 Gestion de la sécurité de l'information .. ....... .... .. .. ............... .. ..... ...... .. ............ .. ..... .. ............................................ ... ........ ...... 377
5.2. 1 Éléments clés de la gestion de la sécurité de l'information ....... .... .. ...... ...... .... ....... ......... ..... ...... ................ .. ........ ..... .... 378
Système de gestion de la sécurité de l' inf01mation .. .................... .. ........... .... .. .... .. ........... ........ ................. ... ................ 378
5.2.2 Rôles et responsabilités de la gestion de la sécurité de l'information ..... ........ ... ......................... ........... ......... .... .... ...... 378
5.2 .3 classification des actif.~ informationnels .... ........ .... ...... ...... ... ....... .. ......... .. .... .. ............ .. ....... .. .. ...... .... .... .... .. .......... .... .... 380
5.2.4 Facteurs de risque de fraude .............. .. .......... ...... ..... ..... ... ...... ... ..................... ........ ...... .... ...................... .................... .... 381
5.2.5 Conception des contrôles de la sécurité de l'information .... .. ..... ............... .. ....... .. ..... ...... ........................ ........... .. ...... .. . 381
Contrôles de gestion, techniques et physiques .... .......... .. ........ ............. ... ... .. ...... .. ........................... .. .......... .. .. ...... ... 382
Normes et cadres de contrôle .... .. .... .............. ............. ...... .......................... .................. ... ..... ......... ... ...... ..... ........ ... ...... . 382
Surveillance et efficacité des contrôles ............. ..... ........... .... .. .. ............................................................................... 382
5.2.6 Autorisation d'accès au système ...... .. ... ....... .... .. ...... .... ............... ................... .. .. .... ... .. ...... ..... ... ....... ........ ...... .... .... ..... .... 383
5.2.7 Contrôle d' accès obligatoire et discrétionnaire .................................... ............ .... ....... .................. ........ ....... .. ... ............ . 384
5.2.8 Principes de confidentialité et rôle des auditeurs des SI... ..................... ......... .................. ............ ............ ..................... 384
5.2.9 Facteurs essentiels au succès de la gestion de la sécurité de l'infonnation ..... .......... .. ....... ......... ................ .. .. .... .... .. .... 385
Sensibilisation à la sécurité, formation et éducation ......... ................................... ............................ ............. ... ... ..... ..... 385
5.2. 10 Sécurité de l'information et parties externes .. .. ........... ............... ... ................ ............. ........... ........ ....................... ........ 386
Identifier les risques reliés aux parties externes ........ .......... .... ............ .. ................ .... ....... .. .... ... .................................. . 386
Traiter de la sécurité en s'occupant des clients ...... ....... ..... ....... ................................ ....... ..... ........................................ 387
Aborder la sécurité dans les accords des tierces patties .... .. .... ........................... .. ......... ........ ................ ........ ....... ....... . 387
5.2.11 Sécmité des ressources humaines et tierces parties ................................. .... .......... .. ............... .. ... .... .. .. ............ ......... .. . 389
Vérification des antécédents ..... ...... .......... .. .... ... .... ...... .... ...... ....... .. ......... ..... ... ...... ......... ... ... ........ .......... ........ .. ......... ... . 389
Modalités d'embauche ...... ...... .. ...... ....... .. .... ..... ..... .. ... ..... ....... .......... ......... .. .. ... ... ............ .............. .. .... ....... .. ....... .......... 389
Durant l'emploi .. ...... ..... ... ............. .................... ....... ........................... .. .. .............. ... .............. .... .................. ...... ... ...... ... 389
Résiliation ou changement d'emploi ........... .... .. ................. ... .............. ........................ ....... ... .................... .. .. ............ .... 390
Suppression des droits d'accès .... .. ...... .......... .. ..... ...... ..... .... ........ ..... ......... .......... ...... ...... ....... ...... ... ......... ..... .... .. .......... 390
5.2.12 Problèmes et exposition aux crimes informatiques ................ ........... .. .................. .................... .. .................. ............... 390
5.2.13 Traitement et réponse à un incident de sécurité ...... ... .... .. ..... .. .... ............ ........ .. ... ... ...... ....... ..... ... ..... ... ....................... . 398
5.3 Accès logiques ............... ... ..... ..... ...... .......... ..... ........... .... .... .... ...... .. ...... .... .. .. ... ...... .. ........ .... ........ ... .......... .... .......... ...... .... .... .. .. 398
5.3 .1 Expositions d'accès logiques ..... .. .. .... .. ... .... ....... .. .. ......... ..... ...... ...... ...................... .... ......... ...... ....... ........ .. ........ .... ....... .. 399
5.3.2 Familiarisation avec l'environnement des Tl de l'entreprise ............................... .. ................... ......... .. .. ................... ..... 399
5.3.3 Chemins d'accès logiques ........ ........... ...... ......... ......... ... ......... ... .... ..... .. .................. .. ...... ...... ...... .. .. ....... ........................ 399
Points d'entrée généraux ...... ...... ..... ........ ..... ... ...... .... .... .... ............... ........... .... ........... ..... ..... .......... .... ... .............. ...... ... .. 399
5.3.4 Logiciel de contrôle d'accès logique .................. ... ............ ...... .... ...... ..... ... ......... .. ....... ... ................ ... ... .................. ........ 400
5.3 .5 Identification et authentification ... .................... .... ... .. .... ........ ..... .. ............. ...... .... .... ......... ..... ... ........ .... ..... .... ... ... ....... ... 400
Codes d' utilisateur et mots de passe ........ .... ........... ....................... ... .. .. .... ..... .. ...... ... ................ ..... ..... ......... .. ........... .... 401
Dispositif à jeton et mot de passe à usage unique .......... ............ ........ ...... .. ........ ............ ...... ........ ......... ......... ...... .. .. ..... 403
Biométlie ......... ...... .......... ... ....... ..... ... ..... ... ... ........... .... .... .... .. .......... ..... .... ....... ....... ......... ................ .... ..... .... .. ...... ...... ... 403
Identification unique ..... .. ......... .... .. ................... ....... ... ... ................. .. .. .. ... .. ....... ..... ....... ......... ........... ........ .... ... .......... .... 405

12 Manuel de Préparation CISA 26e édition

ISACA. Tous droits réservés .
e Certified Information
Systems Auditor'
MJSJ.C.rC...UICIIIQ(I
Table des Matières

5.3.6 Problèmes d' autorisation ....... ...... ........... ....... ......... ...... ..... ... .... ..... ............... ... ... .... ............... .............. ... ... .................... . 406
Listes de contrôles d'accès ........ .. ...... .... ... ... ......... ... ..... ........... ........ ....... ........ ... ..... .. .... ..................... ................. ........... 406
Administration de la sécurité d'accès logique ........ ...... .................. ........................ ..... ..... ... .......................................... 406
Sécurité d'accès à distance ........................................... ... ..... .. .................... ... ...... .. ...... ...... .......... ............ ......... ............. 407
Journalisation d'audit du système de surveillance des accès ...... ..... ........... .................................................... .......... .... 408
Règles d'affectation des noms pour les contrôles d'accès logiques ........ ........ .. ...... .... ....... .......................... ........... ... .. 409
5.3. 7 Stocker, récupérer, transporter et disposer des informations confidentielles ..... .... .... .... ...... ....... ........ .............. ... .. .... ... 410
Conservation de l'information lors de l'envoi ou du stockage ....... ................. .................... ........ ................................. 411
Précautions concernant le stockage de média spécifique ............................................................... ..................... ......... 411
5.4 Sécurité de l'infrastructure du réseau ....... .... .. .. .. .. .......... ... ............. .. ....................... ........... ...... .................... .. .. .... ............... 411
5.4.1 Sécurité d ' un réseau local .. .... .... ........ ............................................... .............. ........... .......................... ....... ........... .. ....... 412
Virtualisation ....... ....... .... .... ......... ........ ... ..... ... ...... ......... .... ...... ....... .................. .... .... .............................. ....................... 412
5.4.2 Sécurité client-serveur ............... .. ............... ...... .......... .. ................. .............................................................. .. ................. 413
5.4.3 Atténuation des menaces et des risques relatifs à la sécurité du sans fil ...... ... ..... ....... .......... ...... ........... ...... .... ............. 414
5.4.4 Menaces et sécurité internet ... ...... ........ .. ...................... .............................. .. .................................................................. 415
Menaces à la sécurité du réseau .............. ......................... .. .............. ....... ........ ........ .. ..................... ........ ....................... 415
Attaques passives .. ...... ........ ......... ... ... ....... .. ......... ... .. ................. ....... ..... ....... ....... ... .. ...... ..... ... ...... ...... ........ ....... ............ 416
Attaques actives ..... .................. .... ................. .... .............. ...... ... ....... .... .............. ........ ...... ... .. .. .. ... ....... ..... ... ... .......... ..... .. 416
Facteurs de causalité des attaques sur 1nternet.. ...................... .......... .. ....................... ... .. .. .. .......... ..... ... ..... ............ ....... 416
Contrôles de la sécurité sur Internet ..... ............. .. .... .......... ...................... ...... ............. ...... .... ....... ...... .. ....... .. ................. 416
Systèmes de sécurité coupe-feu ... .. ................................ ... ......... ............ ......... ...... .. .... ...... .......... ............ ....................... 417
Caractéristiques générales du coupe-feu ....... .......... .......................... .. ........... .............................. ................................. 417
Types de coupe-feu ....................... ...... ... .................. ... ............................................... ....... ............. ............. ... ................ 417
Coupe-feu filtre de paquets .... ....... ....... ....... .... .... .... ........ ....... .. ... .. ................ .... ............................................................ 417
Exemples d' implantation de coupe-feu ..... ............... .... ..................... ...... ......... .... ............................... ..... .. ........ .. ....... .. 419
Problèmes des coupe-feu ... .. ......... ... ... ...... .... ........................... ........ ....... ........ ......... ..................................................... . 419
Platefonnes des coupe-feu ................................. ... ... ........ .......... .. ......... .. ..... ... ........... ... ... .. .. ......... ....... ......... ............ .... . 420
Systèmes de détection d ' intrusion (fOS) ....... ......... .... .............. .......... .. .. ......... ............................. ... ....... .... ..... ... .. ...... .. . 420
Systèmes de prévention d'intrusion .............. .. .. ............................... .......... ..................................................... .. ............ 421
Pots de miel (Honey pots) et réseaux leurres ............................................................................................................. ... 421
5.4.5 Chiffrement. ........................ ............. ....... ...... ... ..... .. ..... ....... .. ..... ... ........ ............. .......... .................. ........... .................... .. 421
Éléments clés des systèmes de chiffrement ..... ........ ... ... ................. .............. .................. .... ..... ............... .. ................. ... . 422
Systèmes cryptographiques à clé symétrique ............ .... ....... .............. .. ....................... .. ..................... ........................... 423
Systèmes cryptographiques à clé publique (asymétrique) .... .... ... ..... ....... ......... ..... .. .... ........ ..... ..... ............. ... .. ... .. ........ 423
Cryptographie quantique .. ...... .... ................ ... ........ ...... ......... ........... ........... .... ........ ... ... ..... .......... .... .... .. ..... ..... .............. 424
Signatures électroniques ... .. .......... ....... .. .. ..... .................. ..... ....... ................ ... ...... ........ ... ................................. .. ............ 424
Infrastructure à clé publique ............... ... .. ... ... .... ................. ... ....... ........ .... ...... ..... .... .. ..... ........ ................................. .. .... 426
Applications des systèmes de cryptographie .... ........ ........ .. ............. ..... ............... ...................... .. ......... ... .... .. ...... .......... 426
5.4.6 Logiciel malveillant ..... ..... ... ..... ... ............... ..... ... ..... .................. ...................................... .... ..... ..... .... ... ........... ..... ....... ... 427
Contrôle des virus et des vers ........ ... ........ ........ ......... ... ............. .... ...... ......... ........... ....... .............. ........... .. ......... .......... . 428
Mesures de contrôle des procédures de gestion .............................. .......... ... .................................... .. ...... ..................... 428
Mesures de contrôles techniques ........ .... ........ .... ..... ...... .... ...... .............. .... ........... .............. .......................................... . 428
Stratégies de mise en place de logiciels anti-logiciels malveillants .... ... ... ....... ...... ................ ....... .......... .............. ........ 429
5.4.7 Voix SUR IP ... ................. ....... ......... ..... ... ... ..... ............ ... ......... .. ..... .... .......... .... ...... ................. ... ...... ..... .......................... 430
Problèmes liés à la sécurité causés par la VolP .............................................. ............. .. .... ............................. .......... ..... 430
5.4.8 Autocommutateur privé .... ....... ... ........... ... ............................... .............. .. .................................. ............. ........................ 431
Risques associés au PBX ...... ................... ............ ... ..... ............... ..... .......... ........ ....... ...... ..... ....... .. .. ...... ........ .. ... .. .......... 431
Audit du PBX ......................................................................... .. ... ..... .............................. .. ...... .......... .... ........... ..... ... ... ... 432
Fonctionnalités du système PBX ......... .......... ...... ............................ ... ......... .... .............. ....... ..................... ........ ............ 432
Attaques du système PBX .. .... .............. .... ...... ...... .... ................ ................. ........ .............. .... .......................... ....... ....... .. 432
Écoute téléphonique avec le matériel ............................. ......................... ......... ......... .... ......... ....... .......... .. ... .. ........ ....... 433
Conférences avec le matériel .............. ............. ...... .. .......................................... ................. ........................................... 433
Accès à distance .. ... .. .. ..... .... ..... ..... ..... ....... ...... ... ..... ... ... ........ .. .. ......... ... .. ... ...... ..... .. ... ... ... .... .... .......... .... .. ..... ................ 434
Entretien ... ...... ..... ...................................... ... ............... .. ............... ......... ....... .. .............. ............ ..... .. ...... ....... ... ..... ......... . 434
Fonctionnalités spéciales du fabricant ......... ... .. ... ..... .......................................... .. ...... .. .......... .. ........... ........ ... .... ....... .. .. 435

Manuel de Préparation CISA 266 édition 13

ISACA. Tous droits réservés.
 Table des Matières
e. Certified Information
Systems Auditor'
MISACA"c.ttlloa\IQtl

Fonctionnalités de test et de développement du fabricant... ....... ....... ..... ........ ....................................... ...... ... ... ..... ... ... . 435
Chargement du logiciel et altération des mises à jour .......... ..... .... .... ..................... ..... .......... .... .. .. ..... ............. .. ...... ..... 435
Attaques arrêt-redémarrage .......... .... ...... ...... ........ .. ..... ..... ... ..... .... ....... .... ... .. ....... .......... .... .. ... ..... ... ... ..... .. .. ...... ....... ...... 435
Mots de passe ..... .. ... ..... ... .. ......... .. .. .. ... ... ...... ... ... ... ......................... ............ ............. .. ................. ... .......... ... ...... ... ...... .... 436
5.5 Audit du cadre de gestion de la sécurité de l'information ............ ................. .............. ............ .. ................. .. ....................... 436
5.5 . 1 Audit du cadre de gestion de la sécurité de l'information ....................................................... .............................. ..... .... 436
Révision des politiques, procédures et normes écrites ............... ...... ............................................................................. 436
Politiques de sécurité de l'accès logique ................................................................. .................. .. .......... .... .................... 436
Sensibilisation et formation officielle sur la sécurité ................................................................................................... . 436
Droit de détention des données ..................................... ...... ............................................ .. .............. ........ .. .. .............. .... 437
Détenteur des données ..... ..... ...... ........ ................ .......... ................... .. .. .. ..... ........... ......... .. ... ... ........ ........... ..... ...... .. ....... 437
Gardiens d'actif informationnel ...... ....... ........... ....... ......... .. ..... ........... ....... .... ...... ............. ....... ......... ................ .......... .. 437
Administrateur de la sécurité ....... ... .. ............ ... ... ........ ............ ..... .. ...... ..... ............ ........ .......... ... .................. .. .......... ...... 437
Nouveaux utilisateurs des Tl ... .... .................. ... .................. ................ ....... ................. ......... ..... ... .............................. .... 437
Utilisateurs des données ...... .... .. .. ...... ... ................. .. ..... ..... .................... .................................... .. ......... .... .......... ...... ..... 437
Autorisations documentées ....... ..... ....................... ... ..... ............ .. ....... ...... ...... ... ......... ..... ......... ..... ..... .... ............... .. ....... 437
Accès par un ex-employé ......... ....... ..... ...... .................. ........... .. ... .... ................ ... ...................... .. ................. .... .......... .. .. 437
Sécurité minimale ......... .... .......... .... ........... ..... .. ..... .. .... .. ..................... ...................... ............... .............. ........ ....... ......... 438
Normes d'accès ... .. .... ........... .. ............. .......... ....... .. ...... ............ .............. .. .. ....... ... ....... ... ... ...... ..... ........... ................ ....... 438
5.5.2 Audit de 1'accès logique .................................... ... ........ ............................. .. .............................. .. ................................... 438
Familiarisation avec l'environnement des TI ........... .... ...................................................................................... ......... ... 439
Évaluation et documentation des chemins d 'accès ............................... .............. .......... .......... ............ .............. ...... ...... 439
Entrevues avec le personnel des systèmes ........................... .... .............................................................. .......... .............. 441
Révision des rapports à partir du logiciel de contTôle d'accès ............ .... ................ ...... .... .... .. ....................... .......... .... 441
Révision du manuel d'opérations du système d ' application .... ............................................... ...................................... 441
5.5.3 Techniques pour tester la sécurité ............................. ................... ............... ...... ...... .... ................ ......... ........................... 441
Cartes d 'accès au terminal et clés ................................ .. ........ .. ..... .. .......... ...... ...................... ........ .......................... .... .. 441
Identification du terminal .............................................. ................................ ........ .......... ...... ....................................... . 441
Codes d'utilisateur et mots de passe .. ........................ .. ..................... ............................................................................ 442
Contrôles sur les ressources de production ........ ... .................................... ..... ............................................................... 442
Journaliser et rapporter des infractions d'accès informatique ................. .. ............ ........ ..... ... ........................................ 442
Suivi des infractions d'accès .... ......... ..... ........ .. ... ................. ..... ....................... ... .... ...................................................... 443
Contourner les contrôles de sécurité et correctif.<> ............................................................................................... ... ...... . 443
Révision des contrôles d'accès et administration du mot de passe ....... .............................. ........ ................ ................ .. 443
5.5.4 Techniques d ' enquête ..... ... .... ... .... ..................... .. .... .. .. .............. ... ............ .... ................ .............. ...... ................ ......... ...... 443
Enquête d'un crime infornmtique ................... ... ... .... ................ ..... ...... .... ....................... .............. ............ .. ....... ..... ....... 443
Expertise judiciaire en informatique .. .. ........................................ .... ...................... ............................. ................ ... .... ... 443
Protection de la preuve et de la chaîne de garde ...... ............................ ........ ..... ........................................... ........... ...... 445
5.6 Audit de la sécul"ité de l'infrastructm·e réseau ............................................. .. ...................................................... ................ 445
5.6.1 Audit de l' accès à distance ........................................ .... ................................................................................................. 446
Audit des points de présence Internet .................................................................................. ..... ....................... ... ...... .... 446
Test d 'intrusion de réseau ..... .. ............. ... .. .... .. ........ ..... ...... ............. .... ............................. .............. ...... ... ............ ......... .. 446
Révisions de l'évaluation du système entier ................................................................................................................. 447
Développement et autorisation des changements réseau .... ................................. ... .. .... .. .... .. .. ...................................... 449
Changements non autorisés .............................. ........ ..... ............ .... ....... .. ......... ....................... ...................... ... .. ..... .. ... ... 450
5.7 Expositions et contrôles environnementaux .... ............... .... .. ....................... .. ........................ .... ......................... ....... ........... 450
5.7.1 Problèmes et expositions environnementaux ............................ ................. .. ...... ...... .......... ... ............................ .. ......... ... 450
5.7.2 Contrôles pour les expositions environnementales .......... ..... .... ................................ .. ............................................... .... 451
Tableaux de contrôle d'alarme ......... ...... ............ .. ................ .... ....... ...................... .. .......... ........ ..... .............................. . 451
Détecteurs d'eau ........... ... ..................... ............... ... ........................... ..... ...... ........... ..... ......... ......... ..... ..... ........ .......... ... 451
Extincteurs portables ................... ... ..... ..... ............ ............. .. ...... ..... ......... .... ..... ..... ........ ........... .... ... ...... .. .................. .... 451
Alarmes d'incendie manuelles ........... ..... ............ ... ........ ............... .......... ... ...... ............ .. ..... ................................... .. ... .. 451
Détecteurs de fumée .................................... ....... ........... ... ................. ............................. ........ ..... .......... ........................ 451
Systèmes d ' extinction des incendies ........... ........ ...... .. .... .. .......... ..... ........... ............................. ..... ................... ....... .... .. 451
Emplacement stratégique de la salle des ordinateurs ........ .. ...................... .. .. .............. ............ ...... ................. ........ ... .... 452

14 Manuel de Préparation CISA 26e édition

JSACA. Tous droits réservés.
e. Certif!Cd Information
Systems Auditor"
A.niSAc.t'c.. uruiJ0!1
Table des Matières

Inspection régulière du service d' incendie ........ ... .. .... .. ....... ...... ...... ....... ... ... ........ ...... ...... ... ... .. .. ...... .. ......... ........ ....... ... 452
Murs, planchers et plafonds ignifugés de la salle des ordinateurs ...................... ..... ... .. .............. .. ............ .................... 452
Protecteurs de surtensions électriques ... ... ........... .... ... .. .... ....... .. .. ...... .... ................. .... ........ .............. ... ..... ... ..... ... .. ....... . 452
Alimentation électrique ininterrompue/Génératrice .... .. ....... .. .......... ....... .... ....... ..... ......... .. ........... .... ..... .. ... ............ ...... 453
Commutateur de mise hors tension d' urgence ....... .. ...... ...... .... ........ .... ............ .. ...................... .......... .... ....... ... ......... .. .. 453
Chemin d'alimentation de deux postes électriques .. .......... ....... ...... ................ .... ................ .. ........................ .. .............. 453
Câbles placés dans les panneaux et les tubes protecteurs électriques ........ ...... .................................... ......................... 453
Activités inhibées au sei n de l'installation de traitement de l'information ........................ ............ .. ............ .. ... ... ........ 453
Maté1iaux de bureau résistant au feu .... ................ ............. ...... .... ...... .. ... ..... .......... ... ...... ............ .......... ... ..... .. ..... ...... .... 453
Plans d'évacuation d ' urgence documentés et testés ....... ... .... ........... .......... ... ......... .. .... .. .... .... ........ ..... .... ........... ........... 453
5.7.3 Audit des contrôles environnementaux ....... ........ ... ............. ........... ...... .... .. .............. ............ ............ ..... .................. .... .... 453
Détecteurs d'eau et de fumée ....... ......... ........... .. ..... ... ..... ........................ ...... .......... ......... ..... ..................... .... ...... ......... 453
Extincteurs portables .. ... ............ ............ ..... .. .... ..... ... ........ ....... .. ............... .................. ...... .. ........... .... .......... .... .. ........ .... 453
Systèmes d'extinction des incendies .. ......... .. ............... ... .... ..... ...... ........... .. .... ..... ....... ........... ... .. .. ...... ... ........ .... ... ..... ... 453
Inspection régulière du service d'incendie .. ....... ....... .... .. ......... ...... ... ........................ ......... ...... ........ ...... ....................... 453
Murs, planchers et plafonds ignifugés de la salle des ordinateurs ... ..... .. ....... .. ...... .. .. ... .... .......... .... ... .. ............. ... ........ . 454
Protecteurs de surtensions électriques ..... ... .. ..... .. ......... ..... ...... ... ..... ................ ............. ... .... .. ....... .... ......... ...... .......... .... 454
Chemin d'alimentation de deux postes électriques .. ....................... .. .... ... .................... ..... .. ............................ .. ...... ... ... 454
Plan de continuité des activités documenté et testé ............ .. ... .................. ................ .... ... ..... ............ ...... ... .... ........ .. .... 454
Câbles placés dans les panneaux et les tubes protecteurs électriques ..... .... ............. .. ..... ..................... ......... .... .. .......... 454
Système d'alimentation sans coupure/Génératrice ... .. .................................... .. ...... ..... .. ... .. ............. .. ....... ... ...... ......... .. . 454
Plans d'évacuation d'urgence documentés et testés .... .... ..................... ... ... ........ .... ..... ....................... ... ................ .... .... 454
Contrôle de l'humidité/de la température .................. ... .. .......... ....... ...... .................. ...................... ...... .. .... ... ... ... .... ....... 454
5.8 · Expositions et contrôles d'accès physique ............ ...... ... .. ............. ................ .... ...... .............. ....... ........... .............................. 454
5.8. 1 Problèmes et expositions de l'accès physique ................... ...... ...... ................................. .................. .......... .................... 454
Expositions d'accès logiques ..... .... ................. ...... .... .. .......... ....... ... .... ........ .. ... ... ... .. ........ ........ ..... ..... .. ....... .. .... ........ ... .. 454
Intrus possibles ........ ...... .... .... ............ .. ......... ...... .... .... ....... ... ................................ .. .... ... ............................. .. ........ ......... 454
5.8.2 Contrôles d'accès physique .... ....... ...... ........ .. .. .. ................... ...... .. .............. ...... ....................... .................................... .. . 455
5.8.3 Audit de l' accès physique .... .. .................... ........ ...... ... .. .......... ..................... ....... ........ .............. ... ................. ..... ...... .... ... 456
5.9 Informatique mobile ............. .. ............... ... ... .... .......... .... .. .. .......... ..... ... .... .... .... ....... .... .... .... .. ...... ... ....... .. ........ .... ........... ......... 457
5.10 Informatique pair-à-pair ....... .... .... ...... ...... .... .... ....... .. .... ..... .......... .... ... .. ........ ..... .. ................. .......... .... .... .... ....... ... ......... .. ..... 459
5.11 Messagerie instantanée ... ..... ...... .......... ................ ..... .. ...... .. ...... .. .............. ......................................... ....................... ...... ........ 459
5.12 Médias sociaux ....... ........................ ............... .. .......... ................ .... .. .... .. ... .. .. .. .......... ...... ....... ... .. ........ .... .................. ...... ... .. .... 459
5.13 Infonuagique ........ ........ ......... ...... .... ...... ....... .. .. ...... ... ... .... ...... .......... ... ....... ......... .... ........ .. .... ........ .... ....... ............. .... ..... ....... ... 459
5.14 Fuite de données ............ .... .............. ... ....... .. ............... ..... .... ......... ..... .... ...... ... ........ .......... ... .. .... ........ ............. ...... ... ....... ...... ... 465
5. 14.1 Prévention des fuites de données ... .... ... ......... ... .......................... .. ..... .. .............. ....................... .... .......... .. .... ....... ..... ... . 465
Données au repos .............. ..... ....... .... ... ....... ..... ....................... .. .......... .... .......... ........... ............ ...... ......... .. ... .... ... ....... ... . 465
Données en mouvement (réseau) ........ ........ .. .... ... ..... .... .... ..... ... ... ... .......... ... ...... ...... ... .... .. ........ .... .. .. ...... .. ...... .. .. .... ....... 465
Données en cours d'utilisation .... ....... ......... .... ... ... .. ................. ........................ ..... .... .. .. ................ .. .......... .. ... ...... .. .. ..... 465
Création et gestion des politiques ...... .... ............ ........... .......... .... .. .......................... ............... ...... .... .. ....................... .. ... 465
Intégration des services de répertoire .................. ....... .. .... .. ...... .. ................... ..................... .. .. .. .. ..... .. ... ......... .... ...... ...... 466
Gestion du flux de travail .. .................. ............ .. ..... .......... .. ... ........... ... ........ ..... ....... ................ ..... .... .... ....... .................. 466
Sauvegarde et restauration .... ...... ..... .. ..... ... ..... .. .... .......... ... .......... .. ..... .... .......... .. ..... ........... .... .. ... ...... .. ... ... .... ... ..... .. .. .... 466
Rapport .... ....... .. .... ...... ........ .. ....... .......... ... ........ ... ........ ......... ... ............... .... ........ .... .. .. ..... ...... .... .. .... .. ..... .. .... ... ...... ..... ... 466
5.14.2 Risques, limites et considérations en matière de prévention des fuites de données .......... ........... .. ......... .. .......... .. ...... 466
5.15 Risque et contrôles associés à la sécurité de l'informatique d'utilisateur final ........ ............................ .......... .. ............. ... 466
5.16 Études de cas .............. ............... .. ...... ... ..... .. .... ... ... .. ........... ..... .... ... .... ............ .... .... ........ ..... ... .......... ... .... ... ... ......... .... ...... .... .. . 467
5.16.1 Étude de cas A .. ....... ... .... .. ... .... ....... ......... .. ................................ .. ... .... ... ..... ... ........ ......... ... ...... .. ........... .................. ...... 467
5.16.2 Étude de cas B .. ........................ ........... .... ........ ............. ........................................... ..... ...... ........... ..... ... ..... ... ............... 467
5.16.3 Étude de cas C ............... ....... .... .... .................. ...... .............. .... .. ..... ... ........... .. .... ............... .... ........ .... ............ .. .............. 468
5.16.4 Étude de cas D ............ .... .. ...... ................. ..................... .. ..... .... ............... .. ...... ....... ... ....... .... .................... .................... . 468

Manuel de Préparation CISA 26e édition 15

ISACA. Tous droits réservés.
 Table des Matières
e Certified Information
Systems Auditer'
MISI.tKC..to1.a!lorl

5.17 Réponses aux questions des études de cas ............ .... .......... ... ................... ... .... ..... ... ........ .. ................... ...... ... ..... .................. 468
Réponses aux questions de l'étude de cas A ......................... ..................... ................................................. .... ........................ 468
Réponses aux questions de l'étude de cas B .. .. ............................ ..... .................................. .............. .. ............................. .. .... . 469
Réponses aux questions de l'étude de cas C ................... .... ................. ........... .. ...... ........ ........ ... .................... ..... ...... ......... ..... 469
Réponses aux questions de l'étude de cas 0 ....... .... .... ...... .. ... ..................... ......................... .. ............... ............ ...................... 469

Annexe A : Normes, directives, outils et techniques d'audit

et d'assurance des 51 .................................................................................................................................................. 471
Lien entre normes, directives, outils et techniques .. .. .. .......... .. .... .. .... ...... ....... ... ... ...... ............ .... ........... ......... ....... .. ... ...... .......... .. . 471
Utilisation .......... ..... ........... .. .. .. .. .......... ....... ........ .... .. ... .... .... ... ......... .... ..... ............. ....... .. .............. ... ............ .... .......... .. .... ....... ..... ...... 472

Annexe B : Informations générales sur l'examen CISA .............................................................. 473

Exigences de certification .............. .. .... ..... ............ ......... ...... .. ...... .. .. ..... ........ .... ... ......... ... ........ ..... .... .................. ... .. ............ ...... ...... 473
Réussite de l'examen CISA .. ...................... ........ ..... ............ .... .... ............................. ..... ...... ..................... ..................... .. .... ...... .. .... 473
Expérience en audit, contrôle et sécurité des systèmes d'information .......................... ........ .. .. .. ........................... ...... ..... ...... .... 473
Description de l'examen .... ... ... .......... .. ....... .... .. ...... ........ ..... .... ........... ......... ..... .. .......... ...... ................ ....... ..... ...... ... .. ............... ....... 473
Inscription à l'examen CISA .. .......... .......... ........... ...... .... .............. ............. ....... ... ... ... ............ ...... .................. ... ..... .. ... ... ......... ... ..... 473
Programme d'acc1·éditation de CISA renouvelé sous la norme ISO/IEC 17024:2012 ..... ........ ................ .. ...... .. .. .. ... ....... ..... .... 474
Préparation à l'examen CISA ..... ....... ......... ....... .......... ... ...... .. ....... ... ..... ..... ... ... .............. ... .... .. ................ ... ... .. .... .......... ......... .. ... ... 474
Types de questions d'examen ... .... .... ........ ........... ....... ........ .. .. ...... .... ...... .. .. .. ........... ..... .. ..... ... .... .... ..... ...... ..... .... ...... ........ .... ... ..... .. . 474
Administration de l'examen ....... ........ ....... .............. .............. ..... ...... ......... ......... ... ...... ......... ........... ........ .... ..... .... ......... .. ...... .... ...... 474
Lors de l'examen ......................... ................ .. .. ...... ... .......... ......... .......... ............... .. ...... .............. ... ..... ...... .. ............... .... ... ... ............. 474
Planifier votJ·e temps ............. ... ....... .... ......... .... .................. ........ ....... ................ ............ .. .. ......... .......... ............ .......... ... ....... ..... ....... 475
Règles et procédures ..................... ........................ ... ...... ........ ...... ........ ........ .... ............. ........ ......... ..... ..... .... ....... .................... ......... 475
Notation de l'examen .......... .. .... .. ...... ..... .... ................ ................ ......................... .. .... ........ .. ..... ... ........ .... ... ........ .......... .......... .. ...... .. 475

Glossaire ................................................................................................................................................................................... 477

Acronymes ........................................... ........................................................................................................................ ............ sos

Index .................................................... ..................................... ............. ....................................................................................... s1 1

16 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e.
...
Certifled lnformatioo
Systems Auditor"
AIIISAt:A"&e<tlfallar!
A propos de ce manuel
PRÉFACE
Le Manuel de Préparation CJSA ® 26'' édition a été conçu pour
aider les candidats à se préparer en vue de 1'examen CI SA.
Il constitue l'une des sources importantes d'information,
mais non la seule, et ne doit pas être considéré comme un
recueil exhaustif de toute l'information et de l'expérience
nécessaires pour réussir l'examen. Aucune publication n'offre
une telle garantie.
Si le manuel traite d' un sujet que le candidat ne connaît pas
ou qu'il connaît peu, celui-ci devra consulter d' autres sources
d'information afin de parfaire ses connaissances. L'examen
comporte des questions destinées à évaluer les connaissances
techniques et pratiques du candidat ainsi que sa capacité à
appliquer ses connaissances (t'ondées sur son expé1ience) dans
des situations données.
Le Manuel de Préparation CJSA® 26• édition contient la matière
et les activités liées aux nombreuses fonctions des domaines
d' emploi du CISA, tels qu'ils sont décrits dans le Guide
d'information destiné aux candidats aux examens de l 'ISACA
(www.isaca.org/examguide).
Domaine 1 Processus d'Audit des Systèmes 21%
d' Information
Domaine 2 Gouvernance et Gestion des Tl 16 %
Domaine 3 Acquisition, Conception et Implantation 18 %
des Systèmes d' Information
Domaine4 Exploitation, Entretien et Gestion des 20%
Services des Systèmes d' Information
Domaine 5 Protection des Actifs Informationnels 25%
Remarque : Chaque chapitre définit les tâches que les candidats
au titre CISA doivent connaître et comprend une série d'énoncés
de connaissances requises pour accomplir ces tâches. Tl s'agit des
pratiques courante de l'auditeur des S I. Les domaines d'emploi
e rsA détaillés se trouvent au WWI1<Ïsaca.Oiglcisajobpractice. Cet
examen se base sur ces énoncés de tâches et de connaissances.
Ce manuel a été conçu et structuré pour aider le candidat à
étudier. Le candidat au titre CISA doit évaluer ses forces, t'ondées
sur ses connaissances et son expérience, dans chacun de ces
domaines.
FORMAT DU MANUEL
Chacun des cinq chapitres du Manuel de Préparation CISA®
26c édition a été divisé en deux section pour une meilleure
organisation de l' étude.
La première section de chaque chapitre comprend :
• Une définition du domaine;
• Les objectifs du domaine pratique;
Manuel de Préparation CISA 26e édition
ISACA. Tous droits réservés.
• Une liste des énoncés de tâches et de connaissances du
domaine;
• Un schéma montrant la relation entre chaque tâche et les
énoncés de connaissances du domaine;
• Un guide de référence pour les énoncés de connaissances du
domaine, y comp1is les explications et concept<> pertinents;
• Des références à des pmiies précises du contenu dans la section
deux pour chaque énoncé de connaissances;
• Des questions d'autoévaluation ainsi que les réponses et leurs
explications;
• Des ressources suggérées pour approfondir l'étude.
La deuxième section de chaque chapitt·e comprend :
• Des références et du contenu qui appuient les énoncés de
connaissances;
• La définition des termes les plus souvent trouvés dans
1'examen.
Le contenu inclus est pertinent aux connaissances et à la
compréhension des candidats au titre CISA qui se préparent à
l'examen de certification CISA.
Le contenu du manuel est numéroté pour aider le candidat à
trouver le chapitre où est traité un sujet particulier. Des sous-titres
permettent de repérer les niveaux subséquents du sujet (p. ex.,
« 2.8.3 la section Méthodes d'analyse du risque » constitue une
sous-section de la section p1incipale « Gestion du risque», dans
le chapitre 2). Pour attirer l'attention, les sous-sections sont
affichées en caractères gras.
La compréhension du matériel contenu dans ce manuel constitue
un baromèh·e des connaissances, des forces et des faiblesses
du candidat et lui permet de découvrir les domaines où il devra
étudier davantage. Toutefois, les documents écrits ne remplacent
pas l'expérience. Les questions d'examen CISA évalueront
l'habileté du candidat à mettre en pratique ses connaissances.
Chaque étude de cas à la fin d'un chapitre présente une situation
en lien avec la profession et le domaine étudié. Les scénarios
comprennent des sujets traités dans le chapitre et incluent
également des questions pratiques qui aident à mieux comprendre
comment peuvent se présenter les questions à l'examen
CI SA. Ce même objectif s' applique également aux questions
d 'autoévaluation de la première section des chapitres, et ces
questions ne doivent pas être utilisées séparément comme source
de connaissances. Les questions d'autoévaluation ne doivent pas
êtTe considérées comme une façon de mesurer la capacité du
candidat à répondre correctement aux questions d'examen CISA
pour un domaine. Elles sont conçues pour habituer le candidat
à la structure des questions et au contenu général et peuvent
différe r ou non des questions qui seront présentées à l'examen.
Le matériel de référence inclus dans la première section de
chaque chapitre donne la liste des publications utilisées lors de la
rédaction de ce manuel.
À la fin de la publication, le candidat trouvera un glossaire. Il
comprend les termes employés dans le texte et les termes qui
s'appliquent aux différents domaines, mais qui n'ont pas été
17

traités spécifiquement. Le glossaire peut constituer une autre
indication des domaines pour lesquels le candidat doit chercher
des références supplémentaires.
Bien que tous les efforts aient été faits pour que le manuel passe
en revue la majorité des informations que les candidats doivent
savoir, toutes les questions d'examen n'y sont pas nécessairement
couvertes. Les candidats devront compter sur leur expérience
professionnelle afin de fournir la meilleure réponse.
Dans le manuel, le mot« association>> désigne l' lSACA. Veuillez
noter que le texte a été écrit en anglais américain standard et a été
traduit en fi·ançais internationaL
Remarque : Le Manuel de Préparation CJSA®26• édition
est un document évolutif Il est actualisé à mesure que les
technologies progressent. Les prochaines mises à jour du
manuel avant la date de 1'examen se trouvent sur le site www.
isaca.org/studyaidupdates.
ÉVALUATION DE CE MANUEL
L'ISACA surveille continuellement les changements
professionnels, technologiques et environnementaux rapides
et profonds qui touchent les professions d'audit, d'assurance,
de contrôle et de sécurité des SI. Le Manuel de Préparation
CJSA®est mis à jour de façon pétiodique afin de refléter ces
changements rapides.
Pour nous aider à rester à jour quant à ces innovations, nous
vous demandons de prendre un moment pour évaluer le Manuel
de Préparation CJSA 00 26" édition . Cette rétroaction nous est
précieuse pour mieux servir la profession ainsi que les futurs
candidats à l'examen CISA.
Pour remplir l'évaluation sur notre site Web, rendez-vous au
www. isaca. orglstudya idsevaluation.
Merci de votre soutien et de votre aide.
À PROPOS DU MANUEL CISA: QUESTIONS,
RÉPONSES ET EXPLICATIONS
Pour mieux se préparer à l'examen, le candidat peut également
consulter le Manuel de Préparation ClSA® 1 /" édition :
Questions. Réponses et Explications ainsi que la base de
données sur les questions, réponses et explications CISA®-
abonnement de 12 mois.
Le Manuel de Préparation CJSA 00 Il" édition : Questions,
Réponses et Explications contient 1 000 questions à choix
multiples, les réponses et les explications, le tout organisé par
domaines de pratique d'emploi ClSA. Bon nombre de ces
éléments figurent dans de précédentes éditions du Manuel de
Préparation CISA 00 : Questions, Réponses et Explications, mais
ont été remaniés pour correspondre aux pratiques en cours et être
davantage représentatives des questions d'examen CISA.
18
e . Gertified lnlormaliDfl
Systems Auditer'
An/SI.t.l" twi•I CIIIioll
Comme autre élément d'aide à l'étude, mentionnons la base
de données sur les questions, réponses et explications CISA 00
- abonnement de 12 mois . Elle contient les 1 000 questions,
réponses et explications trouvées dans le Manuel de Préparation
CISA 00 1/" édition : Questions, Réponses et Explications. Avec
ce produit, le candidat au titre CISA peut trouver ses forces et
ses faiblesses en répondant aux questions d'un examen type
de longueur variée et en classant les résultats par domaine. Les
examens types peuvent être sélectionnés par domaine, ce qui
petmet d'étudier plus en profondeur un domaine à la fois et
comp01tent également d'autres avantages, par exemple le retrait
des questions qui ont été répondues correctement.
Les questions trouvées dans ces produits sont représentatives des
questions d'examen et comprennent une explication des réponses
correctes et incorrectes. Les questions sont triées par domaines
Cl SA et en fonction des examens types. Ces produits sont
patfaits pour être utilisés avec le Manuel de Préparation C!SA ®
26c édition. Elles peuvent servir de sources de référence tout au
long de l'étude ou de la révision finale . Elles aident également à
déterminer les domaines où le candidat présente des lacunes et,
par conséquent, les domaines qu'il doit étudier davantage. Il faut
savoir que ces questions et les réponses suggérées constituent des
exemples; il ne s'agit nullement des questions réellement posées
à 1'examen.
Remarque : Lorsque vous utilisez le matériel de révision CTSA
pour vous préparer à l'examen, sachez qu' il couvre un large
éventail des problèmes d 'audit des systèmes d ' infonnation,
de contrôle et de sécurité. Ne tenez pas pour acquis que le
simple fait de lire le manuel et de répondre aux questions de
révision vous prépare à cent pour cent à l'examen. Puisque
les questions d' examen se fondent souvent sur l' expérience
pratique, le candidat doit puiser dans sa propre expérience,
doit consulter d'autres sources de référence et doit s'inspirer
également de l'expérience de ses collègues et des autres
personnes ayant obtenu le titre CISA.
COURS DE PRÉPARATION EN LIGNE CISA
Le cours de préparation en ligne CISA est un outil d'étude
autonome en ligne. Aucun matériel physique (livres, manuels
d'étude, etc.) n'est fourni avec le cours. Bien qu'il soit très
différent relativement à la façon avec laquelle l' inf01mation est
livrée, le cours se base sur du contenu provenant du Manuel de
Préparation CISA 26c édition et sur du contenu supplémentaire
provenant d'experts en la matière. Le cours comprend des
questions pratiques ainsi que des activités interactives,
des exercices et un glossaire en ligne pour améliorer la
compréhension du contenu.
Pour mieux évaluer s'il s'agit d'un outil d'étude approprié pour
vous, veuillez consulter la démonstration du cours à l'adresse
athttp://demo.certification-partners.com/demolv3/index.htm. Pour
vous inscrire au cours, allez à wwv,dsaca.orglelearning.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 e
Certified Information
Systems Auditor·
Chapitre 1 :

Processus d'Audit des

An ISACA• Certification Systèmes d'Information

Section un : Avant-propos
Définition ............................................................................................................................................................................................ 20
Objectifs .............................................................................................................................................................................................. 20
Tâches et énoncés de connaissances ................................................................................................................................................. 20
Ressources suggérées pour approfondir l'étude ............................................................................................................................. 29
Questions d'autoévaluation ............................................................................................................................................................... 30
Réponses aux questions d'autoévaluation ....................................................................................................................................... 31

Section deux : Contenu

1."1 Résumé ...................................................................................................................................................................................... 33
1.2 Gestion de la fonction d'audit des 81 ..................................................................................................................................... 33
1.3 Normes et directives d'assurance et d'audit des SI de I'ISACA ......................................................................................... 36
1.4 Contrôles de 81 ......................................................................................................................................................................... 43
1.5 Réaliser l'audit des SI ............................................................................................................................................................. 48
1.6 Con1muniquer les résultats de l'audit.................................................................................................................................... 63
1.7 Autoévaluation des contrôles .................................................................................................................................................. 65
1.8 Changements dans le processus d'audit des 81 ..................................................................................................................... 67
"1.9 .Études de cas ............................................................................................................................................................................ 70
1.10 Réponses aux questions des études de cas ............................................................................................................................. 71

Manuel de Préparation CISA 268 édition 19

ISACA. Tous droits réservés.
 Section un : Avant-propos
Chapitre 1 - Processus d'Audit des
Section un :Avant-propos
DÉFINITION
Ce chapitTe porte sur le processus d'audit des systèmes
d ' information (SI) et englobe la démarche complète d'audit, y
compris les procédures et une méthodologie approfondie, qui
permet à un auditeur des SI d'effectuer l'audit de n'importe quel
domaine de l'informatique de manière professionnelle.
OBJECTIFS
L'objectif de ce domaine est d ' assurer que le candidat au titre
CISA possède les connaissances nécessaires pour oftl·ir des
services d'audit conformes aux normes d'audit des SI, afin
d'aider l'organisation à protéger et à contrôler ses systèmes
d'information.
Cette section représente 2 1 % des questions de 1'examen Cl SA
(soit environ 32 questions).
TÂCHES ET ÉNONCÉS DE CONNAISSANCES
TÂCHES
Cinq tâches sont comprises dans le domaine couvrant le processus
d 'audit des systèmes d'information :
T 1.1 Exécuter une stratégie d ' audit des SI fondée sur le
risque, conforme aux normes d'audit des SI, pour
assurer que les secteurs clés sont audités.
Tl.2 Planifier des audits spécifiques pour déterminer si les
systèmes d'inf01mation sont protégés et contrôlés et
s ' ils apportent de la valeur à l'organisation.
Tl .3 Effectuer les audits conformément aux normes d'audit
des SI pour atteindre les objectifs d'audit planifiés.
T 1.4 Communiquer les résultats d'audit et faire des
recommandations aux principales parties prenantes
dans le cadre de réunions et de rapports d 'audit pour
promouvoir le changement au besoin.
T 1.5 Effectuer des suivis d'audits pour déterminer si des
mesures appropriées ont été prises par la direction de
façon opport1me.
20
Systèmes d'Information
e Certi!ied Information
Systems Auditor'
M ts.i.U." Cor\IIOCillll\
ÉNONCÉS DE CONNAISSANCES
Le candidat au titre CISA doit avoir une bonne compréhension
de chacun des sujets ou domaines définis par les énoncés de
connaissances. Ces énoncés constituent la base de l'examen.
Onze énoncés de connaissances sont compris dans le domaine
couvrant le processus d'audit des systèmes d ' information :
Cl.l Connaissance des normes, des directives, des outils
et des techniques d'audit et d'assurance des SI de
I'ISACA, du Code d'éthique professionnelle et des
autres normes applicables.
C 1.2 Connaissance des concepts, des outils et des techniques
de planification, d 'examen, de production de rapport et
de suivi.
C 1.3 Connaissance des processus administratifs de base
(p. ex., l'approvisionnement, la paie, les comptes
créditeurs, les comptes clients) et le rôle des SI dans ces
processus.
C 1.4 Connaissance des principes de contrôle relatifs aux
contTôles des systèmes d'inf01mation.
C 1.5 Connaissance des techniques de planification d 'audit
et de gestion d ' un projet d'audit basées sur le risque. y
compris le suivi.
C 1.6 Connaissance des lois et réglementations applicables qui
concernent la portée, la collecte et la conservation des
données et la fTéquence des audits.
C 1. 7 Connaissance des techniques de collecte des preuves
(p. ex., l' observation, l'enquête, l'inspection, l'entrevue,
l' analyse des données, les méthodes d 'enquête
judiciaire, les techniques d'audit assistées par ordinateur
[TAAO]) utilisées pour recueiiJir, protéger et conserver
les preuves d 'audit.
C 1.8 Connaissance des différentes méthodes
d'échantillonnage et autres procédures analytiques de
données.
Cl.9 Connaissance des techniques de rapport et de
communication (p. ex., la modération, la négociation et
la résolution de conflits, la rédaction des avertissements,
les résumés de gestion, la vérification des résultats).
C 1. 10 Connaissance des systèmes et des cadres de référence
pour J'assurance de la qualité (AQ) des audits.
Cl . 1 1 Connaissance des différents types d'audits (p. ex.,
internes, extemes, financiers) et des méthodes pour
évaluer les travaux d'autres auditeurs ou entités de
contrôles afin d'en avoir confiance.
Relation entre les tâches et les énoncés de
connaissances
On s'attend à ce que le candidat au titre CISA connaisse et puisse
appliquer les énoncés de tâches. Les énoncés de connaissances
délimitent chacun des domaines que doit bien connaître le
candidat au titre CISA pour exécuter des tâches . Les énoncés
de l1ches et de connaissances sont mis en correspondance au
tableau 1.1 dans la mesure où il est possible de Je faire. Notez
que bien qu' i1y ait souvent chevauchement, chaque énoncé
de tâche correspondra généralement à plusieurs énoncés de
connaissances.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certified lnfonnation
Systems Auditor·
M lSACA' tttl•lo:r.t.Gn
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
Tableau 1.1 - Correspondance des tâches et énoncés de connaissances
Énoncés de tâches
T1 .1 Exécuter une stratégie d'audit des SI
fondée sur le risque, conforme aux
normes d'audit des SI, pour assurer que
les secteurs clés sont audités.
T1.2 Planifier des audits spécifiques pour
déterminer si les systèmes d'information
sont protégés et contrôlés et s'ils
apportent de la valeur à l'organisation.
T1 .3 Effectuer les audits conformément aux
normes d'audits des SI pour atteindre les
objectifs d'audit planifiés.
Manuel de Préparation CISA 26e édition
ISACA. Tous droits réservés.
Section un : Avant-propos
Énoncés de connaissances
C1.1 Connaissance des normes, des directives, des outils et des techniques d'audit et
d'assurance des SI de I'ISACA, du Code d'éthique professionnelle et des autres normes
applicables.
C1.2 Connaissance des concepts, des outils et des techniques de planification, d'examen, de
production de rapport et de suivi.
C1.3 Connaissance des processus administratifs de base (p. ex., l'approvisionnement, la paie, les
comptes créditeurs, les comptes clients) et le rôle des SI dans ces processus.
C1.5 Connaissance des techniques de planification d'audit et de gestion d'un projet d'audit
basées sur le risque, y compris le suivi.
C1.6 Connaissance des lois et réglementations applicables qui concernent la portée, la collecte et
la conservation des données et la fréquence des audits.
C1.10 Connaissance des systèmes et des cadres de référence pour l'assurance de la qualité (AQ)
des audits.
C1.11 Connaissance des différents types d'audits (p. ex., internes, externes, financiers) et des
méthodes pour évaluer les travaux d'autres auditeurs ou entités de contrôles afin d'en avoir
confiance.
C1.1 Connaissance des normes, des directives, des outils et des techniques d'audit et
d'assurance des SI de I'ISACA, du Code d'éthique professionnelle et des autres normes
applicables.
C1.2 Connaissance des concepts, des outils et des techniques de planification, d'examen, de
production de rapport et de suivi.
C1.3 Connaissance des processus administratifs de base (p. ex., l'approvisionnement, la paie, les
comptes créditeurs, les comptes clients) et le rôle des SI dans ces processus.
C1.4 Connaissance des principes de contrôle relatifs aux contrôles des systèmes d'information.
C1.5 Connaissance des techniques de planification d'audit et de gestion d'un projet d'audit
basées sur le risque, y compris le suivi.
C1.6 Connaissance des lois et réglementations applicables qui concernent la portée, la collecte et
la conservation des données et la fréquence des audits.
C1.10 Connaissance des systèmes et des cadres de référence pour l'assurance de la qualité (AQ)
des audits.
C1 .11 Connaissance des différents types d'audits (p. ex., internes, externes, financiers) et des
méthodes pour évaluer les travaux d'autres auditeurs ou entités de contrôles afin d'en avoir
confiance.
C1.1 Connaissance des normes, des directives, des outils et des techniques d'audit et
d'assurance des SI de I'ISACA, du Code d'éthique professionnelle et des autres normes
applicables.
C1 .2 Connaissance des concepts, des outils et des techniques de planification, d'examen, de
production de rapport et de suivi.
C1.3 Connaissance des processus administratifs de base (p. ex., l'approvisionnement, la paie, les
comptes créditeurs, les comptes clients) et le rôle des SI dans ces processus.
C1 .4 Connaissance des principes de contrôle relatifs aux contrôles des systèmes d'information.
C1.5 Connaissance des techniques de planification d'audit et de gestion d'un projet d'audit
basées sur le risque, y compris le suivi.
C1.6 Connaissance des lois et réglementations applicables qui concernent la portée, la collecte et
la conservation des données et la fréquence des audits.
C1 .7 Connaissance des techniques de collecte des preuves (p. ex., l'observation, l'enquête,
l'inspection, l'entrevue, l'analyse des données, les méthodes d'enquête judiciaire, les
techniques d'audit assistées par ordinateur [TAAO]) utilisées pour recueillir, protéger et
conserver les preuves d'audit.
C1 .8 Connaissance des différentes méthodes d'échantillonnage et autres procédures analytiques
de données.
C1 .9 Connaissance des techniques de rapport et de communication (p. ex., la modération, la
négociation et la résolution de conflits, la rédaction des avertissements, les résumés de
gestion, la vérification des résultats).
C1.10 Connaissance des systèmes et des cadres de référence pour l'assurance de la qualité (AQ)
des audits.
C1 .11 Connaissance des différents types d'audits (p. ex., internes, externes, financiers) et des
méthodes pour évaluer les travaux d'autres auditeurs ou entités de contrôles afin d'en avoir
confiance.
21
 Section un : Avant-propos
Tableau 1.1 -Correspondance des tâches et énoncés de connaissances
Énoncés de tâches
T1 .4 Communiquer les résultats d'audit et faire
des recommandations aux principales
parties prenantes dans le cadre de
réunions et de rapports d'audit pour
promouvoir le changement au besoin.
T1.5 Effectuer des suivis d'audits pour
déterminer si des mesures appropriées
ont été prises par la direction de façon
opportune.
Guide de référence sur les énoncés de connaissances
Chaque énoncé de connaissances est expliqué en fonction des concepts sous-jacents et de la pe1iinence de l' énoncé de connaissances
pour l'auditeur des SI. Le candidat à l'examen doit absolument comprendre les concepts. Les énoncés de connaissances représentent ce
que l'auditeur des SI doit savoir pour exécuter ses tâches. Par conséquent, seuls les énoncés de connaissances sont présentés dans cette
section.
Les sections citées sous C 1.1 à C 1.11 sont décrites plus en détail dans la section deux du présent chapitre.
22
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
e. Certified Information
Systems Auditor'
MISACo\"Ce<\ IIQllorl
Énoncés de connaissances
C1.1 Connaissance des normes, des directives, des outils et des techniques d'audit et
d'assurance des SI de /'/SAGA, du Code d'éthique professionnelle et des autres normes
applicables.
C1.2 Connaissance des concepts, des outils et des techniques de planification, d'examen, de
production de rapport et de suivi.
C1.3 Connaissance des processus administratifs de base (p. ex., l'approvisionnement, la paie, les
comptes créditeurs, les comptes clients) et le rôle des SI dans ces processus.
C1 .6 Connaissance des lois et réglementations applicables qui concernent la portée, la collecte et
la conservation des données et la fréquence des audits.
C1.9 Connaissance des techniques de rapport et de communication (p. ex., la modération, la
négociation et la résolution de conflits, la rédaction des avertissements, les résumés de
gestion, la vérification des résultats).
C1.10 Connaissance des systèmes et des cadres de référence pour l'assurance de la qualité (AQ)
des audits.
C1 .11 Connaissance des différents types d'audits (p. ex., internes, externes, financiers) et des
méthodes pour évaluer les travaux d'autres auditeurs ou entités de contrôles afin d'en avoir
confiance.
C1.1 Connaissance des normes, des directives, des outils et des techniques d'audit et
d'assurance des SI de I'ISACA, du Code d'éthique professionnelle et des autres normes
applicables.
C1.2 Connaissance des concepts, des outils et des techniques de planification, d'examen, de
production de rapport et de suivi.
C1.3 Connaissance des processus administratifs de base (p. ex., l'approvisionnement, la paie, les
comptes créditeurs, les comptes clients) et le rôle des SI dans ces processus.
C1.4 Connaissance des principes de contrôle relatifs aux contrôles des systèmes d'information.
C1.5 Connaissance des techniques de planification d'audit et de gestion d'un projet d'audit
basées sur Je risque, y compris Je suivi.
C1.6 Connaissance des lois et réglementations applicables qui concernent la portée, la collecte et
la conservation des données et la fréquence des audits.
C1.7 Connaissance des techniques de collecte des preuves (p. ex., l'observation, l'enquête,
l'inspection, l'entrevue, l'analyse des données, les méthodes d'enquête judiciaire, les
techniques d'audit assistées par ordinateur [TAAO]) utilisées pour recueillir, protéger et
conserver les preuves d'audit.
C1 .8 Connaissance des différentes méthodes d'échantillonnage et autres procédures analytiques
de données.
C1.9 Connaissance des techniques de rapport et de communication (p. ex., la modération, la
négociation et la résolution de conflits, la rédaction des avertissements, les résumés de
gestion, la vérification des résultats).
C1.10 Connaissance des systèmes et des cadres de référence pour l'assurance de la qualité (AQ)
des audits.
C1 .11 Connaissance des différents types d'audits (p. ex., internes, externes, financiers) et des
méthodes pour évaluer les travaux d'autres auditeurs ou entités de contrôles afin d'en avoir
confiance.
Manuel de Préparation CISA 2t;e édition
ISACA. Tous droits réservés.
e. Certified Information
Systems Auditor'
MISAc.t' Ctoi Uficl ticlo
Chapitre 1 - Processus d'Audit des
Systèmes d'Information Section un : Avant-propos

Cl.l Connaissance des normes, des directives, des outils et des techniques d'audit et d'assurance des 51 de
1'15ACA, du Code d'éthique professionnelle et des autres normes applicables.
Explication 1 Concepts clés 1
Référence dans le Manuel2016
La crédibilité de tout audit des SI se détermine en grande partie par sa Code d'éthique 1.3.1 Code d'éthique professionnelle de
conformité aux normes couramment acceptées. Les normes, directives, professionnelle I'ISACA
outils et techniques d'audit et d'assurance des SI de I'ISACA, ainsi que
Normes, directives, outils 1.3.2 Normes d'assurance et d'audit des SI
le Code d'éthique professionnelle, sont élaborés, soumis pour discussion
et techniques d'audit et de I'ISACA
à des professionnels de l'audit et diffusés par I'ISACA dans le but de
d'assurance des SI 1.3.3 Directives d'assurance et d'audit des
fournir un cadre de référence pour l'exécution du travail et la conduite
professionnelle d'un auditeur des SI. Les auditeurs des SI doivent respecter SI de I'ISACA
les normes d'audit et d'assurance des SI de I'ISACA et suivre les directives 1.3.4 Outils et techniques d'assurance et
pertinentes. Tout manquement au respect des normes ou tout défaut à d'audit des SI de I'ISACA
justifier une déviation des directives pourrait constituer une transgression 1.3.5 Relations entre les normes, les
au Code d'éthique professionnelle. Bien que l'on s'attende à ce que le directives, les outils et les techniques
candidat au titre CISA connaisse ces normes et directives, l'examen Compréhension de 1.3.6 ITAF™
portera sur la compréhension par le candidat de la mise en pratique de I'ITAF™
ces renseignements et non sur des questions de définitions qui ne font que
vérifier la capacité à retenir l'information.

C1.2 Connaissance des concepts, des outils et des techniques de planification, d'examen, de production de
rapport et de suivi.
Explication 1
Concepts clés 1
Le plan d'audit pour l'ensemble de l'organisation doit être basé sur le risque Impact de l'évaluation
d'affaires associé à l'utilisation des Tl, et l'on s'attend à ce que l'auditeur des risques sur l'audit
des SI soit conscient de la nécessité de porter son attention sur ce risque. des SI
De plus, l'audit doit être axé sur les éléments les plus critiques de la fonction
à l'étude. Pour cette raison, l'auditeur des SI doit connaître et savoir mettre
en pratique les techniques d'analyse du risque nécessaires pour déterminer
et prioriser les risques d'affaires compris dans la portée de l'audit. Cette
approche permet à l'auditeur des SI d'élaborer un plan d'audit qui affecte
les ressources limitées de l'audit là où elles sont le plus utiles. Bien que le Compréhension des
risque d'affaires soit le principal ingrédient du programme d'audit, l'auditeur concepts d'analyse du
des SI doit aussi faire en sorte de minimiser les éléments associés tels que risque dans un contexte
le risque d'échantillonnage, le risque de non-détection, l'importance relative d'audit
des constatations, etc., puisque ces derniers peuvent avoir un impact sur la Application des
qualité des résultats. techniques d'analyse
du risque pendant la
planification de l'audit
Communication des
résultats et suivi des
mesures correctives et
des recommandations
Référence dans le Manuel2016
1.4.1 Analyse du risque
1.5.3 Méthodologie de l'audit
1.5.4 Audit fondé sur le risque
1.5.5 Risque d'audit et son importance
relative
1.5.7 Techniques d'évaluation des risques
liés à l'audit des SI
1.4.1 Analyse du risque
1.5.4 Audit fondé sur le risque
1.5.5 Risque d'audit et son importance
relative
1.5.6 Évaluation et traitement des risques
1.5.7 Techniques d'évaluation des risques
liés à l'audit des SI
1.6 Communiquer les résultats de l'audit
1.6.1 Structure et contenu du rapport
d'audit
1.6.2 Documentation de l'audit

C1.3 Connaissance des processus administratifs de base (p. ex., l'approvisionnement, la paie, les comptes
créditeurs, les comptes clients) et le rôle des 51 dans ces processus.
Explication 1 Concepts clés 1 Référence dans le Manuel 2016
Un audit des SI inclut l'évaluation des contrôles relatifs aux SI mis en place Techniques adéquates 1.2.3 Planification de l'audit
pour assurer l'atteinte des objectifs de contrôle. Pour s'assurer de l'efficacité de planification de l'audit
du processus d'audit des SI, il est essentiel de comprendre les objectifs I-Co.....:m_p-re-.h-e-ns-· _n_d_e_s_-+__ _ __
C_t--l-- . -t- - - - - - - - !
. 10 1.4.2 on ro es 1n ernes
de contrôle et d'identifier les contrôles cles qui permettent d'obtenir un obJ'ectifs de contrôle 1·4·3 ob· t'f d t • 1 d SI
environnement adéquatement contrôlé. L'audit est donc un processus Jec 1 s e con roe es
assurant que les objectifs de contrôle sont reflétés adéquatement par les 1.4.4 CO BIT 5
contrôles correspondants. COBIT fournit un cadre de contrôle complet 1.4.5 Contrôles généraux
qui peut aider l'auditeur des SI à fixer des points de référence pour les 1.4.6 Contrôles propres aux SI
objectifs de contrôle. Le candidat au titre CISA constatera que COBIT est
une excellente source d'information lors de la préparation pour l'examen
CISA. Le candidat au titre CISA doit garder en tête que l'examen CISA ne
comprendra aucune question demandant des définitions CO BIT et qu'on ne
lui demandera de citer aucune référence CO BIT particulière.

Manuel de Préparation CISA 26e édition 23

ISACA. Tous droits réservés.
 Section un : Avant-propos
Chapitre 1- Processus d'Audit des
Systèmes d'Information
e . Certified lnformalion
Systems Allditor'
MIUCJ;"t.rl•l,...1ioll

C1.4 Connaissance des principes de contrôle relatifs aux contrôles des systèmes d'information.
Explication 1 Concepts clés 1 Référence dans le Manuel2016
Pour atteindre ses objectifs dans les limites d'une portée et d'un budget Appliquer les techniques 1.2.2 Gestion des ressources de l'audit des SI
donnés, l'audit doit être soigneusement planifié. La réalisation d'un de planification de l'audit 1.2.3 Planification de l'audit
audit des SI ne diffère pas fondamentalement de celle d'un projet. Par 1.2.4 conséquences des lois et des règlements
conséquent, la préparation d'un audit requiert un niveau de planification sur la planification de l'audit des SI
semblable pour assurer l'utilisation adéquate et efficace des ressources. t--------+----------------;
Les auditeurs doivent comprendre les techniques de planification et Impact de 1.5.1 Objectifs de l'audit
de gestion de projet afin de gérer adéquatement l'audit et d'éviter une l'environnement des 1.5.3 Méthodologie de l'audit
utilisation inefficace des ressources. Cependant, le niveau des questions SI sur les pratiques et 1.5.8 Programmes d'audit
dans l'examen CISA s'adressera à un auditeur des SI et non pas à un techniques d'audit des SI 2.11 Structure de gouvernance pour l'audit des
gestionnaire de projet. Tl et mise en œuvre
2.13 Audit du plan de continuité des activités
3.14 Audit des contrôles d'application
3.15 Audit du développement, de l'acquisition
et de la maintenance des systèmes
4.7 Audit de l'infrastructure et des opérations
5.5 Audit du cadre de gestion de la sécurité
de l'information
5.6 Audit de la sécurité de l'infrastructure
réseau

C1.5 Connaissance des techniques de planification d'audit et de gestion d'un projet d'audit basées sur le risque, y
compris le suivi.
Explication 1 Concepts clés 1 Référence dans le Manuel2016
Afin de cerner efficacement les risques importants de l'entreprise, Compréhension des 1.4.1 Analyse du risque
l'auditeur des SI doit acquérir une compréhension de l'organisation et de concepts d'analyse du
son environnement, en particulier : risque dans un contexte
• Les facteurs externes et internes qui affectent l'organisation; d'audit
• Le choix et l'application des politiques et procédures de l'organisation;
Compréhension des 1.4.2 Contrôles internes
• Les objectifs et stratégies de l'organisation;
objectifs de contrôle 1.4.3 Objectifs de contrôle des SI
• La mesure et l'examen de la performance de l'organisation.
1.4.4 COBIT 5
L'acquisition de cette compréhension sous-entend également que 1.4.5 Contrôles généraux
l'auditeur des SI comprenne certains concepts clés comme : 1.4.6 Contrôles propres aux SI
• La gestion stratégique;
• Le modèle d'affaires;
• Les processus de gouvernance d'entreprise;
• Les types de transactions que l'entité effectue et les parties avec
lesquelles elle les conclut.

Il faut comprendre de quelle façon ces transactions sont entrées et sont

traitées dans les systèmes d'information.

C1.6 Connaissance des lois et réglementations applicables qui concernent la portée, la collecte et la conservation
des données et la fréquence des audits.
Explication 1 Concepts clés 1 Référence dans le Manuel2016
Les lois et réglementations de toutes sortes, incluant les traités Facteurs à prendre en 1.5.11 Preuve
internationaux, les gouvernements centraux, fédéraux ou locaux, et les considération lors de la 1.6.2 Documentation de l'audit
lois et réglementations concernant l'industrie, influencent la conduite collecte, de la protection
des affaires par les organisations et déterminent souvent la portée, et dans la chaîne de
la fréquence et le type des audits. Elles déterminent aussi en grande possession des preuves
partie les exigences de rapport. En cas d'enquête pour fraude ou de lors d'un audit des SI
procédures juridiques, la préservation de l'intégrité de la preuve tout
Éléments spécifiques à 1.8.2 Audit continu
au long de son cycle de vie pourrait être désignée comme " chaîne de
prendre en considération
possession ,, si la preuve est classée comme preuve légale. On attend
lors de la documentation
davantage du candidat au titre CISA une connaissance des modalités de des preuves de l'audit
collecte de la preuve plutôt qu'une quelconque participation à l'obtention
de cette preuve.

24 Manuel de Préparation CISA 2lr édition

ISACA. Tous droits réservés.
e Certified Information
Systems Auditor"
MlSiotA"c.rtllotallon
Chapitre 1 - Processus d'Audit des
Systèmes d'Information Section un : Avant-propos

Cl. 7 Connaissance des techniques de collecte des preuves (p. ex., l'observation, l'enquête, l'inspection, l'entrevue,
l'analyse des données, les méthodes d'enquête judiciaire, les techniques d'audit assistées par ordinateur [TAAO])
utilisées pour recueillir, protéger et conserver les preuves d'audit.
• 1 ., Référence dans Je Manuel2016
Un des concepts fondamentaux de l'audit est que ses résultats doivent Mise en pratique et 1.5.15 Techniques d'audit assistées par
s'appuyer sur des preuves objectives. Il est donc essentiel de connaître les valeur relative des ordinateur
techniques utilisées pour rassembler et conserver la preuve. L'information techniques d'audit
est recueillie auprès des audités ou de diverses autres sources, y compris : assistées par ordinateur
manuels de référence, comptables, banques, fournisseurs, vendeurs, etc.,
et d'autres domaines fonctionnels pertinents de l'entreprise. L'information
est recueillie au moyen d'enquêtes, d'observations, d'entrevues et d'analyse
des données avec les techniques d'audit assistées par ordinateur (TAAO).
Des médias électroniques, y compris l'utilisation d'un logiciel d'audit
automatisé, peuvent servir à conserver la preuve qui appuie les résultats de
l'audit, mais il faut prendre soin de conserver toute " copie papier, faisant
partie de la preuve. Dans tous les cas, les politiques de conservation de la Techniques pour 1.5.11 Preuve
preuve électronique doivent envisager de conserver la preuve qui appuie recueillir la preuve 1.5.12 Entrevues et observation du
les résultats de l'audit. En tant qu'organisme international, I'ISACA reconnaît personnel dans 1'exécution de ses
que les " règles de présentation de la preuve •• peuvent différer selon la tâches
réglementation locale et nationale, et la culture; toutefois, les concepts tels
que l'importance des preuves légales sont universels.

Les conclusions de l'audit doivent s'appuyer sur des preuves fiables et

pertinentes. La preuve recueillie au cours d'un audit suit un cycle de vie. Ce
cycle comprend la collecte, l'analyse, la conservation et la destruction de la
preuve. La source de la preuve doit être fiable et compétente -la preuve doit
venir directement d'une source de confiance pour assurer son objectivité et Techniques d'audit 1.5.15 Techniques d'audit assistées par
ne pas avoir été obtenue sous forme de " commentaire •• ou " ouï-dire ••. À assistées par ordinateur ordinateur
titre d'exemple, des paramètres de configuration du système copiés dans
une feuille de calcul par l'administrateur du système avant d'être soumis à
l'auditeur ne constituent pas une source fiable puisqu'ils auraient pu être
modifiés. La preuve de l'audit doit comprendre de l'information quant à
la date de création et la source d'origine. Puisqu'une preuve électronique
est plus malléable qu'un document papier, il faut prendre des mesures de
sécurité pour préserver l'intégrité de la preuve recueillie et assurer qu'elle
n'a été modifiée d'aucune façon.
Facteurs à prendre 1.5.11 Preuve
L'audit continu est une méthode qui permet de mesurer l'efficience et en considération lors 1.6.2 Documentation de l'audit
l'efficacité des contrôles principalement à l'aide de processus de rapport de la collecte, dans la
automatisés qui permettent à la direction de prendre conscience des protection et de la chaîne
risques émergents ou des faiblesses du contrôle sans recourir à un audit de possession des
" régulier ••. L'information est transmise directement à la direction et la mise preuves lors d'un audit
en place de mesures correctives se fait plus rapidement. L'auditeur des SI des SI
doit connaître les techniques utilisées pour 1'audit continu afin de faciliter
Éléments à prendre en 1.8.2 Audit continu
le recours à ces techniques au besoin. !.:auditeur des SI ne doit pas se fier
considération lors de
uniquement aux techniques d'audit continu lorsque le risque d'entreprise est
la documentation des
élevé et que la technique d'audit continu déployée n'est pas jugée élaborée
preuves de l'audit
et exhaustive. C'est le cas lorsque le processus d'audit continu a été mis en
place récemment; par exemple, lorsque les répercussions d'une défaillance Techniques d'audit 1.8.2 Audit continu
des contrôles seraient considérables. Dans de tels cas, des audits réguliers continu
doivent être prévus pour soutenir et appuyer l'audit continu.

Manuel de Préparation CISA 26e édition 25

ISACA. Tous droits réservés.
 Section un : Avant-propos
Chapitre 1- Processus d'Audit des
Systèmes d'Information
e Certified Information
Systems Auditer"
AI!IS4CA"twlola.l"'"

C1.8 Connaissance des différentes méthodes d'échantillonnage et autres procédures analytiques de données.
Explication 1 Concepts clés 1 Référence dans le Manuel2016
Les tests de conformité consistent à recueillir des preuves dans le but Utilisation relative des 1.5.1 0 Tests de conformité par opposition
de tester la conformité d'une entreprise avec les procédures de contrôle. tests de conformité aux tests de corroboration
Ils diffèrent des tests de corroboration, en fonction desquels les preuves et des tests de
sont recueillies pour évaluer l'intégrité de transactions individuelles, de corroboration
données ou d'autres renseignements. Il existe une corrélation directe entre
Approches de base en 1.5.13 Échantillonnage
le niveau de contrôles internes et le nombre de tests de corroboration
échantillonnage et leur
requis. Si les résultats des tests des contrôles (tests de conformité) révèlent
lien avec les approches
la présence de contrôles internes adéquats, l'auditeur des SI peut dans ce
de test
cas minimiser les procédures de corroboration. Inversement, si les tests
des contrôles révèlent des faiblesses dans les contrôles pouvant mettre
en doute l'exhaustivité, l'exactitude ou la validité des comptes, les tests de
corroboration peuvent dissiper ces doutes. L'efficacité et l'efficience de ces
tests peuvent être améliorées par l'utilisation de l'échantillonnage.

L'échantillonnage est utilisé lorsque les questions de temps et de coûts

empêchent de procéder à un audit total de toutes les transactions ou
événements dans une population prédéfinie. La population est l'ensemble
du groupe d'éléments qui doivent être examinés. L'échantillon est le sous-
ensemble des membres de la population utilisés pour effectuer un test.
L'échantillonnage sert à déduire les caractéristiques d'une population en se
basant sur celles de l'échantillon. Depuis un certain temps, on met l'accent
sur la capacité de l'auditeur des SI à vérifier le caractère adéquat des
contrôles internes à l'aide des techniques d'échantillonnage. Cela est devenu
nécessaire puisque plusieurs contrôles sont de nature transactionnelle,
ce qui peut rendre difficile le fait de tester l'ensemble de la population.
Toutefois, l'échantillonnage n'est pas toujours nécessaire puisque des
logiciels peuvent permettre de vérifier certains attributs relativement à
l'ensemble des données. Même si l'objectif n'est pas qu'un candidat au
titre CISA devienne un expert en échantillonnage, il est important pour le
candidat d'avoir une compréhension de base des principes généraux de
l'échantillonnage et de la façon de concevoir un échantillon pertinent et
fiable.

C1.9 Connaissance des techniques de rapport et de communication (p. ex., la modération, la négociation et la
résolution de conflits, la rédaction des avertissements, les résumés de gestion, la vérification des résultats).
Explication 1
Concepts clés 1
Référence dans le Manuel2016
Une communication claire et efficace peut améliorer considérablement Compréhension des 1.3.2 Normes d'assurance et d'audit des SI
la qualité des audits et optimiser leurs résultats. Pour que le processus normes de rapport de I'ISACA (1400- Rapport)
d'audit soit réussi, les résultats de l'audit doivent être présentés sous
Application des 1.6. Communication des résultats de
forme de rapport et communiqués aux parties intéressées, avec l'appui
diverses techniques de l'audit
adéquat des audités. Les auditeurs doivent également tenir compte des
communication lors du 1.6.1 Structure et contenu du rapport
motivations et du point de vue des destinataires du rapport d'audit, afin de
rapport des résultats d'audit
répondre convenablement à leurs préoccupations. Des aptitudes pour la
d'audit 1.6.2 Documentation de l'audit
communication (tant orale qu'écrite) déterminent l'efficacité du processus
de rapport de l'audit. Des aptitudes pour la communication et la négociation Application des 1.7 Autoévaluation des contrôles
sont nécessaires tout au long de l'audit. L'acceptation des résultats de l'audit techniques de 1.7.4 L'autoévaluation des contrôles et le
auprès des audités est essentielle pour qu'ils adoptent les recommandations communication aux rôle de l'auditeur
du rapport et entreprennent rapidement le développement de mesures rôles de facilitation lors
correctives. Cet objectif pourrait nécessiter l'emploi de techniques telles que de l'autoévaluation des
la facilitation, la négociation et la résolution de conflits. Les auditeurs des SI contrôles
doivent aussi comprendre le concept de l'importance relative des résultats
en fonction de l'impact commercial.

26 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e. Certified lnfonnation
Systems Audilor'
An IS~CA"tffllla.l.:on
Chapitre 1 - Processus d'Audit des
Systèmes d'Information Section un : Avant-propos

C1.10 Connaissance des systèmes et des cadres de référence pour l'assurance de la qualité (AQ) des audits.
Explication 1 Concepts clés 1 Référence dans le Manuel2016
L'audit des SI forme une branche du domaine de J'audit. Les normes d'audit Impact de 1.5.1 Objectifs de l'audit
font référence aux paramètres de base dont il faut tenir compte lors de l'environnement des 1.5.3 Méthodologie de J'audit
l'exécution d'un audit. Toutefois, un auditeur pourrait vouloir appliquer des SI sur les pratiques et 1.5.8 Programmes d'audit
directives et des procédures d'audit supplémentaires afin de se forger une techniques d'audit des SI 2.11 Structure de gouvernance pour l'audit
opinion sur le bon fonctionnement des contrôles. La plupart des pratiques et des Tl et mise en œuvre
techniques d'audit de base sont également pertinentes lors d'un audit des SI. 2.13 Audit du plan de continuité des
L'auditeur des SI doit comprendre l'impact de l'environnement des SI sur les activités
pratiques et techniques d'audit traditionnelles pour s'assurer que J'objectif 3.14 Audit des contrôles d'application
de base de l'audit est atteint. Les pratiques et techniques utilisées dans un 3.15 Audit du développement, de
audit des SI donné doivent être déterminées à l'étape de la planification et l'acquisition et de la maintenance des
intégrées au programme d'audit. L'ISACA ne définit aucune méthodologie systèmes
d'audit précise et n'exige pas qu'une telle méthodologie soit connue, mais
4.7 Opérations et infrastructure liées à
s'attend à ce qu'un auditeur des SI connaisse les principes généraux de
l'audit
planification et d'exécution d'un programme d'audit efficace.
5.5 Audit du cadre de gestion de la
L'autoévaluation des contrôles est une procédure au cours de laquelle un sécurité de l'information
auditeur des SI peut jouer le rôle de facilitateur auprès des propriétaires 5.6 Audit de la sécurité de l'infrastructure
des processus d'affaires pour les aider à définir et à évaluer les contrôles réseau
appropriés. Les propriétaires des processus et Je personnel qui les exécute Points pertinents lors 1.5.14 Recours aux services d'autres
utilisent leurs connaissances et leur compréhension des fonctions d'affaires du recours aux services auditeurs et experts
pour évaluer la performance des contrôles en fonction des objectifs de d'autres auditeurs et
contrôle établis, tout en tenant compte de l'appétit au risque de l'entreprise. experts

Les propriétaires des processus sont très bien placés pour définir les Avantages et
contrôles adéquats, puisqu'ils ont une connaissance approfondie des inconvénients de
objectifs des processus. L'auditeur des SI aide les propriétaires des l'autoévaluation des
processus à comprendre le besoin de contrôles en fonction des risques contrôles
pour les processus d'affaires. Les résultats doivent être interprétés avec un
certain degré de scepticisme, car les propriétaires des processus ne sont
pas toujours objectifs lorsqu'ils évaluent leurs propres activités.
Rôle de l'auditeur en
autoévaluation des
contrôles
Pertinence des différents 1.7.5 Facteurs technologiques liés à
facteurs technologiques
pour l'autoévaluation 1.7.6 Approche conventionnelle vs
des contrôles dans Je
contexte d'affaires actuel
Pertinence des
différentes approches
de l'autoévaluation
des contrôles dans un
contexte donné
1.7 Autoévaluation des contrôles
1.7.1 Objectif de l'autoévaluation des
contrôles
1.7.2 Avantages de l'autoévaluation des
contrôles
1.7.3 Inconvénients de J'autoévaluation des
contrôles
1.7.4 Autoévaluation des contrôles et le
rôle de J'auditeur
l'autoévaluation des contrôles
approche par l'autoévaluation des
contrôles

Application des 1.7 Autoévaluation des contrôles

techniques de 1.7.4 Autoévaluation des contrôles et le
communication aux rôle de l'auditeur
rôles de facilitation lors
de 1'autoévaluation des
contrôles
Évaluation de la qualité 1.5.16 Évaluation de l'environnement de
de l'audit contrôle

Manuel de Préparation CISA 268 édition 27

ISACA. Tous droits réservés.
Section un : Avant-propos
Chapitre 1- Processus d'Audit des
Systèmes d'Information
e Certified Information
Systems Auditor·
MIS ~ Coi:'Certllotfl l rxl

C1.11 Connaissance des différents types d'audits (p. ex., internes, externes, financiers) et des méthodes pour
évaluer les travaux d'autres auditeurs ou entités de contrôles afin d'en avoir confiance.
Explication 1
Concepts clés 1
Référence dans le Manuel2016
L'auditeur des SI doit être conscient de la variété des audits qui peuvent Comprendre les 1.3.2 Normes d'audit et d'assurance des
être effectués et il doit connaître les buts et les objectifs de chacune de techniques appropriées SI de I'ISACA (1201 Planification de
ces missions. En outre, il existe une grande variété d'entités (normes de pour planifier des la mission)
sécurité des données [DSS] de l'industrie des cartes de paiement [PCI] de audits assignés tout en
fournisseurs tiers, organismes de réglementation gouvernementaux, tiers maximisant l'utilisation
effectuant l'évaluation de la validation et de vérification organisationnelle des ressources d'audit
ou indépendante, etc.) effectuant l'audit de la même organisation, souvent des SI et éviter le
simultanément. Les auditeurs SI doivent comprendre le but, la portée et la chevauchement des
durée de ces audits, afin qu'ils puissent prendre ces audits en considération activités d'audit
lors de la planification, des tests et de la production de rapport.
Comprendre les autres 1.5.2 Types d'audits
types d'audits qui
Reconnaître que de nombreux audits récents, actuels et à venir peuvent
peuvent être réalisés
donner de la profondeur et de la couverture de zone adéquates de la portée
par d'autres auditeurs et
de l'audit de l'auditeur des SI, et permettraient à l'auditeur de faire confiance
experts
au travail d'autres auditeurs ou entités de contrôle, si le travail des autres est
conforme aux normes de la pratique professionnelle et qu'on a effectué les Appliquer les techniques 1.2.2 Gestion des ressources de l'audit des
essais nécessaires pour fournir une assurance raisonnable que les contrôles de planification de l'audit SI
SI fonctionnent efficacement et sont alignés avec les buts et objectifs 1.2.3 Planification de l'audit
organisationnels actuels et planifiés. 1.2.4 Conséquences des lois et règlements
sur la planification de l'audit des SI

Compréhension des 1.4.1 Analyse du risque

concepts d'analyse du
risque dans un contexte
d'audit
Points pertinents lors
du recours aux services
d'autres auditeurs et
experts
1.3.2 Normes d'audit et d'assurance des
SI de I'ISACA (1206 Utilisation du
travail d'autres experts)
1.5.14 Recours aux services d'autres
auditeurs et experts

28 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e. M
Certifled Information
Systems Auditor"
An i$4CM'C. IIfo;~~!Jon
Chapitre 1- Processus d'Audit des
Systèmes d'Information Section un : Avant-propos

RESSOURCES SUGGÉRÉES POUR

APPROFONDIR rÉTUDE

Cascarino, Richard E.; Auditor ~·Guide fo fT Auditing and ISACA, ITAPM: A Professional Practices Frameworkfor IS
Software Demo, 2"d Edition, Wiley, É.-U., 2012 Audit/Assurance, 3'J Edition, É.-U., 2014, w•vw.isaca.org/ITAF

Davis, Chris; Mike Schiller; Kevin Wheeler; /T Auditing: IT Governance lnstitute, Control Objective!>for BASEL Il:
Using Controls to Protee! Information Assets, 2"d Edition, The lmpm1ance ofGovemance and Risk Management for
McGraw Hill, É.-U., 2011 Compliance, É.-U., 2007

ISACA, CO BIT 5, É.-U., 2012, www.isaca.org/cobit Senft, Sandra; Frederick Gallegos; Aleksandra Davis; Information
Technology Control and Audit, 4'" Edition, CRC Press, É.-U., 2012
ISACA, CO BIT 5 for Assurance, É.-U., 2013, ww•v.isaca.org/
cobit

/SA CA;, fT Control Objectives for Sarbanes-Ox/ey: Using

COBJ "f® 5 in the Design and Implementation of lntem.al
Control!>· Over Financial Reporting, É.-U., 2014, www.isaca_
org/sox

Remarque: Les publications en gras se trouvent dans la bibliothèque de 1'/SACA.

Manuel de Préparation CISA 26e édition 29
ISACA. Tous droits réservés.
 Section un : Avant-propos
Chapitre 1- Processus d'Audit des
Systèmes d'Information
e . Certified Information
Systems Auditor·
AnlSAt.l"Corti!atœ

QUESTIONS D'AUTO ÉVALUATION
Les questions d'autoévaluation CISA appuient le contenu du
présent manuel et fournissent une compréhension du style et de
la structure des questions que l'on retrouve habituellement dans
l'examen. Les questions sont à choix multiple et conçues pour
obtenir une réponse optimale. Chaque question a une prémisse
(la question) et quatre options (les choix de réponse). La prémisse
peut prendre la forme d'une question ou d'un énoncé incomplet.
Dans certains cas, un scénario ou une description de problème
pourraient être inclus. Ces questions comprennent habituellement
une mise en situation et exigent du candidat qu'il réponde à deux
questions ou plus en fonction de l'information fournie. Souvent,
une question exigera du candidat qu' il choisisse la MEILLEURE
réponse ou la réponse la PLUS probable parmi les options
proposées.
Dans chaque cas, le candidat doit lire la question attentivement,
éliminer les réponses qu'il sait être incorrectes, puis faire le
meilleur choix possible. Connaître le format des questions
et savoir ce qui sera vérifié aidera le candidat à répondre
correctement aux questions.
l-l Lequel des éléments suivants constitue une aut01isation
d'entreprendre un audit des SI?
1-5 Un auditeur des SI effectuant un examen des contrôles
d'une application découvre une faiblesse dans les logiciels
systèmes qui pourrait avoir une incidence importante sur
l'application. L:auditeur des SI doit:
A. ne pas tenir compte de ces faiblesses, puisque l'examen
des logiciels systèmes dépasse la portée de cet examen.
B. mener un examen détaillé des logiciels systèmes et faire
état des faiblesses de contrôle.
C. inclure dans le rapport une déclaration que l'audit se
limitait à l'examen des contrôles de l'application.
O. examiner les contrôles des logiciels systèmes, ceux-ci
étant pertinents, et recommander un examen détaillé des
logiciels systèmes.
1-6 Parmi les raisons suivantes, laquelle est la PLUS impotiante
raison de revoir le processus de planification d'audit à des
intervalles périodiques?
A. Pouvoir planifier le déploiement des ressources d'audit
disponibles.
B. Pouvoir tenir compte des changements à l'environnement
de risque.
C. Pouvoir alimenter la documentation de la charte d'audit.
O. Pouvoir cerner les normes d'audit des SI applicables.

A. La délimitation de l'audit, y compris ses buts et objectifs 1-7 Lequel des éléments suivants est le PLUS efficace pour
B. Une requête d'effectuer un audit de la part de la mettre en œuvre un système d'autoévaluation des contrôles
direction au sein des entités?
C. La charte d'audit approuvée
O. L:échéancier d'audit approuvé A. Revues infmmelles avec les pairs
B. Ateliers dirigés
1-2 Dans l'exécution d' un audit en fonction du risque, quelle C. Diagrammes descriptifs du flot de traitement
évaluation des risques est D'ABORD complétée par O. Diagrammes de flot de données
l'auditeur des SI?
1-8 La PREMIÈRE étape de planification d'un audit est de:
A. L:évaluation des risques de non-détection
B. L:évaluation des risques d'échec des contrôles A. définir les livrables de l'audit.
C. L:évaluation des risques inhérents B. finaliser la portée et les objectifs de l'audit.
O. L:évaluation des tisques de fraude C. acquérir une compréhension des objectifs de l'entreptise.
O. concevoir l'approche pour l'audit ou la stratégie d'audit.
1-3 Dans l'élaboration d'un programme d 'audit axé sur le risque,
sur lequel des éléments suivants un auditeur des SI porterait- 1-9 L:approche que doit utiliser un auditeur des SI pour planifier
il probablement le PLUS son attention? la couverture de l'audit des SI doit se baser sur:

A. Les processus d'entreprise A. le tisque.

B. Les contTôles administratifs B. l'impmiance relative.
C. Les contrôles opérationnels C. le scepticisme professionnel.
D. Les stratégies d'entreprise O. le caractère suffisant des éléments probants de l'audit.

1-4 Lequel des types de risques d'audit suivants présume 1-10 Une entreprise effectue une copie de sauvegarde quotidienne
une absence de contrôle compensatoire dans le domaine des données critiques et des logiciels, et entrepose cette
examiné? copie dans une installation externe. La copie de sauvegarde
est utilisée pour restaurer les fichiers en cas d'inteiTuption . JI
A. Risque d'échec des contrôles s'agit de:
B. Risque de non-détection
C. Risque inhérent A. un contrôle préventif.
O. Risque d'échantillonnage B. un contrôle de gestion .
C. un contrôle correctif.
O. un contrôle de détection .

30 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e. Certified Information
Systems Auditor'
AII ISACA'IA•'hlo;at.ol
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
RÉPONSES AUX QUESTIONS
D'AUTOÉVALUATION
1-1 A. La délimitation de l'audit se rapporte à un audit
unique et n'accorde aucune aut01ité d' effectuer un
audit.
B. Une requête d 'effectuer un audit de la part de la
direction n'est pas suffisante, car elle se rapporte à
un audit précis.
c. La charte d'audit approuvée décrit les
responsabilités, l'autorité et l'obligation de rendre
compte de l'auditeur.
o. ~échéancier d'audit approuvé n'accorde pas
l'autorité d'effectuer un audit.
1-2 A. ~évaluation des risques de non-détection est
effectuée seulement après l' évaluation des •isques
inhérents et des 1isques d'échec des contrôles afin de
déterminer la capacité de détecter des erreurs au sein
de processus ciblés.
B. ~évaluation des risques d'échec des contrôles est
effectuée après l' évaluation des risques inhérents
et sert à déterminer le niveau de risque qui subsiste
après la mise en place de contrôles pour les processus
ciblés.
c. Le risque inhérent existe indépendamment
d'un audit et peut survenir à cause de la nature
de l'entreprise. Pour réussir un audit, il est
important de connaître les processus de gestion
associés au type d'entreprise. Pour effectuer
un audit, l'auditeur des SI doit comprendre le
processus de gestion. Il comprendra alors mieux le
risque inhérent.
o. ~évaluation des risques de fraude constitue un sous-
ensemble d'une évaluation des risques d'échec des
contrôles au cours de laquelle l'auditeur détermine
si le tisque lié au contrôle porte sur la possibilité que
des parties internes ou externes puissent commettre
des opérations frauduleuses dans le système.
1-3 A. Une approche d'audit fondé sur le risque met
l'accent sur la compréhension de la nature de
l'entreprise et sur· la capacité de déterminer et
de catégoriser les risques. Le risque de gestion a
une influence sur la viabilité à long terme d'une
entreprise. Ce faisant, l'auditeur des SI qui utilise
l'approche d'audit fondé sur le risque doit être en
mesure de comprendre les processus de gestion.
B. Les conh·ôles administratifs, qui constituent un
important sous-ensemble de contrôles, ne sont
pas des éléments principaux nécessaires pour
comprendre les processus d'entreprise dans le cadre
de la portée de l'audit.
c. Tout comme les contrôles adminish·atifs, les
contrôles opérationnels sont un important sous-
ensemble des contrôles; cependant, ils ne concernent
pas les processus d'entreprise globaux de haut niveau
en cours de révision.
o. Les stratégies d'entreprise sont les moteurs des
processus d'affaires. Cependant, dans ce cas,
Manuel de Préparation CISA 26e édition
ISACA. Tous droits réservés.
Section un : Avant-propos
l'auditeur des SI se concentre sur les processus
d'affaires qui ont été mis en place pour permettre à
l'organisation pour soutenir la stratégie.
1-4 A. Le risque d'échec des contrôles est le risque qu'une
erreur importante existe et qu'elle ne soit pas évitée
ou détectée à temps par le système de contrôles
internes.
B. Le risque de détection est le risque qu'un énoncé
fautif majeur dans une assertion de la direction
ne soit pas repéré par les tests de corroboration
de l'auditeur. Il comprend deux éléments: le
risque d'échantillonnage et le risque non dû à
1'échantillonnage.
c. Le risque inhérent est le niveau de risque ou
d'exposition qui ne tient pas compte des mesures
prises ou pouvant être prises par la direction.
o. Le tisque d'échantillonnage est le risque que des
hypothèses incorrectes soient faites à propos des
caractéristiques d ' une population dans laquelle
un échantillon est prélevé. Le risque non dû à
l'échantillonnage est le risque de détection non lié à
l'échantillonnage; il peut avoir différentes sources,
dont l'erreur humaine (sans toutefois s'y limiter).
1-5 A. ~auditeur des SI n'est pas supposé ignorer les
faiblesses des contrôles uniquement parce qu'elles
sont hors de la portée de la revue prévue.
B. La réalisation d'une revue détaillée des logiciels
systèmes peut nuire à l'échéancier de l'audit, et
1'auditeur des S 1 peut ne pas avoir la compétence
technique pour faire une telle revue.
c. Si l'auditeur a découvett des faiblesses relatives
dans les contrôles, il doit les dévoiler. En émettant
un avis de non-responsabilité, la responsabilité serait
abandonnée.
o. V option appropriée serait donc de faire la
revue des logiciels systèmes pertinents, puis de
recommander une revue détaillée des logiciels
systèmes en suggérant d'y accorder des ressources
supplémentaires.
1-6 A. La planification du déploiement des ressources
d'audit disponibles est détem1inée par les tâches
d ' audit prévues, qui dépendent à leur tour du
processus de planification.
B. Les enjeux à court et à long termes qui motivent
la planification d'audit peuvent être fortement
influencés par des changements à l'environnement
de risque et aux processus administratifs de
l'entreprise.
c. La charte d'audit reflète le mandat de la haute
direction envers la fonction d'audit et se trouve à un
niveau plus abstrait.
o. Les normes, directives et procédures d'audit des SI
s'appliquent universellement à toutes les missions
d'audit et ne sont influencées par aucun enjeu à court
ou à long terme.
31
Section un : Avant-propos
Chapitre 1- Processus d'Audit des
Systèmes d'Information
e Certified Information
Systems Auditer'
AniS/otKCa'IIIC.Illan

1-7 A. Les revues informelles avec les pairs ne seraient pas
aussi efficaces puisqu'elles ne détermineraient ni
n'évalueraient pas nécessairement tous les problèmes
de contTôle.
B. Les ateliers dirigés fonctionnent bien au sein des
entités.
c. Les diagrammes desc1iptifs du flot de traitement
ne seraient pas aussi efficaces puisqu ' ils ne
détermineraient ni n'évalueraient pas nécessairement
tous les problèmes de contTôle.
D. Les diagrammes de cheminement des données
ne seraient pas aussi efficaces puisqu 'i ls ne
détermineraient ni n'évalueraient pas nécessairement
tous les problèmes de contrôle.
1-8 A. La définition des livrables d' audits dépend d'une
compréhension en profondeur des objectifs et de la
raison d'être de l'entreprise.
B. La finalisation de la portée et des objectifs des audits
dépend d'une compréhension en profondeur des
objectifs et de la raison d'êtTe de l'entreprise.
c. La première étape de planification de l'audit est
d'acquérir une compréhension de la mission, des
objectifs et de la raison d'être de l'entreprise. En
retour, ces éléments déterminent les politiques,
normes, lignes directrices et procédures ainsi que
la st.-ucture de l'organisation.
D. L:élaboration de l'approche d' audit ou de la stratégie
dépend d'une compréhension en profondeur des
objectifs et de la raison d'être de l'entreprise.
1-10 A. Les contTôles préventifs préviennent les problèmes
avant qu'ils ne surviennent. Les copies de
sauvegarde ne peuvent être utilisées pour éviter
les dommages causés aux fichiers; donc, elles ne
constituent pas un contrôle préventif.
B. Les contrôles de gestion modifient les systèmes de
tTaitement afin de réduire la récurrence du problème.
Les copies de sauvegarde ne modifient pas les
systèmes de traitement; donc, elles ne correspondent
pas à la définition du contrôle de gestion.
C. Un contrôle correctif aide à corriger ou à
minimiser les conséquences d'un problème. Les
copies de sauvegarde peuvent être utilisées pour
récupérer des fichiers en cas de dommages, ce qui
réduit l'impact d'une altération.
D. Les contrôles de détection aident à détecter et à
signaler les problèmes à mesure qu'ils surviennent.
Les copies de sauvegarde ne contribuent pas à
détecter les erreurs.

1-9 A. Les normes d'audit et d'assurance des SI

de I'ISACA 1202, Planification, établissent
les normes et fournissent des conseils sur la
planification d'un audit. Elles exigent une
approche fondée sur le risque.
B. L:importance relative est abordée dans les Normes
d'audit et d'assurance des SI de I' ISACA 1204:
«Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte des faiblesses potentielles
ou absences de contrôle lorsqu'ils planifient leur
mission et déterminer si ces faiblesses ou absences
pourraient entraîner une lacune substantielle ou une
vulnérabilité importante.»
C. Le scepticisme professionnel est abordé dans les
Normes d' audit et d'assurance des SI de I' ISACA
1207.2: « Les professionnels de l'audit et de
l'assurance des SI doivent maintenir une attitude de
scepticisme professionnel durant la mission. »
D. Le caractère suffisant des éléments probants de
l'audit est abordé dans les Normes d'audit et
d'assurance des SI de I' ISACA 1205 .2: « Les
professionnels de 1'audit et de 1'assurance des Sl
doivent évaluer si les éléments probants obtenus
suffisent à appuyer les conclusions et à atteindre les
objectifs d'audit. »

32 Manuel de Préparation CISA 2& édition

ISACA. Tous droits réservés.
e. Certif!ed Jnfonnation
Systems Auditor'
M ISACA"tlti•JaloOrl
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
Section deux : Contenu
1.1 RÉSUMÉ
Résumé
Le chapitre 1 explique le cadre d'un audit des SI, incluant spécifiquement
les exigences liées à la mission et à l'activité de l'auditeur des SI,
ainsi que les bonnes pratiques pour obtenir un résultat d'audit des
SI approprié. Les candidats au titre CISA doivent avoir une solide
compréhension des éléments qui suivent, non seulement dans le cadre
du présent chapitre, mais aussi pour pouvoir traiter adéquatement les
questions dans les domaines connexes. Il est important de se rappeler
qu'une connaissance de la définition de ces concepts ne suffit pas. Le
candidat CISA doit aussi être apte à déterminer quels éléments peuvent
représenter le plus grand risque et quels sont les contrôles les plus
efficaces pour atténuer ce risque. Voici les sujets clés traités dans ce
chapitre.
• Rôles et responsabilités de l'auditeur des SI, incluant les résultats
d'audit attendus et les différences entre les tâches d'audit des SI dans
le cadre d'une mission d'assurance et les tâches d'une mission de
conseil.
• Le besoin d'indépendance de l'audit interne et son niveau d'autorité
par opposition à un contexte d'audit externe.
• Les exigences minimales de planification de l'audit pour une
assignation d'audit des SI, sans égard à l'objectif et à la portée
spécifiques de l'audit.
• La compréhension du niveau requis de conformité avec les normes et
les directives d'audit et d'assurance des SI de I'ISACA.
• Lors de la planification d'un travail d'audit, l'importance d'une
identification claire de l'approche d'audit liée aux contrôles définis
comme étant généraux par rapport aux contrôles d'audit définis
comme étant des contrôles d'application.
• La portée, le travail sur le terrain, l'application et l'exécution des
concepts inclus dans un audit orienté sur les risques par rapport à un
audit orienté sur les risques inhérents.
• Le rôle clé d'une preuve d'audit conforme aux exigences pour soutenir
la crédibilité des résultats de l'audit et des rapports.
• La fiabilité de la documentation numérique résultant des travaux
d'audit et la fiabilité des preuves.
• L'identification d'objectifs pour des tests de conformité et des tests de
corroboration et la réalisation de ces tests.
• La responsabilité de l'audit et le niveau de connaissance requis en
rapport avec les exigences légales affectant les Tl inclus dans la portée
de l'audit.
• L'approche d'audit orientée sur le risque par rapport au besoin
complémentaire des auditeurs des SI de bien connaître les diverses
normes des SI et les divers cadres de référence.
• La compréhension de la différence entre les objectifs des contrôles
mis en œuvre et des procédures de contrôle.
• La compréhension des techniques de collecte de preuves,
d'échantillonnage et d'analyse de la preuve ainsi que de leur
importance dans l'audit des SI.
• La compréhension des rapports et des méthodes de communication.
1.2 GESTION DE LA FONCTION D'AUDIT DES SI
La fonction d'audit doit être gérée et dirigée de manière à assurer
que les différentes tikhes réalisées et exécutées par l'équipe
d'audit répondront aux objectifs de la fonction d'audit, tout en
permettant à l'équipe de conserver son indépendance. En outre,
la gestion de la fonction d ' audit doit contiibuer à une valeur
ajoutée pour l'organisation et assurer à la haute direction une
gestion efficiente des Tl et l' atteinte des objectifs d 'affa ires.
Manuel de Préparation CISA 26e édition
ISACA. Tous droits réservés.
Section deux : Contenu
Remarque: Les systèmes d'information (SI) sont définis
comme la combinaison d 'activités stratégiques, opératiorm elles
et de gestion. Ces systèmes sont impliqués dans la collecte,
le traitement, le stockage, la distribution et l' utilisation de
l' information et les technologies connexes. Les systèmes
d' information sont distincts des technologies de l'information
(Tl) : un système d ' information est doté d ' une composante
informatique qui interagit avec les composants de processus.
Dans les Tl, on englobe le matériel, les logiciels, la
communication et autres installations utilisés dans la cueillette,
le stockage, le traitement, la ti·ansmission et la sortie de données
sous quelque forme que ce soit. Par conséquent, les termes« SI»
et « Tl» seront utilisés selon ces définitions dans le présent
manuel.
1.2.1 ORGANISATION DE LA FONCTION D'AUDIT
DES SI
L.;audit des SI est un examen formel, une entrevue ou un test des
systèmes d ' information permettant de déte1miner si :
• Les systèmes d ' infmmation sont en conformité avec les
lois, les règlements, les contrats ou les lignes directi·ices de
l' industrie
• Les données et les renseignements des SI ont reçu les niveaux
de confidentialité, d'intégrité et de disponibilité appropriés
• Les opérations de SI sont accomplies efficacement et les
objectifs d ' efficacité sont respectés
Une organisation peut utiliser à la fois des services internes
ou externes pour l'audit des SI. Les éléments fondamentaux
de l' audit des SI sont énumérés à la section 1.3 , Normes et
directives d ' audit et d 'assurance des SI de l' ISACA .
Le rôle de la fonction d'audit des SI interne doit être établi par
une chatie d'audit approuvée par le conseil d'administi·ation
et par le comité d'audit (ou, si ces entités n' existent pas, par
la haute direction). L.;audit des SI peut faire partie de l'audit
interne en tant que groupe indépendant ou intégré à l' audit
financier et opérationnel pour fournir aux auditeurs financiers
ou de gestion une assurance raisonnable quant à la fiabilité
des contrôles des Tl. Pour cela, la chmie d ' audit peut intégrer
l' audit des SI en tant que fonction de soutien. La charte doit
énoncer clairement les objectifs et les responsabilités de la
direction et la délégation de pouvoir pour la fonction d' audit
des SI. Ce document doit donner un aperçu de l'autorité, de la
portée et des responsabilités globales de la fonction d'audit.
Le plus haut niveau de direction et le comité d'audit, s'il
existe, doivent approuver cette charte. Une fois établie, cette
charte doit être modifiée uniquement si le changement peut
être totalement justifié. Conformément aux normes d 'audit et
d 'assurance des SI de l' ISACA, la responsabilité, l' autorité et
l' imputabilité de la fonction d ' audit des systèmes d'information
doivent être correctement documentées dans une charte d'audit
ou dans une lettre de mission (Charte d'audit 1001 ). La charte
d'audit est un document très important qui couvre la totalité
des activités d 'audit d'une unité de vérification, tandis qu'une
lettre de mission met davantage l' accent sur un exercice d 'audit
patiiculier qui doit être exécuté dans une organisation pour
atteindre un objectif spécifique.
33
 Section deux : Contenu
Chapitre 1- Processus d'Audit des
Si les services d'audit des SI sont offerts par une firme exteme,
la portée et les objectifs de ces services doivent figurer dans un
contrat en bonne et due forme ou dans un énoncé de travaux entTe
l'organisation contractante et le fournisseur de services.
Dans l'un ou 1'autre des cas, la fonction d'audit interne doit être
indépendante et être subordonnée à un comité d'audit, s'il en
existe un, ou au niveau le plus élevé de la direction, tel que le
conseil d'administration.
1.2.2 GESTION DES RESSOURCES DE ~AUDIT DES SI
La technologie des SI évolue constamment. IJ est donc important
que les auditeurs des SI maintiennent leurs connaissances à jour
en suivant des formations sur les nouvelles méthodes d'audit
et dans les domaines technologiques. Les normes d 'audit et
d'assurance des SI de l' lSACA exigent d' un auditeur qu'il soit
hautement compétent (Compétence 1006), qu'il possède les
aptitudes et la connaissance nécessaires pour exécuter les tâches
d'audit. De plus, l' auditeur des SI doit maintenir ses compétences
techniques à jour en suivant une formation professionnelle
continue. Les aptitudes et les connaissances doivent être prises en
considération lors de la planification des audits et de l'affectation
du personnel aux missions d 'audit spécifiques.
De préférence, la direction doit établir annuellement un plan de
formation détaillé basé sur les orientations technologiques de
l'organisation et les questions liées aux risques. Ce plan doit être
revu pé1iodiquement pour s'assurer que les efforts et les résultats
de formation cadrent toujours avec I'mientation p1ise par l'unité
de vé1ification. De plus, les responsables de l'audit doivent
fournir les ressources informatiques nécessaires pour exécuter
convenablement des audits très spécialisés (p. ex., les outils, la
méthodologie et les programmes d'audit).
1.2.3 PLANIFICATION DE !!AUDIT
Planification annuelle
La planification de l'audit est à la fois à court et à long terme.
La planification à court terme tient compte des sujets d'audit
qui seront couverts en cours d' année, alors que la planification à
long terme concerne les plans d'audit qui tiendront compte des
questions liées au risque découlant des changements d'orientation
stratégique de l' organisation en matière de Tl et qui influeront sur
1'environnement technologique de l'organisation.
Tous les processus pertinents qui représentent la base des activités
de l'entité devraient être inclus dans l'univers d'audit. L:univers
d'audit contient idéalement la liste de tous les processus à prendre
en considération aux fins d'audit. Chacun de ces processus peut
faire l'objet d' une évaluation du risque qualitative ou quantitative
en jaugeant le risque relativement à des facteurs de 1isque
pertinents prédéfinis. Les facteurs de risque sont des facteurs
qui influent sur la fréquence ou les répercussions opérationnelles
des scénarios de risque. À titre d' exemple, pour une entité qui
pratique le commerce au détail, la réputation peut être un facteur
de 1isque critique. L:évaluation du risque devrait idéalement
être fondée sur les informations fournies par des responsables
des processus opérationnels. L:évaluation des facteurs de
risque devrait être basée sur des critères objectif..<;, bien que la
subjectivité ne puisse pas être entièrement évitée. Par exemple, en
34
Systèmes d'Information
e . Certified Information
Systems Auditor'
MISI.Cl"C.. toi Utoon
ce qui concerne le facteur de réputation, les critères en fonction
desquels on demande de J' information à l'entreptise pourraient
être classés comme suit :
o Élevé - Un problème avec ce processus pourrait causer des
dommages à la réputation de l'entité pour lesquels il lui faudrait
plus de six mois pour se remettre des impacts subis.
o Moyen- Un problème avec ce processus pourrait causer des
dommages à la réputation de l'entité pour lesquels il lui faudrait
moins de six mois, mais plus de tTois mois pour se remettre des
impacts subis.
o Faible- Un problème avec ce processus pourrait causer des
dommages à la réputation de l'entité pour lesquels il lui faudrait
moins de trois mois pour se remettre des impacts subis.
Dans cet exemple, le cadre temporel représente l'aspect objectif
du critère, alors que 1'aspect subjectif est lié à la détermination
de ce cadre par le responsable du processus, qu ' il dure plus de 6
mois ou moins de 3 mois. Une fois le risque évalué en fonction
de chaque facteur pertinent, un critère d'ensemble peut être défini
pour déterminer le risque global associé à chaque processus.
Le plan d'audit peut alors être élaboré en y incluant tous les
processus classés à risque «élevé >>; ce qui représenterait le plan
d'audit annuel idéal. Toutefois, en pratique, lorsque l'on convient
des ressources nécessaires pour exécuter le plan « idéal », on
constate souvent que les ressources disponibles ne sont pas
suffisantes pour exécuter ce plan en entier. Cette analyse aidera la
fonction d' audit à démontrer le manque de ressources à la haute
direction et à donner à cette dernière une bonne idée du niveau
de risque qu'elle accepte si elle n' augmente pas les ressources
d'audit disponibles.
L:analyse des enjeux à court et à long termes doit être effectuée
au moins une fois par année. Elle s' avère nécessaire pour que
soient ptis en compte les nouveaux enjeux en matière de contrôle,
les changements dans l'environnement pouvant affecter le niveau
de risque, l'évolution des technologies et des processus d'affaires
ainsi que l'amélioration des méthodes d'évaluation. Les résultats
de cette analyse pour la planification des futures activités d'audit
doivent être revus par un cadre supérieur responsable de l'audit,
approuvés par le comité d'audit, s'il en existe un, ou par le
conseil d'administration, et communiqués aux gestionnaires des
niveaux pertinents . La planification annuelle doit être mise à
jour si des aspects clés de l'environnement de 1isque ont changé
(p. ex . : acquisitions, nouvelles questions de réglementation,
conditions du marché).
Missions d'audit Individuelles
En plus de la planification annuelle générale, chaque mission
d'audit individuelle doit être planifiée adéquatement. L:auditeur des
SI doit comprendre que des facteurs externes à ses travaux, tels que
les résultats des évaluations de risque périodiques, les changements
dans l'application de la technologie et l'évolution des questions de
confidentialité et des exigences réglementaires, pourraient avoir un
impact sur l'approche générale utilisée lors de l'audit. L:auditeur
des SI doit également considérer les échéances de mise en œuvre
et de mise à jour, les technologies actuelles et futures, les exigences
provenant des responsables des processus d'affaires et les limites
des ressources SI.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e. Certified Information
M Systems Auditor"
AIIISI.tA" ttr1olitatom
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
Pour planifier un audit, l'auditeur doit posséder une bonne
compréhension de l'environnement global qui fait l'objet d'un
examen. Cela inclut une compréhension générale des différentes
pratiques et fonctions administTatives en relation avec le sujet
de l'audit ainsi que des types de systèmes et de technologies
d'information qui soutiennent l'activité. Par exemple, l' auditeur
des SI doit connaître à fond le contexte de réglementation qui
caractérise l'organisation.
Pour réaliser la planification de l'audit, l'auditeur des SI doit
suivre les étapes indiquées au tableau 1.2.
Tableau 1.2 - Étapes de la planification d'audit
• Acquérir une compréhension de la mission, des objectifs et des
processus de l'organisation, ce qui inclut l'information et les exigences
de traitement, comme la disponibilité, l'intégrité, la sécurité et les
technologies d'affaires, ainsi que la confidentialité des renseignements.
• Comprendre les changements à l'environnement d'affaires de l'audité.
• Passer en revue les documents de travail antérieurs.
• Déterminer les contenus stipulés tels que les politiques, les normes, les
directives requises, les procédures et la structure organisationnelle.
• Réaliser une analyse de risque pour aider à la conception du plan
d'audit.
• Établir la portée et les objectifs de l'audit.
• Concevoir l'approche pour l'audit ou la stratégie d'audit.
• Affecter les ressources aux tâches d'audit.
• Prévoir la logistique du mandat.
Conformément aux normes d' audit et d'assurance des SI
de I'ISACA, l'auditeur planifie le travail d'audit pour en
adresser les objectif.<; et s'assurer qu'il satisfait aux normes
d'audit professionnel applicables (Planification de la mission
120 l ). [;auditeur des SI doit créer un plan d'audit qui prend
en considération les objectifs de l'entité concernée par le
domaine qui fait l'objet d'un audit ainsi que son infrastructure
technologique. S'il y a lieu, l'auditeur des SI doit également
considérer le domaine qui fait l'objet d' une révision et son
lien avec l'organisation (stratégiquement, financièrement et
opérationnellement) et obtenir les informations concernant le
plan stratégique, notamment le plan stratégique des SI. L:auditeur
des SI doit posséder une compréhension de l'architecture
technologique de l'information et des orientations technologiques
des entités qui font l'objet d'un audit afin de concevoir un plan
approprié pour les technologies présentes et futures liées aux
éléments à vé1i fier.
Les étapes que doit franchir l'auditeur pour acquérir une
compréhension de l'organisation sont les suivantes:
• lire les documents de référence tels que les publications de
l'industrie, les rapports annuels et les rapports d'analyses
financières;
• étudier les rappmts d'audit antérieurs ou les rappmts concemant
les Tl (provenant d'audits exte mes ou internes ou de revues
spécifiques telles que les examens réglementaires);
• consulter les plans stratégiques à long terme relatifs aux Tl et
aux activités de l'organisation;
• discuter avec les responsables clés pour comprendre les enjeux
commerciaux;
• déterminer les règles spécifiques applicables aux Tl;
Manuel de Préparation CISA 26e édition
ISACA. Tous droits réservés.
Section deux : Contenu
• déte1miner les fonctions des Tl ou des activités qui y sont liées
et qui ont été impmties;
• visiter les installations impmtantes de l'organisation.
Comme autre composante fondamentale de la planification,
notons la nécessité de s'assurer de la correspondance entre les
ressources disponibles pour effectuer l'audit et les tâches, telles
qu'elles sont définies dans le plan d'audit. I.;auditeur qui prépare
le plan doit tenir compte des exigences du projet d'audit, des
ressources en personnel et des autres contraintes. Cet exercice
de cotTespondance doit prendre en compte les besoins en projets
d'audit individuels ainsi que les besoins globaux de l'entité
d' audit.
1.2.4 CONSÉQUENCES DES LOIS ET RÈGLEMENTS
SUR LA PLANIFICATION DE L'AUDIT DES SI
Chaque organisation, peu importe sa taille ou le domaine
d'activité dans lequel elle évolue, devra se conformer à un certain
nombre d'exigences gouvernementales et externes liées aux
pratiques et aux mesures de contrôle des systèmes informatiques
et à la manière dont les ordinateurs, les programmes et les
données sont conservés et utilisés. De plus, la réglementation
sur les activités commerciales peut avoir une incidence sur
le traitement, la transmission et le stockage des données (les
bourses, les banques centrales, etc.).
Une attention particulière doit être portée à ces questions dans
les industties qui sont étroitement réglementées. Le domaine
bancaire pmtout dans le monde est soumis à des pénalités sévères
pour les banques et leurs dirigeants qui sont dans l' impossibilité
d'offrir des services adéquats en raison de failles dans la sécurité.
Une sécwité inadéquate dans le portail en ligne d'une banque
peut entTaîner une perte de tonds pour les clients. Dans plusieurs
pays, les fournisseurs de services Internet doivent également se
conformer à des lois spécifiques relatives à la disponibilité du
service et à la confidentialité.
Vu la dépendance croissante sur les systèmes d'information et la
technologie connexe, plusieurs pays font des efforts pour mettre
en place des règlements en matière d'audit des SI. Le contenu de
ces règlements concerne :
• 1'établissement d'exigences réglementaires;
• les responsabilités attribuées aux entités correspondantes;
• les fonctions d'audit financier, opérationnel et des Tl.
Tout le personnel de gestion et d'audit doit connaître les exigences
extemes liées aux objectifs et aux plans de l'organisation ainsi
qu 'aux responsabilités et aux activités des domaines, des fonctions
ou des activités rattachées aux services d'information. Il existe
deux principaux domaines de préoccupation : les prescriptions
jwidiques (les lois, les règlements et les accords contractuels)
qui régissent l'audit ou l'audit des SI ainsi que les prescriptions
jutidiques touchant les entités qui font l'objet d'audit et leurs
systèmes, la gestion des données, la production de rappmts, etc.
Ces éléments influencent la portée et les objectifs de l'audit,
lesquels sont importants pour les auditeurs internes et externes.
Les questions d'ordre juridique auront également une incidence
sur les opérations commerciales des organisations en termes
de conformité avec les règlements ergonomiques, le US Health
35
 Section deux : Contenu
Chapitre 1- Processus d'Audit des
lnsurance Portability and Accountability Act (HIPAA), les
directives concemant la Protection des renseignements personnels
et le Commerce électronique à l'intérieur de l'Union européenne,
la prévention de la fraude dans les organisations bancaires, etc.
Comme exemple de mesure de réglementation efficace, nommons
le US Sarbanes-Oxley Act de 2002, qui exige l'évaluation des
mesures de contrôle internes des TI d'une organisation. Cette
loi établit de nouvelles règles et normes de gestion pour des
entreprises publiques spécifiques, incluant celles qui s'insc1ivent
à la Commission des valeurs mobilières des États-Unis (SEC). La
SEC a exigé l'utilisation d'un cadre de mesures de réglementation
interne reconnu. Confotmément au US Sarbanes-Oxley Act, les
organisations doivent sélectionner et mettre en œuvre un cadre de
contrôle interne adapté. De manière semblable, le Japon a adopté
les principes de gouvernance de la Bourse de Tokyo. En mars
2004, Le Comité de gouvemance des sociétés cotées en bourse,
établi par la Bourse de Tokyo en mars 2002, a publié ses Principes
de gouvernance d'entreprise pour les sociétés cotées en bourse.
Le Cadre de mesure intégré de réglementation interne créé par
le Committee of Sponsming Organizations of the Treadway
Commission (COSO) est celui qui est le plus fi"équemment adopté
par les entreprises publiques qui recherchent la conformité. Comme
le US Sarbanes-Oxley Act vise à élever le niveau de contrôle
des processus d'affaires et des systèmes d'infommtion qui les
soutiennent, les auditeurs des Tl devront en tenir compte lors de la
planification de l'audit.
Les accords de Bâle (1, Il et Ill) constituent un exemple semblable
d'impact réglementaire. Les accords de Bâle réglementent le
montant minimal de capital pour les organisations financières en
fonction du niveau de risque auquel elles font face. Le Comité
de Bâle sur le contrôle bancaire recommande les règles et les
exigences de capital qui doivent être respectées pour gérer
l'exposition au risque. L:application de ces règles devrait se
traduire en une amélioration du niveau de risque pour :
• le risque de crédit;
• le risque opérationnel;
• le risque du marché.
Les étapes ci-dessous sont celles qu'un auditeur des SI doit suivre
pour déterminer le degré de conformité d'une organisation aux
exigences externes.
• Déterminer les exigences gouvernementales ou externes
applicables, à partir desquelles l'organisation travaille, sur:
- les données électroniques, les données personnelles, les
droits d'auteur, le commerce électronique, les signatures
électroniques, etc.;
-les pratiques et les mesures de réglementation liées aux
systèmes informatiques;
- la façon dont les ordinateurs, les programmes et les données
sont conservés;
-l'organisation ou les activités des services des technologies de
1' information;
- les audits des SI.
• Documenter les lois et les réglementations applicables.
• Évaluer si les dirigeants de l'organisation et la fonction des TI
ont pris en considération tant les exigences externes applicables
que les caractéristiques des applications d'affaires pour la
réalisation des plans et la définition des politiques, des normes
et des procédures.
36
Systèmes d'Information
e Certified Information
Systems Auditor'
M IS'Lt'C.-trhr;atkln
• Réviser les documents internes du domaine, de la tâche ou de
l'activité des Tl qui prévoient le respect des lois de l'industrie.
·Vérifier le respect des procédures établies qui traitent de ces
exigences.
• Déterminer si des procédures sont déjà en place pour s'assurer
que les contrats ou les ententes avec les fournisseurs de services
TI externes reflètent toute presctiption juridique liée aux
responsabilités.
Il est souhaité que l'organisation ait une fonction de conformité
légale à laquelle le spécialiste de la surveillance des SI pourrait se
référer.
Remarque : Aucune question concernant des lois et des
règlements spécifiques ne sera posée au candidat au titre Cl SA;
néanmoins, ce dernier pourra être questionné sur la faço n de
vérifier la conformité aux lois et aux règlements d' une entité.
L:examen servira uniquement à vérifier la connaissance des
pratiques générales acceptées.
1.3 NORMES ET DIRECTIVES D'ASSURANCE ET
D'AUDIT DES SI DE l!ISACA
1.3.1 CODE D'ÉTHIQUE PROFESSIONNELLE DE
L'ISACA
L.:ISACA maintien et publie un code d'éthique professionnelle
pour guider la conduite personnelle et professionnelle des
membres de l'association ou des détenteurs des cettifications.
Les membres de l'lSACA et les détenteurs de certification
doivent :
1. Soutenir la mise en œuvre et encourager le respect des
normes appropriées, des procédures qui visent la gouvernance
et la gestion efficaces des systèmes d'information et des
technologies d'entreprise, y compris l'audit, les contrôles, la
sécurité et la gestion du risque.
2. Réaliser leurs tâches avec objectivité, diligence raisonnable
et professionnalisme en conünmité avec les normes
professionnelles.
3. Servir dans l' intérêt des intervenants de manière légale,
tout en conservant des n01mes élevées de déontologie et de
comportement, et sans discréditer leur profession ou leur
association.
4. Garder confidentielle l' information obtenue dans le cadre de
leurs activités à moins de divulgation exigée par une autorité
légale. L.:information ne doit pas être utilisée pour obtenir
des avantages personnels ni être divulguée à des parties non
concernées.
5. Maintenir le niveau de compétence dans leurs champs
d'expertise respectifs et accepter d'entreprendre uniquement
des activités qu' ils jugent pouvoir accomplir dans leur totalité
avec les aptitudes, connaissances et compétences nécessaires.
6. Transmettre aux parties concernées les résultats du tmvail
accompli, y compris la divulgation de tous les faits importants
qui, s' ils n'étaient pas révélés, pourraient tàusser le rapport sur
les résultats.
7. Soutenir la formation professionnelle des intervenants en
augmentant leur compréhension de la gouvernance et de la
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e. Certif!ed lnfonnation
Systems Aud~or"
MISACA"c.t\ola tlcl1
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
gestion des systèmes d'information et des technologies de
l'information de l'entTeprise, y compris l'audit, les contrôles,
la sécurité et la gestion du risque.
Le défaut de se conformer à ce Code d'éthique professionnelle
peut entraîner une enquête sur la conduite d'un membre ou d'un
détenteur de ce1tification et, en dernier recours, à l'application de
mesures disciplinaires.
Remarque : 11 ne sera pas demandé au candidat au titre CISA
de mémoriser mot à mot les normes, les directives, les outils
et les techniques d'assurance et d'audit des SI de l' lSACA ni
le Code d'éthique professionnelle de l' lSACA (www.isaca.
org/certification/code-ofprofessional-ethics). Les candidats
seront plutôt questionnés par rapport à leur compréhension
de la norme, de la directive ou du code, de ses objectifs et de
la manière dont ils doivent être appliqués dans une situation
donnée.
1.3.2 NORMES D'ASSURANCE ET D'AUDIT DES SI DE
I:ISACA
La nature spécifique de l'audit des SI ainsi que les aptitudes et
les connaissances nécessaires pour l'exécuter nécessitent une
application rigoureuse et globale des normes qui concernent
spécifiquement l'audit des SI. Cune des tâches les plus
importantes de 1' !SACA est de fournir des renseignements
(ensemble commun de connaissances) pour soutenir les exigences
en matière de connaissances. (Voir la Compétence 1006.)
Un des objectifs de I'ISACA consiste à promouvoir les normes
afin de répondre à ce besoin. La conception et la diffusion
des normes d'assurance et d'audit des SI de l'ISACA sont le
fondement de la contribution professionnelle de l'association.
Cauditeur des SI doit être conscient de l'existence potentielle des
normes supplémentaires ou même des prescriptions juridiques
qui lui sont imposées.
Les nmmes comportent les énoncés des exigences obligatoires en
matière d'audit et d'assurance des SI. Elles informent:
• Les professionnels d'audit et d'assurance des SI du niveau
minimal de perfmmance acceptable requis en regard des
responsabilités professionnelles définies dans le Code d'éthique
professionnelle de I'ISACA;
• Les ditigeants d'entreprises et les autres pmties concernées, sur
les attentes du travail de l'auditeur;
• Les titulaires de la désignation Certified Information Systems
Auditor (Cl SA). Les titulaires qui ne se confotment pas à ces
normes peuvent être soumis à une enquête sur leur conduite
par le conseil d'administration de I'ISACA ou par un groupe
de I' ISACA approprié et, en dernier lieu, peuvent subir des
mesures disciplinaires.
Le cadre des nmmes d' assurance et d'audit des SI de I'TSACA
prévoit les différents niveaux de documents :
• Les nonnes définissent des exigences obligatoires en matière
d'assurance et d'audit des SI et de rapport sur les résultats;
• Les directives expliquent comment appliquer les normes
d'assurance et d'audit des SI. Cauditeur des SI doit en tenir
compte au moment d'effectuer la mise en place des normes
Manuel de Préparation CISA 26e édition
ISACA. Tous droits réservés.
Section deux : Contenu
définies plus haut. li doit également faire preuve de jugement
professionnel lors de leur application et être préparé à justifier
tout écart à l'égard des normes;
• Les outils et techniques présentent des exemples de méthodes
qu'un auditeur des SI peut suivre lors d'une mission d'audit.
La documentation relative aux outils et techniques contient des
renseignements sur la mise en œuvre des normes d'audit des SI,
mais ne fixe pas d'obligations.
Remarque : Le texte intégral des normes, directives, outil s
et techniques d 'assurance et d' audit des SI de I'TSACA est
disponible à : www. isaca.org/standards.
Il existe trois catégories de normes et de directives : généralités,
petformance et production de rapport :
• Généralités- Les principes directeurs qui régissent les
activités des professionnels de l'attestation des SI. Ces normes
touchent la conduite de toutes les missions. De même, elles
traitent de l'éthique, de l'indépendance, de l'objectivité et de
la diligence des professionnels de l'audit et de l'assurance des
SI, sans oublier leur savoir-faire, leurs compétences et leurs
habiletés.
• Performance - li a trait aux éléments de la conduite de
la mission comme la planification et la supervision, la
définition de la portée, les risques et l'importance relative, la
mobilisation des ressources, la supervision et la gestion de
la mission, les preuves d' audit et d'attestation, de même que
l'exercice de jugement professionnel et de diligence.
• Rapport- Traite des types de rapports, des moyens de
communication et des renseignements communiqués.
Généralités
• 1001 Charte d'audit :
- 1001 . 1 La fonction d 'audit et d'assurance des SI doit
documenter adéquatement la fonction d'audit dans une
charte d'audit qui précise l'objet, la responsabilité, l'autorité
et l'obligation de rendre compte .
- 1001.2 La fonction d'audit et d'assurance des SI doit
faire entériner et approuver la charte d'audit par l'échelon
approprié de l'entreprise.
• l 002 Indépendance de l'organisation :
- 1002.1 La fonction d'audit et d'assurance des SI doit être
indépendante du domaine ou de l'activité à contrôler pour
atteindre l'objectif de la mission d'audit et d'assurance .
• 1003 Indépendance professionnelle:
- 1003 . 1 Les professionnels de l'audit et de l'assurance des
Sl doivent être indépendants et objectifs, dans leur attitude
comme dans leur apparence, quant à toutes les questions
relatives aux missions d' assurance et d'audit.
• 1004 Attentes raisonnables :
- 1004.1 Les professionnels de l'audit et de l'assurance des
SI doivent avoir des attentes raisonnables que la mission
peut être réalisée conformément aux normes d' assurance
et d'audit des SI et, s'il y a lieu, à d'autres normes
professionnelles ou de l'industrie ou aux réglementations
applicables appropriées, et qu'elle se termine par une
37
 Section deux : Contenu
Chapitre 1- Processus d'Audit des
opinion ou conclusion professionnelle.
- 1004.2 Les professionnels de 1'audit et de 1'assurance des
SI doivent avoir des attentes raisonnables que la pm1ée de
la mission permette de tirer des conclusions sur le sujet à
1'examen et tienne compte de toute restriction.
- 1004.3 Les professionnels de l'audit et de 1' assurance des
SI doivent avoir des attentes raisonnables quant au fait que
la direction comprend leurs obligations et responsabilités
relativement à la fourniture d'information appropriée,
pet1inente et actuelle nécessaire à la réalisation de la
mission.
• 1005 Conscience professionnelle:
- 1005.1 Les professionnels de 1'audit et de 1'assurance des SI
doivent faire preuve de conscience professionnelle, incluant
le respect des nonnes d'audit professionnel applicables, dans
la planification et la réalisation des missions ainsi que les
rapports sur les résultats.
• 1006 Compétence :
- 1006.1 Les professionnels de l'audit et de 1' assurance
des SI et leurs collaborateurs doivent posséder toutes les
habiletés et la compétence pour réaliser des missions d'audit
et d'assurance et avoir 1'expertise pour effectuer le travail
requis.
- 1006.2 Les professionnels de 1'audit et de 1'assurance des
SI et leurs collaborateurs doivent posséder une connaissance
adéquate du sujet à l'examen.
- 1006.3 Les professionnels de l'audit et de 1'assurance
des SI doivent assurer le maintien de leur compétence
professionnelle à un niveau acceptable en suivant une
formation continue.
• 1007 Affirmations:
- 1007.1 Les professionnels de 1'audit et de l'assurance des
SI doivent étudier les affim1ations relativement auxquelles
le sujet à l'examen sera évalué pour détem1iner s'il est
possible de les auditer et si elles sont suffisantes, valides et
pertinentes.
• 1008 Critères :
- 1008 .1 Les professionnels de l'audit et de l'assurance des SI
doivent choisir des critères sur lesquels le sujet à l'examen
sera évalué. Ces critères doivent être objectifs, complets,
pertinents, mesurables, compréhensibles, généralement
reconnus et rigoureux, ainsi qu'être compris ou accessibles
par tous les lecteurs et utilisateurs du rapport.
- 1008.2 Les professionnels de 1'audit et de l'assurance
des SI doivent tenir compte de la source des critères et se
concentrer sur ceux diffusés par les organismes faisant
autorité avant d'accepter des critères moins connus .
Pe1j"ormance
• 1201 Planification de la mission:
- 1201.1 Les professionnels de l'audit et de 1'assurance des SI
doivent planifier chaque mission d'audit et d'assurance des
SI afin d'aborder:
· Les objectifs, la portée, l'échéancier et les produits
livrables
38
Systèmes d'Information
e. .M.
Certified lnformatioo
Systems Auditer'
MIS~U"CI<I•hrallll'n
· La conformité aux lois et normes d'audit professionnel
applicables
·L 'utilisation d'une approche fondée sur le risque, s'il y a
lieu
· Les enjeux propres à la mission
· Les exigences de documentation et de rapport
- 1201.2 Les professionnels de l'audit et de l'assurance des
SI doivent élaborer et documenter un plan de projet pour la
mission d 'audit et d 'assurance, décrivant :
· La nature de la mission, les objectifs, 1'échéancier et les
besoins en ressources
· L' horaire et l'étendue des procédures d'audit nécessaires
pour réaliser la mission
• 1202 Évaluation du risque dans la planification :
- 1202.1 La fonction d 'audit et d'assurance des SI doit utiliser
une approche et une méthodologie d'évaluation des risques
appropriées pour développer le plan général d'audit des SI
et pour déterminer les priorités en matière d'affectation des
ressources d'audit des SI.
- 1202.2 Les professionnels de l'audit et de l'assurance des
SI doivent cemer et évaluer les risques pertinents pour
le domaine visé lorsqu ' ils planifient des engagements
individuels.
- 1202.3 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte du risque lié au sujet à l' examen,
du risque d'audit et de l'exposition à ceux-ci que subit
1'entreprise.
• 1203 Exécution et supervision :
- 1203 .1 Les professionnels de l'audit et de l'assurance des SI
doivent effectuer le travail confom1ément au plan d'audit des
SI approuvé, afin de couvrir les risques cernés, et respecter
l'horaire convenu.
- 1203 .2 Les professionnels de l'audit et de l'assurance des
SI doivent superviser le personnel d'audit des SI qu ' ils sont
responsables d 'encadrer afin d'atteindre les objectifs d'audit
et de respecter les normes d'audit professionnel applicables.
- 1203 .3 Les professionnels de l'audit et de l'assurance des SI
doivent n'accepter que des tâches qui correspondent à leurs
connaissances et compétences ou pour lesquelles ils peuvent
raisonnablement s'attendre à acquérir des compétences
durant la mission, ou qu'ils peuvent accomplir en étant
supervisés.
- 1203.4 Les professionnels de l'audit et de 1'assurance
des SI doivent obtenir des éléments probants suffisants
et appropriés pour atteindre les objectifs d'audit. Les
constatations et conclusions de l'audit doivent être appuyées
par une analyse et une interprétation adéquates de ces
éléments probants.
- 1203.5 Les professionnels de l'audit et de l'assurance des SI
doivent documenter le processus d'audit, décrivant le travail
réalisé et les éléments probants qui appuient les constatations
et conclusions.
- 1203 .6 Les professionnels de l'audit et de l'assurance des SI
doivent cibler les constatations et en tirer des conclusions.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certifled lnfonnation
Systems Auditor"
M ISI.CA" C«II fG.\101'1
Chapitre 1- Processus d'Audit des
Systèmes d'Information
• 1204 Matérialité (importance relative) :
- 1204.1 Les professionnels de l'audit et de l' assurance
des SI doivent tenir compte des faiblesses potentielles ou
absences de contrôle lorsqu'ils planifient leur mission et
déterminer si ces faiblesses ou absences pourraient entraîner
une lacune substantielle ou une vulnérabilité importante.
- 1204.2 Les professionnels de l'audit et de l'assurance des
SI doivent prendre en considération l'importance relative de
l'audit et leur relation au risque d' audit tout en déterminant
la nature, la durée et la portée des procédures d ' audit.
- 1204.3 Les professionnels de J'audit et de l'assurance des
SI doivent tenir compte de 1'effet cumulatif des faiblesses
ou lacunes de contrôle mineures et si 1'absence de contrôles
a pour conséquence une lacune substantielle ou une
vulnérabilité impotiante.
- 1204.4 Les professionnels de l'audit et de J'assurance des
SI doivent divulguer, dans le rapport, les éléments suivants :
· L' absence de contrôles ou des contrôles inefficaces
· L' impmiance de la lacune de contrôle
· La probabilité que ces faiblesses entraînent une lacune
substantielle ou une vulnérabilité importante
• 1205 Éléments probants :
- 1205 .1 Les professionnels de l' audit et de l'assurance des SI
doivent obtenir un nombre suffisant et adéquat d'éléments
probants afin de tirer des conclusions raisonnables sur
lesquelles ils baseront les résultats de J'audit.
- 1205 .2 Les professionnels de l'audit et de l'assurance des
SI doivent évaluer si les éléments probants obtenus suffisent
à appuyer les conclusions et à atteindre les objectif.<; d'audit.
• 1206 Utilisation du travail d'autres experts :
- 1206.1 Les professionnels de l' audit et de l'assurance
des SI doivent prendre en considération le travail d'autres
expetis durant leur mission, s ' il y a lieu.
- 1206.2 Avant la mission, les professionnels de l'audit
et de l'assurance des SI doivent évaluer et approuver le
caractère adéquat des qualifications professionnelles, des
compétences, de l'expé1ience pertinente, des ressources,
de l'indépendance et des processus de contrôle des autres
expeiis.
- 1206.3 Dans le cadre de l'audit, les professionnels de l'audit
et de 1'assurance des SI doivent revoir et évaluer les travaux
des autres experts, et documenter dans quelle mesure on les
a utilisés et on s'y est fié.
- 1206.4 Les professionnels de l' audit et de 1'assurance des
SI doivent détetminer si les travaux des autres expetis qui
ne font pas partie de l' équipe de mission sont suffisamment
adéquats et complets pour en tirer des conclusions quant aux
objectifs de la mission en cours, puis documenter clairement
ses conclusions.
- 1206.5 Les professionnels de l'audit et de J'assurance des
SI doivent déterminer si l'on se fondera sur les travaux
d'autres experts et si ces travaux seront incorporés
directement au rapport ou s'ils feront 1'objet d'une mention
distincte.
- 1206.6 Les professionnels de l'audit et de l'assurance des
SI doivent appliquer des procédures de test supplémentaires
Manuel de Préparation CISA 26 édition 8
ISACA. Tous droits réservés.
Section deux : Contenu
afin de rassembler suffisamment d'éléments probants
d' audit dans des circonstances où Je travail d' autres
expe11s ne fournit pas des éléments probants suffisants et
appropriés.
- 1206.7 Les professionnels de l' audit et de 1'assurance des SI
doivent fournir une opinion ou conclusion d'audit adéquate,
incluant une limitation de la pm1ée, si des procédures de test
supplémentaires ne permettent pas d' obtenir des éléments
probants.
• 1207 1rrégularités et actes illégaux :
- 1207.1 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte du risque d ' irrégularités et d'actes
illégaux durant la mission .
- 1207.2 Les professionnels de l' audit et de l'assurance des SI
doivent maintenir une attitude de scepticisme professionnel
durant la mission.
- 1207.3 Les professionnels de l'audit et de l' assurance des SI
doivent documenter tout cas d'irrégularité ou d ' acte illégal
et le signaler aux parties appropriées en temps oppmiun.
Rapport
• 1401 Rapports:
- 1401 . 1 Les professionnels de l'audit et de l'assurance
des SI doivent produire un rapport pour faire connaître les
résultats à la fin de la mission, en incluant:
· L' identité de l'entreprise, les destinataires visés et toute
restriction quant. au contenu et à la diffusion
· La pmiée, les objectifs de mission, la période couve1ie, la
nature, la durée et 1' ampleur de 1'audit réalisé
· Les résultats, les conclusions et les recommandations
·Toute qualification ou limitation de portée des
professionnels de l'audit et de l' assurance des SI
relativement à la mission
· Leur signature, la date et la dist1ibution, conformément
aux modalités de la charte d'audit ou de la lettre de
mission
- 1401 .2 Les professionnels de l'audit et de l'assurance des
SI doivent s' assurer que les constatations du rappmi d' audit
dont appuyées par des éléments probants suffisants et
adéquats.
• 1402 Activités de suivi :
- 1402.1 Les professionnels de J'audit et de l' assurance
des SI doivent. surveiller l' infom1ation appropriée pour
déte1miner si la direction a bien pris ou prévu de prendre des
mesures adéquates et promptes en fonction des conclusions
et recommandations de l'audit.
Remarque: Lors de l'examen du CISA, on ne demandera pas
au candidat de connaître le numéro spécifique d' une norme
d'auclit des SI. I.:examen CISA a pour but de vétifier comment
Je candidat appliquera les normes dans Je processus d' auclit.
39
 Section deux : Contenu
Chapitre 1 - Processus d'Audit des
1.3.3 DIRECTIVES D'ASSURANCE ET D'AUDIT DES SI
DE I:ISACA
I..:objectif des directives d'assurance et d'audit des SI de l' ISACA
est de fournir de l' orientation et davantage d ' informations sur la
conformité aux normes d ' assurance et d ' audit des SI de l'ISACA .
I..:auditeur des SI et le professionnel de l'assurance doivent:
• tenir compte de ces directives lors de l' implantation des normes
précitées;
• utiliser son jugement professionnel lors de leur application pour
des audits spécifiques;
• être en mesure de justifier tout écart à 1'égard des normes.
Remarque : Le candidat au titre CISA n'est pas tenu de
connaître le numéro précis d ' une di rective d ' assurance et d ' audi t
des SJ. I..:examen C ISA a pour but de vérifier comment le
candidat appliquera les directives dans le processus d 'audit. Nous
lui recommandons d 'étudier les directives d 'assurance et d 'audit
des SI afin de déterminer la matière qui est vraiment nécessaire
dans le cadre de son travaiJ . Les directives d 'audit et d ' assurance
des SI sont des documents évolutifs. Vous pouvez consulter les
versions les plus récentes au www. isaca.org/guidelines.
Voici les sections sur les objectifs des directives, section 1.1 .
Généralités
• 2001 Charte d'audit
- 1.1.1 I..:objectif de cette directive est d'aider les professionnels
de l'audit et de l' assurance des SI à préparer une chmte
d'audit. Cette dernière permet de définir l'objectif,
la responsabilité et l'autorité de la fonction d'audit et
d 'assurance des SI.
- 1.1.2 Les professionnels de 1'audit et de 1'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier tout
écmt à l'égard des nmmes et demander de l'aide si nécessaire.
• 2002 Indépendance de l'organisation
- 1.1.1 I..:objectif de cette directive est d'assurer l'indépendance
de la fonction d'audit et d'assurance des SI au sein de
l'entreprise. Voici trois importants aspects à considérer:
• La position de la fonction d'audit et d ' assurance des SI au
sein de l' entrep1ise.
• Le degré de rapport de la fonction d'audit et d ' assurance
des SI au sein de l'entreprise.
• La pe1formance des services non liés à l'audit au sein de
l'entreprise par la direction de l'audit et de l'assurance
des SI ainsi que par les professionnels de l'audit et de
l'assurance des SI.
1.1.2 Cette directive offre des indications sur l' évaluation de
l'indépendance organisationnelle ainsi que des détails sur
la relation entre l'indépendance organisationnelle, la chmte
d'audit et le plan d'audit.
1. 1.3 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer àjustif!er
tout écart à l' égard des nonnes et demander de l'mde SI
nécessaire.
40
Systèmes d'Information
e Certified Information
Systems Aud1tor'
M ISA(;.I."C.,hl a toon
• 2003 Indépendance professionnelle
- 1. 1.1 I..:objectif de cette directive est de fournir un cadre
permettant au professionnel de l'audit et de l'assurance des SI
de :
• Établir quand l'indépendance requise peut être ou paraître
compromise.
• Tenir compte d'alternatives possibles pour le processus
d'audit lorsque l'indépendance est ou paraît compromise.
• Réduire ou éliminer l' impact sur l'indépendance des
professionnels de l'audit et de l'assurance des SI qui
effectuent des tâches, fonctions ou services non liés à l'audit.
• Déterminer les exigences de divulgation lorsque
l'indépendance requise peut être ou paraître compromise.
- 1.1.2 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écart à l'égard des nom1es et demander de l'aide si
nécessaire.
• 2004 Attentes raisonnables
- 1.1.1 I..:objectif de cette directive est d 'aider les
professionnels de l'audit et de l' assurance des SI à mettre en
œuvre le principe d ' attentes raisonnables dans l'exécution
de la mission d'audit. Voici les principaux éléments pour
lesquels les professionnels devraient avoir des attentes
raisonnables :
• La mission d ' audit peut être réalisée conformément à ces
nonnes, à d'autres normes ou réglementations applicables,
et elle doit se terminer par une opinion ou conclusion
professionnelle.
• La portée de la mission d'audit doit permettre de tirer une
opinion ou une conclusion sur le sujet.
• La direction foumira aux professionnels l' information
appropriée, pertinente et en temps opportun requise pour
réaliser la mission d ' audit.
1.1.2 Cette directive pe1met d 'aider davantage les
professionnels de l'audit et de l' assurance des SI à faire
face aux limitations à la pmtée et offre des indications sur
l' acceptation d'un changement aux modalités.
1. 1.3 Les professionnels de l'audit et de l'assurance des
Sl doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écart à l'égard des normes et demander de l'aide si
nécessaire.
• 2005 Conscience professionnelle
1. 1.1 Le but de cette directive est de clarifier le terme
«conscience professionnelle » tel qu'il s 'applique à
l' exécution d ' une mission d'audit avec intéglité et soin,
conformément au Code d 'éthique professionnelle de
l'ISACA .
- 1.1.2 Cette directive explique comment les professionnels
de l'audit et de l' assurance des SI doivent faire preuve de
conscience professionnelle lors de la planification, de la
réalisation et du rapport de la mission d ' audit.
1.1.3 Les professionnels de l'audit et de l' assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écart à l'égard des normes et demander de l'aide si
nécessaire.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certified Information
Systems fwditor"
AntSAU' CIIrlii Qtoa
Chapitre 1- Processus d'Audit des
Systèmes d'Information
• 2006 Compétence
1.1. 1 Cette directive offre des indications aux professionnels
de l'audit et de l'assurance des SI pour l'acquisition des
aptitudes et connaissances nécessaires et pour maintenir les
compétences professionnelles tout en réalisant les missions
d 'audit.
- 1.1.2 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écart à 1'égard des normes et demander de 1' aide si
nécessaire.
• 2007 Affirmations
- 1.1.1 Cobjectif de cette directive est de détailler les
différentes affümations, guider les professionnels de l' audit
et de l' assurance des SI pour qu' ils puissent s' assurer que les
critères d 'évaluation du sujet soutiennent les affirmations, et
fournir des indications sur la formulation d'une conclusion et
l'ébauche d'un rapport sur les affirmations.
- 1.1.2 Les professionnels de 1'audit et de 1'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur appl ication, se préparer à justifier
tout écart à l'égard des normes et demander de l'aide si
nécessaire.
• 2008 Critères
.1.1.1 Cobjectif de cette directive est d ' aider les
professionnels de l'audit et de l' assurance des SI à
sélectionner les critères d'évaluation du sujet qui sont
convenables, acceptables et qui proviennent d'une source
pertinente.
- 1.1.2 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte de cette directive pour détetminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écati à l'égard des normes et demander de l'aide si
nécessaire.
Performance
• 2201 Planification de la mission
1.1.1 Cette directive offi·e des conseils aux professionnels de
1'audit et de l'assurance des SI. Une planification adéquate
petmet de s'assurer qu ' une attention appropriée est consacrée
aux éléments impotiants de 1'audit, que les problèmes
potentiels sont identifiés et résolus en temps oppotiun, et
que la mission d'audit est correctement organisée, gérée et
réalisée de manière efficace.
1.1.2 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écart à 1' égard des normes et demander de 1' aide si
nécessaire.
• 2202 Évaluation du risque dans la planification
1.1.1 Le niveau de travail nécessaire pour atteindre un
objectif d ' audit est une décision subjective ptise par les
professionnels de l'audit et de l'assurance des SI. Cobjectif
de cette directive est de diminuer le risque de tirer une
conclusion etTonée en fonction des constatations issues
de l'audit et de réduire l'existence d'erreurs qui peuvent
survenir dans le domaine évalué.
Manuel de Préparation CISA 26e édition
ISACA. Tous droits réservés.
Section deux : Contenu
1.1.2 Cette directive offre des conseils pour appliquer une
approche d'évaluation du risque pour développer un :
• plan d'audit des SI qui couvre toutes les missions d'audit
annuelles.
• plan de mission d'audit qui met l'accent sur une mission
d'audit précise.
1.1 .3 Cette directive fournit des détails de différents types
de risques auxquels peuvent faire face les professionnels de
l'audit et de l'assurance des SI.
- 1.1.4 Les professionnels de l' audit et de l'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écart à l'égard des normes et demander de l'aide si
nécessaire.
• 2203 Exécution et supervision
1.1 .1 Cette directive offre des indications aux professionnels
de l'audit et de l'assurance des SI pour la réalisation de
la mission d'audit et pour la supervision des membres de
l'équipe d'audit des SI. Elle couvre :
• La réalisation d'une mission d'audit;
• Les rôles et responsabilités ainsi que les connaissances et
aptitudes requises pour réaliser la mission d 'audit;
• Les éléments clés de la supervision;
• Le rassemblement des éléments probants;
• La documentation du travail réalisé;
• La formulation de constatations et de conclusions .
1.1.2 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écart à l'égard des normes et demander de l'aide si
nécessmre.
• 2204 Matérialité
- 1.1.1 Cobjectif de cett.e directive est de définir clairement
le concept d'importance relative pour les professionnels de
l'audit et de l'assurance des SI, et de faire une distinction
claire entre ce dernier et le concept d'importance relative
utilisé par les professionnels de l'audit et de l' assurance du
domaine financier.
1.1 .2 Cette directive permet d 'aider les professionnels
de l' audit et de l'assurance des SI à évaluer l'importance
relative d'un sujet et à considérer qu ' elle est en corrélation
avec les contrôles et les problèmes qui peuvent être
rappotiés.
1.1.3 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écart à l' égard des normes et demander de l'aide si
nécessaire.
• 2205 Éléments probants
1.1.1 Cobjectif de cette directive est d 'aider les
professionnels de l'audit et de l'assurance des SI à obtenir
des éléments probants suffisants et appropriés ainsi
qu'à évaluer les éléments probants reçus et à préparer la
documentation d'audit appropriée.
1. 1.2 Les professionnels de 1'audit et de 1'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
41
 Section deux : Contenu
Chapitre 1- Processus d'Audit des
tout écart à l'égard des normes et demander de l'aide si
nécessaire.
• 2206 Utilisation du travail d'autres experts
1.1.1 Cette directive offre des indications aux professionnels
de l'audit et de l'assurance des SI lorsqu'ils envisagent
l' utilisation du travail d'autres experts. Cette directive aide
à évaluer la pettinence des experts, à examiner et évaluer
le travail d'autres experts, à évaluer la nécessité d'effectuer
des procédures de test supplémentaires et à exprimer une
opinion pour la mission d' audit, tout en tenant compte du
travail effectué par les autres experts.
1.1.2 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écart à 1'égard des normes et demander de 1'aide si
nécessaire.
• 2207 Irrégularités et actes illégaux
1.1 . 1 L'objectif de cette directive est d'aider les
professionnels de l'audit et de l'assurance des SI sur la
façon de tTaiter les irrégularités et les actes illégaux.
1.1.2 Cette directive détaille les responsabilités de la
direction et des professionnels de l'audit et de l'assurance
des SI relativement aux irrégularités et actes illégaux. Elle
fournit en outre des orientations sur la façon de traiter les
irrégularités et les actes illégaux lors de la planification
et de l' exécution des travaux d'audit. Enfin, la directive
suggère de bonnes pratiques de rapport interne et externe
sur les irrégularités et les actes illégaux.
1.1.3 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écart à l'égard des normes et demander de l'aide si
nécessaire.
• 2208 Échantillonnage
1.1.1 Le but de cette directive est d 'offhr des conseils
aux professionnels de l'audit et de l'assurance des SI sur
la façon de concevoir et de sélectionner des échantillons
d'audit et d'analyser les résultats. Un échantillonnage et
une évaluation adéquats aideront à atteindre les exigences
en matière d'éléments probants suffisants et appropriés.
1.1.2 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes associées, faire preuve de
jugement professionnel dans leur application, se préparer
à justifier tout écart à l'égard des nonnes et demander de
l'aide si nécessaire.
Rapport
• 2401 Rapports
1. 1.1 Cette directive offre des indications aux
professionnels de l'audit et de l'assurance des SI sur
les différents types de missions d'audit des SI et sur les
rapports associés.
1.1.2 La directive détaille tous les aspects qui doivent
être inclus dans un rappmt de mission d'audit et fournit
aux professionnels de l'audit et de l'assurance des SI des
éléments à prendre en considération lors de l'élaboration et
de la finalisation d ' un rappmi de mission d'audit.
42
Systèmes d'Information
e. M
Certified lnfonnation
Systems Auditer·
MISACA' C.-lo1Aiiol1
1.1.3 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écart à l'égard des normes et demander de l'aide si
nécessaire.
• 2402 Activités de suivi
1. 1.1 L'objectif de cette directive est d'aider les
professionnels de l'audit et de l'assurance des SI à vérifier
si les membres de la direction ont entrepris des actions
appropriées et en temps opportun sur les recommandations
et les constatations de l' audit.
1.1.2 Les professionnels de l'audit et de l'assurance des
SI doivent tenir compte de cette directive pour déterminer
comment implanter les normes, faire preuve de jugement
professionnel dans leur application, se préparer à justifier
tout écart à l'égard des normes et demander de l'aide si
nécessaire .
Remarque : Le candidat au titre ClSA doit se familiariser
avec les directives d' audit et d 'assurance des SI sur la section
2001, Chatte d'audit. La section 2207 sm· les irrégtùarités
et actes illégaux est aussi très importante, en lien avec la
norme 1207 sur les irrégularités et actes illégaux lors de la
production de rapports sur des irrégularités telles que les
fraudes. De plus, 1'auditeur des Sl doit connaître la directive
d'audit et d'assurance des Sl sur la section 2003 Indépendance
professionnelle ainsi que la nonne liée 1003, sur 1'indépendance
professionnelle. L 'auditeur doit également approfondir la
section 2402 sur les activités de suivi, dans les directives d'audit
et d'assurance des Sl.
1.3.4 OUTILS ETTECHNIQUES D'ASSURANCE ET
D'AUDIT DES SI DE L!ISACA
Les outils et techniques conçus par l' ISACA constituent des
exemples de méthodes qu 'un auditeur de SI peut appliquer lors
d'une mission d'audit. Pour évaluer la petiinence d'un outil
ou d' une technique, l'auditeur doit faire appel à son jugement
professionnel lors de circonstances particulières. La documentation
des outils et techniques contient des informations sur la mise en
œuvre des normes d'audit des SI , mais ne fixe pas d'obligations.
Les outils et techniques sont présentement catég01isés en :
• Documents de présentation, www.isaca.org/whitepapers (PDF
gratuits)
• Programmes d'audit et d'assurance, wwwisaca.o!glauditprograms
(fichiers Microsoft® Word gratuits pour les membres de I'ISACA)
• Gamme de produits de CO BIT 5, wwH~isaca.org/cobit
• Série de références techniques et de gestion du risque, ww1v.
isaca.org/Knowledge-Centeri!TAF-IS-Assurance-Audit-!Pages/
R~feren ce-Series.aspx (disponible dans la boutique de l'lSACA)
• Article sur les bases de l'audit des Tl, !SACA®Journal, www
isaca. org/Knowledge-Center/ITA F-Assurance-A!Idit-/IS-Audit-
Basics/Pagesi!T-Audit-Basics-Articles. aspx (accès gratuit)
Il n'est pas tenu de suivre ces outils et techniques; toutefois, leur
utilisation donnera l'assurance que les normes sont respectées.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certifoed Information
Systems Audito,..
NJI.SACA•t.rt;ratoon
Chapitre 1- Processus d'Audit des
Systèmes d'Information
Remarque : Les outils et technjques d 'audit et d'assurance des
Sl d ' ISACA sont des documents évol utifs. Les versions les plus
récentes peuvent être consultées au wwvûsaca.orglstandards.
1.3.5 RElATION ENTRE LES NORMES, LES DIRECTIVES,
LES OUTILS ET LES TECHNIQUES
Cauditeur des SI est tenu de respecter les normes définies
par I'ISACA . Les directives visent à aider l'auditeur à utiliser
les normes lors de différentes missions d ' audit. Les outils
et techniques ne sont pas conçus pour fournir des directives
complètes à l'auditeur lors de l'exécution d'un audit. Les outils
et techniques donnent des exemples d'étapes que peut suivre
l'auditeur dans l'utilisation des normes. Cependant, l' auditeur
doit tàire appel à son jugement professionnel lorsqu ' il applique
les directives et les outils et techniques.
Il peut y avoir des situations dans lesquelles les exigences
juridiques ou réglementaires sont plus strictes que celles
contenues dans les normes d'audit et d ' assurance des SI de
I'JSACA . Dans de tels cas, l'auditeur des SI doit s'assurer de la
conformité aux exigences juridiques ou réglementaires les plus
stiictes.
À titre d'exemple, la section 2.3.2 de la directive 2002 qui appuie
la norme 1002 -Indépendance de l'organisation- énonce que:
« Les activités de routine et adminisn·atives ou qui touchent des
questions de second plan sont généralement réputées ne pas
être sous la responsabilité de la direction et, par conséquent, ne
compromettraient pas l' indépendance. Les services qui ne sont
pas liés à l'audit et qui ne compromettraient pas l' indépendance
ou l' objectivité si des dispositifs de sécwité suffisants sont mis en
œuvre comprennent le fait de donner des conseils de routine sur
les risques et contTôles liés aux technologies de l'information. »
Toutefois, dans certains pays, la réglementation interdit aux
auditeurs d 'accepter des missions d'audit dans des banques où
ils ont obtenu des services de crédit. Dans une telle situation,
les auditeurs des SI doivent donner la priorité aux exigences
réglementaires applicables et ne pas accepter la mission,
même si cela était conforme à la directive 2002 . Comme i 1 est
mentionné tout au long des Directives d 'audit et d'assurance
des SI, les professionnels de l'audit et de l'assurance des SI
doivent examiner toutes les directives pour déterminer la façon
de mettre en œuvre les normes connexes, afin de faire preuve de
jugement professionnel lors de leur application et afin d'êtTe prêt
à justifier tout écart et à demander des conseils supplémentaires
si nécessaire.
1.3.6 ITAfTM
CITAF™ est un modèle de référence complet servant à établir de
bonnes pratiques qui :
• Établit des normes qui n·aitent des exigences relatives aux rôles
et responsabilités des professionnels d 'audit et d'assurance des
SI, à leur savoir-faire et habiletés, à leur diligence, de même
qu'à leur conduite et à la rédaction de rappmts.
• Définit les tetmes et les concepts particuliers à l'assurance des
SI.
• Fournit des directives, des outils et des techniques quant à
la conception, la conduite et la présentation de rapports de
missions d 'audit et d'assurance des SI.
Manuel de Préparation CISA 26e édition
ISACA. Tous droits réservés.
Section deux : Contenu
CITAF met l'accent sur le matériel de I'ISACA et constitue une
source unique où les professionnels de l'audit et de l'assurance
des SI peuvent obtenir des conseils, des politiques et procédures
de recherche, des programmes d 'audit et d'assurance ainsi gue
des modèles de rapports efficaces. La 3c édition de I' ITAF (www.
isaca.OJg!!TAF) comprend les directives gui sont en vigueur
depuis le 1cr septembre 2014. Lorsque de nouvelles directives
seront élaborées et publiées, elles seront incluses dans le cadre.
1.4 CONTRÔLES DE SI
Pour que les systèmes d ' information atteignent pleinement les
objectifs en matière d'avantages, de risques et d'optimisation
des ressources, il est essentiel de tenir compte des risques qui
pourraient empêcher l' atteinte de ces objectifs. La conception, le
développement, la mise en œuvre et la surveillance des systèmes
d'information des organisations à l'aide des politiques, de
procédures, de pratiques et de sti"Ltctures organisationnelles pour
gérer ces types de risques. Le contrôle interne du cycle de vie
est de nature dynamique. Il est conçu pour fournir une assurance
raisonnable que les objectifs de l'entreprise seront atteints et que
les événements indésirables seront évités, ou détectés et corrigés.
1.4.1 ANALYSE DU RISQUE
Partie intégrante de la planification de l'audit, l'analyse du risque
aide l' auditeur des SI à repérer les risques et les vulnérabilités
afin de déterminer les contrôles nécessaires pour atténuer ces
risques.
Pour évaluer les processus administratifs liés aux Tl d'une
organisation, il est important pour 1'auditeur des SI et les
professionnels des mesures de contrôle de comprendre le lien
entre les risques et les mesures de contrôle. Les auditeurs des
SI doivent être en mesure de déterminer et de différencier les
types de risques et les mesures de contrôle utilisées pour atténuer
ces risques. Ils doivent connaître les 1isques qui sont les plus
rréquents pour l'organisation, les risques liés aux technologies et
les mesures de contrôle pei1inentes. Ils doivent également pouvoir
évaluer le risque et les méthodes de gestion utilisées par les
gestionnaires et procéder à des évaluations de risque pour aider
à planifier le travail d 'audit. En plus de connaître les 1isques et
les mesures de contrôle, les auditeurs des SI doivent savoir qu ' un
risque existe dans le processus même de l'audit.
Le risque est la combinaison de la probabilité et des conséquences
d ' un événement (International 01ganizationjor Standardization
[ISO] 31000:2009: Risk management-Princip/es and
guide/ines /ISO Guide 73:2009: Risk management- Vocabulary) .
Les risques de 1'entreprise peuvent avoir des effets négatifs sur
les actifs, processus ou objectifs d ' une entreprise ou organisation
donnée. Cauditeur des SI met souvent l'accent sur les questions
à haut 1isgue associées à la confidentialité, à la disponibilité ou à
l'intégrité des inforn1ations sensibles et critiques ainsi que sur les
processus et systèmes d ' information sous-jacents qui génèrent,
conservent et manipulent de telles informations. En étudiant
ces types de risques liés aux TI, les auditeurs des SI évalueront
souvent l'efficacité du processus de gestion du risque utilisé par
une organisation.
43
 Section deux : Contenu
Chapitre 1- Processus d'Audit des
Systèmes d'Information
e. Gertified Information
Systems Audilor·
M 154CA"Cot1iloC:I!ICIII

Lors de l'analyse des risques d' entreprise découlant de
l'utilisation des Tl, il est important que l'auditeur des SI possède
une compréhension claire :
• des processus de gestion du risque acceptés dans l' industrie ou à
l'international ;
• de la fonction et de la nature de l' entreprise, de l'environnement
dans lequel elle opère et des risques d'entreprise associés;
• de la dépendance à l'égard de la technologie pour le traitement
et la fourniture des renseignements d'affaires;
• des risques d'entreprise découlant de l' utilisation des Tl et de
leur impact sur l' atteinte des buts et objectifs d'affaires;
• d'une vue d'ensemble des processus d'affaires et de l'impact
des risques de TI et risques associés sur les objectifs des
processus d'affaires.
Le cadre Risk fT de 1'ISACA est basé sur un ensemble de
principes directeurs et donne des exemples de processus
administratifs et de lignes directrices de gestion qui se
conforment à ces principes. Il est conçu pour aider les entreprises
à gérer les risques associés aux Tl. L.:élaboration du cadre Risk
IT se base sur l'expérience collective d'une équipe internationale
de praticiens et d'experts ainsi que sur les pratiques et méthodes
existantes et émergentes pour une gestion efficace des risques de
Tl.
Les définitions du risque sont nombreuses et différentes d' une
personne à l'autre. Mais l' une des plus complètes utilisées dans
le monde de la sécurité de l' information est celle tirée de NIST
Special Publication 800-30 Revision 1 Guide for Conducting Risk
Assessnzents :
« Impact(~) néfaste(s) susceptible(s) de toucher les
opérations (mission, fonctions, image, réputation) ou
les act(fs· d 'une organisation, les individus ou d'autres
organisations... vu le potentiel d'accès, d'utilisation,
de divulgation, de perturbation, de modification ou de
destruction sans autorisation de 1'ù?formation et/ou des
systèmes d 'ù?formation. JJ
Cette définition est utilisée fréquemment par l'industrie des Tl
parce qu'elle intègre le risque dans un contexte organisationnel
en utilisant les concepts d' actifs et de perte de valeur: des termes
qui sont facilement compris par les gestionnaires d'entreprises.
Le processus d'évaluation du risque est décrit comme un cycle de
vie itératif qui commence avec la détermination des objectifs de
1'organisation, des actifs informationnels et des systèmes ou des
ressources de l'information sous-jacents qui génèrent, conservent,
utilisent ou manipulent les actifs (matériel, logiciels, bases de
données, réseaux, installations, personnes, etc.) essentiels à l'atteinte
des objectifs. Puisque le 1isque de Tl est dynamique, reconnaître
le besoin d'un processus dynamique de gestion du risque de TI
et en mettre un en place afin d'appuyer le processus de gestion
des risques de 1'entrep1ise est stratégique pour la direction. Tous
les efforts en gestion du risque peuvent alors être dirigés vers les
objectifs les plus sensibles ou les plus importants de l'organisation.
Lorsque les actifs informationnels les plus importants sont
identifiés, une évaluation du risque est exécutée pour évaluer les
vulnérabilités et les menaces et en déterminer la probabilité de
récurrence, et l'impact, qui peut en découler de même que les
mesures de protection supplémentaires qui réduiraient l'impact à un
degré acceptable.
Par la suite, au cours de l'étape d'atténuation des risques, des
mesures de contrôle sont identifiées pour atténuer les risques
en présence. Ce sont des mesures de prévention dont le but
est d' empêcher la matérialisation d' tm risque ou de détecter la
récurrence du risque et de la réduire, d'en réduire 1'impact ou de
le transférer vers une autre organisation.
L.:évaluation des mesures de prévention doit être exécutée à partir
d' une analyse coûts-bénéfices, au cours de laquelle les mesures
de contrôle d'atténuation des 1isques sont sélectionnées pour
ramener ces risques à un degré acceptable. Cette analyse peut se
fonder sur les éléments suivants :
• le coût de la mesure de contrôle en comparaison au degré de
réduction du risque;
• la propension de la haute direction au risque (c.-à-d. le degré de
risque résiduel que la haute direction est prête à accepter);
• les méthodes de réduction du risque privilégiées (p. ex.,
mettre fin au risque, minimiser la probabilité de récurrence,
1' incidence, le transfert/assurance).
L.:étape finale pmte sur le suivi des niveaux de risque gérés
lorsqu'un changement important survient dans l' environnement,
ce qui entraîne une réévaluation du 1isque et justifie des
changements à son environnement de contrôle. L.:analyse de
risque comporte donc trois processus : l'évaluation du1isque,
la réduction du risque et la réévaluation du risque. Ceux-ci
permettent de déterminer si le risque est atténué à un degré
acceptable pour la haute direction . Pour être efficace, l'évaluation
du 1isque doit être continue dans une organisation qui s'efforce de
repérer et d'évaluer, sur une base permanente, le risque lorsqu'il
se présente et évolue. Voir la figure 1.3 pour le résumé du
processus d'évaluation du risque.
Figure 1.3- Résumé du processus d'évaluation du risque
.... objectifsDétermination des
de l'organisation (00)
...
Identifier les actifs
informationnels
soutenant les objectifs
Effectuer une réévaluation
...
Effectuer l'analyse des risques
périodique des risques (AR) [menace-vulnérabilité-+
(00/AR/RR!TR) probabilité-impact]
•
Effectuer une réduction des
risques (RR) [établir les risques
avec les contrôles en place]
...
Effectuer le traitement des
risques (TR) [traiter les risques
importants non réduits par
les contrôles existants]

44 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés .
e. H
Certified Information
Systems Auditor·
An luc:A" Corlolr;;at.o.1
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
Du point de vue de l'auditeur, l'analyse du risque a plus d'un
objectif:
• Elle lui permet de repérer les risques et les menaces pour un
environnement de Tl , les systèmes d'information qui auraient
besoin d'être traités par l'administration et les contrôles internes
spécifiques aux systèmes. En fonction du degré de risque, elle
aide l'auditeur à sélectionner les zones ù étudier.
• Elle l'aide à évaluer les mesures de contrôle lors de la
planification de l'audit.
• Elle l'aide à déterminer les objectifs de l'audit.
• Elle l'aide à prendre des décisions en rapport avec l'audit fondé
sur le risque.
La figure 1.4 présente les processus précis auxquels a recours
l'auditeur des SI pour atteindre les objectifs énumérés plus haut.
Figure 1.4 - Processus d'évaluation du risque
Préparation de l'évaluation
Réalisation de l'évaluation
Source : Nationallnstitute of Standards and Technology (NISl), NIST Special
Publication 800-30, Revision 1: Information Security, É.-U., 2012. Utilisé avec la
permission du Nationallnstitute of Standards and Technology, U.S. Department of
Commerce. Reproduction interdite aux États-Unis.
1.4.2 CONTRÔLES INTERNES
Les structures organisationnelles, les politiques, les procédures et
les pratiques implantées pour réduire les risques sont considérées
comme des contrôles internes.
Les contTôles internes sont créés pour donner à la direction une
assurance raisonnable que les objectifs seront atteints et que le
risque sera évité ou détecté et corrigé. Les contrôles internes et
les processus de soutien sont manuels ou assistés par des moyens
informatiques et automatisés. Les contrôles internes sont utilisés
à tous les niveaux de l' organisation pour atténuer l'exposition
au risque qui pourrait éventuellement l'empêcher d'atteindre ses
objectifs. Le conseil d'administration et la direction générale
sont responsables de la mise en œuvre d'une culture qui facilitera
l' implantation d' un système de contrôle interne efficace et
qui favorisera le suivi continu de son efficacité, bien que
chaque personne de l'organisation soit tenue de prendre part au
processus.
Deux aspects clés doivent être pris en compte par les contrôles :
(1) ce qui doit être réalisé et (2) ce qui doit être évité. Les
contrôles intemes permettent d'atteindre les objectifs de
Manuel de Préparation CISA 26e édition
ISACA. Tous droits réservés_
Section deux : Contenu
l'organisation et traitent également les événements indésirables
par la prévention, la détection et la correction.
Les éléments de contrôle à considérer lors de l'évaluation
de l'efficacité du système de contrôle sont de prévention, de
détection ou de correction.
Le tableau 1.5 montre la classification des fonctions et l' usage
des contrôles.
Remarque : Le candidat au titre Cl SA doi t connaître la
différence entre les mesures de contrôle de prévention, de
détection et de correction.
Les objectifs de contrôle internes correspondent au résultat
souhaité ou au but à atteindre par la mise en œuvre des activités
de contrôle (procédures).
À titre d'exemple, les objectif~ de contrôle pourraient être liés
aux concepts suivants :
• l'efficacité
• l' efficience
• la confidentialité
• l'intégrité
• la disponibilité
• la conformité
• la fiabilité
Les objectifs de contrôle s'appliquent à tous les contrôles,
qu' ils soient manuels, automatisés ou les deux à la fois (p. ex.,
l' examen des fichiers de journalisation). Les objectifs de contrôle
dans un environnement de SI ne sont pas différents de ceux
d ' un environnement manuel; toutefois, la façon d' implanter ces
contrôles pourrait être différente . Ainsi, les objectifs de contrôle
doivent être traités de façon pertinente par rapport aux processus
spécifiquement liés aux SI.
1.4.3 OBJECTIFS DE CONTRÔLE INTERNES
Les objectifs de contrôle fournissent un ensemble complet
d'exigences de haut niveau devant être prises en compte par les
gestionnaires s'ils veulent obtenir un contrôle efficace de chaque
processus des Tl. Les objectifs de contrôle des SI sont:
• des déclarations des résultats désirés ou des objectifs à atteindre
en implantant des contrôles relatifs aux processus des systèmes
d'information;
• composés de politiques, procédures, pratiques et structures
organisationnelles;
• conçus pour fournir une assurance raisonnable que les objectifs
d'affaires seront atteints et que les événements indésirables
seront prévenus ou détectés et corrigés.
Les directeurs d'entTeprise doivent faire des choix quant à ces
objectifs de contrôle en :
• sélectionnant ceux qui s'appliquent;
• décidant lesquels seront implantés;
• choisissant la tàçon de les implanter (fi-équence, portée,
automatisation, etc.);
• acceptant Je risque lié à la non-implantation d'objectifs
applicables.
45
 Section deux : Contenu
Chapitre 1 - Processus d'Audit des
Tableau 1.5 - Classifications des contrôles
Classe Fonction
Prévention • Détecter les problèmes avant qu'ils surviennent.
• Surveiller les activités et les entrées.
• Tenter de prédire les problèmes potentiels avant qu'ils
surviennent et effectuer les ajustements.
• Prévenir les erreurs, les omissions ou les actes malveillants.
Détection • Utiliser des contrôles qui détectent et rapportent toute
occurrence d'erreur, omission ou acte malveillant.
Correction • Minimiser l'impact d'une menace.
• Remédier aux problèmes découverts par les contrôles de
détection.
• Identifier la cause d'un problème.
• Corriger les erreurs causés par un problème.
• Modifier les systèmes de traitement pour minimiser les
occurrences futures du problème.
Des objectifs de contrôle spécifiques pourraient comprendre :
• La sauvegarde des actifs. I..:accès aux informations sur les
systèmes automatisés est protégé contre tout accès inapproprié,
et les informations sur ces accès sont tenues à jour.
• I..:assurance que les processus du cycle de développement du
système sont établis, instaurés et fonctionnent efficacement
pour fournir une assurance raisonnable que les logiciels et les
applications d'entreprises, financiers ou industriels sont conçus
d'une manière reproductible et fiable pour assurer l'atteinte des
objectif.<; opérationnels. (Consultez le chapitre 3, Acquisition,
conception et implantation des systèmes d'information, pour
plus d' information.)
• I..:assurance que les processus et les services externes
définissent clairement les accords sur les niveaux de services
et les modalités de contrat pour faire en sorte que les actifs de
l'organisation soient correctement protégés et pour atteindre les
buts et objecti [<; de 1'entreprise
• I..:assurance de l' intégtité des environnements du système
d'exploitation, incluant la gestion du réseau et les opérations.
• I..:assurance de l'intég1ité des environnements critiques et
sensibles du système d'application, y compris l'information
comptable ou financière et de gestion (objectifs d' infonnation)
et les données sur les clients par :
- I..:autmisation d' entrée de données. Chaque transaction est
autmisée et entrée une seule fois.
- I..:exactitude et 1'intégrité du traitement des transactions.
- I..:enregistrement précis de toutes les transactions et la saisie
de ces dernières dans le système pour la pétiode requise.
46
Systèmes d'Information
e. Certified lnformalioo
Systems Auditer'
.IJ! ISAC.l"twt!la llon
Exemples
• Employer uniquement du personnel qualifié.
• Séparer les tâches (facteur dissuasin.
• Contrôler l'accès aux installations physiques.
• Utiliser des documents bien conçus (prévenir les erreurs).
• Établir des procédures adéquates pour l'autorisation des opérations.
• Compléter les vérifications de présentation programmées.
• Utiliser un logiciel de contrôle d'accès qui ne permet qu'au personnel
autorisé d'accéder aux fichiers sensibles.
• Utiliser un logiciel de chiffrement pour prévenir toute divulgation non
autorisée des données.
• Totaux de contrôle
• Points de vérification pour les travaux de production
• Contrôles en écho pour les télécommunications
• Messages d'erreur sur les étiquettes de bandes
• Reprise de la vérification des calculs
• Rapport de performance périodique avec écarts
• Rapports sur les comptes en souffrance
• Fonctions d'audit interne
• Examen des registres d'activités pour détecter les tentatives d'accès
non autorisées
• Examen du code sécurisé
• Assurance de la qualité du logiciel
• Planification d'urgence et de continuité des activités
• Planification de la reprise après sinistre
• Planification de la réponse aux incidents
• Procédures de sauvegarde
• Procédures de reprise
• Accords sur les niveaux de service pour la réparation du système en
cas de bris
- La fiabilité de l'ensemble des activités de traitement de
l'information.
- I..:exactitude, l'intégrité et la sécurité de la sortie des données.
- I..:intégrité, la disponibilité et la confidentialité des bases de
données.
• I..:assurance d'une identification et d' une authentification
appropriées des utilisateurs des ressources des SI (utilisateurs
finaux et soutien de l'infTastructure).
• I..: assurance de 1'efficacité et de 1'efficience des opérations
(objectifs opérationnels).
• La conformité aux exigences des utilisateurs, aux politiques et
procédures organisationnelles ainsi qu ' aux lois et règlements
applicables (objectifs de conformité).
• I..:assurance de la disponibilité des services des Tl en concevant
des plans efficaces de continuité des affaires et de reprise après
sinistre.
• I..:amélioration de la protection des données et des systèmes en
concevant un plan de réaction aux incidents.
• I..:assurance de l'intégrité et de la fiabilité des systèmes par
la mise en place de procédures de gestion du changement
efficaces.
• I..:assurance que les processus et services externalisés ont
des accords sur les niveaux de service et des modalités de
contrat clairement définis pour que les actifs de 1'organisation
soient protégés adéquatement et atteignent les buts et objectifs
d'entreprise.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certified Information
Systems Auditer"
AniSI<t.l" t.o' lll icat.on
Chapitre 1- Processus d'Audit des
Systèmes d'Information
1.4.4 COBIT 5
Élaboré par I'ISACA, le COBIT 5 fournit un cadre complet qui
aide les entreprises à atteindre leurs objectifs de gouvernance
et de gestion des TI en entreprise (GEIT). En bref, il aide les
entreprises à obtenir une valeur optimale des Tl en maintenant
l'équilibre entre la réalisation des bénéfices et la gestion optimale
des degrés de risque et des ressources utilisées. Le CO BIT 5
permet la gouvernance et la gestion holistiques des Tl dans toute
l'entreprise, en tenant compte des activités de bout en bout et
des domaines fonctionnels de responsabilité en Tl ; il prend aussi
en considération les intérêts des parties prenantes internes et
externes en matière de TI. Le CO BIT 5 est générique et utile pour
les entreprises de toutes tailles, qu'il s 'agisse d'organisations
commerciales, sans but lucratif ou du domaine public.
Figure 1.6- Principes du COBIT 5
Source: ISACA, COBIT 5, É.-U., 2012, figure 2
Le CO BIT 5 est fondé sur cinq principes clés pour la
gouvernance et la gestion des TI en entreprise (montrés à la
figure 1.6) :
• Principe 1 : Répondre aux besoins des parties prenantes-
Les entreprises existent pour créer de la valeur pour leurs
parties prenantes en maintenant l'équilibre entre la réalisation
des bénéfices et la gestion optimale des degrés de 1isque et des
ressources utilisées. Le CO BIT 5 fournit tous les processus
et autres outils habilitants requis pour appuyer la création de
valeur commerciale par l'utilisation des TI. Comme chaque
entreprise a différents objectifs, une organisation peut adapter
CO BIT 5 à son propre contexte grâce à des objectifs en cascade,
faire correspondre des objectifs d'affaires généraux à des
objectifs gérables propres aux TI et rattacher ces objectifs à des
processus et pratiques précis.
• Principe 2 : Couvrir l'entreprise de bout en bout- Le CO BIT
5 intègre la gouvernance des TI à la gouvernance d'entreprise :
Manuel de Préparation CISA 26e édition
ISACA. Tous droits réservés.
Section deux : Contenu
- Il couvre tous les processus et fonctions au sein de
l'entreprise; il n'est pas cenlTé uniquement sur la« fonction
de Tl», mais traite l'information et les technologies connexes
en tant qu'actifs qui doivent être gérés comme tout autre actif,
par tout le monde au sein de l' entreprise.
- Il considère tous les outils habilitants pour la gouvemance et
la gestion des Tl comme touchant l'entreprise de bout en bout,
c'est-à-dire qu ' ils incluent tous les éléments et individus à
l'interne et à l'externe, pertinents pour la gouvernance e; la
gestion en matière d'information d'entreprise et de TI.
• Principe 3 :Appliquer un cadre intégré unique- [[ existe
de nombreuses normes et bonnes pratiques en matière de TI ,
chacune proposant une orientation quant à un sous-ensemble
d'activités de TI. Le CO BIT 5 s'aligne aux autres normes et
cadres pertinents à un haut niveau et peut donc servir de cadre
général pour la gouvernance et la gestion des TI en entreprise.
• Principe 4: Faciliter une approche holistique- Une
gouvemance et une gestion des TI en entreprise efficientes
et efficaces exigent une approche holistique qui tient compte
de plusieurs éléments qui interagissent entre eux. Le CO BIT
5 définit un ensemble d'outils habilitants pour appuyer
l'implantation d'un système complet de gouvemance et de
gestion pour les TI en entreprise. Les outils habilitants sont
définis au sens large comme tout ce qui peut aider à atteindre
les objectifs d'affaires. Le cadre CO BIT 5 définit sept
catégories d'outils habilitants :
- Principes, politiques et cadres
- Procédés
- Structures organisationnelles
- Culture, éthique et compmtement
-Information
-Services, infrastructure et applications
- Personnel, aptitudes et compétences
• Principe 5 : Séparer la gouvernance de la gestion- Le cadre
COBIT 5 établit une distinction claire entre la gouvernance
et la gestion. Ces deux disciplines englobent différents types
d'activités, exigent différentes structures organisationnelles et
répondent à des besoins différents. La perspective du COBIT 5
quant à cette distinction clé entre la gouvernance et la gestion
est la suivante :
-Gouvernance
La gouvernance assure que les besoins, règles et
options des parties prenantes sont évalués dans le but
de déterminer des objectifs d'affaires équilibrés et qui
font consensus; elle fixe l'orientation en établissant
les priorités et prenant des décisions; et surveille
la performance et la conformité relativement aux
orientations et objectifs convenus.
Dans la plupart des entreprises, la gouvemance générale est
la responsabilité du conseil d'administration, sous la direction
de son président. Des responsabilités de gouvernance précises
peuvent être déléguées à des structures organisationnelles
spéciales à l'échelon approprié, particulièrement dans le cas
de grandes entreprises complexes.
-Gestion
La gestion planifie, construit, exécute et surveille les
activités conformément à l'orientation fixée par la
gouvernance afin d'atteindre les objectifs d'affaires.
47
 Section deux : Contenu
Chapitre 1- Processus d'Audit des
Dans la plupart des enh·eprises, la gestion est la responsabilité
de la haute direction, dont le chef est le directeur général.
Ensemble, ces cinq principes permettent à l'entreprise de bâtir
un cadre de gouvernance et de gestion efficace qui optimise les
investissements en technologie et en information, de même que
leur utilisation à l'avantage des parties prenantes.
Remarque : On ne demandera pas au candidat au titre Cl SA
d ' identifier un processus CO BIT spécifique, des domaines
touchés par le CO BIT ou l'ensemble des processus Tl définis
dans chacun de ces domaines. Cependant, le candidat doit savoir
ce que sont les cadres et systèmes de référence, ce qu ' ils font et
pourquoi ils sont utilisés par les entreprises. La connaissance de
la sh·ucture et des principes clés des princi pales normes et des
cadres liés à la gouvernance des Tl , à l'assurance et à la sécurité
sera également un atout. Le CO BIT peut être utilisé comme
matériel d' étude supplémentaire pour la compréhension des
objectifs et des principes de contrôle détarllés dans ce document
de préparation.
1.4.5 CONTRÔLES GÉNÉRAUX
Les contTôles regroupent les politiques, les procédures et les
pratiques (tâches et activités) établies par les gestionnaires pour
offrir une assurance raisonnable que des objectifs spécifiques
seront atteints.
Les contrôles généraux s'appliquent à tous les domaines de
l'organisation, y compris l'infrash·ucture des TI et les services de
soutien. Ils comprennent :
• Les conh·ôles comptables internes conçus principalement pour
les opérations comptables - Ils concernent la sauvegarde des
actifs et la fiabilité des documents financiers.
• Les contrôles opérationnels en relation avec les opérations, les
tâches et les activités quotidiennes et qui assurent l'atteinte des
objectifs de l' organisation.
• Les contrôles administratifs en relation avec l'efficacité
opérationnelle dans un domaine fonctionnel et le respect des
politiques de gestion (les contrôles administTatifs soutiennent
les contrôles opérationnels en lien direct avec ces secteurs).
• Les politiques et les procédures organisationnelles liées à la
sécurité pour assurer une utilisation appropriée des actifs.
• Les politiques générales pour la conception et l' utilisation
des documents et des enregistrements adéquats (manuels/
automatisés) pour assurer 1'enregistTement des transactions
(journal d'audit des transactions).
• Les procédures et les pratiques pour assurer la protection
approp1iée des accès et de l'utilisation des actifs et des
installations.
• Les politiques de sécurité logique et physique pour toutes les
installations, les centres de données et les ressources des Tf
(p. ex. les serveurs et l' infrastructure de télécommunication).
1.4.6 CONTRÔLES PROPRES AUX SI
Chaque conh·ôle général peut être converti en contrôle spécifique
pour les Tl. Un système d'intormation adéquatement conçu
doit posséder des contrôles pour toutes les fonctions sensibles
48
Systèmes d'Information
e . Certified Information
Systems Auditer·
MISA.CA"Cwtlloealicltl
ou critiques. Par exemple, la procédure générale qui assure la
protection adéquate d'accès aux actifs et aux installations peut êtTe
convertie en série de procédures de conh·ôle liées aux SI, couvrant
l'accès aux copies de sauvegarde de logiciels, de données et à
l'équipement informatique. (.;auditeur des SI doit comprendre les
objectifs de contrôle qui existent pour toutes les fonctions. Les
procédures de contTôle des SI comprennent les éléments suivants :
• stratégie et orientation de la fonction des TI;
• organisation générale et gestion de la fonction des TI ;
• accès aux ressources Tl, incluant les données et les programmes;
• méthodologies de développement de systèmes et contrôle des
changements;
• procédures d'exploitation;
• programmation de systèmes et fonctions de soutien technique;
• procédure d' assurance de la qualité;
• contTôles d'accès physique;
• continuité des aftàires/planification de reprise après sinistre;
• réseaux et communications;
• administration de bases de données;
• protection et mécanismes de détection des attaques internes et
externes.
Lauditeur des SI doit comprendre les concepts de contrôle des SI
et leur application lors de la planification d' un audit.
Remarque : Les contrôles des SI mentionnés dans cette section
doivent être considérés par le candidat au titre ClSA comme
faisant partie de son mandat (c.-à-d. la protection des actifs
informati01mels).
1.5 RÉALISER I:AUDIT DES SI
Lexécution d'un audit se fait en plusieurs étapes. La planification
adéquate est la première étape nécessaire à l' exécution
efficace d'un audit informatique. Afin d'utiliser efficacement
les ressources d'audit des SI , les organismes d'audit doivent
évaluer les risques globaux liés aux domaines généraux et aux
domaines d'application de même qu 'aux services connexes
vérifiés. Par la suite, ces organisations doivent élaborer un
programme d'audit comportant des objectifs et des procédures
d' audit visant à atteindre les objectifs de l'audit. Le processus
d'audit requiert que l'auditeur des SI recueille des preuves,
qu ' il évalue les points forts et les faiblesses des contrôles en se
basant sur les preuves réunies grâce aux procédés d'audit, et qu'il
prépare à l'intention de la direction un rapport d'audit objectif
traitant de ces problèmes (les points faibles des contrôles et les
recommandations pour y remédier).
Le responsable de 1'audit doit s'assurer de la disponibilité des
ressources d'audit adéquates et de l'élaboration d'un échéancier
d'exécution des audits. Dans le cas des audits des SI effectués à
l'interne, il doit s'assurer que soient effectués les examens de suivi
de 1'état des mesures correcnices entreprises par la direction. Le
processus d'audit comprend la définition de la p01tée de l'audit,
la formulation des objectifs de l'audit, l'identification des critères
d'audit, l'exécution des procédures d'audit, l'examen et l'évaluation
des preuves, la formulation des conclusions et des opinions d'audit
ainsi que la présentation d' un rapp01t à la direction après avoir
discuté avec les prop1iétaires de processus clés.
Manuel de Préparation CISA 2fT édition
ISACA. Tous droits réservés.
e. Certrtied Information
M Systems Auditer"
AniSAt.(' Cwtoral.on
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
Les techniques de gestion et d'administration des projets d'audit,
qu 'elles soient automatisées ou manuelles, comprennent les
étapes de base suivantes :
• Planifier la mission d'audit - Planifier la mission d'audit en
tenant compte des risques propres au projet.
• Concevoir le plan d'audit - Répartir les tâches d'audit
nécessaires sur une ligne du temps, en optimisant l'utilisation
des ressources. Faire des estimations réalistes du temps requis
pour effectuer chaque tâche, en tenant compte de la disponibilité
de l'entité à vérifier.
• Exécuter le plan - Exécuter les tâches d ' audit conf01mément
au plan.
• Surveiller les activités du projet- Les auditeurs des SI font
rapport sur leurs progrès réels par rapport aux étapes d'audit
planifiées afin d'assurer que les problèmes sont gérés de
manière proactive et que la p01tée complète est réalisée dans le
respect du calendrier et du budget.
1.5.1 OBJECTIFS DE I:AUDIT
Les objectifs de l' audit désignent les buts spécifiques que doit
atteindre l'audit. En comparaison, un objectif de contrôle se
rapporte à la manière dont un contrôle interne doit fonctionner.
Un audit comp01te généralement plusieurs objectifs d 'audit.
Les objectifs de l'audit sont souvent axés sur la corroboration
de l'existence des contrôles internes, pour minimiser les risques
de l'organisation, et sur le fait qu'ils fonctionnent comme prévu.
Ces objectifs d' audit comprennent l'assurance de la conformité
aux exigences juridiques et réglementaires, ainsi que de la
confidentialité, l' intégrité, la fiabilité et la disponibilité de
l' information et des ressources des Tl. Le responsable de l'audit
peut confier à l' auditeur des SI un objectif de contrôle général à
examiner et évaluer lorsqu'il effectue un audit.
Un élément clé dans la planification d'un audit des systèmes
d'information consiste à convertir les objectifs fondamentaux
et généraux de l'audit en objectifs d'audit spécifiques des SI.
Par exemple, lors d'un audit financier ou opérationnel, l'un des
objectifs de contrôle pourrait être d'assurer que les transactions
soient inscrites correctement dans les comptes généraux .
Toutefois, dans le cadre d ' un audit des systèmes d' information,
l'objectif pourrait êtTe élargi au fait d'assurer que des fonctions de
validation soient en place pour détecter les eJTeurs de codage des
transactions pouvant influer sur les activités de comptabilisation.
L'auditeur des SI doit avoir une compréhension de la façon
dont les objectifs généraux de l'audit peuvent êtTe convertis en
objectifs de contrôle spécifiques des SI. Déterminer les objectifs
de l'audit constitue une étape essentielle de la planification d' un
audit des systèmes d' information.
L'un des buts fondamentaux de tout audit des SI est d'identifier
les objectifs de contrôle et les contrôles connexes qui
répondent à chacun des objectifs. Par exemple, l'examen
initial de l'auditeur des SI doit identifier les contTôles clés.
L'auditeur des SI doit ensuite décider s' il soumet ces contrôles
à des tests de conformité. L'auditeur des SI doit identifier les
contrôles généraux et d'application clés après avoir acquis une
compréhension et documenté les processus de l'entreprise ainsi
que les applications et les fonctions qui appuient ces procédés et
Manuel de Préparation C/SA 26 édition 6
ISACA. Tous droits réservés.
Section deux : Contenu
ces systèmes de soutien généraux. L'auditeur des SI doit identifier
les points de contrôle clés en conséquence.
En revanche, un auditeur des SI peut contribuer à l'évaluation de
l'intégrité des données des rappmts financiers, ce qu ' on désigne
comme étant des tests de corroboration, à l'aide de techniques
d'audit assistées par ordinateur (TAAO).
1.5.2 1YPES D'AUDITS
L'auditeur des SI doit comprendre les divers types d'audits
pouvant être effectués, à l'interne ou à 1'externe, ainsi que les
procédures d 'audit qui leur sont associées :
• Audits de conformité - Les audits de conformité comprennent
des tests précis menés sur des contrôles pour démontrer le
respect de certaines normes réglementaires ou de l'indusllie.
Ces audits recoupent souvent les audits traditionnels, mais
peuvent être axés sur certains systèmes ou données en
particulier. Les audits des normes de sécurité des données
du domaine des caties de paiement, pour les enti·eprises qui
traitent des données de cmies de crédit, et les audits en ve1iu de
la loi sur la poiiabilité et la responsabilité en assurance santé
(HIPAA), pour les entreprises qui traitent des données de soins
de santé, en sont deux exemples.
• Audits financiers- Le but d'un audit financier est d'évaluer la
justesse des rappmis financiers. Un audit financier comprend
souvent des tests de corroboration détaillés, malgré le fait
que les auditeurs accordent de plus en plus d'importance à
la démarche axée sur le contrôle et le 1isque. Ce type d'audit
touche à l' intégrité et à la fiabilité des informations financières.
• Audits opérationnels- Un audit opérationnel est conçu pour
évaluer la structure de contrôle interne d' un processus ou d'un
domaine donné. Les audits des SI portant sur les contrôles
d'application ou des systèmes de sécurité logiques constituent
quelques exemples d'audits opérationnels.
• Audits intégt·és- Un audit intégré combine les étapes des
audits financiers et opérationnels. Ils sont effectués afin
d'évaluer les objectifs globaux de l'organisation liés à la
sauvegarde, à l' efficacité et à la conformité des informations
et des actifs financiers. Un audit intégré peut être effectué par
des auditeurs externes ou internes, et peut comprendre des tests
de conformité des contrôles internes et des étapes essentielles
d'audit.
• Audits administratifs - Ces audits sont conçus pour évaluer
les enjeux liés à l'efficacité de la productivité opérationnelle au
sein d'une organisation.
• Audits des SI - Ce processus recueille et évalue les preuves
afin de déterminer si les systèmes d' information et les
ressources connexes protègent adéquatement les actifs,
maintiennent la confidentialité, l'intégrité et la disponibilité des
données et des systèmes (DIC), fournissent des renseignements
pertinents et fiables, atteignent les buts organisationnels de
façon efficace, utilisent les ressources efficncement et possèdent
des contrôles intemes qui offrent une assurance raisonnable que
les objectifs opérationnels, d'enll·eprise et de contrôle seront
atteints et que les événements indésirables seront évités, ou
détectés et corrigés rapidement.
• Audits spécialisés - Dans la catégorie des audits des SI,
on retrouve plusieurs examens spécialisés qui contTôlent les
domaines comme les services effectués par les tiers. Puisque
49
Section deux : Contenu
Chapitre 1- Processus d'Audit des
les entreprises dépendent de plus en plus des fournisseurs de
services externes, il est important que les contrôles internes
soient évalués dans ces environnements. Le « Statement on
Standards for Assurance Engagements 16 (SSAE 16) >>(énoncé
sur les normes visant les missions d'assurance), intitulé
« Reporting on Controls at a Service Organization », est une
norme d'audit largement reconnue élaborée par l' American
Institute ofCertified Public Accountants (AICPA). Cette
norme remplace la norme précédente, « Statement on Auditing
Standards 70 (SAS 70) )), intitulée « Reports on the Processing
ofTransactions by Service Organizations ». Cette norme
définit les normes professionnelles utilisées par l' auditeur d' un
organisme de services pour évaluer les contrôles internes de cet
organisme. Ce type d'audit est devenu de plus en plus pertinent
à cause de la tendance actuelle consistant à externaliser les
processus financiers et d'entreprise aux tiers foumisseurs de
services qui, dans ce11:ains cas, peuvent opérer dans d'autres
juridictions ou même d'autres pays. Il est à noter qu'un examen
SSAE 16 de type 2 constitue une variante beaucoup plus
approfondie de l'examen SSAE 16 normal, lequel est souvent
requis avec les examens réglementaires. Plusieurs pays ont
leur propre norme équivalente. Un audit de type SSAE 16
est impo11:ant, car il assure qu'une organisation de services a
subi un audit approfondi de ses activités de contrôle, ce qui
comprend généralement les contrôles des technologies de
l'information et des processus connexes. Un examen de type
SSAE 16 offre des conseils visant à permettre à un auditeur
indépendant (auditeur d'un organisme de services) d'émettre
une opinion sur la description des contrôles d'une organisation
de services, à 1'aide d'un rapport pouvant ensuite être utilisé
comme référence par l'auditeur d ' une entité qui utilise les
services de l'organisation.
• Investigation légale - L'investigation légale a été définie
comme étant un audit spécialisé dans la découverte, la
divulgation et le suivi des fraudes et des crimes. Le but premier
d'une telle investigation est la recherche de preuves aux fins
d'une enquête par la police et les autorités judiciaires. Ces
experts ont été appelés à participer à des enquêtes liées à la
fraude d'entreprise et à la cybercriminalité. Dans les cas où
les ressources informatiques ont fait l'objet d' une utilisation
malveillante, une enquête plus poussée est nécessaire afin de
recueillir les preuves d'une activité criminelle possible pouvant
ensuite être communiquées aux autorités appropriées. Une
enquête judiciaire en informatique comprend l'analyse des
appareils électroniques comme les ordinateurs, téléphones
intelligents, disques, commutateurs, routeurs, concentTateurs de
réseau et autres équipements électroniques. Un auditeur des SI
possédant les compétences nécessaires peut aider le responsable
de la sécurité de 1' information à mener des enquêtes judiciaires
et effectuer l'audit des systèmes afin d' assurer la conformité
aux procédures de collecte des preuves aux fins de l'enquête
judiciaire. Les preuves électroniques sont vulnérables aux
changements; par conséquent, il est nécessaire de les traiter
avec la plus grande prudence; des contrôles doivent assurer
qu'aucune manipulation ne peut être effectuée. Une chaîne de
possession des preuves électroniques doit être établie afin de
répondre aux exigences légales.
Les preuves informatiques traitées incorrectement pourraient
être déclarées inadmissibles par les autorités judiciaires.
50
Systèmes d'Information
e Certified lnfonnation
Systems Audilor"
AII IS.IoCJ:' Cetloloti1CIII
[;élément le plus important pour un inspecteur consiste à faire
une image binaire du lecteur cible et à l'examiner sans altérer
les tTaces temporelles ou les autres renseignements afférents
aux fichiers examinés. De plus, des techniques et outils
d' investigation légale, comme la mise en correspondance des
données pour l'évaluation des risques liés à la sécurité et à la
confidentialité ainsi que la recherche de propriété intellectuelle
aux fins de la protection des données, sont aussi utilisés pour la
prévention, la conformité et l'assurance.
1.5.3 MÉTHODOLOGIE DE !.:AUDIT
La méthodologie de l' audit est un ensemble de procédures
d'audit documentées conçues pour atteindre les objectifs prévus
de l'audit. Ses composantes sont un énoncé de la pmtée, des
objectifs de l' audit et des programmes d'audit.
La méthodologie de 1'audit doit être établie et approuvée par le
responsable de l'audit par souci d'uniformité dans l'approche
d'audit. Cette méthodologie doit être formalisée et communiquée
à tout le personnel d'audit.
Le tableau 1.7 dresse la liste des étapes d' un audit typique.
Un élément initial et essentiel du processus d'audit doit être
le programme d'audit; celui-ci sert de guide pour exécuter et
documenter toutes les étapes de vérification, ainsi que le domaine
et les types d' éléments probants qui sont examinés.
Bien qu'un programme d'audit ne suive pas nécessairement un
ensemble spécifique d'étapes, l'auditeur des SI doit normalement
suivre les étapes d' un programme séquentiel, comme mesures
minimales, afin de comprendre l'entité vérifiée, évaluer la
structure de contrôle et tester les contrôles.
Chaque service d'audit doi t concevoir et approuver une
méthodologie de vérification, ainsi que les étapes minimales qui
doivent être suivies dans le cadre de toute tâche de vérification.
Tous les plans, les programmes, les activités, les tests, les
constatations et les incidents d'audit doivent être .décrits comme il
se doit dans les documents de travail.
Le format et le supp01t des documents de travail peuvent varier
selon les besoins spécifiques du service. Les auditeurs des SI
doivent particulièrement tenir compte de la façon de faire pour
maintenir l'intégrité et la protection des preuves des procédés de
vé1ification, et ce afin de conserver leur valeur de corroboration
des résultats de la vérification.
Les documents de travail peuvent être considérés comme étant
le lien ou l'inte1face entre les objectifs d'audit et le rappmt
final. Tous les plans, les programmes, les activités, les tests, les
constatations et les incidents d'audit doivent être déc1its comme
il se doit dans les documents de travail. Dans ce contexte, le
rapport d'audit peut être considéré comme un document de travail
particulier.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e. H
Certified Information
Systems Auditor"
AI! ISACA" C...toiQ1GI
Chapitre 1- Processus d'Audit des
Systèmes d'Information
Tableau 1.7- Étapes d'audit
Étape d'audit Description
Sujet d'audit • Identifier la zone à auditer.
Objectif de l'audit • Identifier l'objectif de l'audit. Par exemple,
un objectif pourrait être de déterminer si des
changements au code source d'un programme
surviennent dans un environnement bien défini
et contrôlé.
Portée de l'audit • Identifier les systèmes spécifiques, fonctions ou
unités de l'organisation à inclure dans l'examen.
Dans l'exemple précédent sur les changements
au programme, l'énoncé de portée pourrait
limiter l'examen à un seul système ou à une
période de temps.
Planification avant • Identifier les habiletés techniques et les ressources
l'audit nécessaires.
• Identifier les sources d'information pour les tests
ou les examens comme les dossiers fonctionnels,
les politiques, les normes, les procédures et les
travaux d'audit passés.
• Identifier les emplacements ou installations à
auditer.
• Élaborer un plan de communication au début de
chaque mission, un plan qui décrit les aspects
suivants :avec qui communiquer, quand, combien
de fois et dans quel but.
Procédures • Identifier et sélectionner l'approche d'audit pour
d'audit et étapes vérifier et tester les contrôles.
de collecte de • Identifier une liste d'individus à rencontrer.
données • Identifier et obtenir les politiques de
département, les normes et directives pour
examen.
• Développer les outils d'audit et la méthodologie
pour tester et vérifier les contrôles.
Procédures • Identifier les méthodes (y compris les outils) pour
d'évaluation effectuer l'évaluation.
des tests ou des • Identifier les critères d'évaluation de l'essai
résultats d'examen (semblable à un scénario de test que l'auditeur
pourra utiliser pendant l'audit).
• Identifier les moyens et les ressources pour
confirmer que l'audit était adéquat (et répétable,
le cas échéant).
Procédures de • Déterminer la fréquence de la communication.
communication • Préparer la documentation pour le rapport final.
avec la direction
Préparation du • Divulguer les procédures de suivi.
rapport d'audit • Divulguer les procédures pour évaluer/tester
l'efficacité opérationnelle.
• Divulguer les procédures de test des contrôles.
• Examiner et évaluer la validité des documents,
politiques et procédures.
1.5.4 AUDIT FONDÉ SUR LE RISQUE
Un audit efficace fondé sur le 1isque repose sur deux processus :
1. !..:évaluation des risques dont dépend le calendrier d'audit (voir
la section 1.5.6 Évaluation et traitement des risques)
2. !..:évaluation des risques qui minimise le risque d'audit durant
l'exécution de celui-ci (voir la section 1.5.5 Risque d'audit et
importance relative)
Manuel de Préparation CISA 266 édition
ISACA. Tous droits réservés.
Section deux : Contenu
Une démarche axée sur le risque est normalement adaptée pour
élaborer et améliorer le processus continu d'audit. Cette approche
est utilisée pour évaluer les risques et aider l'auditeur des SI à
prendre sa décision de faire soit des tests de conformité, soit des
tests de corroboration. Il est important d'insister sur le fait que
la démarche axée sur le risque aide efficacement l'auditeur en
déterminant la nature et la portée des tests.
Dans ce contexte, les risques inhérents, les risques d'échec des
contrôles ou les risques de non-détection ne doivent pas être
un problème majeur, malgré quelques faiblesses. Dans le cadre
d'une démarche axée sur le risque, les auditeurs des SI ne se fient
pas seulement sur le risque, ils se fient aussi sur les contrôles
internes et opérationnels de même que sur la connaissance de la
compagnie ou de l'organisation. Ce type de décision basée sur
l'évaluation des risques peut contTibuer à établir un lien entre
l'analyse de coût-bénéfice du contrôle et les risques connus, ce
qui permet des choix pratiques.
Le risque de l'organisation comprend les questions liées aux
effets probables d' un événement potentiel sur l'accomplissement
des objectifs opérationnels établis. Ce risque peut être de nature
financière, réglementaire ou opérationnelle, et peut aussi inclure
le risque découlant d'une technologie spécifique. Par exemple,
une compagnie aérienne est assujettie à d'importants règlements
de sécurité et changements de caractère économique, lesquels ont
des répercussions sur la continuité des activités de la compagnie.
Dans ce contexte, la disponibilité et la fiabilité des services des Tl
sont essentielles.
En comprenant la nature de l'entreprise, les auditeurs des
SI peuvent identifier et catégmiser les types de risque qui
détermineront le mieux le modèle de risque ou la démarche à
suivre lors de l'audit. !..:évaluation du modèle de risque peut
être aussi si mple que de pondérer les types de risque associés à
l'entreprise et d' identifier le risque dans une équation . D'un autre
côté, l'évaluation des risques peut faire partie d' un plan en vertu
duquel des poids relatifs sont attribués au 1isque d'après la nature
de l'entreprise ou l' importance du 1isque. La figure 1.8 présente
un aperçu simplifié d' une démarche axée sur le 1isque.
1.5.5 RISQUE D'AUDIT ET SON IMPORTANCE
RELATIVE
Le risque d'audit peut se définir comme le 1isque que les
renseignements puissent contenir une e1reur importante qui
pourrait ne pas être détectée lors de l'audit. !..:auditeur des SI doit
aussi prendre en considération, s'ils sont applicables, les autres
facteurs concernant l'organisation : les données sur les clients,
la confidentialité, la disponibilité des services fournis de même
que la réputation et l'image publique, et cela autant pour les
entrep1ises, que pour les organismes publics et les fondations.
Le risque d'audit est influencé par:
• Risque inhérent- Dans le contexte du risque d'audit, il s' agit
du degré de risque ou d'exposition au risque du processus ou
de l'entité à auditer, sans tenir compte des contrôles implantés
par la direction. Le risque inhérent existe indépendamment d'un
audit et est relié à la nature des activités de l'organisation.
• Risque d'échec des contrôles- Le risque qu'il existe une
erreur impoiiante qui ne soit pas évitée ni détectée en temps
51
 Section deux : Contenu
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
e Certified Information
Systems Audilor"
AIIISACA" ç.,t,rcaLGI

Figure 1.8- Démarche axée sur le risque

Recueillir des renseignements et planifier

• Connaissance de l'entreprise et du domaine d'activité • Lois et réglementations
• Résultats d'audit de l'année précédente • Évaluation des risques inhérents
• Information financière récente

1
Comprendre les contrôles internes
• Environnement de contrôle • Évaluation du risque d'échec des contrôles
• Procédures de contrôle • Évaluation des risques de non détection
• Établissement d'une équation du risque total
1

Effectuer des tests de conformité

• Identifier les contrôles clés qui doivent faire l'objet de tests • Effectuer des tests sur la fiabilité, la préven-
tian des risques et le respect des politiques et
procédures de l'organisation

Effectuer des tests de corroboration

• Procédures analytiques • Autres procédures d'audit de corroboration
• Tests détaillés sur le solde des comptes
1

Conclure l'audit
• Créer des recommandations • Rédiger le rapport d'audit

opportun par le système de contrôles internes. Par exemple,
Je 1isque d'échec des contrôles associé aux examens manuels
des journaux comptables peut être élevé en raison du volume
de renseignements enregistrés. Le risque d'échec des contrôles
associé aux procédw·es de validation des données informatisées
est normalement faible si les processus sont appliqués
régulièrement.
• Risque de détection - Le risque que des erreurs ou fausses
déclarations importantes qui ont eu lieu ne soient pas détectées
par l'auditeur des SI.
• Risque global - Probabilité que l'information ou les rapports
financiers contiennent des erreurs matérielles et que 1'auditeur
n'en détecte pas la présence. Dans le cadre de la formulation de
l'approche d'audit, l'un des objectifs consiste à limiter le risque
d'audit dans Je domaine faisant l'objet d ' un examen attentif afin
que le risque global soit à un niveau suffisamment bas à la fin
de 1'examen.
Remarque : Le risque d' audit ne doit pas être confondu avec
Je 1isque d'échantillonnage statistique, celui-ci est le risque
que des hypothèses inexactes soient formulées à propos des
caractéristiques d'une population à partir de laquelle un
échantillon est sélectionné.
Plus précisément, cela signifie qu'une faiblesse du contrôle
interne ou qu'un ensemble de faiblesses des contrôles internes
font en sorte que l'organisation est extrêmement susceptible à
la survenance d' une menace (p . ex., une perte financière, une
intenuption des activités, la perte de confiance des clients, des
sanctions économiques, etc.). I.:auditeur des SI doit se pencher
sur l'évaluation de l'importance relative des éléments en question
dans Je cadre d' une démarche axée sur Je 1isque visant à évaluer
les contrôles internes.
I.:auditeur des SI doit avoir une bonne compréhension du
risque associé à la préparation d'un échantillonnage lors de la
planification d'un audit. De par sa nature, un échantillon d'audit
ne détecte pas chaque erreur dans une population. Toutefois, en
utilisant la procédure appropriée d'échantillonnage statistique ou
un processus rigoureux de contrôle de la qualité, la probabilité du
risque de non-détection pourrait être minimisée.
De la même manière, lors de l'évaluation des contrôles intemes,
l'auditeur des SI doit savoir qu'un système donné peut ne pas
détecter une eJTeur mineure. Toutefois, cette eJTeur minime,
combinée à d'autres erreurs, peut devenir importante pour
l'ensemble du système.
La notion d' impo1tance relative fait appel au jugement 1igoureux
de l'auditeur des SI. I.:auditeur des SI peut déceler une petite
erreur qui pourrait être considérée comme significative sur le
plan opérationnel, mais qui pourrait ne pas être vue comme
telle par la haute direction. Les facteurs d' importance relative
combinés à une compréhension des risques d' audit sont des
notions essentielles en regard de la planification des domaines
à vérifier et des tests spécifiques devant être effectués lors d'un
audit donné.

52 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 Chapitre 1 -Processus d'Audit des
Systèmes d'Information
1.5.6 ÉVALUATION ET TRAITEMENT DES RISQUES
Évaluation du risque
Afin d'acquérir une meilleure compréhension du risque d'audit,
i'nuditeur des SI doit aussi comprendre comment l'organisation
vérifiée approche l'évaluation ct le traitement des risques.
L'évaluation des risques doit identifier, quantifier ct prioriser
les risques en fonction des critères d'acceptation des risques ct
des objectifs pertinents de l'organisation. Les résultats doivent
guider ct déterminer les priorités et les mesures appropriées de
la direction relativement à la gestion des risques, à la sêcuritë de
l'information ct à la mise en œuvre des contrôles choisis pour
offrir une protection contre Je risque.
L'évaluation des risques doit aussi être effectuée périodiquement
afin de thire face aux changements concernant l'environnement,
les exigences en matière de sécurité et la situation de risque
(p. ex. aux plans des actif.'i, des menaces, des vulnérabilités,
des effets), et lorsque surviennent des modifications
significatives. Ces évaluations de risques doivent être entreprises
méthodiquement dans le but d'obtenir des résultats comparables
et reproductibles.
La portée d'une évaluation des risques peut s'étendre soit à
l'ensemble de l'organisation, à des parties de rorganisation,
à un système d'information individuel, à des composantes
spécifiques du système, ou à des services où une telle évaluation
est pratiquement réalisable, réaliste et utile.
Traitement des risques
Avant de considérer le traitement d'un risque, l'organisation doit
décider des critères qui déterminent si les risques peuvent être
gérés en fonction de la propension au risque. Les risques peuvent
être acceptés si, par exemple, on évalue que le Iisque est faible,
ou que le coût de traitement n'est pas rentable pour l'organisation.
De telles décisions doivent être enregistrées.
Les risques identifiés dans le cadre de l'évaluation des 1isques
doivent être traités. Les options de réaction au risque possibles
comprennent :
• AUénuation du risque-· Appliquer les contrôles appropriés
pour réduire les risques;
• Acceptation du risque-·- Ne pas prendre d'actions objectivement
et en toute connaissance de cause, pour autant que le risque
satisfasse clairement aux politiques et aux cri tètes d'acceptation
des risques de l'organisation;
• ~:vitemcnt du rÏS{Jue ---Éviter les risques en n'autorisant pas les
actions qui causeraient 1'apparition de risques;
• Transfertlpa1·tage du risque-- Transférer les risques <.l.'lSociés à
des tiers. p. ex. aux assureurs ou aux fournisseurs.
Dans les cas où la décision concemant le traitement des risques
consiste à appliquer les contrôles appropriés, les contrôles doivent
être choisis en vue d'assurer que les risques .soient réduits à un
niveau acceptable, en tenant compte des éléments suivants :
• Les exigences et les contraintes liées nux législations ct aux
réglementations nationales et internationales;
• Les objectifs de l'organisation;
• Les exigences et contraintes opérationnelles;
• La rentabilité (le be.soin d'équilibrer l'investissement, grâce à
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
la mise en œuvre des contrôles et à leur fonctionnement, ct les
dommages qui résulteront probablement des défhilkmccs de
sécurité).
Les contrôles peuvent être sélectionnés à partir de normes
professionnelles ou de lïndustrie, ou de nouveaux contrôles
peuvent être conçus afin de satisfaire aux besoins spéci figues
de l'organisation. Il faut reconnaître la possibilité que certains
contrôles ne puissent pas être apphqués à chaque système ou
environnement de l'information, et qu'ils peuvent ne pas être
pratiques pour !otites les organisations.
Il faut tenir compte des contrôles de sécurité de l'infOrmation
au moment de la conception et de la spécification des exigences
relatives aux projets et aux systèmes. À défaut de le faire, cela
peut entraîne!· des coûts supplémentaires et des solutions moins
efficaces, et dans le pire des cas, l'incapacité d'atteindre une
sécurité adéquate.
Aucun ensemble de contrôles ne permet d'atteindre une sécurité
totale. La direction doit mettre en place d'autres mesures visant
à surveille!; évaluer et améliore!· l'efficience et l'efficacité des
contrôles de sécwitê afin d'appuyer 1'atteinte des objectifs de
l'organisation.
1.5.7 TECHNIQUES D'ÉVALUATION DES RISQUES LIÉS
À !:AUDIT DES SI
Lors de la détermination des domaines tûnctionnels à vérifier,
l'auditeur des SI pourrait se trouver fnc..::: à un éventail
considérable de sujets d'audit. Chacun de ces sujets peut
présenter différents types de risques. L'auditeur des SI doit
évaluer ces divers types de risques pour déterminer les domaines
ù haut risque devant être vérifiés.
On note plusieurs méthodologies d'évaluation des risques,
infbtmati.sées et non întOrmati.sées, parmi lesquelles l'auditeur
des SI peut choisir. Celles-ci varient entre une simple
classification des risques à un niveau « haut )>, (< moyen » ct
«bas», selon le jugement de l'auditeur des SI, et des calculs
scîcntifiques complexes qui fournissent un classement numérique
des risques.
Une telle approche de l'évaluation des risques constitue un
système de notation utile pour p1ioriser les audits d'après une
évaluation des facteurs de risque. Le système tient compte
des variables comme la complexité technique, le niveau
des procédures de contrôle en place ct le niveau des pertes
financières. Ces variables peuvent être pondérées ou non. Les
valeurs de risque sont ensuite comparées entre elles et les audits
sont prévus en conséquence. Une autre forme d'évaluation des
1isques est discrétionnaire; dans ce cas, une décision indépendante
est prise en fonction de la connaissance de l'entreprise, des
directives de la haute direction, des perspectives historiques, des
objectifs opérationnels el des facteurs environnementaux. Une
combinaison de techniques peut aussi être utilisée. Les méthodes
d'évaluation des risques peuvent changer et évoluer avec le temps
afin de mieux combler les besoins de l'organisation. L'auditeur
des S! doit tenir compte du niveau de complexité et de détails
appropriés pour l'organisation faisant l'objet d'un audit
53
 Section deux : Contenu
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
e Certilied Information
Systems Auditer"
...,~"""''"'''""''"'

Avoir recours à l'évaluation des risques pour déterminer les • Les techniques d'établissement de modélisation pour documenter
domaines à vérifier : les applications automatisées et les processus d'entreprise;
• Permet à la direction d'attribuer avec efficacité des • !.;utilisation de fichiers de journalisation de rapports d'audit
ressources d'audit limitées. disponibles dans les systèmes d'exploitation et d'applications;
• Assure que les renseignements pertinents ont été obtenus de tous "L'examen de la documentation~
les niveaux de la direction, y compris le conseil • L'enquête et l'observation;
d'administration, les auditeurs des Sl et la direction des • Les démonstrations
domaines fonctionnels. Généralement, ces renseignements • La réexécution des contrôles.
aident la direction à s'acquitter ctficaœment de ses
responsabilités et assurent que les activités d'audit sont orientées L'auditeur des SI doit posséder une compréhension suffisante de
vers les domaines à haut risque, ce qui valorise la direction. ces procédures afin de permettre la planification des procédés de
• Définit les bases d'une gestion cflïcace du service d'audit. vérification appropriés.
• Foumit un aperçu de la fnç.on dont le sujet de l'audit particulier est
lié i1 l'ensemble de l'organisation ainsi qu'aux plans d'activités. Remarque: Pour des exemples de programmes d'audit, visitez
te wwl1cisaca.urg/auditpmgrams.
1.5.8 PROGRAMMES D'AUDIT
Un programme d'audit est un ensemble de procédures et 1.5.9 DÉTECTION D'UNE FRAUDE
d'instructions d'audit détaillées qui devraient être exécutées L'utilisation des technologies de l'information est d'une grande
afin de réaliser un audit. Les programmes d'audits financiers, utilité pour les entreprises en ce qui conceme l'augmentation
opérationnels, intégrés, administratifS et des SI sc basent sur significative de la qualit~ de ditlùsion de l'information. Toutefois,
la pottée et les objectif.;; d'une af1Cc1ation pat1iculière. Les l'utilisation très répandue des tcchnologi~s de l'information ct
auditeurs des SI évaluent souvent les fonctions et les systèmes d'Internet engendre un risque associé à la perpétration d'erreurs
des Tl à pat1ir de différentes perspectives comme la sécurité et de fraude. La direciîon est principalement responsable de
(confidentialité, intégrité ct disponibilité), la qualité (dl'icacité l'établissement, de la mise en œuvre et du maintien d'un cadre
et efficience), les activités fiduciaires (contbrmité et fiabilité), le de travail ainsi que de la conception des contrôles des Tl qui
service ct la capacité. Le programme de travail de l'audit constitue soutiennent les objectifs des contrôles. Un système de contrôle
la stratégie et le plan de l'audit.. Il identifie la portée, les objectifS interne bien conçu fOurnit de bonnes opportunités d'empêcher
et les procédures de l'audit afin d'obtenir des preuves suffisantes, ou de détecter rapidement les fraudes. Les contrôles internes
pertinentes et fiables pour établir et soutenir les conclusions ct les peuvent échoue!~ lorsqu'ils sont contournés par l'exploitation des
opinions de l'audit. vulnérabilités ou des faiblesses des contrôles par la direction, ou
par la connivence entre les personnes.
Les procédures générales d'audit constituent les étapes de base de
l'exécution d'un audit et comprennent normalement: Les législations et les réglementations ayant trait à la gouvemancc
• La connaissance du domaine ou du sujet de l'audit; des entreprises accordent des responsabilités importantes à la
• L'évaluation des risques ainsi qu'un plan et un échéancier direction, aux auditeurs et au comité de vérification en cc qui
général de l'audit; concerne la détection el' la divulgation des fraudes, qu'elles soient
• La planification détaillée de l'audit qui comprend les étapes importantes ou non.
nécessaires pour !"audit et un découpage du travail prévu en
Les auditeurs des SI doivent faire preuve de professionnalisme
fonction de l'échéancier anticipé;
(î005 Professionnalisme) dans tous les aspects de leur travail. Les
• L'examen préliminaire du domaine ou du sujet de l'audit;
auditeurs des SJ qui sc voient confier les fonctions d'assurance
• L'évaluation du domaine ou du sujet de l'audit;
doivent exercer avec diligence leur travail et être alertes aux
• La vérification ct l'évaluation de la pertinence des contrôles
possibilités de fraude potentielle.
con~us pour atteindre les objectifs de contTôle;
• Les tests de confonnité (tests de mise en œuvre des contrôles et
f~tant entendu qœ la présence de contrôles internes n'élimine
de leur application systématique);
pas complètement les fraudes, les auditeurs des SI doivent être
• Les tests de corroboration (confirmer l'exactitude des
conscients des possibilités de perpétrer des fraudes el des moyens
renseignements);
pour y parvenit~ spécialement en exploitant les vulnérabilités ct en
• Les rapports (communiquer les résultats);
outrepassant les contrôles dans l'environnement informatisé. Les
• Le suivi dans les cas d'un audit interne.
auditeurs des SI doivent connaître les fraudes ct les indicateurs
de fraudes et, pendant rcxécution d'un travail d'audit, être
L'auditeur des SI doit comprendre les procédures de tests ct
conscients des possibilités de fraudes ct d'erreurs.
d'évaluation des contrôles des SI. Ces procédures peuvent
comprendre :
Dans le cadre du travail d'assurance normal, l'auditeur des SI
• L.;utilisation de logiciels d'audit généralisés pour inspecter le
peut être ù même de constater des fraudes ou d'en percevoir
contenu des fichiers de données (y compris les fichiers de
des indicateurs. Après une évaluation prudente, l'auditeur des
journalisation de l'exploitation);
SI peut communiquer le besoin d'une enquête détaillée aux
• L'utilisation de logiciels spécialisés pour évaluer le contenu de
auto1ités appropriées. Dans le cas où l'auditeur identifie une
la base de données du système d'exploitation ct des fichiers de
fraude majeure ou si le risque associé à la non-détection est
paramètres d'application (ou détecter les irrégularités dans les
élevé, la direction de l'audit doit aussi envisager de communiquer
réglages des paramètres du système);
rapidement avec le comité d'audit.

54 Manuel de Préparation CfSA 26" édition

ISACA. Tous droits réservés.
e . C.ertificd klf.ormation
M Systems Auditor"
~- ;;;;;j;;;;.,-;----
Chapitre 1 -Processus d'Audit des
Systèmes d'Information Section deux : Contenu

En ce qui concerne la prévention des fraudes, l'auditeur des
SI doit être conscient des exigences juridiques potentielles
concernant la mise en œuvre des procédures spécifiques de
détection de fraude ct de production de rapport sur les fraudes
aux autorités appropriées.
test de corroboration pour déterminer si les comptes d'inventaire
de ln bandothèque sont inscrits correctement Pour effectuer ce
test, l'auditeur des SI pouiTait prendre un inventaire exhaustif ou
utiliser un échantillon statistique lui permettant de formuler une
conclusion à l'égard de l'exactitude de l'ensemble de l'inventaire.

Il existe une corrélation directe entre le niveau de contrôles

1.5.10 TESTS DE CONFORMITÉ PAR OPPOSmON À
TESTS DE CORROBORATION
Les tests de conformité consistent à recueillir des preuves
dans le but de tester la conformité d'une organisation avec les
procédures de contrôle. Ils diflèrcnt des tests de COJToboration,
en fonction desquels les preuves sont recueillies pour évaluer
l'intégrité de transactions individuelles, de données ou d'autres
renseignements.
internes ct le nombre de tests de corroboration requis. Si les
résultats des tests des contrôles (tests de conformité) révèlent
la présence de contrôles internes adéquats, J'auditeur des SI
c:-;t donc justifié de minimiser les procédures de corroboration.
Inversement, si les tests des contrôles révèlent des faiblesses dans
les contrôles pouvant mettre en doute !"exhaustivité, l'exactitude
ou la validité des comptes, les tests de corroboration peuvent
dissiper ces doutes.

Un test de conformité détermine si les contrôles sont appliqués Les tests de confonnité des contrôles pour lesquels
d'une façon qui respecte les politiques et les procédures de la l'échantillonnage pourrait être considéré comprennent les droits
direction. Par exemple, si l'auditeur des SI se préoccupe de savoir d'accès des utilisateurs, les procédures de contrôle des chrmgements
si les contrôles de la bibliothèque des programmes de production au programme. les procédures de documentation, la documentation
fOnctionnent correctement, celui-ci pourrait choisir un échantillon du programme, le suivi des exceptions, 1'examen des registres, les
de programmes pour détcm1iner si les vcrxîon." de !a source et de at1dits de licences de logiciels, etc.
l'objet sont identiques. Cobjectif général de tout test de conformité
est de fournir aux nuditeurs des Si l'assurance raisonnable que Les tests de corroboration pour lesquels l'échantillonnage
le contrôle particulier sur lequel ils entendent se fier iünctionne pourrait être considéré comprennent la petformance d'un
comme îl.s J'avaient observé lor.s de l'évaluation préliminaire. calcul complexe (p. ex., intérêts) .sur un échantillon de comptes ou
un échantillon de transactions pour attester de la documentation
JI est important que l'auditeur des SI comprenne l'objectif
justificative, etc.
spécifique d'un test de conformité ct du contrôle faisant l'objet
d'un test. Les tests de conformité peuvent être utilisés pour
Lauditeur des SI pourrait aussi décider, lors de l'évaluation
vérifier l'existence et l'efficacité d'un processus défini, et
préliminaire des contrôles, d'inclure quelques tests de
peuvent comprendre une série de preuves documentaires ou
corroboration, si les résultats de cette évaluation préliminaire
automatisées, par exemple, pour foumir l'assurance que seules
indiquent que les contrôles mis en œuvre ne sont pas fiables ou
les modifications autolisées sont apportées aux programmes de
qu'ils n·cxistcnt pas.
production.
La figure 1.9 montre les liens qui existent entre les tests de
Un test de corroboration permet de s'assurer de Pintéglité
conformité et les tesl'i de corroboration, et décrit les
du traitement réellement effectué. Il fournit des preuves de la
deux catégories de tests de corroboration.
validité et de l'intégrité des soldes dans les états financiers et des
transactions à l'appui de ces soldes. Les auditeurs des systèmes
d'information pourraient utiliser les tests de corroboration pour Remarque: t:auditeur des SI doit savoir quand il faut effectuer
tester les erreurs pécuniaires qui inllucnt directement sur les des tt---sts de conformité ou des tests de con·oboration.
soldes des états financiers, ou d'autres données pertincnks de
l'organisation. De plus, un auditeur des SI pourrait élaborer un

figure~ .9- Comprendre l'environnement de conlràle et l'acheminement des transaCtions~ _

--------:---:--
L-------------
Examiner le système pour identifier les contrôles.
-------
_:::=]
Tester la conformité pour déterminer si les contrôles fonctionnent

Évaluer les contrôles pour déterminer la base de la fiabilité ainsi que la nature,
la portée et le calendrier des tests de corroboration.

Utiliser deux types de tests de corroboration pour évaluer la validité des données.

Tester les soldes et les transactions. ~ Effectuer les procédures de l'examen analytique.

Manuel de Préparation CISA 26" édition 55

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 1 - Processus d'Audit des
1.5.11 PREUVE
La preuve est constituée de n'importe quel renseignement utilisé
par l'auditeur des SI pour déterminer si l'entité ou les données
vérifiées respectent les critères ou les o~jectifs établis. La preuve
soutient les conclusions de l'audit. C'est une exigence: les
conclusions de l'auditeur doivent être basées sur des preuves
suffisantes, pertinentes et probantes. Lors de la planification de
l'audit des systèmes d'information, l'auditeur des SI doit tenir
compte du type de preuves d'audit à recueillir, de leur utilisation
au titre de preuve d'audit répondant aux oQjectifs de l'audit, cl de
leurs niveaux vmiables de fiabilité.
La preuve d'audit peut comprendre:
• Les observations de J'auditeur des SI (présent'ëes à la direction);
• Des notes prises lors des entretiens;
• Des résultats de confirmations indépendantes obtenus par
l'auditeur des SI de différentes parties prenantes;
• Du matériel tiré de la eon-cspondance, de la documentation inteme
ou des contrats avec les partenaires externes;
• Les résultats des procédés d'audit.
Bien que toutes les preuves aident l'auditeur des SI à formuler !es
conclusions d'audit, cc1iaines preuves peuvent être plus fiables
que les autres. JI faut tenir compte des règles et de la suffisance
de la preuve ainsi que des éléments probants adéquats, comme le
requièrent les nonnes d'audit.
Les fàcteurs déterminants pour l'évaluation de la fiabilité des
preuves d'audit comprennent:
• L'indépendance du fournisseur de la preuve-- La preuve
obtenue d'une source exté1ieurc est plus ·fiable que celle qui
provient de l'organisation même. C'est pourquoi des lettres de
coniirmation sont utilisées aux fins de vérifier les soldes de
créances. Par ailleurs, les contrats ou les ententes signés avec des
parties externes pourraient être considérés fiables si les documents
originaux sont disponibles pour examen.
• Les titres ct qualités de la personne ({Ui fournit les
renseignements ou la preuve -- Peu impOlie si les fournisseurs
des renseignements ou de la preuve sont à l'intérieur ou à
I'cxtéJieur de l'organisation, les auditeurs des SI doivent
tot~jours prendre en considération les titres ct qualités, ainsi que
les responsabilités fonctionnelles des personnes qui fournissent
les renseignements. Cela peut aussi être vrai pour un auditeur
des SI. Si un auditeur des SI n'a pas une bonne compréhension
du domaine technique examiné, les renseignements recueillis
suite aux tests de ce domaine peuvent ne pas être fiables, surtout
si l'auditeur des SI ne comprend pas parfàitement le test.
• L'ohjectiYité de la preuve·- Les preuves objectives sont plus
fiables que les preuves qui demandent beaucoup de jugement ou
une grande interprétation. L'examen de l'inventaire des médias
d'enregistrement, effectué par un auditeur des SI, constitue
une preuve directe et objective. I.:analyse de l'efficacité d'une
application, effectuée par un auditeur des SI en sc basant sur des
discussions avec certains membres du personnel, peut ne pas
être une preuve d'audit objective.
• L'échéancier de la preuve- L'auditeur des Si doit considérer
le temps pendant lequel les renseignements existent ou sont
disponibles lors de la détem1ination de la nature. du calend1ier
et de la portée des tests de conformité, et au bes~in, des tests
56
Systèmes d'Information
e. Certifie<! lnfurmatioo
...._ Systems Audif.or'
~"''CJI(.on<r~'"'
de corroboration. Par exemple, les preuves d'audit traitées par
échange de données informatisées (EDI), par traitement des
images docume11taiœs et par des systèmes dynamiques, telles
que des tableurs, peuvent ne pas être récupérables après une
période de temps précisée si les changements appmtés aux
fichiers ne sont pas contrôlés ou sïl n'y a pas de fichier de
secours.
L'auditeur des Si recueille un éventail de preuves lors de l'audit.
Certaines preuves peuvent être pertinentes eu égard aux objectifs
de l'audit, nlors que d'autres peuvent être considérées com~e
accessoires. L'auditeur des SI doit se concentrer sur les ob[ectifs
globaux de l'examen et non sur la nature des preuves rect;eillies.
La qualité et la quantité des preuves doivent être évaluées par
l'auditeur des SI. La Fédération internationale des comptables
(IFAC) désigne ainsi ces deux caractéristiques: les éléments
probants adéquats (qualité) et la suffisance de la preuve
(quantité). La preuve présente des éléments probants adéquats
lorsqu'elle est à la tOis valide et pertinente. L'audit fhit appel au
jugement pour déterminer la suffisance de la preuve, de la mème
manièn:: qu'illuî tàit appel pour déterminer si !a preuve compo1ie
des éléments probants adéquats.
Une compréhension des règles de la preuve est impmtante pour
les auditeurs des Si puisqu'ils peuvent être confrontés à divers
types de preuves.
Recueillir des preuves constitue une étape clé du processus
d'audit. L'auditeur des SI doit connaître les diverses fom1es de
preuves d'audit et savoir comment ces preuves peuvent être
recueillies et examinées. L'auditeur des SI doit comprendre
la norme d'assumnce et d'audit des SI !205 Preuves de l'ISACA,
et doit obtenir des preuves dont la nature et la suffisance
pcnnetknt d'appuyer les constatations découlant de l'audit.
1Remarque: Un candidat à l'examen CISA, qui rcçoü un
1scéna:ïo d'audit} ~oit être en mes~n:: de dêtermin.er quelle seraît
~a me1lleure techmque pour rccueJlhr des preuves.
..
-·-·-~----·--~~-·---·----- --·---·-·~·--··---~~ ..---------
Voici des techniques pour réunir les éléments de preuve :
• Examiner les structures de l'organisation des systèmes
d'information-·· Une structure organisationnelle permettant
une séparation ou une répartition adéquate des tâches constitue
un contrôle général clé dans l'environnement de TL t;;mditeur
des Sl doit comprendre les contrôles organisationnels généraux
et être en mesure d'évaluer ces contrôles dans l'organisation
faisant l'objet d'un audit. Dans les cas où un fort accent est mis
sur le traitement distTîbué ou les applications bureautiques, les
fonctions des systèmes d'infonnation peuvent être organisées
quelque peu diflCremment de celles d'une organisation
des SI classique, où les fonctions systèmes ct les fonctions
d'exploitation sont séparées. L'auditeur des SI doit être
en mesure d'examiner ces structures organisationnelles ct
d'évaluer le niveau de contrôle qu'elles fournissent.
• Examiner les politiques et les procédures des systèmes
d'information.:... Un auditeur des S! doit voir sî les politiques
et les procédures approp1iées sont en place, détc1miner si le
personnel comprend les politiques ct procédures mises en œuvre.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits reservés-
e . Cer1ilied. Information
M Systems Auditor'
;:;:;;-,;..~·
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
et s'assurer que les politiques et procédures sont respectées.
!_~auditeur des SI doit vérifier que la direction assume l'entière
responsabilité ayant trait ù la formulation, l'élaboration, la
documentation, la promulgation et le contrôle des politiques
tTaitant des objectifs et des directives généraux. Des examens
visant à déterminer le caractère adéquat des politiques et des
procédures doivent être effectués régulièrement.
• Examiner les normes des systèmes d'information"-
Premièrement l'auditeur des SI doit con1prendrc les normes
existantes en vigueur au sein de l'organisation.
• l~xaminer la documentation relative aux systèmes
d'information-- La première étape d'un examen de la
documentation relative à un système d'inflxmation consiste
à comprendre ln documentation existmte de l'organisation.
Ces documents peuvent être sur support papier ou sous fon11c
électronique. Dans ce dernier cas, les contrôles permettant de
préserver l'intégrité des documents doivent ètrc évalués par
l'auditeurdes SI. Cauditeurdes SI doit chercher un minimum
de documentation afférente aux systèmes d'information. Ces
documents peuvent comprendre :
--- Les documents de mise en place du développement
des systèmes (p. ex. une étude de faisabilité};
--La documentation foumîe par les füumisseurs d'applications
extemes;
-ANS conclues avec les fournisseurs externes de systèmes
d'infonnation;
-Les exigences fonctionnelles ct les spécifications de
conception;
- Les plans et les rapports de tests;
-Les documents liés aux programmes et il l'exploitation;
- Les historiques et les journaux des modifications apportées
aux programmes;
-·Les guides d'utilisation;
-Les manuels d'exploitation;
··· Les documents liés à la sécmité (p. ex., les plans de sécurité, les
évaluations des risques);
·- Les plans de continuité de l'entreprise;
·-Les rapports d'assurance de la qualité;
Les rapports portant sur la métrologie de la sécurité.
• Mener des entretiens avec tlcs personnes compétentes-··
Les techniques d'entretien sont une habilité importante pour
! 'auditeur des SI. Les entretiens doivent être organisés il 1'avance
et leurs objectifs communiqués clairement; ils doivent suivre
un plan déterminé et êtr~ documentés par des notes d'entretien.
L'auditeur des SI peut préparer un tOrmulnire d'entretien ou une
liste de vérification: il s'agit d'une bonne approche. L'auditeur
des SI doit toujours se souvenir que le but d'un tel entretien est
de recueillir des preuves d'audit Les procédures de cueillette
de preuve d'audit comprennent: l'enquête, l'observation,
l'inspection, la confinm\tion, la performance ct la surveillance.
Les entretiens avec le personnel sont faits pour découv1ir des
informations ct ne doivent jamais être accusatoires. La personne
qui dirige l'entretien doit faire en smic que les gens se sentent à
l'aise en les encourageant à partager de l'information, des idées,
des inquiétudes ct des connaissances. Advenant que ces notes
soient nécessaires au soutien des conclusions, 1'auditeur des SI
devra vérifier l'exactitude des notes avec la personne interrogée.
• Observer les procédés et le rendement des employés -
L'observation des procédés est une technique d'audit clé pour
plusieurs types d'examens. Cauditeur des SI doit être discret
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
lorsqu'il fnit ses observations ct doit en documenter tous les
détails de façon suffisante pour être en mesure de les présenter à
titre de preuve d'audit, si nécessaire, à une date ultérieure. Dans
certaines situations, il sc peut que le rapport d'audit ne soit pas
produit à un moment opportun pour utiliser cette observation
comme preuve. Cela peut nécessiter la délivrance d'un rapport
intérimaire à la direction, portant sur le domaine faisant l'objet
d'un audit. L'auditeur des SI peut aussi vouloir envisager si les
preuves documentaires seraient utiles à titre de preuves (p. ex.,
une photographie de la salle des serveurs dont les portes sont
grandes ouvertes).
• Réexécution . La procédure de réexécution est une technique
d'audit clé qui fOurnît généralement de meilleures preuves
que les autres techniques, et qui est par conséquent utilisée
lorsqu'une combinaison d'enquête, d'observation et d'analyse
des preuves ne suffit pas à vérifier qu'un contrôle fonctionne
adéquatement.
• Test de cheminement - Le test de cheminement est une
technique d'audit qui sert à confirmer la compréhension des
contrôles.
Toutes ces techniques de collecte de preuves font partie d'un
audit, mais un audit ne consiste pas seulement à examiner les
preuves. Un audit comprend des examens, lesquels comportent
nécessairement des tests des contrôles ct des preuves d'audit, ct
comprend par conséquent les résultats des procédés d'audit.
Les auditeurs des SI doivent savoir qu'avec les techniques de
développement des systèmes comme le génie logiciel assisté
par ordinateur (CASE) ou le prototypage, la documentation
traditionnelle des systèmes ne sera pas requise ou sera disponible
sous forme automatisée plutôt que sur papier. L'auditeur des
SI doit toutefois chercher les normes et les pratiques liées ù la
documentation au sein de l'organisation des SI.
L'auditeur des SI doit être en mesure d'examiner la
documentation d'un système donné et de déterminer si elle est
conforme aux normes de documentation de l'organisation. De
plus, l'audîteUJ· des SI doit comprendre l'approche utilisée à
l'égard du développement des systèmes, comme l'orientation
objet, les outils CASE ou le prototypage ainsi que la manière dont
est construite la documentation. L:auditeur des SI doit reconnaître
l'existence d'autres composantes de la documentation des SI
comme les caractétistiques des hases de données, les descriptions
de fichiers ou les listages de programmes autodocumcntés.
1.5.12 ENTREVUES ET OBSERVATION DU PERSONNEL
DANS !:EXÉCUTION DE SES TÂCHES
Observer le personnel dans l'exécution de ses tâches aide
l'auditeur des SI à identifier:
• Fonctions réelles- Cobservation pourrait être un test adéquat
visant à assurer que la personne qui est affectée à une fonction
pmiiculière et autorisée à l'effectuer est réellement la personne qui
fait eftèctivement le travail. Cela donne l'oppo11unité à l'auditeur
des SI de constater la façon dont les politiques et les procédures
sont comp1ises et mises en pratique. Selon la situation particulière,
l~s résultats de ce type de test doivent être comparés avec les droits
d'accès logiques respectif-..
57
 Section deux : Contenu
Chapitre 1 - Processus d'Audit des
• Procédés et procédures réelles Effectuer une révision
structurée des procédés et des procédures permet à l'auditeur
des SI d'obtenir des preuves de cont(mnité et d'observer les
écarts, le cas échéant, Ce type d'observation pourrait s'avérer
utile pour les contrOles physiques.
• Sensibilisation à la sécurité La sensibilisation à la
sécurité doit faire l'objet d'observations visant à vérifier la
compréhension d'une personne et sa mise en pratique des
bonnes mesures de sécurité préventives ct de détection afin
de sauvegarder les actif.<; et les données de l'entreprise. Cc
type d'information pourrait être complété par un examen de la
fOrmation antérieure ct prévue en matière de sécurité.
• Rapports hiérarchiques- Les rappo11s hiérarchiques doivent
faire l'o~jet d'observations visant à assurer que 1'attribution
des responsabilités et la répartition adéquate des tâches sont
respectées. Les résultats de ce type de test doivent souvent être
comparés avec les droits d'accès logiques respectifs.
• Interférences d,observation-l}observateur peut interférer
avec l'environnement observé. Le personnel, sachant qu'il est
observé, pourrai! modifier son comportement habituel.
Mener des entretiens auprès du personnel de traitement de
l'information et de la direction doil fournir l'assurance suffisante
que le personnel possède les compétences techniques requises
pour efl:èctuer le travail. 11 s'agit d'un 1àctcur important qui
contribue ù l'exploitation efficace et efficiente.
1.5.13 ÉCHANTILLONNAGE
(.;échantillonnage est utilisé lorsque les questions de temps et
de coût'i empêchent de procéder à un audit total de toutes les
transactions ou évènements dans une population prédéfinie. La
population est l'ensemble du groupe d'élément.;;. qui doivent être
examinés. Céchantillon est le sous-ensemble des membres de la
population utilisés pour etfectuer un test. L'échantillonnage sett à
déduire les cmactéristiques d'une population en se basant sur celles
de l'échantillon.
Remarque : La réglementation accrue des organisations a
conduit à mettre l'accent sur la capacité de 1'auditeur des SI
à vérifier le caractèrt~ adéquat des contrôles intemes à !'aide
des techniques d'échantillonnage. Cela est devenu nécessaire
puisque plusieurs contrôles sont de nature transactionnelle,
ce qui peut rendre diilïcile le fait de tester l'ensemble de la
population. Même si on ne s'attend pas à ce qu'un candidat
devienne un expert- en échantiJionnage, H est impmtant pour le.
candidat d'avoir une compréhension J"Ondamentale des plincipes
généraux de l"échantHlonnage et de la façon de concevoir _un
échantillon fiable.
L-~----~-·-------·-·""--------·~-----., ..-----------
Jl existe deux approches générales d'échantillonnage:
l'échantillonnage statistique et non statistique:
Échantillonnage statistique~ Une méthode objective pour
déterminer la taille de l'échantillon et les critères de sélection.
- !.:échantillonnage statistique utilise les lois de probabilité
mathématiques pour : (1) calculer la taille de l'échantlllonnage,
(2) sélectionner les éléments échantillonnés, et (3) évaluer les
résultats de l'échantillon et faire les déductions.
-Avec l'échantillonnage statistique, l'auditeur des SI détermine,
sur une base quantitative, dans quelle mesure l'échantillon
devrait représenter la population (évaluation de la précision de
58
Systèmes d'Information
e Certifled Informa.tion
Systems Autlitor'
:~
l'échantillon), et le nombre de fois sur l 00 que l'échantillon
devrait représenter la population (le niveau de fiabilité ou de
confiance). Cette évaluation est exprimée en pourcentage. Les
résultats d'un échantillon statistique valide sont quantifiables
mathématiquement.
i~chantillonnage non s~atistique (som·ent appelé échantillonnage
discrétionnaire)- Le jugement de l'auditeur se11 à détenniner la
méthode d'échantillonnage, le nombre d'éléments d'une population
(taille de l'échantillon) qui seront examinés ct les éléments à
sélectionner (sélection de l'échantillon).
- Ces décisions sont basées sur un jugement subjectif, à savoir quels
sont les éléments ou les transactions les plus importants et !es plus
nsqués.
Dans le cadre de l'utilisation d'une méthode d'échantillonnage
statistique ou non statistique, l'auditeur des SI doit concevoir el
sélectionner un échantillon d'audit, efli~ctucr les procédures d'audit,
et évaluer les résultat.~ de 1'échantillon alïn d'obtenir des preuves
d'audit suffisantes. fiables. pertinentes et utiles. Ces méthodes
d'échantillonnage demandent que l'auditeur des SI fasse preuve
de jugement lorsqu'il définît les caractéristiques de la population.
Leur utilisation expose au risque que l'auditeur des SI tire des
conclusions erronées de l'échantillon (risque d'échantillonnage).
ToutcJOis, l'échantillonnage statistique permet à l'auditeur des Sl
de quantifier la probabilité d'erreur (coctricient de confiance).
Pour qu'un échantillon soit qualifié de statistique, chaque élément
de la population doit avoir une possibilité ou une probabilité
égaie d'être sélectionné. Dans Je cadre de ces deux approches
générales d'échantillonnage, il existe deux méthodes principales
utilisées par les auditelll1'> des SI :l'échantillonnage par attribut
et l'échantillonnage de variables. t:êchantillonnage par attribut.
généralement utilisé avec les test.;; de conf01mité, pOlie sur la
présence ou l'absence d'un attribut et fournit des conclusions qui
sont cxprin1écs au moyen de taux d'incidence. l.:échantillonnage
de variables, généralement utilisé avec les tesl~ de corroboration,
p01ic sur les caractéristiques de la population qui varient, comme les
valeurs pécuniaires et les pondérations (ou toute autre mesure), et
fOurnit des conclusions quant aux écarts-types.
L'échantillonnage par attribut désigne trois types
d'échantillonnage proportionnel, lesquels flont différents mais
reliés :
• Échantillonnage par attribut (que l'on connaît aussi sous
le nom d'échantillonnage par attribut à taille d'échantillon
fixe ou d'échantillonnage à estimation de fréquence)- Un
modèle d'échantillonnage qui est utilisé pour estimer le taux
(pourcentage) d'occurrence d'une qualité spécifique (attribut)
dans une population. L'échantillonnnge par attribut répond à
la question« combien?)), Un exemple d'attribut. qui pourrait
f..1.ire l'objet d'un test sont les signatures d'approbation dans les
formulaires de demande d'accès infOrmatique.
• ~~chantiHonnage arrêt-départ~ Un modèle d'échantillonnage
qui aide à prévenir l'échantillonnage excessif d'un attribut en
permettant à un procédé d'audit d'être arrêté le plus rapidement
possible. Il est utilisé lorsque l'auditeur des SI croit qu'il y aura
relativement peu d'erreurs trouvées dans une population.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e . Ccrtffied !!'lfurmation
H. ~stems Audi!or
""~'~'"' ..'"'
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
• ttchantillonnage pour acceptation-· Un modèle
d'échantillonnage qui peut être utilisé lorsque le taux
d'occurrence prévu est extrêmement bas. L" échantillonnage pour
acceptation est le plus souvent utilisé lorsque l'objectif de 1" audit
consiste à chercher (détecter) des frnudes, les contoumements de
réglementations ou d'autres irrégularités.
J.;échantillonnagc de variables, aussi connu comme le sondage
de variable par dollar ou par moyenne, est une technique utilisée
pour estimer la valeur pécuniaire ou une autre unité de mesure,
comme la pondération, d'une population à partir d'un échantillon.
Des exemples d'échantillonnage de variables sont l'examen des
transactions importantes du bilan d'une organisation ct l'examen
d'application du programme qui a généré ce bilan.
l:échantillonnage de variables désigne différents types de
modèles d'échantillonnage quantitatif:
• Moyenne par unité stratifiée Un modèle statistique selon
lequel une population est divisée en groupes et les échantillons sont
choisis dans les différent-; groupes; est utilisé pour obtenir une taille
globale d'échantillon plus petite, comparativement à la moyenne par
unité non stmtifîée.
• Moyenne par uni lé non stratifiée- Un modèle statistique
selon lequel une moyenne d'échantillon est calculée et projetée
comme total estlmati L
• Variable par différence -··Un modèle statistique utilisé pour
estimer la diflërence totale entre les valeurs vérifiées et les
valeurs comptables (non védfiées) en se basant sur les difféœnces
obtenues ù pmiir des observations de 1'échantillon.
Pour effectuer un échantillonnage par attribut ou de variables, !es
termes suivants, relatifs à l'échantillonnage statistique, doivent
être compris :
• Coefficient de confiance (aussi nommé niveau de confiance
ou facteur de fiabilité)~ Il s'agit du pourcentage de probabilité
(90 %, 95 %, 99%, etc.) que les caractéristiques de l'échantillon
soient une représentation réelle de la population. Généralement,
un coefficient de confiance de 95 % est considéré corn me très
rassurant. Si 1'auditeur des SI sait que les contrôles internes sont
rigoureux, le coefficient de confiance peut être réduit. Plus le
coefficient de confiance est élevé, plus la taille de l'échantillon
sera grande.
• Niveau de risque ··· Il est Cgal ù 1 moins le coefficient de
confiance. Par exemple, sî le coefficient de confiance est de
95 %, le niveau Je risque est 5 % ( l 00 % moins 95 %).
• Précision ·- I~tablic par 1'auditeur des SI, eUe représente
l'écmt de différence acceptable entre l'échantillon ct la
population réelle. Dans le cas de l'échantillonnage par attribut,
cette valeur est exprimée en pourcentage. Pour ce qui est de
Figure 1.10- Étapes de sélélffion d'un écbantillon pour un rest d'audit
Source: ISACA, Fundamentals of fS Audit and Assurance Training Course, USA, 2014
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
l'échantillonnage de variables, cette valeur e._"t soit un montnnt
en numéraire ou un nombre. Plus la valeur de précision est
élevée, plus la taille de l'échantillon sera petite, et plus le risque
sera grand que des erreurs nssez importantes ne soient pas
détectées. Plus la valeur de précision est petite, plus la taille de
l'échantillon sera grande. Un niveau de précision très bas peut
conduire à un échantillon inutikmcnt grand.
• Taux d'erreurs prévu~ Il s'agit d'une estimation des
erreurs qui peuvent exister, exprimée en pourcentage. Plus le
taux d'e!Tems prévu est élevé, plus la taille de l'échantillon
sera grande. Cette valeur est appliquée aux fOrmules
d'échantillonnage par attribut, mais pas aux formules
d'échantillonnage de variables.
• Moyenne de l'échantillon 11 s'agit de la somme de toutes les
valeurs d'échantillon, divisée par la taille de l'échantillon. C'est
une mesure de la valeur moyenne de l'échantillon.
• Écart-type de l'échantillon~ Il s'agitdu calcul de la
variance des valeurs d'échantillon à partir de la moyenne de
l'échantillon. C'est une mesure de l'écart ou de ln dispersion
des valeurs d'échantillon
• Taux d'erreur acceptable~ Il décrit le nombre maximal
d'inexactitudes ou d'erreurs qui peuvent exister sans qu'un
compte ne soit considéré comporter des inexactitudes
importantes. Le taux acceptable est utilisé en regard de la
limite supérieure prévue de l'écm1 de précision pour les tests
de confOrmité. Cette valeur est exprimée en pourcentage. Dans
le cadre des tests de corroboration, l'écart de précision ou la
précision ont la même signifïcation.
• Écart-type de la population·- Il s'agit d'un concept
mathématique qui mesure la relation avec la distribution
normale. Plus l'écm1.-typc est élevé, plus la taille de
l'échantillon sera grande. Cette valeur s'applique aux formules
d'échantillonnage de vmiables, mais pas aux formules
d'échantillonnage par attribut.
Les étapes clés de la construction el de la sélection d'un
échantillon pour un test d'audit sont montrées à la figure 1,1 O.
Il est important de savoir qu'il existe des outils pour analyser
toutes les données, et pas seulement celles qui son!'
- - - j
disponibles par le biais des TAAO.
Remarque : C auditeur des SI doit connaître les différents types
de techniques d'échantillonnage et savoir lorsqu'il est approprié
d'utiliser chacune d'elles. ·-- -
..
59
 Section deux : Contenu
Chapitre 1 - Processus d'Audit des
1.5.14 RECOURS AUX SERVICES D'AUTRES
AUDITEURS ET EXPERTS
Compte tenu du nombre limité des auditeurs des SI et du besoin
de spécialistes en sécurité des 'l'let d'cxpeJis en d'autres matière;.;
pour effectuer des audits dans des domaines hautement spécialisés,
le service d'audit oules auditeurs qui se voient confier les fOnctions
d'assurance peuvent avoir besoin des services d'autres auditeurs ou
experts. La sous-traitance des services d'assurance et de sécurité
des systèmes d'infmmation devient une pratique de plus en plus
courante. Les expe1is extemes pourraient ètre des experts dans
des domaines technologiques particuliers comme les réseaux,
les distributeurs automatiques bancaires, les réseaux sans fil,
l'intégration de systèmes et 1'infOrmatique judiciaire, ou encore
des experts en d'autres matières tels des spécialistes d'une
indll"trie particulière ou d'un domaine de spécialisation comme
les services bancaires, le commerce des valeurs, l'assurance, les
experts julidiques, etc.
Lors de situations de sous-traitancc à un autre tàurnisseur de
services d'audit ou fournisseur de services externe une partie
des services d'audit des systèmes d'infonmltion ou l'ensemble
de ceux-ci, les éléments qui suivent doivent être pris en compte
en ce qui concerne l'utilisation des services d'autres auditems et
experts:
• Les restrictions qu'imposent les lois et les réglementations cu
égard à la sous-traitance des services de sécurité et d'audit;
• La charte de l'audit ou les stipulations contractuelles;
• Les effets sur les ol~jcctifs généraux et spécifiques de l'audit des
systèmes d'information;
• Les etfets sur les risques d'audit des SI et sur ]a responsabilité
professionnelle;
• l~îndépendance et l'objectivité des autres auditeurs et experts;
• Les compétences professionnelles. les titres et qualités, et
1'expérience;
• La po1iée du travail ofiCrt en sous-traitance et son approche;
• Les contrôles de supervision et de la direction de l'audit;
• Les méthodes et les modalités de communication des résultats du
travail d'audit;
• La conformité aux dispositions législatives et réglementaires;
• La conformité aux normes professionnelles applicables.
Selon la nature du travail, une attention spéciale doit également
être portée à cc qui suit :
• Les témoignages~ les références professionnelles et la
vérification des références;
.. L'accès aux systèmes, aux locaux ct aux dossiers;
• Les reshict·ions en matière de confidentialité pour protéger les
informations relatives aux clients;
• l:utilisation des TAAO et les autres outils utilisés par le
fournisseur de services d'audit externe;
• Les nonnes et les méthodologies liées à J'exécution du travail et
à la documentation;
• Les accords de non-divulgation.
L'auditeur des SI ou l'entité qui sous-traite les services d'audit
doit. faire un suivi des rapports avec les fournisseurs sous contrat
en vue d'assurer l'objectivité et l'indépendance pendant toute la
durée de l'accord.
60
Systèmes d'Information
e. M.
Certified hlformation
Systems AlKfrtor'
~·~~
Il est important de comprendre que bien qu'une pat1ie du travail
d'audit ou que l'ensemble de celui-ci soit délégué à un fbumisseur
de services externe, la responsabilité professionnelle aflërente
n'est pas nécessairement déléguée. Par conséquent, voici ce qui
incombe à l'auditeurdes SI ou à l'entité qui engage les services de
fOurnisseurs de services externes :
"Communiquer clairement les objecti['i, la pOiiée et la
méthodologie de l'audit par le biais d'une lettre de mission
tàrmelle.
• Mettre en place un processus de contrôle pour J'examen
régulier du travail du fOurnisseur de services externe en ce
qui concerne la planification, la supervision, l'examen et la
documentation. Par exemple, les travaux d'autres auditeurs
des SI ou experts devraient êtTe révisés pour confirmer que le
travail a été planifié, supervisé, documenté et révisé de façon
appropriée, ct pour considérer le caractère approprié et suffisant
de la preuve d'audit f()Urnic. Le rappo11' d'autres auditeurs des
SI ou experts est un autre exemple de document à réviser pour
confirmer que !a portée mentionnée dans la charte d'audit. le
cadre de référence ou la lettre de mission a été respectée, que
toute hypothèse significative utilisée par les autTes auditeurs des
SI ou experts a été identifiée et que les résultats et conclusions
rapportés ont été approuvées par la direction.
• (~val uer l'utilité et le caractère adéquat des rapports de tels
fournisseurs externes et évaluer l'effet des constatations
importantes sur les objectifs glob<Jux de l'audit.
~~arque: eauditeur des Sl doît connaître la norme d'audit
et d'assurance des SI de I'ISACA 1203 portant sur« la
perfOrmance et la supervision >t ainsi que la directive d'audit
et d'assurance des SI 2206 portant sur~\ l'utilisation du travaiJ
, i'autres experts »fen mettant l'accent sur les droits d'accès au
~
nvail d'autres expeJi.s.
-------------------'
1.5.15 TECHNIQUES D'AUDIT ASSISTÉES PAR
ORDINATEUR
Au cours d'un audit, l'auditeur des SI doit obtenir des preuves
suffisantes, pertinentes et utiles afin de soutenir etfîcacemcnt les
objectifs de l'audit. Les constatations et les conclusions de l'audit
doivent être appuyées par l'analyse et l'interpretation appropriées
des preuves. L'environnement informatique actuel présente un
défi de taille pour l'auditeur des SI qui doit recueil! ir des preuves
suffisantes, pertinentes et utiles, puisque de telles preuves peuvent
n'exister que sous fonne électronique .
Pour recueillir des renseignements dans ces environnements,
les techniques d'audit assistées par ordinateur sont des outils
importants pour l'auditeur des SI. Lorsque les systèmes possèdent
des environnements matériels et logiciels, des structures de
données, des structures d'enregistrement ou des tbnctions de
traitement qui sont ditfërcnts, ii est presque impossible pour les
auditeurs de recueillir certaines preuves sans un outil logiciel
permettant de recueillir et d'analyser les enregistrements.
Les techniques d'auclit assistées par ordinateur pem1ettent aussi
aux auditeurs des SI de recueillir des renseignement.;; de façon
indépendante. Les techniques d'audit assistées par ordinateur
foumissent un moyen d'accéder aux données et de les analyser
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 1 - Processus d'Audit des
Systèmes d'Information
au regard d'un objectif d'audit prédéterminé, et de faire rapport
des constatations de l'audit en mettant l'accent sur la fiabilité
des enregistrements produits ct gérés par le système. La fiabilité
de la source d'information utilisée permet de rassurer quant aux
constatations énoncées.
Les techniques d'audit assistées par ordinateur comprennent
plusieurs types d'outils et de techniques comme les logiciels
généraux d'audit, les logiciels utilitaires, les logiciels de débogage
et de balayage, les données de test, les outils de traçage logique
ct de cartographie de programmes applicatifs, et les systèmes
experts.
Un logiciel général d'audit est un logiciel standard qui a la
capacité de lire et d'accéder directement aux données provenant
des bases de données sur les différentes platefonnes. Les logiciels
généraux d'audit fournissent aux auditeurs des Siun moyen
d'accéder aux données de tàçon indépendante aux fins d'analyse,
et ta capacité d'utiliser des logiciels de résolution de problèmes de
haut niveau pour appeler les fonctions devant être effectuées sur
les fichiers de données. Les caractéiistiques offertes comprennent
les calculs mathématiques, la stratification, l'analyse statistique,
les contrôles de séquence, les contrôles de duplication et les
recalculs. Les fOnctions suivantes sont fréquem1nent prises en
charge par les logiciels généraux d'audit.:
• Accès aux fichiers- Permet la lecture de différentes structures
d'enregistrements et de fichiers;
• Réorganis~1tion des fichiers- Permet l'indexation, le
classeinent, la fusion et l'établissement de liens avec d'autres
fichiers;
• Sélection de données- Pennet d'établir les critères de filtmge
et de sélection globaux.
• Fonctions statistiques- Permettent l'échantillonnage, la
stratification ct l'analyse de H·équence;
• fonctions arithmétiques ... Permettent les opérations et
les fonctions mithmétiques.
[;utilisation efficace d'un logiciel exige une compréhension de
ses capacités ct limitations.
Un logiciel utilitaire est un sous-ensemble d'un logiciel, comme le
générateur de rappo1is du système de gestion de base de données,
qui fournit les preuves aux auditeurs quant à l'efficacité du contrôle
de système. Les données de test permettent aux nuditeurs d'utiliser
un échantillon de données pour évaluer s'il existe des en-curs
logiques dans un programme et si cc dernier respecte ses objectif">.
Lexamcn d'un système d'application f()urnit de l'infOmmtîon sur
les contrôles internes du système. Le système d'audit expc11 donne
des directives ct des intOmmtions importantes aux auditeurs de
tous les niveaux lors de l'exécution de l'audit, car le système qui
répond à des requêtes est construit sur la base de connaissances des
auditeurs seniors et des gestionnaires.
Ces outils et techniques peuvent être utilisés dans le cadre de
l'exécution de nombreuses procédures d'audit:
• Tests des détalls des transactions et des soldes;
• Procédures d'examen analytique;
•1Csts de confOrmité des contrôles généraux des systèmes
d'infon11ation;
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
Section deux : Contenu
• Tests de confOrmité des contrôles d'applicntion des systèmes
d'information;
• Évaluation de la vulnérabilité des réseaux et des systèmes
d'exploitation;
• Test de pénétration;
• Test de sécurité des applications ct balayage de sécurité des
codes sources.
L:auditeur des Sl doit avoir une connaissance approfondie
des techniques d'audit assistée:; par ordinnteur et savoir où ct
quand les appliquer. Veuillez vous reporter à la norme d'audit
et d'assurance des SI de I'ISACA 2207 «Irrégularités et
actes illégaux», sections 2.2.4 et 2.5.3. Les prof-Cssionne1s
devraient examiner !es résultats des procédures de mission afin
de déterminer la présence d 'irrégulatités ou d'actL"S illégaux.
L'utilisation des TAAO pourrait considérablement contribuer à
la détection efFicace et optimale des irrégularités ou des actes
illégaux.
Comme c'est le cas pour n'importe quel autro processus,
un auditeur des SI doit évaluer les coùts et les bénéfices des
techniques d'audit assistées par ordinateur avant d'y consacrer
les efforts, le temps et l'argent nécessaires à leur achat ou à
leur développement. Voici ce1taines questions dont il faut tenir
compte:
• La facilité d'utilisation pour le personnel existant et llitur chargé
de l'audit;
• Les exigences de formation;
• La complexité du codage et de la gestion;
• La t1cxibilité des usages;
• Les exigences d'installation;
• Les efficiences au chapitre du traitement (particulièrement avec
un poste de trnvail pour 1'audit assistée par ordinateur);
• LcftOrt requis pour analyser les données de source à l'aide des
techniques d'audit assistées par ordinateur;
• L'assurance de l'intégrité des données impmiécs par la
sauvegarde de leur authenticité~
• L'enregistrement horodaté des données téléchargées aux points
de traitement critiques afin de maintenir la crédibilité de
l'examen;
,. L'obtention de la permission d'installer le logiciel sur
les serveurs de l'entité à vérifier;
• Ln fiabîlîté du logiciel;
• La conridentialité des données traitées.
Dans le cadre du développement des techniques d'audit assistées
par ordinateur, les éléments suivants sont des exemples de la
documentation à conserver:
• Les rapports en ligne qui détaillent les questions à haut risque ù
ex.am1ner;
• Les listages de programmes commentés;
• Les organigrammes;
• Les rapports échantillons;
• La disposition d'enregistrement et les descriptions de fichiers;
• Les définitions de champs;
• Les instructions d'utilisation;
• La description des documenl5 sources applicables.
La documentation afiërentc aux techniques d'audit a'lsistées par
ordinateur doit sc repmter au programme d'audit ct identifier
61
 Section deux : Contenu
Chapitre 1 -Processus d'Audit des
clairement les procédures et les objectifS d'audit à respecter. Lorsqu'il
présente une demande d'accès atLx données de production aux fins
d'utiiLsatîon avec une technique d'audit assistée par ordinateur,
l'auditeur des SI doit demander un accès de consultation seulement.
Toute manipulntion de données par tm auditeur dt.-'S SI doil être fàite sw-
lcs copies des fichiers de production dans un environnement contrôlé
afin d'a'isurer que les données de production ne sont pa'> exposées
à des mises à jour non autolisécs. La plupart des techniques d'audit
assistées par ordinateur prévoient le téléchmgement des données de
production à partir des systèmes de production et vers une plateforme
autonome, pour ensuite procéder aux analyses à pmtir de cette
platcfonne autonome; de cette taçon, elles isolent les systèmes de
production de toutes les incidences négatives.
Techniques d'audit assistées par ordinateur en tant
qu'approche d'audit en temps réel ou continu
Un avantage de plus en plus important lié aux techniques d'audit
assistées par ordinateur est la capacité d'améliorer l'eflïcacité des
audits, particulièrement dans les milîeux infOmmtisés (sans papier),
par des techniques d'audit en temps réel ou continu. À cette lïn.
les auditeurs des SI doivent développer des techniques d'audit
appropriées aux tîns d'utilisation avec les systèmes infOrmatisés
avancés. De plus, ils doivent participer à la création des systèmes
avancés dès les premières étapes de leur développement et de leur
mise en œuvre, et doivent utiliser davantage les outils automatisés
qui conviennent à l'environnement automntisé de leur organîs.:1tion.
Ceci permet de poser les bases d'une approche d'audit en continu.
(Pour obtenir de l'information plus détaillée sur les audits en temps
réel ou continu, consulter le chapitre 3, Acquisition, développement
et implantation des systèmes d'in10mmtlon.)
1.5.16 ÉVALUATION DE !:ENVIRONNEMENT DE
CONTRÔLE
L'auditeur des SI examine les preuves recueillies pendant l'audil
pour déterminer si les opérations examinées sont bien contrôlées
ct efficaces. Il s'agit aussi d'un domaine qui fait appel au
jugement et ::ll'cxpélience de l'auditeur des SI. L'auditeur des
SI doit évaluer les fbrces ct les làiblesscs des contrôles vérifiés
et ensuite, il doit déterminer s'ils atteignent cHïcaccment les
objectif-; de contrôle établis dans Je cadre du processus de
planification de l'audit.
Un tableau de contrôle est souvent utilisé lors de l'évaluation
des niveaux de contrôle appropriés, Les types d'erreurs pouvnnt
survenir dans le domaine exmniné sont placés sur 1'axe des
abscisses, tandis que les contrôles connus servant à détecter ou
corriger des erreurs sont placés sur 1'axe des ordonnées. Ensuite,
à l'aide d'une méthode de classement, le tableau est complété
avec les mesures appropriées. Lorsqu'il est terminé, le tableau
montre les domaines où les contrôles présentent des faiblesses ou
des lacunes.
Dans certains cas, un contrôle rigoureux peut compenser pour
le contrôle faible d'un autre domaine. Par exemple, si l'auditeur
des Sl identifie des faiblesses dans le rnpport des erreurs de
transaction d'un système, il peut découv1ir qu·un processus
manuel détaillé de mise en concordance compense pour les
ütiblesses dans le rapport d'erreurs. L'auditeur des SI doit être
conscient des contrôles compensatoires dans les domaines où les
contrôles ont été identifiés comme étant faibles.
62
Systèmes d'Information
e Certined Informa. tioo
Systems Auditor"
~'"'""'''"'""'"'
Alors que les contrôles compensatoires surviennent lorsqu'un
contrôle plus fOJi en soutient un plus faible, le chevauchement
de contrôles concerne deux contrôles rigoureux. Par exemple, si
un centre de traitement utilise un système d'accès par carte pour
contrôler 1'accès physique ct qu'un garde situé à l'intérieur exige
de voir la cmie d'accès ou Je badge des employés, un contrôle
redondant existe. Chaque contrôle peut restreindre l'accès de
façon adéqunte, mais les deux se complètent.
Habituellement, un objectif de contrôle ne sera pas atteint en ne
prenant en compte qu'un seul contrôle ndéquat. Un auditeur des
SI etl-èctuera plutôt plusieurs procédures de tests et évaluera la
façon dont elles sont liées. Généralement, un groupe de contrôles,
considéré dans son ensemble, peut agir comme contrôle
compensatoire et ainsi minimiser le risque. Un auditeur des SI
doit toujours tenter de trouver des contrôles compensatoires avant
de faire état d'une faiblesse de contTôle.
Il se peut que l'auditeur des SI trouve que ce ne sont pas toutes
les procédun:s de contrôle qui sont en place, mais il doit évaluer
l'étendue des contrôles en tenant compte des forces et des
fàiblesscs des procédures de contrôle.
Juger de l'Importance relative des constatations
Le concept d'impo11ance relative est essentiel lorsque vient le temps
de décider des constatations à prioriser dans un rapport d'audit La
clé pmu· déterminer l'importance relative des constatations d'un
audit est l'évaluation de cc qui serait important pour les diflèrents
niveaux de direction. t.:évaluation rcquie1t de juger des effets
potentiels des constatations si des mesures correctives ne sont pas
entrep1ises. Une faiblesse sur le plan de la sécurité informatique
des contrôles d·accès physique dans un site informatique distant
peut être impo1iante pour la direction de ce site, mais ne le sera pas
nécessairement pour la haute direction du siège de l'organisation.
Toutefois. d'autres éléments du site distant peuvent être imporiants
pour la haute direction.
L'auditeur des SJ doit utiliser son jugement lorsque vient le
temps de choisir quelles constatntions présenter aux divers
niveaux de direction. Par exemple, 1'auditeur des SI peut
évaluer que le formulaire de transmission utilisé pour livrer les
bandes magnétiques au centre de sauvegarde n'est pas paraphé
adéquatement, ou que l'autorisation documentée par la direction,
comme l'exigent les procédures, n'est pas obtenue. Si l'auditeur
des SI juge que la direction met en œuvre ce processus d'une
autre façon et qu'il n'y a eu aucun problème à cc sujet, il peut
décider que le défaut de parapher les documents de transmission
n'est pas assez important pour Je porter à l'attention de la hnute
direction. L'auditeur des SI peut décider de discuter de ce point
uniquement avec la direction de l'exploitation locale. Toutefois,
d'autres problèmes de contrôle peuvent mener l'auditeur des SI
à conclure qu'il s'agit d'une erreur importante, car elle pourrait
causer un problème de contrôle plus important dans d'autres
domaines. L'auditeur des SI doit toujours juger de l'importnnce
des constatations pour les divers niveaux de direction et doit en
fàire état en conséquence.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . M
Certifie<! lnfo~\ion
Systems Audflor'
'"~··-
~·~"'"'"'''"'""'
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
1.6 COMMUNIQUER lES RÉSULTATS DE !.:AUDIT
!.:entrevue finale, qui a lieu ù la fin de l'audit, donne à
!'auditeur des SI l'occasion de discuter des conclusions et'
des recommandations avec la direction. Durant cet entretien,
l'auditeur des SI doit :
• s'assurer que les faits présentés dans le rapport soient exacts;
• s'assurer que les recommandations soient réalistes ct
rentables; sinon, il doit chercher des solutions de remplacement
en discutant avec la direction de l'enlrcpn'se qui fait l'o~jet d'un
audit;
• suggérer des échéanciers pour mettre en œuvre les
recommandations acceptées.
Il est fréquent que l'on demande à l'auditeur des SI de présenter
!cs conclusions de l'audit au personnel des différents niveaux
de responsabilité. L'auditeur des SI doit donc posséder une
excellente connaissance des techniques de présentation
nécessaires pour transmettre ces résultats.
Les techniques de présentation pourraient prendre les formes
suivantes:
• Résumé~- Un rapport concis et f..1cile à lire qui explique
clairement les conclusions à la direction. Les conclusions et
les recommandations doivent être communiquées dans une
perspective de gestion. Les annexes détaillées peuvent être plus
techniques, puisque la direction des opérations aura besoin de ces
détails pour rectifier les situations problématiques.
• Présentation visuelle-- Elle peut comprendre des présentations ou
des graphiques infom1atisés.
Les auditeurs des SI doivent savoir qu'ils ont, en fin de compte,
une responsabilité envers les cadres supérieurs et le comité
d'audit du conseil d'administration. Les auditeurs des SI doivent
être en mesure de communiquer librement les problèmes à
ces niveaux de gestion. Tenter de refuser l'accès aux résultats
d'audit à du personnel de niveaux de gestion inférieur à celui des
dirigeants limiterait l'indépendance de la fonction d'audit.
Avant de communiquer les conclusions d'un audit aux cadres
supé1icurs, 1'auditeur des SI doit en discuter avec le personnel
de gestion de l'organisation qui fait l'objet d'un audit afin d'en
arriver à un accord au sujet des conclusions et d'élaborer un
plan d'actions correctives. En cas de désaccord, l'auditeur des Sf
doit expliquer plus à fond la signification des conclusions ainsi
que les dangers ct les conséquences qui risquent de survenir si
les lacunes des méc<Jnismes de contrôle ne sont pas corrigées.
Parfois, l'équipe de gestion de l'entreprise qui t~tit l'objet d'un
audit peut demander 1'aide de 1'auditeur pour mettre en œuvre
les mesures recommandées. Cauditeur des SI doit expliquer
la différence entre le rôle d'un auditeur des SI et celui d'un
consultant. App01ter une aide à l'organisation qui fait l'objet d'un
audit peut nuire à l'indépendance de l'auditeur des SI, et celui-ci
doit sérieusement prendre en compte cc tàit.
Dès qu'une entente survil:nt avec l'entreprise qui fait l'o~jet d'un
audit, les responsables de l'audit des SI doivent en infi:mner les
dirigeants de l'organisation. Un résumé des activités sera présenté
périodiquement au comité d'audit. Habituellement. le comité
d'audit est fOrmé de personnes qui ne travaillent pas directement
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservês.
Section deux : Contenu
pour l'organisation afin que les auditeurs aient l'indépendance
requise pour présenter l'information de nature délicate.
1.6.1 STRUCTURE ET CONTENU DU RAPPORT
D'AUDIT
Les rappmts d'audit constituent le produit final du travail
d'audit des SI. L'auditeur des Sl s'en sert pour transmettre les
conclusions et les recommandations à la direction. La forme
exacte d'un rapport d'audit varie selon l'organisation; cependant,
un audileur des SI qualifié doit comprendre les composantes
de base d'un rapport d'audit et pouvoir conununiqucr les
conclusions à la direction.
Remarque : Le candîdat au litre Cl SA doi1 se familiariser
avec les nonnes d'audit et d'assurance des SI de I'IS!\CA 1401
Rappo1ts et 1402 Activités de suivi.
Un rapport d'audit des SJ n'a pas de 10rmat précis; ce sont
les politiques et procédures d'audit de l'organisation qui en
définiront le fom1at général. Habituellement, la structure ct le
contenu des rapports d'audit contiennent les éléments suivants:
• Une introduction qui comprend la description des objectifs de
l'audit, ses limites et sa portée, la période couverte par l'audit
ct une décim-ation générale relative à la nature et à l'étendue des
procédures d'audit et des procédés examinés au cours de l'audit.
En:mite, suivra une déclaration 1àisant état de la méthodologie ct
des lignes directrices de l'audit des SI.
• Des conclusions incluses dans des sections séparées, groupées
selon leur importance ou les destinataires visés .
.. Les conclusions générales de 1'auditeur des Sl et son opinion
quant à la pertinence des contrôles et procédures examinés
durant l'audit ainsi que les risques potentiels qui ont été
déterminés en raison des t-ailles détectées.
• Les restrictions et réserves de l'auditeur des SI concernant
['audit Il peut être fait état dans cette section que les contrôles
ou procédures examinés ont été jugées adéquates ou non. Le
reste du mpport d'audit doit appuyer cette conclusion, et la
preuve globale recueillie durant l'audit doit appuyer davantage
les conclusions de l'audit.
• Conclusions détaillées de l'audit ct recommandations-
L'auditeur des sr décide d'inclure ou non des résultats précis
dans un mppmt d'audit. Sa décision sera prise en fonction de
l'impmiancc des conclusions et du destinataire du mpport. Par
exemple, un rapport à l'intention du comité J'audit du conseil
d'administration peul exclure des conclusions qui ne sont
importantes que pour la direction« locale n ct qui ne relèvent
pas des contrôles de l'ensemble de l'organisation. La décision
des éléments à inclure dans les différents niveaux des rapports
d'audit dépend de l'orientation foumic par la haute direction.
• Diverses conclusions dont certaine."i peuvent être assez
importantes alors que d'autres peuvent être mineures. L'auditeur
peut choisir de présenter des résultats mineurs à la direction
dans un format altematiftel qu'une lettre à la direction.
Il revient à l'auditeur des SI de prendre la décision finale quant
aux éléments à inclure ou non dans le rapport d'audit. De façon
générale, il doit fournir un rapport équilibré. Ce rapport doit non
seulement déc tire les éléments liés à des conclusions négatives.
mais inclure également des commentaires constructifs po1iant
63
 Section deux : Contenu
Chapitre 1- Processus d'Audit des
sur la mise en œuvre de processus et de mesures de contrôle
ou sur l'amélioration des mesures de contrôle en place. Dans
l'ensemble, l'auditeur des SI doit faire preuve d'indépendance
lors de la rédaction des rapports.
La direction de !"entreprise qui fait !'objet d'un audit étudie les
conclusions du mpport tout en faisant état des actions correctives
à prendre ct de l'échéancier de leur mise en place.
Il est possible que la direction ne puisse pas mettre en œuvre
immédiatement toutes les recommandations proposées. Par
exemple, un auditeur des SI peut recommander des changements
à un système d'information qui fait déjà l'objet d'autres
modifications ou améliorations. r;auditeur ne doit pas s'attendre
il ce que les modifications déjà en cours soient mises de côté pour
mettre en œuvre les siennes. Toutefois, elles pourraient être mise
en œuvre simultanément.
Avant de rédiger le rnpp01t, l'auditeur des Sf doit discuter des
recommandations ct de leur échéance de mise en œuvre. Il doit
également réaliser que diverses contrnintes, comme un manque
de personnel, un budget limité ou d'autres projets, peuvent
empêcher la mise en œuvre immédiate. La direction doit élaborer
un programme d'actions correctives bien défini. Il est important
d'obtenir de la direction de l'entreprise qui fait l'objet d'un
audlt une date de mise en œuvre du plan d'action (la mise en
place de la solution elle-même peut prendre beaucoup de temps)
et la façon dont il sera mis en œuvre étant donné que !"action
corrective peut entraîner un risque qui, s'il est décelé lors de
!a discussion et de la finalisation du rapport d'audit, peut êtTe
évité. S'ille juge opportun, l'auditeur des SI informera la haute
direction des progrès de la mise en œuvre des recommandations.
Conformément ilia nonne d'audit et d'assurance des Si 1401 et
à la directive d'audit et d'assurance des SI 2401 sur les rappotis
de I'JSACA, le rappmi" doit inclure toutes les constatations
significatives de !'audit Lorsqu 'un résultat doit être expliqué,
l'auditeur des SI doit le décrire de même que la cause et le
risguc associé. S'ille juge approprié, l'auditeur des SI fournira
l'explication dans un document séparé et y fera rét-hcnce dans
le rapport. Pm· exemple, cette approche peut convenir dans le cas
de sujets très confidentiels. L'auditeur des SI doit aussi indiquer
les critères organisationnels, professionnels et gouvernementaux
appliqués, comme le CO BIT. A fin de favoriser la mise en place
rapide des actions correctives, le rapport doit être remis sans
délai. Lorsque c'est approprié. l'auditeur des SI doit rapidement
faire patt des conclusions significatives aux personnes
concernées avant que le rapport soit publié. Ceci ne doit pas
modifier l'intention ou le contenu du rappoti.
rR~~~Hlrqut• : Le candi~·;;~i~~~(JSA doit re~~~~~~-directive].
[d'audit et d'assurance des SI << 2401 Rapports>> de l'ISACA.
L-~·-···-·-··-··~--- -····-----~--··--·--· . ··----~-~--··-------·~-
1.6.2 DOCUMENTATION DE L'AUDIT
La documentation de l'audit doit comprendre au moins
les données suivantes :
• la planification et la préparation de la portée et des objectif.::: de
l'audit;
64
Systèmes d'Information
e Certified JnformaUon
Systems Auditnr·
"'''"""'~'·'"''...,
• la description ou les vérifications générales des domaines qui
font l'objet d'audit;
• le programme d'audit;
• les étapes eflCctuées et les fhits recueillis lors de l'audit;
• le recours aux services d'autres auditeurs et spécialistes;
• les résultats, les conclusions et les recommandations de l'audit;
"la documentation relative il l'identification et aux dates des
documents.
Il est recommandé que la documentation comprenne également
les éléments suivants :
.. une copie du rapport produit par suite du travail d'audit;
•la preuve d'une revue de la supervision de l'audit.
Les documents doivent contenir l'information au sujet de l'audit
exigée par les !ois et règlements, les clauses contractuelles
et les normes professionnelles. l.a documentation de l'audit
est la preuve qui appuie les conclusions. Elle doit êtTe claire,
complète, facilement accessible el suffisamment compréhensible.
Habituellement, la documentation de l'audit appartient à l'entité
qui eflèctue l'audit, et seul le personnel autorisé doit y avoir accès.
Dans le cas où des groupes externes demanderaient l'accès à celte
documentation, l'auditeur doit obtenir une approbation préalable
des cadres supê1ieurs et avocats-conseils.
!.?auditeur des SI ou le service d'audit des SI doivent aussi
élaborer des politiques relatives aux conditions de conservation
et de rétention de la documentation de !"audit ainsi qu'à sa
divulgation.
1Remarque : Le candidat au titre C!SA doit se t11miliariser avec
IJe contenu détaillé de la direclive d'audit et. d'assurance des SI de
I'ISACA << 2203 Exécution et su ~rvision )}.
Le type de format et de support utilisé pour la documentation
est facultatif Par contre, conformément au principe de diligence
et nux bonnes pratiques, les documents doivent être datés et
identifier 1'auteur et les pages doivent être numérotées. Ils
doivent aussi être pertinents, clairs en plus d'être adéquatement
étiquetés, classés ct conservés. Les documents de travail ne
doivent pas nécessairement être produits sur papier. Les auditeurs
des SI doivent porter une attention toute particulière à la façon de
maintenir l'intégrité et la protection des preuves de test d'audit
afin de conserver les preuves appuyant les conclusions de l'audit.
La documentation de l'audit ou les documents de travail peuvent
servir de pont ou d'interface entre les objectif."> de l'audit ct le
rapport final. Ils doivent fOurnir une transition cohérente, en
permettant la traçabilité et. en identifiant les responsabilités,
entre les objectif.s et le rapp01t, et vice versa. Dans cc contexte,
le rapport d'audit peut être considéré comme un ensemble de
documents de travail particulier.
La documentation de l'audit doit appuyer les résultats et les
conclusions ou opinions. Le moment où la preuve est recueillie
peut être crucial pour appuyer les résultats ct les conclusions de
l'audit. Cauditeur des SI doit prendre les moyens nécessaires pour
s'assurer que la preuve recueillie ct documentée peut soutenir les
résultats ct les conclusions de l'audit:. Un auditeur des SI doit être
en mesure de préparer des documents de tmvail, de l'information,
Manuel de Préparation CISA 26• èdition
ISACA. Tous droits réservés.
 Chapitre 1 -Processus d'Audit des
Systèmes d'Information
des questionnaires adéquats ainsi que des organigrammes de
données comprèh~nsibles.
L'auditeur des Sl constitue une ressource rare et coüteusc. TOute
technologie capable d'augmenter la productivité liée à J'audit est
la bienvenue. L:automatisation de la préparation des documents
de travail peut influencer directement ct indirectement la
productivité (accorder l'accès à d'autres auditeurs, réutiliser les
documents intégraux ou certaines parties lors d'audits répétitifs,
etc.).
La recherche de moyens pour intégrer les documents de travail
dans l'environnement électronique de l'auditeur a fait en sorte
que les principaux progiciels d'audit et de gestion de projets, ks
techniques d'audit intbnnatisé et les systèmes expe1is puissent offrir
une gamme complète de documents informatisés et de fonctions
d'importation-exportation.
Les normes et directives d'audit et d'assurance des SI de
l'ISACJ\ définissent de nombreuses spécifications au sujet
des documents de travail. Celles-ci comprennent le besoin
de documenter le plan d'audit, le programme et les éléments
probants (2205 Éléments probants), la façon d'utiliser le travail
d'autres auditeurs (2206 Utilisation du travail d'autres experts) ou
l'utilisation de l'échantillonnage (2208 Échantillonnage).
1.6.3 FERMETURE DES CONSTATATIONS
L"auditeur des SI doit savoir qu'un audit est un processus continu.
L;~mditeur n'est pas enïcace s'il effectue des audits et produit des
rapports sans s'assurer que la direction a mis en œuvre les actions
conectives convenues. À cette tin, il doit élaborer un programme
de suivi. Bien que les auditeurs des SI travaillent pour le compte
de firmes d'audit: extcmes ne suivent pas obligatoi1·ement
cette procédure, il est possible de procéder avec l'accord de
l'organisation qui fait l'objet d'un audit.
La planification du suivi dépendra de l'importance des
conclusions et du jugement de l'auditeur des SI, ct les résultats du
suivi doivent être transmis au niveau de gestion approprié.
Le suivi de l'auditeur des SI reposera sur plusieurs facteurs. Dans
certains ca.<.;. il pourra simplement s'informer de l'avancement des
travaux. Par contre, s'il occupe une fonction d'audit à l'interne, il
devra effectuer certaines étapes de vérification afin de déterminer
si les actions correctives convenues avec la direction ont été mises
en œuvre.
1. 7 AUTO ÉVALUATION DES CONTRÔLES
Une autoévaluatlon des contrôles est une évaluation des contrôles
réalit'ée- par le personnel et la direction de l'unité ou des unités
concernées. Il s'agit d'une technique de gestion qui assure aux
pm1ies prenantes, clients et autres pmîies que le système de
contrôle interne de l'organisation est fiable. Cela permet aussi
d'assurer que les employés sont conscients des risques pour
l'entreprise et: qu'ils eflèctuent des examens périodiques ct
proactif.:; des contrôles. C'est une méthodologie utilisée pour
réviser les objectifs clés de J'entreprise, les risques liés à l'atteinte
des objectifs de l'entreprise et les contrôles internes conçus pour
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
gérer ces risques dans un processus de collaboration formel et
documenté.
En pratique, l'autoévaluation des contrôles B,t un ensemble d'outils
dont Je degré de sophistication va du simple questionnaire aux
ateliers düigés. Ils s011t conçus pour recueillir des infOrmations au
sujet de l'organisation en s'adressant aux employés qui ont une
connaissance pratique d'un service de même qu'à leurs supérieurs.
Lors d'un projet d'autoévaluation des contrôles, les outils de base
utilisés sont les mêmes que ceux qui sont utilisés dans des projets
techniques, 11nanciers ou opérationnels, soit les réunions de gestion,
les ateliers de clients, les feuilles de travail, les fonnulaires de
notation de même que 1'approche elle-même d'autoévaluation des
contrôles. Tout comme l'ensemble d'outils utilisés pour recueillir
de 1'inlbnnation, il existe différentt.--s démarches qui ne relèvent pas
de la direction; certaines organisations incluent même des gens de
l'extérieur, comme des clients ou des partenaires commerciaux,
lorsqu 'ils procèdent à l'autoévaluation des contrôles.
Le programme d'autoévaluation des contrôles peut être mis sur
pied de diverses façons. Pour les petites entités d'une organisation,
il peut être exécuté au moyen d'ateliers dirigés. Durant ces ateliers,
la direction fonctionnelle et les professionnels du contrôle, comme
les auditeurs, peuvent se réunir et discuter de la meilleure façon
d'améliorer la structure de contrôle de l'entité.
Lors d'un atelier, le rôle du facilitateur est d'appuyer le processus
décisionnel. Le facilitatcur crée un environnement favorable pour
aider les participants à explorer leurs propres expériences ct celles
des autres, à déterminer les forces ct les faiblesses des contrôles
ct à partager leurs connaissances, idées ct préoccupations. Au
besoin, le facilitateur peut otfrir sa propre expertise en plus
d'encourager l'échange d'idées et d'expériences. Le facilitateur
ne doit pas nécessairement être un spécialiste de certains
procédés ou sujets: toutefois, il devrait avoir des compétences de
base telles que :
• Aptitudes pour l'écoute active et habileté à poser de bonnes
questions, y cornptis des questions pour analyser le sujet et faire
avancer la discussion;
• Bonnes aptitudes pour la communication orale, y compris la
capacité de poser des questions d'une tàçon non intimidante et à
résumer le contenu;
• Habileté à gérer la dynamique de groupe, y compris gérer
diverses personnalités pour éviter que certains membr~s
dominent la discussion ct gérer les processus pour atteindre les
objectifs;
• Habileté à résoudre des contlits:
• Capacité de bien gérer le temps pour respecter l'horaire
des procédures.
Pour les organisations dont les bureaux sont situés dans divers
endroits, il ne seralt pas pratique d'organiser des ateliers ditigés.
Dans ce cas, une approche mixte est nécessaire. Un questionnaire
l'Ondé sur la structure des contrôles peut être utilisé. Pé1iodiquement,
les directeurs de production peuvent remplir un questionnaire sur
J'eflïcacité des contrôles qui peut être analysé ct évalué. Toutefois,
une approche mixte ne sera ct-rîcace que si l'analyse et la révision du
questionnaire sont effectuées selon une démarche de cycle de vie,
telle que décrite dans la ligure 1, 11.
65
 Section deux : Contenu
Chapitre 1 - Processus d'Audit des
1.7.1 OBJECTIF DE t:AUTOÉVALUATION DES
CONTRÔLES
Il y a de nombreux objecti(<; associés à un programme
d'autoévaluation des contrôles. Le premier est de tirer profit de la
fonction d'audit interne en déléguant ceJiaines tâches de suivi des
contrôles à des domaines h:mctionncls. Le but n'est pas de modifier
les responsabilités d'audit, mais de les améliorer. l.es audités, tels
les cadres hiérarchiques, sont responsables des contrôles dans leur
environnement; ils doivent également être responsables de leur
suivi. Les programmes d'autoévaluation des contrôles ont pour but
d'enseigner à la direction la conception et le suivi des contrôles,
en surveillant plus pmiiculîèrement les zones à haut risque. Ces
programmes ne sont pas seulement des politiques exigeant des
clients la confOrmité aux nonnes de contTôle. Ils offrent également
une gamme de mesures de soutien allant des recommandations
écrites sur les environnements de contrôle acceptables aux ateliers
détaillés. Lorsque les alelier.s font pmtie du programme, un
objectif supplémentaire peut s'ajouter: développer l'autonomie
des employés dans l'évaluation ou même la conception de
1'environnement de contTôlc.
Lorsqu'un programme d'autoévaluation des contrôles est utilisé,
il faut implanter des mesures d'évaluation du succès pour chaque
phnse (planification, implantation et suivi) pour déterminer
la valeur ajoutée du programme et son utilisation future.
L'organisation d'une rcncmltre avec les représentants des entités,
incluant le personnel et la direction concemés, est un facteur
critique de succès si l'on veut définir l'objectifpremier de l'entité,
qui est de déterminer la fiabilité du système de contrôle interne.
De plus, les actions susceptibles d'augmenter la possibilité
d'atteindre cet objectif premier doivent être déterminées.
Un e-nsemble général d'objectif.<; et de mesures pour chaque
processus, qui peuvent être utilisés dans la conception et le suivi
Figure 1.11 -Approche hybride d'aü!Oêvalualion des contrôles
___ j __ i
1 1
L _____ _!
66
Systèmes d'Information
e Certi1ied Informa. lion
Systems Audilor'
"'"'"""'""''"""'
du programme d'autoévnluation des contrôles, sont inclus dans le
CO BIT
Le CO BIT est un cadre de travail de gouvernance et de contrôle
qui fOurnit des directives relativement au développement de la
méthode d'évaluation des contrôles. On pourrait développer une
méthode d'autoévaluation des contrôles en déterminant les tâches et
les processus qui sont pertinents ù l'environnement de l'entreprise,
puis en définissant les contrôles pour les activités J:>eliÎnentes. Un
questionnaire d'autoévaluation des contrôles peut être élaboré en
utilisant les énoncés inclus dans les objectif." de contrôle pertinents
des processus de Tl détcnninés. Divers composants du cadre de
travail COBll~ comme la matrice entrée-soJiie, le tableau RACI, les
buts et objectifs, les paramètres de mesure ainsi que le modèle de
maturité, peuvent être convertis en questionnaire d'autoévaluatîon
des contrôles pour évaluer chacune des zones.
1. 7.2 AVANTAGES DE I:AUTOÉVALUATION DES
CONTRÔLES
Voici quelques avantages d'une autoévaluation des contrôles:
• déte<.:tion précoce du risque;
• contrôles internes améliorés ct plus efficaces;
• création d'équipes cohésives grâce ù la pmiicipation des
employés;
• développement, chez les employés et les propriétaires des
contrôles, d'un sentiment d'apparlenance relativement à
ces contrôles, ct diminution de leur résistance face aux
changements:
• amélioration de la perception des employés en ce qui a trait aux
objectif..;; de 1'organisation et à leur connaissance des risques et
des contrôles internes;
• meilleure communication entre les responsables des opérations
el' la haute direction:
• motivation élevée des employés;
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . H
Certif!ed• •lnfonnatîOfl
Systems Audilor'
Chapitre 1 -Processus d'Audit des
Systèmes d'Information Section deux : Contenu

• amélioration du proœssus d'évaluation de l'audit;
• réduction des coûts du contrôle;
• garantie donnée aux actionnaires et aux C-lients quant à la
fiabilité;
.. garantie donnée à la haute direction quant ù la fiabilité des
contrôles intcme~. telle que l'exigentles divers organismes de
réglementation ct les lois (comme le US Sa11-mnes-Oxlcy Act).
1. 7.3 INCONVÉNIENTS DE I:AUTOÉVALUATION DES
CONTRÔlES
Lautoévaluation des contrôles présente plusieurs inconvénients. En
voici quelques-uns :
• elle pourrait être perçue corn me le remplacement d'une tOnction
d'audit;
• elle pourrait être perçue comme une charge de travail
supplémentaire (p. ex., un rapport de plus à soumettre à ln
direction);
• si elle ne permet pns de réaliser les améliorations suggérées, elle
pourrait nuire au moral des employés:
• le manque de motivation peut nuire à la détection des contrôles
insuffisants.
La prise de décision en groupe est un élément essentiel de
l'autoévaluation des contrôles réalisée dans le cadre d'ateliers
ayant pour but 1'autonomisation des employés. Pour cc qui est de
l'utilisation d'un questionnaire, le même principe s'applique à
l'analyse et à la révision du questionnaire .
1. 7.6 APPROCHE CONVENTIONNELLE ET
AUTOÉVALUATION DES CONTRÔLES
L'approche conventionne He peut sc résumer ainsi : toute approche
dans laquelle la responsabilité première relativement à l'analyse
des contrôles internes et des risques ct la présentation sous
forme de mpports de cette analyse relève des auditeurs ct, dans
une moindre proportion, des services des contrôleurs ct des
consultant'> externes. Cette approche a confitmé que les auditeurs
et les consultants. et non la direction ct les équipes de travail,
sont responsables de l'évaluation des contrôles intemes et de
la présentation des résultats sous forme de rapports. Quant à
J'approche d'autoévaluation des contrôles, elle met l'nccent sur la
gestion et la responsabilité plutôt que sur le développement et le
suivi des contrôles internes des processus d'affaires sensibles et
essentiels.

1. 7.4 AUTO ÉVALUATION DES CONTRÔLES ET RÔLE DE Le tableau 1.12 présente un résumé des caractédstiques ou des
éléments impo1tants qui distinguent les approches.
!:AUDITEUR
Lorsque les services d'audit établissent un programme
d'autoévaluation des contrôles, la tâche des auditeur~ devient plus Tableau 1;12-AttrjbüiS de l'approche conventionnelle et
cHlcacc; ils deviennent des protèssionnels des contrôles intcmcs et d'autoêvalualion des conltôles
des Ütcilitateurs d'évaluation. Leur rôle prend tout son sens quand Traditionnel Autoévaluation des œntrôles
la direction a.;;sume la responsabilité et la propriété des systèmes de Assigne les tâches/supervise le Employés habilités/responsables
contrôle interne sous son autmité par un processus d'amélioration personnel
de la structure de contrôle comprenant un suivi actif.
Dicté par les politiques/règles Amélioration continue/courbe
d'apprentissage
Pour qu'un auditeur soit eflïcacc dans ce rôle de L1cilitation
et d'innovation, il doit comprendre le processus d'aflàires qui Participation limitée des Participation importante des
est évalué. Pour ce !àirc, il peut utiliser des outils d'évaluation employés employés et formation
conventionnels, comme l'enquê-te préalable ou la revue générale. Focalisation trop étroite des Focalisation élargie des partenaires
De plus, les auditeurs doivent se rappeler qu,ils jouent le rôle de partenaires
facilitatcur et que le cliŒt, dans cc cas la direction, est un participant Auditeurs et autres spécialistes Les membres du personnel, à
dans le processus d'autoévaluation des contrôles. Par exemple. lors tous les niveaux, dans toutes les
d"un atelier d'autoévaluation des contrôles, l'auditeur encadrera fonctions, constituent les analystes
les audités et les aidera à évaluer leur environnement en leur de contrôle principaux.
donnant des pistes relativement aux objectif:<> des contrôles fOndés
sur l'évaluation des !isques, plutôt que d'appliquer des procédures
complexes d'audit. Les gestionnaires, en mettant l'accent sur 1.8 CHANGEMENTS DANS lE PROCESSUS
l'amélioration de la productivité du processus, pourraient suggérer D'AUDIT DES SI
de remplacer les contrôles préventifs. Dans ce cas, l'auditeur est le
mieux placé pour expliquer le Iisqut: associé à de tels changements. Le processus d'audit des SI doit se renouveler continuellement
pour être au fait des innovations technologiques. I.;audit intégrè ct
1.7.5 FACTEURS TECHNOLOGIQUES LIÉS À l'audit continu sont quelques-unes des solutions appliquées aux
I:AUTOÉVALUATION DES CONTRÔLES changements.
Le développement des techniques d'autonomisation, de collecte
d'information et de prise de décision tùit nécessairement partie de 1.8.1 AUDIT INTÉGRÉ
l'implantation d'un programme d'autoévaluatîon des contrôles.
En raison de la dépendance des processus de gestion vis-à-vis
Les facteurs technologiques décisifs ine-luent une combinaison
des technologies de l'infOrmation. les nuditeurs financiers et
de matériel et de logiciels qui supportent le programme
les auditeurs de gestion ont dû développer une compréhension
d'autoévaluation des contrôles choisi, l'utilisation d'tm système
des structures de contrôle des TI et les auditeurs des SI, une
de rencontre électronique ainsi que des aides électroniques à la
compréhension des structures des contrôles de gestion. L'audit
décision dans le but de faciliter la prise de décision en groupe.
intégré peut être défini ainsi: le processus par lequel les

Manuel de Préparation CISA 26• édition 67

ISACA. Tous droits réservés.

Section deux : Contenu
disciplines d'audit appropriées sont combinées dans le but
d'évaluer les contrôles internes essentiels d'une opération, d'un
procédé ou d'une entité.
I.;approchc intégrée met l'accent sur le risque. Une évaluation du
Iisque vise à comprendre ct à définir les risques associés à !'entilé et
à son environnement, y compris les contrôles intemes pertinents. À
cette étape, le rôle de l'auditeur des Tl consiste su1iout à comprendre
et à détennincr les risques liés à des domaines bien précis comme la
gestion de J'information ainsi que l'intl'astructure, la gouvernance
et les opérations des '1'1. D'autres spécialistes en audit chercheront à
comprendre l'environnement organisationnel, les risques de gestion
et les contrôles de gestion. L'un des éléments clés de l'appmchc
intégrée est la discus..<>ion des risques relati(q à l'incidence et à la
probabilité pour l'ensemble de J'équipe d'audit.
Le travail d'audit spécifique se concentre ensuite sur les contrôles
pertinents qui sont en place pour gérer ce risque. Les systèmes
des TI procurent fl·équemment des contrôles préventif.<; et de
détection de première ligne. De plus, l'approche intégrée dépend
d'une solide évaluation de leur efficience et de leur efficacité.
Habituellement, le processus d'audit intégré comporte:
• la détermination du risque auquel fait face le domaine
de l'organisation qui fait l'objet d'un audit;
• la détermination des contrôles clés pertinents;
• l'examen et la compréhension de la conception des contrôles
clés;
• la réalisation de tests visant il s'assurer que les contrôles clés
sont soutenus par le système des TI;
• la réalisation de tests visant à s'assurer que les contrôles de
gestion fonctionnent efficacement:
• la production d'un rapport au sujet du risque associé
aux contrôles et au sujet de la conception des faiblesses des
contrôles.
L'audit intégré doit se conce!ltTer sur le risque de gestion et
trouver des solutions de contrôle créatives. Cela nécessite les
effOrts d'une équipe d'auditeurs possédant des compétences
va~iécs. Cette approche permet d'effCctuer un seul audit d'une
entité et de produire un rapport exhausti L Cette approche o!Trc
un autre avantage: celui d'aider à perrcctionner et à retenîr
le personnel en offrant une plus gmnde variété de tâches et la
possibilité de constater comment tous les éléments (fonctionnels
et TI) s'intègrent pour former un ensemble. La figure 1.13
présente l'approche de l'audit intégré.
De plus, le concept d'audit intégré a radicalement changé la
perception des intervenants par rapport aux audits. Les employés
et les propriétaires des processus comprennent mieux les objecti(q
d'un audit, puisqu'ils voient le lien entre les contrôles et les.
procédures d'audit. Les cadres supérieurs comprennent mieux
le lien entre l'efficacité accrue des contrôles et les améliorations
correspondantes relativement à la répartition et à l'utilisation des
ressources des TL Les actionnaires comprennent mieux le lien
entre la tendance vers un degré plus élevé de gouvernance de
l'entreprise et son influence sur la production d'états financiers
fiables. Tout cela a donné une véritable impulsion ù la popuhuité
croissante des audits intégrés.
68
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
Figure 1;13- Audîtimégré
Audit
Audit
opérationnel
financier
Audit des SI
1.8.2 AUDIT CONTINU
L'attention particulière pmiée sur l'efficacité et l'efficience
de l'assurance, de l'audit interne et du contrôle a entraîné le
développement de nouvelles études ct l'examen de nouveaux
concepts sur le sujet de l'audit continu plutôt que sur l'audit
périodique plus conventionnel. Plusieurs recherches et documents
portant sur ce sujet suggèrent différentes définitions de l'audit
continu. Cependant, ils reconnaissent tous que le court délai entre
les Ü1its à vérifier, la collecte de preuves et le rappoli' d'audit
constitue le caractère distinctif de l'audit continu.
Les rapports financiers conventionnels de même que le style
d'auditconventionnel s'avèrent insutnsants à cause de l'absence
d'un élément essentiel à l'environnement de gestion actuel : une
infOrmation à jour. C'est pourquoi l'audit continu semble gagner de
plus en pitL' d'adeptes.
Une meilleure surveillnncc des questions financières au sein
d'une entreprise, l'assurance que les transactions en temps réel
profitent aussi de la surveillance en temps réel, la prévention
de fiascos financiers ct de scandales relatifs à l'audit, comme
Enron et Tesco Pic, en plus de l'utilisation de logiciels pour
assurer la fiabilité des contrôles financiers sont la force de
l'audit continu. L:audit continu exîg,e beaucoup de travail, parce
que 1'entreprise qui met en pratique cette approche produira des
rapports régulièrement et non uniquemenl à la fin d'un trimestre.
Les fonctions d'audit dans les organisations qui utilisent des
plateformes de PGI ont de plus en plus recours à des outils
automatisés de gouvernance, risque ct conformité (GRC) qui
signalent en temps réel les transactions correspondant à certains
critères prédéfinis. Ces outils sont installés à l'échelon de ln base
de données et extraient les données correspondant aux critères
prédéfinis. Ces données pourraient comprendre une facture
portant une adresse semblable ou identique à celle d'un employé.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . M
Certilîed lllformatioo
Systems AuditW
"---+------·-
""""''''"'·'""'"'
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
L'avantage de ces outils esl qu'ils analy~'Cnt rapidement de gnmds
volumes de données pour mettre en évidence des schémas de
données susceptibles d'intéresser les auditeurs.
L'audit continu n'est pas un concept nouveau. Les systèmes
d'application conve1ttionne!s peuvent compotier des modules
d'audit intégrés qui permet1raicnt à un auditeur de déceler tout
type d'événement prédéfini dont les paramètres sont atteints ou
de vérifier directement les conditions et transactions suspectes ou
anormales.
La plupa1i des applications commerciales pourraient intégrer
ces fonctions. Cependant, le coùt et d'autres facteurs en plus
des compétences techniques nécessaires pour élaborer et faire
fonctionner ces outils ont tendance à limiter à ce1iains domaines
et applications l'utilisation de modules d'audit intégrés.
Une distinction claire doit être faite entre l'audit continu et la
surveillance permanente pour bien comprendre les implications et
les exigences de l'audit continu:
• Surveillance permanente-- Elle est possible grâce aux
outils de gestion des SI. Elle est habituellement fondée sur
des procédures automatisées pour respecter les responsabilités
fiduciaires. Par exemple, les antivirus ou les systèmes de
détection d'intrusion en temps réel peuvent fonctionner en
mode de surveillance permanente.
.. Audit continu~ conformément au Glohnl Technology
Audit Guide 3 :Audit continu: Implications for Assurance
lvfonitoring and Risk Assessment, l'audit continu est ((une
méthode permettant d'effectuer automatiquement les
évaluations de contrôle et de risque plus fréquemment.
L'audit continu change le paradigme : on délaisse les audits
périodiques d'un échantillon de transactions pour effectuer
des tests d'audits continus de l'ensemble des transactions.
Cela devient une partie intégrante de l'audit modeme à
de nombreux égards.)) L'audit continu des SI (et autres)
est habituellement exécuté à l'aide de procédures d'audit
automatisées.
L'audit continu doit être indépendant des contrôles ou des
activités de surveillance permanents. Une assurance permanente
peut être établie lorsque sont réalisés, à la fois, la surveillance et
l'audit continu. En pratique, un audit continu précède l'adoption
par la direction de la surveillance continue comme processus au
quotidien. Souvent, la fonction d'audit hïJnsmet les techniques
utilisées pour l'audit continu à l'entreprise, qui etTectucra alors
la ~urveillance continue. Cette collaboration a mené à une
appréciation accrue, chez les responsables de processus, de la
valeur que la fonction d'audit apporte à l'organisation, avec pour
conséquence une plus grande confiance entre l'entreprise et les
auditeurs. Néanmoins, le manque d'indépendance et d'objectivité
propre à la surveillance continue ne devrait pas être ignoré, ct la
surveillance continue ne devrait jamais être considérée comme un
substitut à la fonction d'audit.
Les cHOtts de l'audit continu cornbinent souvent les nouveaux
développements en Tl, les capacités de traitement accrues
du matériel et de logiciels courants, les normes, et les outils
d'intelligence artificielle. Laudit continu facilite la collecte et
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
l'analyse des données au moment de 1'opération. Les données
doivent être recueillies à pmi ir de différentes applications qui
fonctionnent dans divers environn~mcnts. Les transactions
doivent être filtrées, et l'environnement des transactions doit
être analysé pour y détecter !es tendances et les exceptions. De
plus, !es modèles atypiques (p. ex., une transaction provenant
d'un pmienaire d'a-ffaires donné dont la valeur est beaucoup
plus élevée ou beaucoup plus faible qu'à l'habitude) doivent
être connus. Si tout ce travail doit se J-'aire en temps réel, pcut-
ètre rnême avant la clôture d'une transac1ion. il est obligatoire
d'adopter et de combiner dii-Térentes techniques de premier
niveau liées aux Tl. L'environnement des Tl est un outil naturel de
l'application de l'audit continu ù cause de la nature automatisée
inhérente à ses processus sous-jacents.
Le but de l'audit continu est de fournir une plate-forme plus
sécuritaire pour éviter les fraudes ct un processus en temps réel
qui garantit un niveau élevé de contrôle financier.
Voici certains préalables nécessaires à la réussite d'un audit
continu:
• un degré élevé d'automatisation;
• un processus automatisé très fiable produisant de l'information
sur un st~jet, peu après ou durant l'événement sous-jacent au
sujet:
• des alarmes qui se déclenchent pour signaler immédiatement les
défaillances d'un contrôle;
•la mise en œuvre d'outils d'audit hautement automatisés qui
requièrent la participation de l'auditeur des SI à la mise en place
des paramètres;
•la transmission rapide à l'auditeur des Sl des résultats des
procédures automatisées, smiout en cas d'anomalies ou
d'erreurs relevées;
•la production rapide et à temps des rapports d'audit automatisés;
• des auditeurs des SI possédant des compétences techniques;
•la disponibilité de sources de preuves fiables;
• le respect des directives importantes;
• un changement de perspective de la part des auditeurs des SI
afin qu'ils acceptent de produire des rapports continus;
• une évaluation des facteurs coûts.
Des outils d'audit et de sw·velllance continus simplifiés sont déjà
intégrés à de nombreux systèmes de planification des ressources
ùe J'entrepJisc (ERP) et ilia plupart des systèmes d'exploitation
et progiciels de sécurité de réseau. Ces environnements, s'ils
sont bien configurés et gérés par des règles, des paramètres
et ùes iürmules, peuvent produire des listes d'exceptions sur
demande tout en tmitant les données courantes. Ils représentent
donc une forme d'audit continu. lOuteiOis, leurs fonctions, bien
qu'avantageuses, peuvent être difficiles ù définir; selon leur
définition, elles détermineront ce qu'est une condition ou une
exception <( dangereuse )). Par exemple, le Htit qu'un ensemble
de règles accordant des accès aux SI s'avère sans tisquc ou
non reposera sur des normes bien définies de ségrégation des
tâches. Par contre, il peut être bien plus dinïclle de décider si une
séquence d'étapes, entreprises pour modifier ou maintenir un
enregistrement de base de données, mène à un risque possible.
Les techniques des Tl utilisées pour fonctionner dans un
environnement d'audit continu doivent être opérationnelles à tous
69

Section deux : Contenu
les niveaux de données-- entrée unique, transaction et bases de
données -et comprendre les éléments suivants :
• registre de transactions;
.. outils d'interrogntion;
• statistiques et analyse des données (techniques d'audit
informatisé);
• système de gestion de base de données (SGBD);
• entrepôt de données, magasin de données, exploration de
données;
• logiciels intelligents;
• modules d'audit intégrés;
• technologie de réseau neuronal;
• normes telles l'Extensible Busincs..'> Repo11ing Language (XBRL).
Des logiciels intelligents peuvent être utilisés pour automatiser le
processus d'évaluation et offrir des fonctions d'analyse flexibles
et dynamiques. La configuration et l'application de logiciels
intelligents (parfois appelés système intelligent d'aide à la
décision) permettent la surveillance permanente des paramètres
des systèmes et la transmission de messages d'alerte lorsque des
seuils sont dépassés ou lorsque des conditions sont satisfaites.
Les processus d'attdit continu doivent être soigneusement
intégrés aux applications et doivent fonctionner en couches.
Les outils d'audit doivent fonctionner parallèlement aux
traitements normaux. c'est-à-dire en interceptant (ou prélevant)
les données en temps réel, en extrayant des profils ou des
descripteurs normalisés ct en transférant le résultat aux couches
de vérification.
L'audit continu possède un avantage inhérent sur !'audit
instantané ou périodique, parce qu'il repère les problèmes de
contrôle interne à mesure qu'ils surviennent, ce qui permet de
prévenir les effets négatifs. L'implantation d'un audit continu peut
également réduire les problèmes reliés à l'audit comme les délais,
la planification du temps, les inefficacités du processus d'audit,
les coûts indirects liés à la segmentation du travail, les examens
de qualité et de supervision multiples, ou les discussions à propos
d~ la validité des résultats.
Pour accomplir cette tâche, tout en minimisant J'incidence sur les
processus de gestion sous':jaccnts qui font l'objet d'un audit, il
est nécessaire d'avoir le soutien intégral de la direction de même
que I'expé1ience et les connaissances techniques. Les couches et
les paramètres de l'audit peuvent aussi nécessiter un ajustement
et une mise à jour continue. Mis à part les difficultés ct le cotît,
l'audit continu possède un autre désavantage: les spécialistes
du contrôle interne et les auditeurs peuvent être réticent" à là ire
confiance à un outil automatisé plutôt qu'à leur jugement et à
leur évaluation personnelle. De plus, des mécanismes doivent être
mis en place pour éliminer les fhux négatifs ct les faux positif.-;
des rapports générés par cc type d'audit pour que les intervenants
continuent d'avoir confiance aux données des rappmis.
De nombreux fàctcurs sont liés à l'implantation de l'audit
continu; toutefOis, la tâche n'est pas impossible. Le désir est de
plus en plus grand d'exécuter un audit en temps réel (ou de se
rapprocher le plus possible du temps réel).
70
Chapitre 1 -Processus d'Audit des
1
Systèmes d lnformation
1.9 ÉTUDES DE CAS
Les études de cas qui suivent servent d'outil d'apprentissage pour
renfOrcer la connaissance des concepts présentés dans ce chapitre.
1.9.1 ÉTUDE DE CASA
On a demandé à l'auditeur des SI d'effectuer un travail préliminaire
en vue de déterminer si l'organisation était prête pour une évaluation
de la confonnité aux exigences réglementaires. Ces exigences sont
conçues pour s'assUJer que la direction joue un rôle actif dans la
mise en place ct le maintien d'un environnement bien contrôlé. Par
conséquent, elles servent aussi f1 évaluer ct à tester 1'environnement
de contrôle général des Tl. La st!curité logique ct physique, la
gestion du changement, le contrôle de la production, la gestion
du réseau de même que la gouvernance des Tl ct l'înlbrmatiquc
individuelle font pnrtie des domaines à évaluer. !.:auditeur des
SI a six rnois pour eftèctuer le travail préliminaire, cc qui doit
être suffisant Il est à noter qu'au cours des années précédentes,
des problèmes r0pétilif.<; sont survenus dans les domaines de la
sécurité !oglque et de la gestion du changement. Il faudra donc
appmierdes modifications ù ces domaines. Le pattage des comptes
d'administrateur et l'incapacité d'appliquer des contrôles aux
mots de passe comptent parmi les lacunes de la sécurité logique.
Quant aux lacunes de la gestion du changement.. elles incluent la
ségrégation inappropriée des tâches incompatibles et l'incapacité de
documenter tous les changements. De plus, l'efficacité du processus
de déploiement des mises à jour du système d'exploitation vers les
serveurs est pmiielle. En prévision du travail qu'e1lèctuera l'auditeur
des SI, le responsable des technologies de l'information a demandé
à ses subordonnés directs de produire de l'infOrmation et de définir
le déroulement des opérations pour les activités principales des Tl.
Ces tâches ont été exécutées, approuvées par les divers propriétaires
des processus et par le responsable des Tl, et les résultats ont été
transmis à l'auditeur des SJ pour qu'il !es évalue.
ÉTUDE DE CAS A: QUESTIONS
A1. Que doit être la PREMIÈRE tâche de l'auditeur des SI?
A Effectuer une évaluation du risque lié aux TL
B. Exécuter un audit interne des contrôles d'accès logiques.
C. Réviser le plan d'audrt afin de mettre l'accent sur le risque.
D. Tester les contrôles qu'il juge les plus
critiques.
A2. De quelle façon l'échantillon doit-il être sélectionné lors du test
du programme de gestion du changement?
A. Les documents relatifs à la gestion du changement doivent
être sélectionnés au hasard, et leur pertinence doit être
évaluée.
B. Les changements apportés au code de production doivent être
échantillonnés, et le document d'autorisation approprié dort être
localisé.
C. Les documents relatifs à la gestion du changement doivent
être sélectionnés selon leur caractère critique, et leur
pertinence doit être évaluée.
D. Les changements au code de production doivent être
échantillonnés, et les registres produits par le système
indiquant la date et l'heure du changement doivent être
localisés.
Voir les réponses et les explications aux questions des études de cas à la tin du
chapitre {page 71).
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rëservês.
e Certifl(ld mrormalio11
Systems Auditnf
"'"""""""'"'""'
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
1.9.2 ÉTUDE DE CAS B
Un auditeur des SI planifie de vérifier la sécurité d'une
application financière d'une entreprise possédant plusieurs
bureaux dans le monde entier. Le système d'application est
constitué d'une interHicc Web, d'une couche de gestion logique
et d'une couche de base de données. L'application est accessible
localement par réseau local (LAN) et à distance par Internet via
une connexion de réseau privé virtuel (VPN).
ETUDE DE CAS B :QUESTIONS
B1. Quel est le type de technique d'audit informatisé LE PLUS
approprié que l'auditeur doit utiliser pour vérifier la sécurité des
paramètres de configuration pour l'ensemble du système?
A. Un logiciel général d'audit.
B. Des données de test.
C. Un logiciel utilitaire.
O. Un système expert.
B2 Compte tenu que l'application est accessible par Internet, de
quelle façon l'auditeur doit-il déterminer s'il doit effectuer un
audit détaillé des règles du coupe-feu et des paramètres de
configuration du réseau virtuel privé (VPN)?
A. a
Grâce une analyse documentée du risque.
B. a
Grâce une expertise technique.
C. a
Grâce l'approche utilisée lors d'audits précédents.
O. Grâce aux lignes directrices et aux pratiques d'excellence
des audits des SI.
B3. Au cours de l'audit, l'auditeur découvre que l'objectif du
contrôle de l'autorisation des transactions ne peut être atteint
cause de l'absence de rôles et de privilèges clairement définis
dans l'application. Que doit-il faire EN PREMIER?
A. Vérifier l'autorisation pour un échantillon de transactions.
B. Signaler immédiatement le problème à la haute direction.
C. Demander à l'organisation qui fait l'objet d'un audit de
vérifier la pertinence de l'accès accordés aux utilisateurs.
O. Utiliser un logiciel général d'audit afin de vérifier l'intégrité
de la base de données.
Voir les réponses et les explications aux questions des études (fe cas à la fin du
chapitre (page 72)-
1.9.3 ÉTUDE DE CAS C
Un nuditcur des SI a reçu comme mandat l'audit des Tl d'une
organisation pour une période de deux ans. Après avoir accepté le
mandat, l'auditeur des SI remarque que:
• L"organisation possède une charte d'audit qui explique, entre
autres, la portée ct les responsabilités liées à la fOnction d'audit
des SI et qui indique que la supervision des activités
d'audit relève du comité d'audit.
• L'organisation prévoit une augmentation majeure des
investissements en matière de Tl._ lesquels serviront à implanter
une nouvelle application ERP pour intégrer les processus de
gestion de toutes les unités géographiquement dispersées.
L'application ERP doit être fonctionnelle dans les 90 jours. Les
serveurs gui soutiennent les applications d'affaires sont hébergés
par un tburnisseur de services à J'externe.
• Un nouvenu responsable de la sécutité de l'infommtion est en
lDnction dans l'organisation; il relève du directeur financier.
• t:organisation est soumise à des exigences réglementaires. Ces
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
exigences obligent la direction de l'organisation à certifier
l'efficacité du système de contrôle interne puisqu'il est relié
aux rapports financiers. Depuis les deux demîères années,
l'organisation enregistre, de façon constante, une croissance
équivalant à deux fois celle de la moyenne de 1'industrie. Par
contTe, le taux de roulement du personnel a aussi augmenté.
ETUDE DE CAS C : QUESTIONS
C1. Au cours de la première année, que doit être la PREMIÈRE
griorité de l'auditeur des SI?
Etudier :
A. Étudier les rapports des audits précédents et planifier
l'échéancier de l'audit.
B. Étudier la charte d'audit et planifier l'échéancier de l'audit.
C. Évaluer les conséquences de la nomination d'un nouveau
responsable de la sécurité de l'information.
O. Évaluer les conséquences de l'implantation d'un nouveau
système ERP sur l'environnement des Tl et planifier
l'échéancier de l'audit.
C2. De quelle façon l'auditeur des SI doit-il évaluer la sauvegarde
et le traitement par lots des activités informatiques?
A. En planifiant et en effectuant une évaluation
indépendante des activités informatiques.
B. En se fiant au rapport de l'auditeur du fournisseur de
services.
C. En étudiant le contrat entre l'entité et le fournisseur
de services.
O. En comparant le rapport de prestations de service
au contrat de service.
a
Voir les réponses et les explications aux questions des études de cas à la fin du
clmpitre (page 72).
1.10 RÉPONSES AUX QUESTIONS DES
ÉTUDES DE CAS
RÉPONSES AUX QUESTIONS DE t:ÉTUDE DE CAS A
Al. A L'évaluation du risque lié aux Tf doit être effectuée en
premier pour déterminer quels domaines présentent
les risques les plus élevés et pour déterminer les
contrôles requis pour atténuer ces risques. Bien que
J'information et le déroulement des opérations aient
été créés, l'organisation n'a pas encore déterminé
les contrôles critiques. Les autres làchcs seraient
exécutées après avoir évalué le risque lié aux Tl.
A2. B Lors d'un test de contrôle, il est conseillé de
rechercher un lien entre l'élément contrôlé et
la documentntion du contrôle correspondant.
Lorsque vous choisissez un échantillon au lieu
d'un ensemble de documents de contrôle, il n'y
a aucun moyen de s·assurer que le document de
contrôle approprié accompagnait le changement.
Par conséquent. les changements au code de
production sont ceux qui procurent la meilleure base
de sélection d'un échantillon. Ces modifications
échantillonnées doivent ensuite être menées au
71
 Section deux : Contenu
Chapitre 1 - Processus d'Audit des
Systèmes d'Information
e Certified lnform.ation
Systems Auditor'
'"'""''""'''''"'"'·

document d'autorisation approprié. Par opposition,
en sélectionnant des documents relatif.<; ù la gestion
du changement, aucun des changements qui ont
contoumé le processus nonnal d'approbation ct
de documentation ne sera relevé. De même, en
comparant les changements au code de production
aux registres produits par le système, vous ne
relèverez aucune preuve d'approbation appropriée
des changements avant qu'ils aient migré vers la
production.
RÉPONSES AUX QUESTIONS DE !:ÉTUDE DE CAS B
BI. C Lorsqu'il effectue des tests sur la sécurité du système
complet, y compris le système d'exploitation, la
base de données et l'application sécurité, l'auditeur
utilisera un logiciel utilitaire pour l'aider à vérifier
les paramètres de configuration. S'il veut effectuer
des tests complets sur les données et sur !es fichiers
de configuration de l'application, il utilisera un
logiciel général d'audit. Quant aux données de
test et au système expert, ils servent à vérifier
respectivement l'intégrité des données et des
informations précises.
RÉPONSES AUX QUESTIONS DE !:ÉTUDE DE CAS C
Cl. 0 l~tant donné que l'implanlation du nouveau système
ERP aura des répercussions importanlcs sur la
configuration des contrôles des Tl, 1'auditeur des SI
doit: vérifier en premier l'impact de l'implantation
de ce système ct planifier l'échéancier de l'audit en
conséquence. li serait préférable que l'auditeur des
sr discute du plan d'audit avec l'auditeur externe
et le service d'audit interne de l'entité afin de
maximiser J'efficacité et l'utilité de l'audit.
C2. 0 Le rapport de prestations de service, qui compare
la performance actuelle du fournisseur avec
les niveaux de service prévus au contrat, est le
moyen le plus objectif qui soit pour évaluer les
activités informatiques. Le rapport de 1'auditeur du
10urnisst:ur de services sera sans doute plus utile
du point de vue de l'évaluation des contrôles, pour
l'auditeur externe de 1'entité.

B2. A Afin de déterminer si des composants

d'inll·astructure précis (dans ce cas, les règles du
coupe-feu et les paramètres de configuration du
YPN) doivent être inclus dans l'audit, l'auditeur
doit effectuer ct documenter une analyse du risque.
Celle-ci lui permettra de déterminer les sections
présentant le Iisque Je plus élevé et de les inclure
dans l'audit. L'analyse du risque pern1ct de tenir
compte de facteurs comme les audits précédents
du système, les incidents relatifs à la sécurité
qui sont survenus au sein de 1'orgnnisation ou
dans d'autres entreprises du même domaine, les
ressources disponibles pour effectuer l'audit et
autres. L'expertise technique ct J'approche utilisée
lors d'audits précédents peuvent être prises en
considération. Toutefois, ces deux méthodes ont
une importance secondaire, Les lignes directrices ct
les pratiques d'excellence des audits des SI guident
l'auditeur quant à la confOrmité aux normes d'audit
des SI, mais elles ne suHïscnt pas pour prendre cetie
décision.

B3. A En premier, l'auditeur doit vérifier les autorisations

pour un échantillon de transactions afin de
déterminer les conséquences et l'importance du
problème et de le signaler. Selon les conséquences
et l'importance du problème, l'auditeur le signalera
immédiatement ou à la fin de J'audit. l?utilisation
d'unlogiciel général d'audit dans le but de
vérifier l'intégrité de la base de données n'aiderait
pas l'auditeur à évaluer les conséquences de cc
problème.

72 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 e
Certified Information
Systems Auditor·
Chapitre 2

Gouvernance et Gestion
An ISACA• Cerllficalion des T 1
Section un : Avant-propos

Définition ............................................................................................................................................................................................ 74
Objectifs .............................................................................................................................................................................................. 74
Tâches et énoncés de connaissances ................................................................................................................................................. 74
Ressources suggérées pour approfondir l'étude ............................................................................................................................. 88
Questions d'autoévaluation ............................................................................................................................................................... 89
Réponses aux questions d'autoévaluation ....................................................................................................................................... 90

Section deux : Contenu

2.1 Résumé ...................................................................................................................................................................................... 92

2.2 Gouvernance d'entreprise ....................................................................................................................................................... 93
2.3 Gouvernance des Tl d'entreprise ........................................................................................................................................... 93
2.4 Stratégie des systèmes d'information ................................................................................................................................... 103
2.5 Modèles d'évolution des capacités et d'amélioration des processus ................................................................................. 104
2.6 Investissement Tl et pratiques d'allocation ......................................................................................................................... 104
2.7 Politiques et procédures ......................................................................................................................................................... 105
2.8 Gestion du risque ................................................................................................................................................................... 108
2.9 Pratiques de gestion des technologies de l' information ..................................................................................................... 110
2.10 Structure organisationnelle des Tl et responsabilités......................................................................................................... 123
2.11 Structure de gouvernance pour l'audit des Tl et mise en œuvre ...................................................................................... 130
2.12 Planification de la continuité des activités .......................................................................................................................... 131
2.13 Audit du plan de continuité des activités ............................................................................................................................. 144
2.14 Études de cas .......................................................................................................................................................................... 147
2.15 Réponses aux questions des études de cas ........................................................................................................................... 150

Manuel de Préparation CISA 26e édition 73

ISACA. Tous droits réservés.
 Section un : Avant-Propos Chapitre 2 - Gouvernance et Gestion des Tl
Section un :Avant-propos
DÉFINITION
La gouvernance et la gestion des Tl font partie intégrante de
la gouvernance d' entreprise et consistent en des structures
organisationnelles et des processus qui garantissent que les
Tl soutiennent et étendent les stratégies et les objectifs de
l'organisation (adapté de I' IT Governance lnstitute, Board Briefing
on fT Governance, 2"'1 Edition , É.-U., 2003). La connaissance de
la gouvemance des Tl est fondamentale au travail de l'auditeur
des SI. Elle constitue une base pour le développement de pratiques
et de mécanismes de contrôle solides au service des activités de
surveillance et d'examen de la direction .
OBJECTIFS
Cobjectif de ce domaine est de permettre au candidat CISA de
comprendre et de fournir l'assurance que l'encadrement, les
structures et les processus organisationnels nécessaires sont
en place pour atteindre les objectifs et soutenir la stratégie de
1' organisation.
Ce domaine représente 16% des questions de l'examen CISA (soit
environ 24 questions).
TÂCHES ET ÉNONCÉS DE CONNAISSANCES
TÂCHES
Il existe dix (1 0) t.1ches dans le domaine de la gouvernance des Tl :
T2.1 Évaluer la stratégie de Tl, y comp1is l'orientation des
Tl , et les processus de développement, d'approbation,
d'application et de maintien de la stratégie, afin de garantir
l~ur soutien aux stratégies et aux objectifs de 1'organisation.
T2.2 Evaluer l'efficacité de la structure de gouvemance des Tl
afin de déterminer si les décisions, les orientations et la
performance en matière de Tl appuient les stratégies et les
objectifs de l'organisation.
T2 .3 Évaluer la structure organisationnelle des Tl et la gestion
des ressources humaines (personnel) afin de vé1ifier
qu 'elles soutiennent les stratégies et les objectifs de
1'organisation.
T2.4 Évaluer les politiques, les nonnes et les procédures de Tl
de l'organisation, ainsi que leur processus d'élaboration,
d'approbation, de diffusion, d'application et de maintien,
afin de garantir leur soutien à la stratégie de Tl et leur
conformité aux règlements et aux lois.
T2.5 Évaluer la gestion des ressources de Tl , y comp1is les
investissements, la pliorisation, l'affectation et l'utilisation,
pour déterminer si elle est alignée sur les stratégies et les
objectifs de l'organisation.
T2.6 Évaluer la gestion du portefeuille de Tl, y compris les
investissements, la p1iorisation et l'affectation, afin de
déte1miner si elle est alignée sur les stratégies et les
objectifs de l'organisation.
T2.7 Évaluer les pratiques en matière de gestion du risque afin
de vérifier que les risques liés aux Tl dans l'organisation
sont correctement cernés, évalués, surveillés, signalés et
gérés.
74
eiSA Certified lnfonnation
Systems Auditor·
MIS.\CA"c.rtiiO\IIn
T2.8 Évaluer la gestion des Tl et la surveillance des contrôles
(p. ex., la surveillance continue, l'assurance de la qualité)
pour vérifier qu'ils sont conformes aux politiques, nom1es
et procédures de l'organisation.
T2.9 Évaluer la surveillance et les rappmis quant aux indicateurs
clés de performance (ICP) en Tl afin de déterminer si
la direction reçoit de l'infommtion suffisante en temps
oppmiun.
T2.10 Évaluer le plan de continuité des activités (PCA) de
l'organisation, y complis son harn10nisation au plan de
reprise des opérations (PRO) de Tl, pour déterminer
la capacité de l'organisation à continuer ses opérations
d'affaires essentielles durant une pé1iode d'interruption des
Tl.
ÉNONCÉS DE CONNAISSANCES
Le candidat au titre CISA doit avoir une bonne compréhension
de chacun des sujets ou domaines définis par les énoncés de
connaissances. Ces énoncés constituent la base de l'examen.
Dix énoncés de connaissance sont compris dans le domaine
couvrant la gouvernance et la gestion des Tl :
C2. 1 Connaissance du but des stratégies, des politiques,
des normes et des procédures en matière de Tl pour
l'organisation et les éléments essentiels de chacune.
C2.2 Connaissance des normes, directives et pratiques
relatives à la gouvernance, à la gestion, à la sécurité et
aux cadres de contrôle des Tl.
C2 .3 Connaissance de la structure organisationnelle, des rôles
et des responsabilités en matière de Tl , y compris la
séparation des tâches.
C2.4 Connaissance des lois, réglementations et normes du
secteur pertinentes qui concernent l'organisation.
C2.5 Connaissance de l'orientation technologique et de
l' architecture des Tl de l'entreprise et leurs répercussions
sur la détermination des orientations stratégiques à long
terme.
C2.6 Connaissance des processus d'élaboration, de mise en
œuvre et de maintien des stratégies, politiques, normes et
procédures de Tl.
C2.7 Connaissance de l'utilisation des modèles de capacite et
de maturité.
C2 .8 Connaissance des techniques d' optimisation des
processus.
C2.9 Connaissance des pratiques d'investissement et
d'allocation des ressources en TI, y compris les critères
de priorité (p. ex ., gestion du pmiefeuille, gestion de la
valeur, gestion du personnel).
C2.10 Connaissance des processus de choix des fournisseurs de
Tl, de gestion des contrats, de gestion des relations et de
surveillance de la performance, y compris les relations
d'externalisation avec des tiers.
C2.11 Connaissance de la gestion du risque d'entreprise (GRE).
C2.12 Connaissance des pratiques de surveillance et de rapport
de performance des mécanismes de contrôle (p. ex.,
surveillance continue, assurance de la qualité [AQ]).
C2.13 Connaissance de la gestion de la qualité et des systèmes
d'assurance de la qualité (AQ).
C2.14 Connaissance des pratiques de surveillance et de rappmts
de performance des TI (p. ex., les tableaux de bord de
performance, les indicateurs clés de performance [ICP]).
Manuel de Préparation CISA 2& édition
ISACA. Tous droits réservés.
e. Certified Information
Systems Aud1tor"
NIISACA'C..IIIcaloll!l
Chapitre 2 - Gouvernance et Gestion des Tl Section un : Avant-Propos

C2. 15 Connaissance de l'analyse d'impact sur les affaires (A lA).

C2.16 Connaissance des normes et procédures utilisées pour le développement et la maintenance du plan de continuité des activités
ainsi que les méthodes de test de ce dernier.
C2.17 Connaissance des procédures utilisées pour invoquer et exécuter le plan de continuité des activités en vue d' un retour à la
normale.

Relation entre les tâches et les énoncés de connaissances

L;énoncé de tâche est ce que le candidat CTSA est censé savoir faire. Les énoncés de connaissances délimitent chacun des domaines
que doit bien connaître le candidat au titre CISA pour exécuter des tâches. Les énoncés de tâches et de connaissances sont mis en
correspondance au tableau 2.1 dans la mesure où il est possible de le faire . Notez que bien qu'il y ait souvent chevauchement, chaque
énoncé de tâche correspondra généralement à plusieurs énoncés de connaissances.

Tableau 2.1 - Correspondance des tâches et énoncés de connaissances

Énoncés de tâches
T2.1 Évaluer la stratégie de Tl, y compris l'orientation
des Tl, et les processus d'élaboration,
d'approbation, d'application et de maintien
de la stratégie, afin de garantir leur appui aux
stratégies et aux objectifs de l'organisation.
T2.2 Évaluer l'efficacité de la structure de gouvernance C2.2
des Tl afin de déterminer si les décisions, les
orientations et la performance en matière de C2.4
Tl appuient les stratégies et les objectifs de
l'organisation. C2.5
T2.3 Évaluer la structure organisationnelle des Tl et la C2.3
gestion des ressources humaines (personnel) afin
de vérifier qu'elles soutiennent les stratégies et C2.4
les objectifs de l'organisation.
C2.5
T2.4 Évaluer les politiques, les normes et les
procédures de Tl de l'organisation, ainsi que
leur processus d'élaboration, d'approbation, de
diffusion, d'application et de maintien, afin de
garantir leur soutien à la stratégie de Tl et leur
conformité aux règlements et aux lois.
Énoncés de connaissances
C2.1 Connaissance du but des stratégies, des politiques, des normes et des procédures en
matière de Tl pour l'organisation et les éléments essentiels de chacune.
C2.4 Connaissance des lois, réglementations et normes de du secteur pertinentes qui
concernent l'organisation.
C2.5 Connaissance de l'orientation technologique et de l'architecture des Tl de l'entreprise
et leurs répercussions sur la détermination des orientations stratégiques à long
terme.
C2.6 Connaissance des processus de développement, de mise en œuvre et de maintien
des stratégies, politiques, normes et procédures de Tl.
C2.9 Connaissance des pratiques d'investissement et d'allocation des ressources en Tl,
y compris les critères de priorité (p. ex., gestion du portefeuille, gestion de la valeur,
gestion du personnel).
C2.11 Connaissance de la gestion du risque d'entreprise (GRE).
Connaissance des normes, directives et pratiques relatives à la gouvernance, à la
gestion, à la sécurité et aux cadres de contrôle des Tl.
Connaissance des lois, réglementations et normes de du secteur pertinentes qui
concernent l'organisation.
Connaissance de l'orientation technologique et de l'architecture des Tl de l'entreprise
et leurs incidences sur la détermination des orientations stratégiques à long terme.
Connaissance de la structure organisationnelle, des rôles et des responsabilités en
matière de Tl, y compris la séparation des tâches.
Connaissance des lois, réglementations et normes de du secteur pertinentes qui
concernent l'organisation.
Connaissance de l'orientation technologique et de l'architecture des Tl de l'entreprise
et leurs répercussions sur la détermination des orientations stratégiques à long
terme.
C2.9 Connaissance des pratiques d'investissement et d'allocation des ressources en Tl,
y compris les critères de priorité (p. ex., gestion du portefeuille, gestion de la valeur,
gestion du personnel).
C2.1 Connaissance du but des stratégies, des politiques, des normes et des procédures en
matière de Tl pour l'organisation et les éléments essentiels de chacune.
C2.2 Connaissance des normes, directives et pratiques relatives à la gouvernance, à la
gestion, à la sécurité et aux cadres de contrôle des Tl.
C2.3 Connaissance de la structure organisationnelle, des rôles et des responsabilités en
matière de Tl, y compris la séparation des tâches.
C2.4 Connaissance des lois, réglementations et normes de du secteur pertinentes qui
concernent l'organisation.
C2.5 Connaissance de l'orientation technologique et de l'architecture des Tl de l'entreprise
et leurs répercussions sur la détermination des orientations stratégiques à long
terme.
C2.6 Connaissance des processus d'élaboration, de mise en œuvre et de maintien des
stratégies, politiques, normes et procédures de Tl.
C2.7 Connaissance de l'utilisation des modèles de capacité et de maturité.
C2.8 Connaissance des techniques d'optimisation des processus.

Manuel de Préparation CISA 26e édition 75

ISACA. Tous droits réservés.
Section un : Avant-Propos
Tableau 2.1 - Correspondance des tâches et énoncés de connaissances
Énoncés de tâches
T2.5 Évaluer la gestion des ressources de Tl, y compris C2.3
les investissements, la priorisation, l'affectation et
l'utilisation, pour déterminer si elle est alignée sur C2.4
les stratégies et les objectifs de l'organisation.
T2.6 Évaluer la gestion du portefeuille de Tl, y compris C2.4
les investissements, la priorisation et l'affectation,
afin de déterminer si elle est alignée sur les
stratégies et les objectifs de l'organisation.
T2.7 Évaluer les pratiques en matière de gestion du
risque afin de vérifier que les risques liés aux Tl
dans l'organisation sont correctement cernés,
évalués, surveillés, signalés et gérés.
76
Chapitre 2 - Gouvernance et Gestion des Tl eiSA Certified lnformalion
Systems Aud1lor"
AII ISACA" C.I111aUan
Énoncés de connaissances
Connaissance de la structure organisationnelle, des rôles et des responsabilités en
matière de Tl, y compris la séparation des tâches.
Connaissance des lois, réglementations et normes de du secteur pertinentes qui
concernent l'organisation.
C2.5 Connaissance de l'orientation technologique et de l'architecture des Tl de
l'entreprise et leurs répercussions sur la détermination des orientations
stratégiques à long terme.
C2.6 Connaissance des processus d'élaboration, de mise en œuvre et de maintien des
stratégies, politiques, normes et procédures de Tl.
C2.7 Connaissance de l'utilisation des modèles de capacité et de maturité.
C2.8 Connaissance des techniques d'optimisation des processus.
C2.9 Connaissance des pratiques d'investissement et d'allocation des ressources en Tl,
y compris les critères de priorité (p. ex., gestion du portefeuille, gestion de la valeur,
gestion du personnel).
C2.10 Connaissance des processus de choix des fournisseurs de Tl, de gestion des
contrats, de gestion des relations et de surveillance de la performance, y compris
les relations d'externalisation avec des tiers.
C2.12 Connaissance des pratiques de surveillance et de rapport de performance des
mécanismes de contrôle (p. ex. , surveillance continue, assurance de la qualité [AQ]).
C2.14 Connaissance des pratiques de surveillance et de rapports de performance des Tl
(p. ex., les tableaux de bord de performance, les indicateurs clés de performance
[ICP]).
Connaissance des lois, réglementations et normes de du secteur pertinentes qui
concernent l'organisation.
C2.6 Connaissance des processus d'élaboration, de mise en œuvre et de maintien des
stratégies, politiques, normes et procédures de Tl.
C2.7 Connaissance de l'utilisation des modèles de capacité et de maturité.
C2.8 Connaissance des techniques d'optimisation des processus.
C2.9 Connaissance des pratiques d'investissement et d'allocation des ressources en Tl ,
y compris les critères de priorité (p. ex., gestion du portefeuille, gestion de la valeur,
gestion du personnel).
C2.10 Connaissance des processus de choix des fournisseurs de Tl, de gestion des
contrats, de gestion des relations et de surveillance de la performance, y compris
les relations d'externalisation avec des tiers.
C2.14 Connaissance des pratiques de surveillance et de rapports de performance des Tl
(p. ex., les tableaux de bord de performance, les indicateurs clés de performance
[ICP]).
C2.4 Connaissance des lois, réglementations et normes de du secteur pertinentes qui
concernent l'organisation.
C2.5 Connaissance de l'orientation technologique et de l'architecture des Tl de
l'entreprise et leurs répercussions sur la détermination des orientations
stratégiques à long terme.
C2.6 Connaissance des processus d'élaboration, de mise en œuvre et de maintien des
stratégies, politiques, normes et procédures de Tl.
C2.7 Connaissance de l'utilisation des modèles de capacité et de maturité.
C2.8 Connaissance des techniques d'optimisation des processus.
C2.11 Connaissance de la gestion du risque d'entreprise (GRE).
C2.12 Connaissance des pratiques de surveillance et de rapport de performance des
mécanismes de contrôle (p. ex., surveillance continue, assurance de la qualité [AQ]).
C2.14 Connaissance des pratiques de surveillance et de rapports de performance des Tl
(p. ex., les tableaux de bord de performance, les indicateurs clés de performance
[ICP]).
C2.15 Connaissance de l'analyse d'impact sur les affaires (AIA).
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e. Certitied Information
Systems Aud1tor'
MIS4C.I:'CU!olal.oao1
Chapitre 2 - Gouvernance et Gestion des Tl
Tableau 2.1 -Correspondance des tâches et énoncés de connaissances (suite)
Énoncés de tâches
T2.8 Évaluer la gestion des Tl et la surveillance
des contrôles (p. ex., la surveillance continue,
l'assurance de la qualité) pour vérifier qu'ils sont
conformes aux politiques, normes et procédures
de l'organisation.
T2.9 Évaluer la surveillance et les rapports quant aux
indicateurs clés de peJformance en Tl afin de
déterminer si la direction reçoit de l'information
suffisante en temps opportun.
T2.10 Évaluer le plan de continuité des activités (PCA)
de l'organisation, y compris son harmonisation
au plan de reprise des opérations (PRO) de Tl,
pour déterminer la capacité de l'organisation à
continuer ses opérations d'affaires essentielles
durant une période d'interruption des Tl.
Manuel de Préparation CISA 26e édition
ISACA. Tous droits réservés.
Section un : Avant-Propos
Énoncés de connaissances
C2.2 Connaissance des normes, directives et pratiques relatives à la gouvernance, à la
gestion, à la sécurité et aux cadres de contrôle des Tl.
C2.4 Connaissance des lois, réglementations et normes de du secteur pertinentes qui
concernent l'organisation.
C2.5 Connaissance de l'orientation technologique et de l'architecture des Tl de
l'entreprise et leurs répercussions sur la détermination des orientations
stratégiques à long terme.
C2.6 Connaissance des processus d'élaboration, de mise en œuvre et de maintien des
stratégies, politiques, normes et procédures de Tl.
C2.7 Connaissance de l'utilisation des modèles de capacité et de maturité.
C2.8 Connaissance des techniques d'optimisation des processus.
C2.12 Connaissance des pratiques de surveillance et de rapport de performance des
mécanismes de contrôle (p. ex., surveillance continue, assurance de la qualité [AQ]).
C2.13 Connaissance de la gestion de la qualité et des systèmes d'assurance de la qualité
(AQ).
C2.14 Connaissance des pratiques de surveillance et de rapports de performance des Tl
(p. ex., les tableaux de bord de performance, les indicateurs clés de performance
[ICP]).
C2.2 Connaissance des normes, directives et pratiques relatives à la gouvernance, à la
gestion, à la sécurité et aux cadres de contrôle des Tl.
C2.4 Connaissance des lois, réglementations et normes de du secteur pertinentes qui
concernent l'organisation.
C2.5 Connaissance de l'orientation technologique et de l'architecture des Tl de
l'entreprise et leurs incidences sur la détermination des orientations stratégiques à
long terme.
C2.6 Connaissance des processus de développement, de mise en œuvre et de maintien
des stratégies, politiques, normes et procédures de Tl.
C2.7 Connaissance de l'utilisation des modèles de capacité et de maturité.
C2.8 Connaissance des techniques d'optimisation des processus.
C2.10 Connaissance des processus de choix des fournisseurs de Tl, de gestion des
contrats, de gestion des relations et de surveillance de la performance, y compris
les relations d'externalisation avec des tiers.
C2.11 Connaissance de la gestion du risque d'entreprise (GRE).
C2.12 Connaissance des pratiques de surveillance et de rapport de performance des
mécanismes de contrôle (p. ex., surveillance continue, assurance de la qualité [AQ]).
C2.13 Connaissance de la gestion de la qualité et des systèmes d'assurance de la qualité
(AQ).
C2.14 Connaissance des pratiques de surveillance et de rapports de performance des Tl
(p. ex., les tableaux de bord de performance, les indicateurs clés de performance
[ICP]).
C2.15 Connaissance de l'analyse d'impact sur les affaires (AIA).
C2.3 Connaissance de la structure organisationnelle, des rôles et des responsabilités en
matière de Tl, y compris la séparation des tâches.
C2.4 Connaissance des lois, réglementations et normes de du secteur pertinentes qui
concernent l'organisation.
C2.5 Connaissance de l'orientation technologique et de l'architecture des Tl de
l'entreprise et leurs répercussions sur la détermination des orientations
stratégiques à long terme.
C2.6 Connaissance des processus d'élaboration, de mise en œuvre et de maintien des
stratégies, politiques, normes et procédures de Tl.
C2.7 Connaissance de l'utilisation des modèles de capacité et de maturité.
C2.8 Connaissance des techniques d'optimisation des processus.
C2.11 Connaissance de la gestion du risque d'entreprise (GRE).
C2.15 Connaissance de l'analyse d'impact sur les affaires (AIA).
C2.16 Connaissance des normes et procédures utilisées pour le développement et la
maintenance du plan de continuité des activités ainsi que les méthodes de test de
ce dernier.
C2.17 Connaissance des procédures utilisées pour invoquer et exécuter le plan de
continuité des activités en vue d'un retour à la normale.
77
 Section un : Avant-Propos Chapitre 2 - Gouvernance et Gestion des Tl eiSA Gertified lnfonnation
Systems Aud1tor"
M ISACA•tertolca!bn

Guide de référence sur les énoncés de connaissances

Chaque énoncé de connaissances est expliqué en fonction des concepts sous-jacents et de la pertinence de l'énoncé de connaissances
pour l'auditeur des SI. Le candidat à l'examen doit absolument comprendre les concepts. Les énoncés de connaissances représentent ce
que l'auditeur des SI doit savoir pour exécuter ses tâches. Par conséquent, seuls les énoncés de connaissances sont présentés dans cette
section.

Les sections citées sous C2.1 - C2. 17 sont décrites plus en détail dans la section deux du présent chapitre.

C2.1 Connaissance du but des stratégies, des politiques, des normes et des procédures en matière de Tl pour
l'organisation et les éléments essentiels de chacune.
Explication 1 Concepts clés 1 Référence dans le Manuel2016
Pour être efficaces, les efforts de gouvernance des Tl ont besoin d'un Orientation stratégique 2.3 Gouvernance des Tl de 1'entreprise
cadre formel. Plus particulièrement, les organisations comptent sur un de la direction qui sert de 2.3.1 Bonnes pratiques en gouvernance
référentiel en gouvernance des Tl (COBI"f®, ISO 38000, etc.) pour obtenir fondement aux décisions des Tl de l'entreprise
l'assurance raisonnable que les solutions de Tl automatisent les processus et à la performance en
afin d'atteindre les buts et objectifs de l'entreprise. De plus, le référentiel matière de Tl dans toute
laisse l'organisation se concentrer sur le déploiement des Tl d'une manière l'entreprise
conforme à sa stratégie et à ses objectifs commerciaux ou organisationnels.
Nature et raison 2.4 Stratégie des systèmes d'information
d'être des stratégies
Le référentiel aborde les éléments clés du modèle de gouvernance des Tl
de Tl, et façon dont
qui facilitent une gestion et une surveillance efficaces de l'organisation des
les référentiels de
Tl. Cet état final est uniquement possible lorsque les stratégies, politiques,
gouvernance et
normes et procédures de l'organisation sont documentées, adoptées et
autres référentiels
mises en œuvre globalement.
connexes permettent à
l'organisation d'atteindre
ses buts et objectifs

C2.2 Connaissance des normes, directives et pratiques relatives à la gouvernance, à la gestion, à la sécurité et
aux cadres de contrôle des Tl.
Explication 1 Concepts clés 1 Référence dans le Manuel 2016
Pour assurer aux intervenants concernés que les services de Tl sont Compréhension 2.3.1 Bonnes pratiques en gouvernance
harmonisés à la vision, à la mission et aux objectifs métiers, la haute des structures de des Tl de l'entreprise
direction peut mettre en place une structure de gouvernance des Tl. La gouvernance des Tl 2.3.4 Gouvernance de la sécurité de
structure de gouvernance des Tl comprend généralement : l'information
• l'alignement stratégique des objectifs de Tl avec les objectifs
commerciaux; Compréhension des rôles 2.10 Structure organisationnelle des Tl et
• l'attribution de valeur des Tl; et des responsabilités en responsabilités
• la gestion des risques; lien avec la gouvernance 2.10.1 Rôles et responsabilités des Tl
•la gestion des ressources; des Tl
• la gestion de la performance. Bonnes pratiques et leur 2.7.1 Politiques
harmonisation avec la
La structure de gouvernance des Tl permet d'assurer aux parties prenantes gouvernance des Tl
que la stratégie de Tl, ainsi que son intégration aux activités, correspond
parfaitement aux besoins métiers. Cette structure comprend le rôle actif Pratiques 2.9.2 Pratiques d'externalisation
de la haute direction dans la création, le maintien et l'implantation de la d'externalisation et
gouvernance et de la stratégie de Tl par des comités d'administration et de leur impact sur la
direction. gouvernance des Tl
Ces comités, formés de chefs de file d'entreprises, examineront et Impact des exigences 2.11 .2 Révision des engagements
approuveront la stratégie de Tl, ainsi que les normes, procédures et en gouvernance des Tl contractuels
directives qui y sont associées, quant à sa conformité aux stratégies, buts et sur les engagements
objectifs commerciaux pour faire en sorte que : contractuels
• la technologie facilitera l'atteinte des objectifs métiers et de l'organisation Fonction des cadres 2.3 Gouvernance des Tl de l'entreprise
grâce à une implantation opportune et à une performance adéquate des de contrôle et façons 2.9.7 Optimisation de la performance
installations nécessaires; d'utiliser des cadres
• les coûts de Tl seront minimisés lors de la fourniture de ces installations pour la mesure de la
pour obtenir le meilleur rapport qualité/prix des ressources en Tl; performance et des
• les rôles et responsabilités des fonctions de Tl et des fonctions ressources au sein de
commerciales sont clairement définis. l'organisation des Tl

En tout temps, la structure de gouvernance devra tenir compte du risque

commercial associé aux Tl pour assurer qu'il est géré adéquatement.

78 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e. Cermied Information
Systems Aud1tor'
.l.n iSI.CJ." C•toloealJI:n
Chapitre 2 - Gouvernance et Gestion des Tl Section un : Avant-Propos

C2.2 Connaissance des normes, directives et pratiques relatives à la gouvernance, à la gestion, à la sécurité et
aux cadres de contrôle des Tl. (suite)
Explication 1 Concepts clés 1 Référence dans Je Manuel2016
Diverses normes, fondées sur les bonnes pratiques généralement
reconnues, sont suivies par les organisations. Ces normes sont de nature
générale et devraient être adoptées par les entreprises en fonction de leurs
propres besoins. Les normes et directives internationales sur les Tl offrent
de précieux renseignements de référence sur la gouvernance des Tl et
favorisent une approche globale uniforme en la matière.

La connaissance des normes et des directives internationales en matière

de Tl donne un cadre de référence rapide à l'auditeur des SI qui évalue les
initiatives de gouvernance des Tl et la position actuelle des organisations.

Dans le but de diminuer le risque, les organisations identifient des contrôles

qu'ils considèrent essentiels pour la bonne gestion de l'entreprise. Chaque
objectif de contrôle découle du risque qu'il doit gérer. La connaissance des
divers cadres de contrôle est utile pour identifier les objectifs de contrôle
adéquats dont l'organisation a besoin. Des cadres de contrôle tels que
COBIT, International Organization for Standardization (ISO) et d'autres
normes reconnues et pertinentes sont utilisés pour guider la direction
au marnent d'établir des pratiques de Tl; de surveiller, de mesurer et
d'améliorer leur performance; et d'offrir de meilleures pratiques ciblées
répondant aux besoins particuliers de l'entreprise. Ces cadres soutiennent
les processus de gouvernance des Tl au sein de l'organisation et constituent
des sources de référence importantes sur les pratiques de gouvernance des
Tl. La connaissance de différents cadres de contrôle aide l'auditeur des SI à
réaliser une analyse comparative des contrôles identifiés par l'organisation.

La connaissance et la compréhension de ces cadres de contrôle ainsi que de

leur pertinence pour la gouvernance des Tl sont essentielles pour stimuler
l'efficacité et l'efficience des efforts de gouvernance des Tl.

Une fois implantés, les cadres de contrôle permettent à l'organisation

des Tl de surveiller la performance et de la comparer aux stratégies,
politiques et pratiques de Tl en définissant des méthodes de contrôle,
des procédures et des meilleures pratiques précises qui peuvent servir
à la gouvernance des Tl. Les cadres offrent la structure nécessaire pour
mettre en place des politiques clés de mesure de la performance, de la
conformité et des ressources en Tl. Puisque ces cadres sont généralement
reconnus, ils servent aussi à mesurer la performance des fournisseurs de
service, distributeurs et partenaires clés en sous-traitance en matière de Tl.
L'examen CISA vérifiera la compréhension qu'a l'auditeur des SI des cadres
et de la façon dont ils peuvent être utilisés pour assurer la sécurité, l'intégrité
et la disponibilité de l'information et du traitement.

Manuel de Préparation CISA 26e édition 79

ISACA. Tous droits réservés.
Section un : Avant-Propos Chapitre 2 - Gouvernance et Gestion des Tl eiSA Certified Information
Systems Aud1tor·
AniSA.CA"ttflillclhl!lo'l

C2.3 Connaissance de la structure organisationnelle, des rôles et des responsabilités en matière de Tl, y compris
la séparation des tâches.
Explication 1 Concepts clés 1 Référence dans le Manuel de 2016
Les entreprises doivent définir clairement la structure organisationnelle Comprendre les rôles 2.3.2 Comités de gouvernance des Tl
pour déployer leurs ressources de manière à obtenir la valeur attendue relatifs à chaque 2.3.4 Gouvernance de la sécurité de
et à atteindre adéquatement les objectifs de prestation des services, de niveau de la structure l'information
sécurité, de gestion des risques et de qualité de l'information requis par organisationnelle en 2.9.3 Gestion des changements
l'organisation. gouvernance des Tl organisationnels
2.10 Structure organisationnelle des Tl et
Pour définir la structure organisationnelle, il faudra peut-être exposer responsabilités
et documenter les responsabilités des fonctions organisationnelles ou 2.1 0.1 Rôles et responsabilités des Tl
commerciales majeures, tant pour assurer la bonne répartition des tâches
qu'identifier qui, dans l'organisation, utilise et gère diverses informations et
les ressources connexes. L'auditeur des SI doit avoir une compréhension
claire de la structure organisationnelle et des rôles et responsabilités du
personnel à tous les niveaux de la structure de gestion des Tl, ainsi que dans
d'autres domaines de l'organisation où des responsabilités relatives aux
installations ou fonctions de Tl existent (p. ex., propriétaires du système et
des données), pour que les besoins de chaque personne responsable soient
transparents.

C2.4 Connaissance des lois, réglementations et normes de du secteur pertinentes qui concernent l'organisation.
Explication 1 Concepts clés 1 Référence dans le Manuel2016
La direction doit définir un processus pour le développement de stratégies Facteurs contribuant 2.4.1 Planification stratégique
de Tl qui permettent l'atteinte des objectifs de l'entreprise. Ces stratégies de au développement et 2.8.2 Processus de gestion des risques
Tl doivent être entièrement basées sur des objectifs d'entreprise définis qui à l'application d'une
reposent sur une compréhension claire des lois, réglementations et normes stratégie de Tl
de l'industrie pertinentes que tous les secteurs de l'organisation sont tenus Facteurs qui contribuent 2.3.4 Gouvernance de la sécurité de
de respecter.
à 1' efficacité de l'information
gouvernance et de la 2.9.6 Gestion de la sécurité de l'information
L'intégration réussie d'une solide stratégie de Tl et des processus de gestion de la sécurité de
conformité permet à l'organisation d'atteindre ses objectifs d'entreprise. l'information
La clé du succès est la qualité des processus de gouvernance portant sur
l'élaboration et la mise en œuvre des politiques, normes et procédures
stratégiques et tactiques de Tl. La stratégie de Tl doit faire l'objet d'un
examen périodique visant à assurer qu'elle continue d'aborder les
besoins émergents et évolutifs de l'entreprise ainsi que le risque lié
à la réglementation et à l'industrie. Plus particulièrement, une bonne
gouvernance des Tl exige que toutes les influences dynamiques liées à la
réglementation et à l'industrie soient définies, que leurs répercussions soient
prises en compte, que la haute direction les approuve et qu'un suivi ait lieu
par la suite. Ces pratiques font partie du programme de gouvernance des Tl
et doivent être comprises par l'auditeur des SI.

80 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e. Certified lnto~mation
Systems Audotor"
An!S4CA"C..Matcn
Chapitre 2 - Gouvernance et Gestion des Tl Section un : Avant-Propos

C2.5 Connaissance de l'orientation technologique et de l'architecture des Tl de l'entreprise et leurs incidences

sur la détermination des orientations stratégiques à long terme.
Explication 1 Concepts clés 1 Référence dans le Manuel2016

Une planification stratégique efficace des Tl s'accompagne d'une réflexion Pertinence des différents 2.3.5 Architecture d'entreprise
sur les besoins de l'entreprise en matière de systèmes des Tl, nouveaux éléments d'architecture 2.4.1 Planification stratégique
ou actualisés, et sur la capacité de l'organisation des Tl à livrer de d'entreprise et
nouvelles fonctionnalités par l'intermédiaire de projets bien gouvernés. leur impact sur la
Pour déterminer les besoins de l'entreprise en matière de systèmes des gouvernance des Tl
Tl, nouveaux ou actualisés, il faut examiner de manière systématique les Alignement des 2.7.1 Politiques
intentions stratégiques de l'entreprise, comment elles se traduisent en
politiques avec
objectifs spécifiques et en initiatives commerciales, et quelles capacités Tl l'architecture
seront essentielles pour appuyer ces objectifs et ces initiatives. L'évaluation d'entreprise et leur
des capacités Tl doit reposer sur l'examen du portefeuille du système relation à la gouvernance
existant pour en évaluer la pertinence, le coût et le risque qu 'il représente.
des Tl
Le plan stratégique des Tl doit comparer les coûts de maintenance des
systèmes existants avec le coût des nouvelles initiatives ou nouveaux
systèmes qui soutiennent les stratégies d'entreprise.

L'auditeur des SI doit être conscient qu'un facteur clé pour déterminer
l'orientation stratégique à long terme d'une organisation des Tl est la
révision, l'analyse et l'évaluation de son architecture des Tl. La révision,
l'analyse et l'évaluation peuvent prendre la forme d'une feuille de route
illustrant les états actuels et futurs. La révision de l'architecture des Tl
d'une entreprise et de son utilisation peut aider à déterminer si la direction
respecte sa stratégie de Tl et si cette stratégie doit être adaptée aux besoins
liés aux changements de l'entreprise.

C2.6 Connaissance des processus d'élaboration, de mise en œuvre et de maintien des stratégies, politiques,
normes et procédures de Tl.
Explication 1 Concepts clés 1 Référence dans le Manuel2016
La nature complexe des Tl et la connectivité mondiale ont introduit divers Impact des exigences 2.7.1 Politiques
types de risques dans le cycle de vie de l'information des organisations, prévues par la loi 2.8.2 Processus de gestion des risques
de la réception jusqu'à la destruction en passant par le traitement, le sur les normes 2.9.2 Pratiques d'extemalisation
stockage et la diffusion. Afin de protéger les intérêts des intervenants organisationnelles, 2.9.6 Gestion de la sécurité de l'information
concernés, diverses exigences légales et réglementaires ont été mises en les politiques, les 2.1 0.2Séparation des tâches à l'intérieur
place. Les principales exigences de conformité universellement reconnues procédures et les des Tl
comprennent la protection de la vie privée et de la confidentialité des processus 2.10.3 Contrôles de la séparation des tâches
renseignements personnels, les droits de propriété intellectuelle et la fiabilité 2.11 Structure de gouvernance pour l'audit
des renseignements financiers. Il existe de plus certaines exigences de des Tl et mise en œuvre
conformité propres à l'industrie. Tous ces facteurs exigent que des politiques, 2.11.1 Revue de la documentation
procédures et processus d'affaires tenus à jour, opportuns, pertinents et 2.11.2 Revue des engagements contractuels
exploitables soient élaborés et mis en œuvre dans l'organisation.

Les exigences légales et réglementaires portant sur l'accès et l'utilisation

des ressources, des systèmes et des données de Tl doivent être étudiées
pour évaluer si l'organisation protège ses actifs de Tl et gère efficacement
le risque associé. Pour l'examen CISA, l'auditeur des SI doit être au courant
de ces concepts universellement reconnus; toutefois, on ne vérifiera pas la
connaissance de lois et de réglementations précises.

Manuel de Préparation CISA 26e édition 81

ISACA. Tous droits réservés.
Section un : Avant-Propos Chapitre 2 - Gouvernance et Gestion des Tl eiSA Certified Information
Systems Auditer"
.l.ri~CI<tll calOII!

C2. 7 Connaissance de l'utilisation des modèles de capacité et de maturité.

Explication 1 Concepts clés 1 Référence dans le Manuel2016
L'efficacité et l'efficience des efforts de gouvernance des Tl au sein de Comprendre les 2.5 Modèles d'évolution des capacités et
l'organisation dépendent des stratégies et politiques de gestion de la qualité techniques de gestion d'amélioration des processus
intégrées à la structure de gouvernance des Tl. pour l'amélioration
continue de la
L'intégration dans toute l'entreprise des processus définis et de leurs performance des Tl
techniques correspondantes de gestion est en lien avec l'efficacité et Connaissance des 2.9.5 Gestion de la qualité
l'efficience de l'organisation des SI. Les stratégies et politiques de gestion normes de qualité 2.9.7 Optimisation de la performance
de la qualité décrivent la façon dont les stratégies, politiques et normes de
Tl sont maintenues, utilisées et améliorées au fil du temps, à mesure que
l'organisation évolue.

L'auditeur des SI doit comprendre comment l'élaboration, la mise en œuvre

et l'intégration des outils, techniques et processus (OTP) de modélisation de
la qualité des capacités et des processus facilitent et favorisent la qualité
des politiques et procédures de Tl de l'entreprise. Ces OTP peuvent être
fondés sur tout un éventail de référentiels normalisés. L'emploi de normes de
qualité dans une organisation de SI renforce la capacité de l'organisation des
Tl à réaliser une valeur accrue et à réussir sa mission.

C2.8 Connaissance des techniques d'optimisation des processus.

Explication 1
Concepts clés 1
Référence dans le Manuel2016
Les modèles d'évoluüon des capacités et d'amélioration des processus aident Pratiques actuelles 2.3.5 Architecture d'entreprise
les entreprises à évaluer l'état actuel de leur environnement de contrôle interne pour mesurer l'état 2.5 Modèles d'évolution des capacités et
comparé à l'état souhaité et à déterminer quelles activités leur permettront de d'évolution des capacités d'amélioration des processus
progresser vers cet état. des l'organisation
Impact des pratiques 2.9.2 Pratiques d'externalisation
Il existe tout un éventail de méthodologies d'amélioration et d'optimisation qui
d'externalisation sur
complètent les approches simples, élaborées à l'interne. Elles comprennent: l'état d'évolution des
• Les méthodologies d'amélioration continue, comme le cycle Planifier-Faire- capacités actuel et
Vérifier-Agir, particulièrement lorsqu'elles sont mises en œuvre dans le cadre souhaité
du développement agile ou de la gestion de projet.
• Les pratiques exemplaires exhaustives comme ITIL®_ Rôle de la gestion de 2.9.5 Gestion de la qualité
• Les référentiels comme COBIT etVall~. la qualité pour réduire 2.9.7 Optimisation de la performance
• Le référentiel Zachman®. l'écart entre l'état actuel
et l'état souhaité
Cette évaluation est importante pour l'auditeur des SI, puisque les résultats
démontrent à la haute direction l'efficacité, la conformité et la pertinence de
ses procédures, outils et processus de Tl pour soutenir l'harmonisation avec
les besoins de l'entreprise. Cette évaluation peut en plus servir à la révision
des pratiques de gestion au sein des Tl pour déterminer leur conformité aux
stratégies et politiques organisationnelles de Tl.

82 Manuel de Préparation CISA 2& édition

ISACA. Tous droits réservés.
e. Certif!ed Information
Systems Aud1tor'
AniSJ.C.I."CMl• l a.t ...
Chapitre 2 - Gouvernance et Gestion des Tl Section un : Avant-Propos

C2.9 Connaissance des pratiques d'investissement et d'allocation des ressources en Tl, y compris les critères de
priorité (p. ex., gestion du portefeuille, gestion de la valeur, gestion du personnel).
Explication Concepts clés Référence dans le Manuel2016
1 1
Les organisations déploient des ressources de Tl pour s'assurer que la Pratiques courantes 2.3.5 Architecture d'entreprise
prestation de services et la valeur obtenue correspondent aux buts et de l'optimisation des
objectifs établis. Par ailleurs, elles évaluent la prestation de services et la processus
valeur par rapport aux investissements en Tl. La connaissance des pratiques
d'investissement et d'allocation des ressources en Tl est essentielle pour
justifier les investissements en gouvernance des Tl auprès des intervenants
concernés. Les méthodes d'allocation des ressources pour les investissements Rôle des pratiques 2.6 lnvestissementTI et pratiques
en Tl facilitent une approche prévisible et constante pour diriger les fonds vers de gestion financière d'allocation
les initiatives Tl qui démontrent des avantages concrets pour l'organisation. dans la gestion d'un 2.9.4 Pratiques de gestion financière
Des pratiques spécifiques pour l'évaluation des initiatives Tl, comme les portefeuille de Tl
analyses coûts-avantages et les prévisions d'utilisation des ressources, sont
mises en œuvre pour assurer que l'organisation finance des projets et des
initiatives qui répondent à ses besoins. Les coûts et les avantages devraient Rôle des processus et 2.9.1 Gestion des ressources humaines
être examinés périodiquement tout au long de l'exécution de ces initiatives. procédures de RH sur la 2.9.3 Gestion des changements
gouvernance des Tl organisationnels
L'automatisation croissante des processus métiers pose des défis pour la
gestion optimale des ressources humaines (RH) et la correction des lacunes
de contrôle créées lorsque des fonctions d'emploi sont combinées par
l'automatisation des tâches. L'évaluation de la performance, les régimes de
rémunération et la planification de la relève sont importants. L'auditeur des
SI doit comprendre la nécessité de bien gérer les RH relativement aux Tl, tout
particulièrement le besoin de supprimer les risques superflus en vérifiant les
qualifications, les antécédents et les références des candidats; en confirmant
les aptitudes nécessaires pour l'atteinte des objectifs de Tl, y compris les
exigences de formation; et en reconnaissant qu'il faut potentiellement que les
congédiements d'employés se fassent de manière immédiate, sans période La gestion des 4.8.5 Organisation et affectation des
d'avis. ressources humaines responsabilités
et son adaptabilité
Les techniques d'optimisation des processus aident les entreprises à prioriser aux besoins liés aux
leurs investissements, à éliminer les activités superflues et à adapter ou à changements de
réattribuer les ressources sous-utilisées de manière à maintenir l'alignement l'organisation des Tl
sur les buts et objectifs d'entreprise. Combinée à la gestion de la valeur et du
personnel, la gestion du portefeuille facilite une réaction agile aux facteurs
environnementaux qui influencent l'entreprise. L'optimisation des processus
exige l'évaluation de l'état actuel de l'environnement en comparaison à une
conception optimale, tout en identifiant les activités pouvant être éliminées
pour parvenir à l'état souhaité.
Pratiques courantes 2.9.7 Optimisation de la performance
Cela inclut une analyse continue des processus intégrés, capable de détecter de l'optimisation des
les écarts et les processus anormaux pour permettre à la direction de les processus liés aux
corriger promptement. L'auditeur des SI doit comprendre la criticité de ces ressources en Tl
processus d'attribution des ressources en Tl afin d'évaluer dans quelle mesure
les processus de gouvernance sont réellement intégrés à l'architecture de Tl
de l'entreprise.

Manuel de Préparation CISA 26e édition 83

ISACA. Tous droits réservés.
Section un : Avant-Propos Chapitre 2 - Gouvernance et Gestion des Tl eiS/4 Certified Information
Systems Aud1tor·
Anruct" c.rtiiQ!Olll

C2.10 Connaissance des processus de choix des fournisseurs de Tl, de gestion des contrats, de gestion des
relations et de surveillance de la performance, y compris les relations d'externalisation avec des tiers.
Explication 1
Concepts clés 1
Référence dans le Manuel2016
Les processus concernant le fournisseur de Tl, les partenariats d'affaires Connaissance des 2.6 Investissement Tl et pratiques
et la gestion des relations sont cruciaux pour les activités de Tl d'une pratiques courantes d'allocation
organisation. L'externalisation des Tl (et les solutions associées comme la d'investissement
gestion des processus et la gestion de l'infrastructure) peut contribuer à et d'allocations des
réduire les coûts et à compléter l'expertise interne d'une entreprise. Les ressources en Tl
organisations déploient des ressources en Tl afin d'assurer la prestation et Rôle des pratiques 2.9.4 Pratiques de gestion financière
la valeur des services, qu'elles évaluent en relation avec les investissements de gestion financière
en Tl. La connaissance des processus de sélection d'un fournisseur de dans la gestion d'un
Tl, de gestion de contrat, de gestion des relations et de surveillance de la portefeuille de Tl
performance, y compris les relations d'externalisation, joue un rôle essentiel
dans la gestion globale du portefeuille de Tl d'une entreprise.

Vu la tendance croissante consistant à externaliser l'infrastructure de Tl Impact des pratiques 2.9.2 Pratiques d'externalisation
à des tiers fournisseurs de services, des pratiques visant précisément à d'externalisation sur la
évaluer des initiatives de Tl ont été élaborées (p. ex., analyse coût-bénéfices). gouvernance des Tl

Il est essentiel que l'auditeur des SI comprenne les plus récentes approches
relatives aux stratégies et aux processus contractuels ainsi qu'aux pratiques
de gestion, et soit conscient des risques supplémentaires que peut introduire Relation entre la gestion 2.10.1 Rôles et responsabilités des SI
l'externalisation. Il est donc indispensable que l'auditeur des SI comprenne des fournisseurs et la
les meilleures approches quant aux stratégies et processus contractuels et gouvernance des Tl de
aux pratiques de gestion, y compris les concepts essentiels qui doivent être l'impartiteur
inclus dans un contrat d'externalisation et les exigences du cas d'entreprise.

Modalités contractuelles 2.11 .2 Revue des engagements contractuels

et leur impact sur la
gouvernance des Tl de
l'impartiteur

C2.11 Connaissance de la gestion du risque d'entreprise (GRE).

Explication 1 Concepts clés 1 Référence dans le Manuel2016

La surveillance des risques métiers liés aux Tl de l'entreprise est essentielle Processus de gestion 2.8 Gestion du risque
à la réussite d'une gouvernance efficace. Pour sa part, la connaissance des des risques et 2.8.1 Conception d'un programme de
méthodes et des outils de gestion des risques est essentielle afin d'évaluer application de diverses gestion des risques
et de diminuer les risques métiers liés aux Tl pour l'organisation. méthodes d'analyse de 2.8.2 Processus de gestion des risques
gestion des risques 2.8.3 Méthodes d'analyse du risque
Les entreprises peuvent suivre divers modèles de gestion des risques pour
gérer les risques. L'auditeur des SI doit connaître les concepts relatifs à la
gestion du risque, notamment le repérage du risque, l'évaluation, la réponse
au risque, la surveillance du risque, la gouvernance en fonction du risque,
etc.

L'auditeur des SI doit connaître les techniques de réponse au risque

telles que l'évitement, l'atténuation, le partage ou le transfert, ainsi que
l'acceptation.

L'auditeur des SI doit également être conscient que les mécanismes de

contrôle sont définis, conçus et mis en œuvre en fonction de l'impact
réglementaire, contractuel et organisationnel de la mission. L'évaluation de la
mise en œuvre des contrôles d'atténuation doit également comprendre une
analyse de faisabilité examinant tant la propension au risque que l'étude des
coûts et bénéfices, pour confirmer que la propension au risque est respectée
et que les bénéfices issus de l'atténuation du risque ne dépassent pas le
coût des mesures de contrôle.

84 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e. Certified Information
Systems Aud1tor'
AII ISA!;Kc.rtlha.l.,
Chapitre 2 - Gouvernance et Gestion des Tl Section un : Avant-Propos

C2.12 Connaissance des pratiques de surveillance et de rapport de performance des mécanismes de contrôle
(p. ex., surveillance continue, assurance de la qualité [AQ]).
Explication 1 Concepts clés 1 Référence dans le Manuel2016
Les entreprises sont gouvernées par de bonnes pratiques ou par les Bonnes pratiques 2.3.1 Bonnes pratiques en gouvernance
meilleures pratiques généralement acceptées, renforcées par l'implantation acceptées pour la des Tl de l'entreprise
de contrôles. Les bonnes pratiques guident les organisations au moment surveillance et le rapport
de déterminer la façon d'utiliser les ressources. Les résultats sont mesurés quant à la performance
et rapportés, servant de base à la révision cyclique et au maintien des des contrôles
contrôles. Afin d'évaluer, de maintenir et d'améliorer le système de contrôles,
l'organisation des Tl de l'entreprise doit établir tant des mesures de qualité Composantes du tableau 2.3.3 Tableau de bord de performance
(indicateurs clés de performance [ICP]) que des processus de surveillance de bord de performance des Tl
afin de faciliter une réponse agile aux changements au sein de l'entreprise des Tl et pertinence
ou dans l'industrie. de ce dernier pour la
gouvernance des Tl
L'auditeur des SI doit comprendre les principaux buts et objectifs de Utilisation des
l'entreprise ou organisation ainsi que les processus de gestion du risque et indicateurs clés de
l'environnement de risque dans lequel les Tl de l'entreprise opèrent. Cette performance pour
connaissance et cette compréhension lui permettront de mieux évaluer si stimuler l'optimisation
les contrôles de l'organisation fonctionnent efficacement, et avec quel degré du rendement vers une
de fidélité, et si la surveillance et les rapports quant à ces contrôles sont gouvernance des Tl
pertinents et exacts. efficace

C2.13 Connaissance de la gestion de la qualité et des systèmes d'assurance de la qualité (AQ).

Explication 1 Concepts clés 1 Référence dans le Manuel2016
L'intégrité et la fiabilité des processus de Tl d'entreprise découlent Structures, rôles et 2.1 0.1 Rôles et responsabilités des Tl
directement des processus d'assurance de la qualité (AO) en place et responsabilités de la
intégrés dans l'entreprise. Le programme d'AD et les politiques, procédures fonction d'AD dans
et processus connexes font partie d'un ensemble planifié et systématique l'entreprise
regroupant toutes les actions nécessaires pour fournir l'assurance qu'un
Utilisation des 2.9.7 Optimisation de la performance
élément ou produit est conforme aux exigences techniques établies.
indicateurs clés de
L'assurance de la qualité aide le service des Tl à confirmer que le personnel
performance (ICP) pour
respecte les procédés de qualité recommandés. À titre d'exemple,
stimuler l'optimisation
l'assurance de la qualité définit des procédures (p. ex., conformes à ISO
du rendement vers une
9001) pour faciliter l'application courante de l'assurance et de la gestion de
gouvernance des Tl
la qualité.
efficace
Le degré et le niveau de qualité des opérations de Tl de l'entreprise peuvent
être mesurés et analysés. Cette information peut servir à corriger les écarts
existant par rapport à la performance désirée ainsi qu'à prévoir et à prévenir
les lacunes futures.

L'auditeur des SI doit comprendre les concepts, les structures ainsi que les
rôles et responsabilités qui concernent l'AD au sein de l'organisation.

Manuel de Préparation CISA 26e édition 85

ISACA. Tous droits réservés.
Section un : Avant-Propos Chapitre 2 - Gouvernance et Gestion des Tl eiSA Certified Information
Systems Aud1tor·
M ISACA" Ctrtola!Oln

C2.14 Connaissance des pratiques de surveillance et de rapports de performance des Tl (p. ex., les tableaux de
bord de performance, les Indicateurs clés de performance [/CP]).
Explication 1 Concepts clés 1 Référence dans le Manuel de 2016

La gouvernance des Tl d'entreprise fournit également la structure par Concepts relatifs 2.3.1 Bonnes pratiques en gouvernance
laquelle sont fixés les objectifs de l'entreprise et les moyens d'atteindre ces aux processus des Tl de l'entreprise
objectifs et de surveiller la performance sont déterminés. d'établissement, de 2.3.3 Tableau de bord de performance des
surveillance et de Tl
Le progrès de l'organisation dans son cheminement de gouvernance des Tl rapport dont l'équipe 2.3.4 Gouvernance de la sécurité de
doit être mesuré et surveillé à l'aide d'outils efficaces comme les tableaux de gouvernance a l'information
de bord de performance et les indicateurs clés de performance. Les tableaux besoin pour évaluer 2.9.7 Optimisation de la performance
de bord et indicateurs clés de performance expriment les attentes en la performance et
matière de gouvernance Tl dans des termes que le propriétaire du processus qui fournissent de
peut comprendre. Les résultats fournissent des perspectives quant aux l'orientation à la haute
capacités de l'organisation des Tl à attendre ses objectifs et peuvent servir direction
à déterminer s'il est nécessaire de modifier la stratégie de Tl à long terme,
alors que l'organisation des Tl tente de satisfaire les besoins de l'entreprise.

L'auditeur des SI doit comprendre non seulement comment les tableaux de

bord et les indicateurs clés sont intégrés aux processus de gouvernance
de l'organisation, mais également si des liens existent entre les données
fournies et des mesures significatives de la performance des Tl de
l'entreprise.

C2.15 Connaissance de l'analyse d'impact sur les affaires (A/A).

Explication 1 Concepts clés 1 Référence dans le Manuel2016
Un auditeur des SI doit être capable de déterminer si une AIA et un PCA Comprendre I'AIA en 2.12.6 Analyse de l'impact des risques de
s'harmonisent adéquatement. Pour être efficace et efficient, le PCA doit tant que facteur clé du l'entreprise
être fondé sur une AIA bien documentée. Une AIA concentre les efforts du processus PCNPRS
PCA d'une entreprise et contribue à concilier les coûts à encourir avec les
avantages correspondants pour l'entreprise. Il est essentiel qu'un auditeur
des SI possède une bonne compréhension du concept de I'AIA afin d'auditer
l'efficacité et l'efficience d'un PCA.

86 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 e. certified Information
M. Systems Alid1tor"
An!UC.':C..IJI Q\IOA
Chapitre 2 - Gouvernance et Gestion des Tl Section un : Avant-Propos

C2.16 Connaissance des normes et procédures utilisées pour le développement et la maintenance du plan de
continuité des activités ainsi que les méthodes de test de ce dernier.
Explication 1 Concepts clés 1 Référence dans le Manuel2016
L'auditeur des SI doit détenir une solide connaissance des pratiques et Comprendre le cycle de 2.12.1 Planification de la continuité des
techniques suivies pour élaborer et maintenir les plans de continuité des développement et de activités des Tl
activités (PCA) et plans de reprise après sinistre (PRS), y compris le besoin maintenance des PCN 2.12.3 Processus de planification de
de coordonner les plans de reprise de toute l'entreprise. Les plans devraient PRS continuité des activités
être adaptés aux besoins individuels des entreprises, puisque les différences 2.12.4 Politique de continuité des
d'industrie, de taille et de portée des organisations, et même l'emplacement activités
géographique, peuvent influencer le contenu des plans. La taille et la nature 2.12.5 Gestion des incidents et plan de
des installations de reprise choisies pour la technologie dépendent des continuité des activités
risques globaux associés à l'interruption de service. En gros, plus le temps 2.12.7 Développement de plans de
de reprise déterminé par l'objectif de temps de reprise (OTR) est rapide, plus continuité des activités
les coûts potentiels sont élevés. Une fois établis, les plans de reprise doivent 2.12.8 Autres problèmes liés au
être maintenus à jour par rapport aux changements au sein de l'entreprise et développement de plans
au risque associé. 2.12.9 Éléments d'un plan de continuité
des activités
L'auditeur des SI doit connaître les approches et méthodes de test des PCN 2.12.10 Test du plan
PRS pour être en mesure d'évaluer l'efficacité des plans. Pour assurer le 2.12.11 Résumé du plan de continuité des
fonctionnement du PCNPRS en cas de sinistre, il est important de tester activités
périodiquement le PCNPRS et de vérifier que les efforts de test sont
efficaces. Le rôle de l'auditeur des SI est d'observer les tests; d'assurer que
toutes les « leçons apprises , sont consignées adéquatement et intégrées Comprendre les types de 2.12.1 0 Test du plan
test PCA, les facteurs à 2.13 Audit du plan de continuité des
à une révision du plan; et de réviser les rapports documentant les tests activités
précédents. Les éléments clés à rechercher comprennent dans quelle prendre en considération
mesure le test se base sur des ressources ou réunions de préplanification lors du choix de la portée
approfondie qui n'entreraient pas en jeu dans l'éventualité d'un désastre de test appropriée
réel. L'objectif d'un test doit être de repérer les lacunes à combler et non ainsi que les méthodes
d'obtenir des résultats parfaits. Un autre aspect important des tests de PCN d'observation des tests
PRS est d'offrir de la formation au personnel de direction et d'exploitation de reprise et d'analyse
susceptible de participer au processus de reprise. des résultats

Manuel de Préparation C/SA 26e édition 87

ISACA. Tous droits réservés.
 Section un : Avant-Propos Chapitre 2 - Gouvernance et Gestion des Tl eiSA Certified lnlormalion
Systems Aud1tor·
MISI.t.l"Cort!!cttbl

C2.17 Connaissance des procédures utilisées pour invoquer et exécuter le plan de continuité des activités en vue
d'un retour à la normale.
Explication 1 Concepts clés 1 Référence dans le Manuel2016
L'auditeur des SI doit évaluer non seulement le contenu du plan de continuité Comprendre 2.12.6 Analyse d'impact sur les affaires
des activités (PCA) de l'organisation, mais également déterminer si une comment I'AIA définit (AIA)
méthodologie, des processus et des procédures sont en place afin qu'il les déclencheurs
soit réaliste d'assurer la continuité des activités et d'amorcer la reprise des nécessaires pour lancer
activités normales après l'événement perturbateur. les mesures prévues
par les processus des
Plus particulièrement, l'auditeur des SI devrait vérifier que les déclencheurs plans de continuité et de
sont basés sur les seuils de niveaux de services cernés dans l'analyse reprise des opérations
d'impact sur les affaires (AIA). De plus, les procédures évoquées doivent être (PCAet PRO)
validées afin d'obtenir une assurance raisonnable que les processus reflètent
bien les mesures requises tant pour compenser la perturbation immédiate des
opérations que pour reprendre rapidement les activités normales.

À titre d'exemple, la capacité de traitement du portail critique de facturation

des patients d'une organisation chute à dix réclamations par minute (bien
en-deçà du niveau de service de 100 000 réclamations par minute établi pour
le centre d'information). ~équipe d'intervention en cas d'incident soupçonne
une attaque par déni de service. ~auditeur des SI doit évaluer les procédures Capacité à évaluer les 2.12.7 Développement de plans de
amorcées par l'organisation pour assurer un rétablissement rapide et une procédures et processus continuité des activités
reprise prompte des opérations du portail. du PCA qui fournissent 2.12.8 Autres problèmes liés au
l'assurance raisonnable développement de plans
Les secteurs précis à aborder incluent, de façon non limitative : facilitant la reprise 2.12.9 Éléments d'un plan de continuité
• Triage de l'incident (qu'est-ce qui déclenche le plan d'intervention qui doit rapide des opérations des activités
être lancé?). normales 2.12.10 Mise à l'essai du plan
• Processus de déclaration et de transmission aux échelons supérieurs
• Mise en œuvre de contrôles compensatoires, au besoin, afin de permettre au
portail de satisfaire autant que possible aux paramètres d'opération normaux
prévus par les accords sur les niveaux de service, jusqu'à ce que l'incident
soit résolu.
• Toutes les ressources (matériel/logiciel, liens de communication, personnel
de la structure organisationnelle pertinente et du niveau d'autorité suffisant
pour assumer la responsabilité affectée).

RESSOURCES SUGGÉRÉES POUR APPROFONDIR rÉTUDE

Burtles, Jim; Princip/es and Practice o.f Business Continuity: Ramos, Michael J.; How to Comp~v With Sarbanes-Oxley
Tools and Techniques, Rothstein Associates 1ne., É.-U., 2007 Section 404, 3"1 Edition, John Wiley & Sons lnc., É.-U., 2008

Graham, Julia; David Kaye; A Risk Management Approach to
Business Continuity, Rothstein Associates !ne., É.-U., 2006
Hiles, Andrew; The Definitive Handbook o.f Business Continuity
Management, 3'd Edition, John Wiley & Sons !ne., É.-U., 20 Il
ISACA, CO BIT 5, É.-U., 2012, www.isaca.org/cobit
Raval, Yasant; Ashok Fichadia; Risks. Contrais, and Security:
Concepts and Applications, John Wiley & Sons, É.-U., 2007,
Chapter 6: System Availability and Business Continuity
Sherv.;ood, John; Andrew Clark; David Lynas; Enterprise
Security Architecture: A Business-Driven Approaclz, R.-U.,
2008

International Organization for Standardization (ISO),
!SOI!EC 38500:2015: Information technology ~ Governance
o.fJT for the organization, Suisse, 2015
IT Governance lnstitute, Board Briefing o1z IT Govemance,
2"d Edition, É.-U., 2003, www.isaca.org
Tarantino, Anthony; Manager 's Guide to Compliance:
Sarbanes-Oxley, COSO, ERM. COBIT. IFRS, BASEL 11. OMB 's
A-123, ASX JO, OECD Princip/es, Turnbull Guidance, Best
Practices. and Case Studies, John Wiley & Sons !ne., É.-U.,
2006

Remarque: Les publications en gras se trouvent dans la bibliothèque de 1'/SACA.

88 Manuel de Préparation CISA 2& édition

ISACA. Tous droits réservés.
e ~~::,,:~::."'" Chapitre 2 - Gouvernance et Gestion des Tt
QUESTIONS D' AUTOÉVALUATION
Les questions d'autoévaluation CfSA appuient le contenu du
présent manuel et fournissent une compréhension du style ct de
la structure des questions que l'on retrouve habituellement dans
l'examen. Les questions sont à choix multiple et conçues pour
obtenir une réponse optimale. Chaque question a une prémisse
(la question) et quatre options (les choix de réponse). La prémisse
peut prendre la fom1e d'une que~tion ou d'un énoncé incomplet
Dans certains cas, un scénario ou une description de problème
pourraient être inclus. Ces questions comprennent habituellement
une mise en situation et exigent du candidat qu'il réponde à deux
questions ou plus en fOnction de J'information fournie. Souvent,
une question exigera du candidat qu'il choisisse la MEILLEURE
réponse ou la réponse la PLlJS probable parmi les options
proposées.
Dans chaque cas, le candidat doit lire la question attentivement,
éliminer les réponses qu'il sait être incorrectes, puis f-~1irc le
meilleur choix possible. Connaître le fonnat des questions
ct savoir ce qui sera vérifié aidera le candidat à répondre
correctement aux questions.
2-1 Lequel des éléments suivants serait le MIElJX adapté
pour que la direction f.:1Sse un suivi efficace du respect des
processus et des applications?
J\ Un dépôt central de documents.
B. Un système de gestion des connaissances.
C Un tableau de bord.
0 Une analyse comparative.
2-2 Lequel des éléments suivants ferait partie d'un plan
stratégique des SI?
A. Les spécifications pour les achats planifiés de matériel.
B. L'analyse des objectif.<; de l'entreprise pour le futur.
C. Les dates butoir pour les projets de développement.
D. Les cibles budgétaires annuelles pour le service des Tl.
2~3 Lequel des énoncés suivants décrit le MIEUX le processus
de planification stratégique d'un service des 'fi?
A. Le service des Tl aura des plans ù court ou long termes,
en fonction des plans et des objectif<; plus globaux de
l'organisation.
B. Le plan stratégique du service des Tl doit être axé sur le
temps et le projet, mais ne doit pas trop entrer dans les
détails, par exemple en ce qui concerne la détermination
des priorités pour répondre aux besoins de l'entreprise.
C. La planification à long terme du service des Tl doit
reconnaître les objectif<; organisationnels, les avancées
technologiques et les exigences réglementaires.
D. La planification à comi terme du service des TI n'a pas
à être intégrée aux plans à co mi terme de l'organisation,
puisque les avancées technologiques stimuleront le
département des TI plus rapidement que les plans
organisationnels.
Manuel de Préparation CISA 26" édition
ISACA. Tous dr-oits r-éservés.
Section un : Avant-Propos
2~4 La responsabilité la PLlJS importante d'un administrateur
de la sécurité des données au sein d'une entreprise est:
A. la recommandation ct le contrôle des politiques de
sécurité des données.
B. la sensibilisation ù la sécurité au sein de l'entreprise.
C. la mise en place de politiques de sécurité pour les Tl.
D. l"administration des contrôles d'accès physiques et
logiques.
2-5 Lequel des éléments suivants esljugé le PLUS crit·iquc
pour l'implantation réussie d'un programme de sécwité de
1' inf01mation'?
A. Un cadre efficace de gestion du risque d'entrep1ise.
B. Ccngagcment de la haute direction.
C. Un processus budgétaire adéquat.
D. Une ph:mification de programme rigoureuse.
2"6 Un auditeur des SI doit s'assurer que les mesures de la
performance de la gouvernance des Tf :
A. êvaluent les activités des comités qui surveillent les Tl.
B. fournissent les pilotes stratégiques des Tl.
C. respectent les normes et les définitions des
réglementations.
O. évaluent la division des Tl.
2-7 Laquelle des tâches suivantes peut être eftCctu6c par la
même personne dans un centre informatique de traitement
de l'information bien contrôlé?
A. L'administration de la sécutité et la gestion des
modifications.
B. Les opérations informatiques ct la conception de
systèmes.
C. Ln conception de systèmes et la gestion des
modifications.
D. Le dêveloppement du système et l'entretien des
sy1'tèmes.
2-8 Lequel des énoncés suivants est le contrôle le PLlJS
important concernant l'administration d'une base de
données?
A. !:approbation des activités de l'ABD.
B. La séparation des tüches en ce qui conceme l'octroi ou
le refus des pennissions d'accès.
C. La révision des journaux d'accès et des activités.
O. La révision de J'utilisation des outils de base de
données.
2-9 Lorsqu'une séparation complète des tâches ne peut être
réalisée dans un environnement de système en dîrect,
laquelle des fonctions suivantes doit être séparée des autres?
A, [:mission
B. Autorisation
C. Enregistrement
D. Correction
89
 Section un : Avant~Propos Chapitre 2- Gouvernance et Gestion des Tl
2-10 Dans une petite entreprise, où la séparation des tâches n'est
pas pratique, un employé elfectuc la fonction d'opérateur
d'ordinateur et de programmeur d'application. Lequel des
contrôles suivants un auditeur des SI doit-il recommander?
A. Des journaux automatisés des changements apportés
aux bibliothèques de conception.
B. L'embauche de main-d'œuvre supplémentaire pour
permettre la séparation des tâches.
C Des procédures qui vérifient que seuls les changements
autorisés au programme sont implantés.
Il Des contrôles d'accès pour empêcher l'opérateur
d'appo1ier des modifications au programme.
RÉPONSES AUX QUESTIONS
D' AUTOÉVALUATION
2-1 A. Un dépôt central de documents fournit beaucoup
de données, mais pas nécessairement l'information
spécifique nécessaire pour assurer la surveillance et
la conformité.
B. Un système de gestion des connaissances fou mit de
l'intürmation précieuse, mais n'est généralement pas
utilisé par la direction à des fins de conf(>rmité.
c. lJn tableau de bord fournit un ensemble de
renseignements ()ui illustrent la conformité
des processus, applications et éléments
configurables et maintient l'entreprise sur la
bonne voie.
D. L'analyse comparative fOumit des renseignements
qui aident la direction à adapter l'mganisation, de
façon opportune, en tOn ct ion des tendances et du
milieu.
2-2 A. Les spécifications pour les achats de matériel ne
constituent pas des éléments stratégiques.
B. Les plans de stratégie des SI doivent traiter des
besoins de l'entreprise et permettre l'atteinte
des objectifs futurs de l'entreprise. Les achats
de matériel peuvent être mentionnés mais
non spécifiés, ct ni les objectifs de budget ni
les projets de conception ne sont des choix
pertinents.
c. Les dates cibles des projets de développement ne
constituent pas des éléments stratégiques.
D. Des objectif.') budgétaires annuels pour le service des
Tl ne constituent pas des éléments stratégiques.
2-3 A. Habituellement, le service des Tl aura des plans
à court ou à long termes qui sont compatibles ct
intégrés avec les plans de l'organisation.
B. Ces plans doivent être orientés dans le temps ct
par rapport au projet ct satisfaire les plans les plus
généraux de l'entreprise vers l'atteinte des o~jectifs.
c. La planification à long terme du département des
Tl doit reconnaître les objectifs organisationnels,
les avancées technologiques et les exigences
réglementaires.
90
eiSA" ""'.1ftedlnro~a.tioo
H Systems Aud1tur"
;;-,~·"
D. La planification à cotui terme du service des
Tl doit être intégrée aux plans à court terme de
l'organisation afin qu'il soit plus agile ct réactif
tàcc aux évolutions technologiques nécessaires pour
s"aligner avec les objectifs de l'organisation.
2-4 A. La principale responsabilité d'un
administrateur de la sécurité des données est
de recommande•· les politiques de sécurité des
données et d'en assurer le suivi.
B. Une des responsabilités d'un administrateur de
la sécurité des données est de promouvoir !a
sensibilisation à la sécurité au sein de l'entreprise.
Cependant, cette tâche n'est pas aussi importante
que celle de recommander des politiques de sécurité
des données et d'en assurer le suivi.
c. Le service des Tl, et non pas l'administrateur de
la sécurité des données, est chargé d'établir des
procédures pour les politiques de sécurité des TI
recommandées par 1'administrateur de la sécmité
des données.
D. Le service des Tl, et non pas l'administrateur de la
sêcurité des données, est chargé de l'administration
des mesures de contrôle d'accès physique et logique.
2-5 A. Un cadre de gestion du risque d'entreprise efficace
n'est pas un facteur dé pour la réussite d'un
programme de S 1.
B. L"t.•ngagcment de la haute direction est la
base du succès lors de l'implantation d'un
programme de sécurité de l'information.
c. Bien qu'un processus budgétaire de SI adéquat
contribue au succès, c'est l'engagemt."'lt de la haute
direction qui fait toute la diflërence.
D. La planification de programme est impmiante, mais
ne sera pas suffisante sans l'engagement de la haute
direction.
2-6 A. L'évaluation des activités des commissions
et des comités qui fournissent une vue
d'ensemble représente un aspect important: de la
gouvernance et doit être mesurée.
B. Fournir les pilotes stratégiques des Tl n'est pas
pertinent par mpp01i à l'évaluation des mesures de
performance de la gouvernance des Tl.
c. Le respect des normes et des définitions de rappmts
réglementaires n'est pas pertinent pour l'évaluation
des mesures de performance de la gouvernance des
Tl.
D. Évaluer le service des Tl n'est pas pertinent par
rapport à l'évaluation des mesures de performance
de la gouvernance des TL
2-7 A. Les rôles d'administration de la sécurité ct de
la gestion des changements sont incompatibles.
Le niveau caractérisant les droits d'accès des
administrateurs de la sécurité pourrait empêcher la
détection des changements.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certified Information
Systems Au!lltnr"
~'~'"""'""""''"''
Chapitre 2 - Gouvernance et Gestion des Tl Section un : Avant~Propos

B. Les activités informatiques et la conception de B. Dans de plus petites entreprises, l'embauche de

systèmes sont un choix incorrect, puisqu'il est main-d'œuvre supplémentaire pour assurer une
possible pour un opérateur de fhirc fonctionner un répa11ition des tâches stticte n'est habituellement pas
programme qu'il ou elle a modifié. appropriée. L:auditeur des SI doit trouver d'autres
C La combinaison conception de système ct contrôle solutions.
des changements permettrait' que des modifications c. L'auditeur des SI doit recommander l'utilisation
apportées aux programmes puissent se soustraire de processus qui permettent la détection de
à l'approbation des mesures de contrôle du changements dans la source de production et
changement. le code objet, par exemple les comparaisons
D. Il est fréquent que le développement et' la de codes, afin que les changements puissent
maintenance d'un système soient pris en charge être revus par une tierce partie de façon
p~lr la même personne. Dans ces deux cas, le régulière. Il s'agirait d'un processus de contrôle
programmeur doit avoir accès au code source compensatoire.
dans l'environnement de développement, mais D. Des contrôles d ·accès pour empêcher 1'opérateur
ne doit pas avoir accès à l'environnement de d'appmter des modifications au programme
production. requièrent qu'une tierce partie réalise les
changements, ce qui ne serait pas pratique dans le
2-8 A. L'approbation des activités de l'administrateur cas d'une petite entreprise.
de base de données (ABD) n'empêche pas la
combinaison de tâches conflictuelles. La révision
des journaux d'accès et des activités représente une
mesure de contrôle de détection.
B. La répartition des tâches préviendra la
combinaison de tâches conflictuelles. Il s'agit
d"une mesure de contrôle préventive ct la
mesure de contrôle la plus importante dans
l'administration de la base de données.
C. Si lès activités d'un ABD ne sont pas approuvées
correctement, la révision des journaux d'accès ct des
activités pourrait ne pas réduire les risques.
D. La révision de l'utilisation des outils de bases de
données n'entraîne pas une réduction des risques,
puisqu'il s'agit seulement d'une mesure de
contrôle de détection et qu'elle n'empêche pas la
combinaison de tâches conflictuelles.

2-9 A. L'émission, en conjonction avec l'enregistrement ct

la correction, ne pc1mct pas d'autoriser le traitement
de la transaction ni de consigner cette dcmîèrc dans
le registre.
B. L'autorisation doit être séparée de tous
les aspects de la consignation (émission,
enregistrement et correction). Une telle
séparation améliore la capacité de détecter
l'enregistrement de transactions non autorisées.
c. L'enregistrement, en conjonction avec l'émission et
la correction, ne permet pas d'autoriser le traitement
de la transaction ni de consigner cette demière dans
le registre.
D. La cmTection, en conjonction avec l'émission
ct l'enregistrement, ne permet pas d'autoriser le
traitement de la transaction ni de consigner cette
dernière dans le registre.

2-10 A. !.:enregistrement des changements apportés

aux bibliothèques de conception ne permettrait
pas la détection des changements app01tés aux
bibliothèques de production.

Manuel de Préparation CISA 26" édition 91

ISACA. Tous droits rêservês.
Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
Section deux : Contenu
2.1 RÉSUMÉ
RéSumé '
Le chapitre 2 aborde le besoin de gouvernance des Tl. Un auditeur
des SI doit comprendre et être en mesure de fournir l'assurance que
l'organisation possède la structure, les politiques, les mécanismes
d'imputabilité et les pratiques de surveillance pour répondre aux
exigences de la gouvernance d'entreprise en matière de Tl. Pour un
auditeur des SI, la connaissance de la gouvernance des Tl constitue une
fondation pour l'évaluation de pratiques et de mécanismes de contrôle au
service des activités de surveillance et d'examen de la direction.
Les candidats au titre CISA doivent avoir une solide compréhension des
éléments qui suivent. li est important de se rappeler qu'une connaissance
de la définition de ces concepts ne suffit pas. Voici des exemples de
sujets clés traités dans ce chapitre :
• La gouvernance d'entreprise vise à trouver une solution aux objectifs
conflictuels de l'exploitation des occasions disponibles afin d'augmenter
la valeur des actionnaires et de maintenir les activités de l'entreprise
dans les limites des exigences réglementaires et des obligations sociales.
Appliquée aux Tl, la gouvemance permet d'assurer l'alignement des Tl sur
les objectifs de l'entreprise. La gouvernance des Tl se préoccupe de deux
questions: que les Tl puissent apporter une valeur à l'entreprise et que le
risque de Tl soit géré. La première est guidée par l'alignement stratégique
des Tl sur l'entreprise. La seconde est guidée par l'établissement de la
gouvemance et de la gestion du nsque ainsi que de la responsabilité dans
l'entreprise. La gouvernance des Tl relève du conseil d'administration et
des cadres de direction, et les pratiques clés de la gouvernance des Tl
pour les cadres de direction comprennent un comité de stratégie des Tl,
un processus de gestion du risque et un tableau de bord prospectif des Tl.
• La gouvernance des Tl de l'entreprise est une vision de gouvernance
qui garantit que les renseignements et la technologie connexe appuient
et favorisent la mise en œuvre de la stratégie d'entreprise et l'atteinte
des objectifs de l'entreprise; cela comprend également la gouvernance
fonctionnelle des Tl (c. -à-d. assurer que les capacités des Tl sont fournies
de façon efficace). Une planification stratégique des Tl efficace implique
un examen des demandes de l'organisation en matière de Tl et sa
capacité de distribution des Tl. La stratégie est dirigée par un comité
de direction et est guidée et contrôlée par des politiques et procédures,
incluant la politique de sécurrté de l'infonmation. Les stratégies, politiques
et procédures doivent être évaluées par l'audrteur des SI pour déterminer
l'importance accordée au processus de planification, l'implication de la
haute direction des Tl dans la stratégie d'entreprise globale, ainsi que la
confonmité aux politiques, leur pertinence et leur applicabilité à des tiers.
• Un comité de stratégie ou d'orientation des Tl surveille la valeur des
Tl, le risque et la pertormance, et donne de l'information à la direction
pour soutenir la prise de décisions sur les stratégies des Tl. Cauditeur
des SI doit évaluer l'efficacrté de la structure de gouvernance des Tl afin
de s'assurer que le conseil d'administraMn a un contrôle adéquat des
décisions, des directives et de la pertonmance des Tl pour appuyer les
stratégies et les objectifs de l'organisation.
• Un aspect clé de la gouvernance des Tl est la gouvernance de la
sécurité de l'information. ëinformation constitue l'un des actifs les
plus importants d'une organisation et doit être protégée adéquatement
peu importe la façon dont elle est créée, reçue, manipulée, traitée,
transportée, conservée ou détruite. La sécurité de l'information
comprend tous les processus physiques et électroniques relatifs à
l'information, peu importe s'ils concernent les gens, la technologie
ou les relations avec les partenaires commerciaux, les clients ou des
tiers. Elle garantit que le risque relatif à la sécurité de l'information est
correctement géré et que les ressources d'information de l'entreprise
sont utilisées de manière responsable.
92
eiSA. .M.
Gertifledlnformation
Systems Aut:lltor"
~''""''""''''""'
Résumé (sllitê) ,
• La gouvernance de la sécurité de l'information doit être exécutée et
soutenue par des stratégies de sécurité de l'information, des politiques
et la structure de l'organisation. La gouvernance de la sécurité de
l'information doit être la responsabilité du conseil d'administration/
haute direction, qui doivent approuver les politiques et les pénalités
de non-conformité, et le mandat de sécurité de l'information peut être
délégué à un officier principal de la sécurité de l'information.
• La gouvernance des Tl comprend la réduction du risque des Tl pour
l'organisation. La gestion du risque signifie le processus d'identification
des vulnérabilités et des menaces touchant les ressources
infonmationnelles utilisées par une organisation pour atteindre les objectifs
de l'entreprise. Ce processus comprend également le choix des mesures
de prévention (dispositits de sécurité ou contrôles), s'il y a lieu, qui seront
mises en place pour réduire les nsques jusqu'à un niveau acceptable
(c. -à-d. nsque résiduel), en se fondant sur la valeur que représentent les
ressources infonmationnelles pour l'entreprise. Ce processus débute par
la compréhension de la tolérance au risque de l'organisation, puis se
poursuit par la détermination de l'exposition au risque relativement aux
ac1ifs des Tl. Par cette identification, les stratégies de gestion du nsque et
les responsabilités sont définies. En fonction du type de risque et de son
impcrtance pour l'entrepnse, le risque peut être évtté, atiénué, transtéré
ou accepté. La conséquence d'un tel risque lorsqu'il se réalise est appelée
un impact et peut se traduire par des pertes, que ce soit financières,
légales, relatives à la réputation ou à l'efficacité.
• Le risque est mesuré à l'aide d'une analyse qualrtative (définissant le
nsque comme étant élevé/moyen/faible), d'une analyse semi-quantitative
(définissant le risque en fonction d'une échelle numénque) ou d'une
analyse quantitative (appliquant plusieurs valeurs au risque, incluant des
valeurs financières, et en calculant la probabilité et l'impact du risque).
Lorsque le nsque a été identifié, des contrôles existants ou de nouveaux
contrôles sont conçus et mesurés pour connailre leur force et leur
efficacité. Les contrôles peuvent être de prévention, de détection ou de
correction; ils peuvent être manuels ou automatiques; ils peuvent être
formels (c.+d. documentés) ou ad hac. De plus, des contrôles correctifs
peuvent également être présents. Le risque résiduel peut être utilisé par la
direction pour déterminer les domaines qui nécessitent plus de contrôles
et si les avantages de tels contrôles surpassent les coûts. Ce processus
de gestion des risques des Tl doit être géré à plusieurs niveaux de
l'organisation, incluant les niveaux opérationnels, de projet et stratégiques,
et doit faire partie des pratiques de gestion des Tl. Les plans d'analyse
et de gestion du risque doivent être révisés périodiquement alors que le
milieu et l'organisation évoluent
• Les processus clés de gestion qui auront un impact sur l'efficacité d'un
service des Tl et dicteront les contrôles sur la stratégie et l'utilisation des
ressources sont !es suivants : gestion des ressources humaines, gestion
du changement, pratiques financières, gestion de la qualité, gestion de la
sécurité de l'information et pratiques d'optimisation de la performance.
Le contrôle de la direction et la gouvernance de l'environnement des
SI peuvent être évalués en se basant sur l'examen de la structure
organisationnelle. Les organigrammes doivent donner une définition
claire de la hiérarchie du service ainsi que des rôles et responsabilités
spécifiques. La structure dort définir le rôle de chaque domaine du service
des Tl et indiquer la répartition des tâches appropriée dans le service des
Tl.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certif!OO ll'lfm_matiOfl
Systems Aud1lor"
'"''"""'""""'"'
Chapitre 2 - Gouvernance et Gestion des Tl
Résumé (suite}
• Le but de la séparation des tâches est d'éviter les fraudes et les erreurs
en divisant les tâches et les pouvoirs afin d'accomplir un processus
auprès de plusieurs employés ou gestionnaires. Spécifiquement, les
tâches qui doivent être séparées sont : la garde des actifs, l'autortsation et
l'enregistrement des transactions. Si des rôles combinés sont exigés, des
contrôles compensateurs doivent être décrits et appliqués selon ce qui
convient à l'organisation. Lors de l'attribution de nouveaux rôles ou de la
modification de rôles existants, il faut assurer qu'aucun rôle incompatible
n'est attribué. Les rôles devraient être périodiquement passés en revue
afin d'éviter« l'élargissement des fonctions)),
Ce chapitre s'intéresse aussi à la continuité des activrtés et à la reprise
après sinistre dans une organisation. Jusqu'à un certain point, la plupart des
organisations ont mis en place des plans de reprise après sinistre (PRS).
Ceux-ci servent à récupérer l'infrastructure des Tl, les systèmes critiques
et les données associées. Cependant, de nombreuses organisations ne
sont pas passées à l'étape suivante, qui consiste à élaborer des plans
relatifs au fonctionnement des principaux domaines d'activité en pértode
de perturbation des Tl. Les candidats au titre CISA doivent connailre les
composants d'un plan de reprtse après sinistre et d'un plan de continuité
des activités (PCA).IIs doivent aussi être conscients de l'importance
d'harmoniser ces deux plans entre eux, en plus de les harmoniser avec les
objectifs et la tolérance aux risques de l'entreprise.
En résumé, pour un auditeur des SI, toutes les pratiques de gestion des
Tl doivent être évaluées pour déterminer la gouvernance de la direction
sur les Tl, incluant la documentation relative aux stratégies des Tl, aux
budgets, politiques et procédures, au contrôle sur la sécurité de l'information
relativement à la parcellisation des droits d'accès, ainsi que la structure
du service des Tl, car chacun de ces éléments illustre l'efficacilé d'une
organisation pour assurer que les Tl procurent de la valeur à l'entreprise et
que le risque lié aux Tl est gérés.
2.2 GOUVERNANCE D'ENTREPRISE
Les questions d'éthique, la prise de décisions et les pratiques
générales au sein d'une organisation doivent être encouragées
par les pratiques de gouvcmance d'entreprise. La gouvermmce
d'entreprise a été définie comme étant« le système selon lequel les
sociétés d'affaires sont diligées et contrôlées)). (Société financière
internationale; ministère des Finances du Vietnam; Organisation
de coopération et de développement économiques; Rencontre
internationale sur la gouvernance d'entreprise : L ïmpm1ance de
la gouvernance d'entreprise pour le Vietnam. Hanoi, Vietnam,
6 décembre 2004). De façon plus spécifique, la gouvemance
d'entreprise est un ensemble de responsabilités et de pratiques
qu'utilise la direction d'une organisation pour fournir une orientation
stratégique; de cette façon, elle s'assure que les objectif<; peuvent
être atteints, que le risques est géré convenablement et que les
ressources organisationnelles sont utilisées correctement. Dans ses
Principes de gouvernement d'entreprise (2004 ), Organisation de
coopération et de développement économiques (OCDE) affirme
que: «La gouvernance d'entreprise fait référence aux relations
entre la direction d'une entreprise, son conseil d'administration, ses
actionnaires et d'autres parties prenantes. Il détennine également
la structure par laquelle sont définis les objectifs d'une entreprise,
ainsi que les moyens de les atteindre et d'assurer une surveillance
des r0sultats obtenus. Une bonne gouvernance d'entreprise doit
füumir les incitatifs adéquats au conseil d'administration ainsi qu'à
la direction afin d'atteindre les o~jectifs qui sont dans l'intérêt de
l'entreplise et de ses actionnaires.»
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
Ce cadre est de plus en plus utilisé par les entités
gouvernementales de divers pays afin de réduire la fréquence
et l'impact d'une communication inexacte de l'information
financière et il oŒ·e plus de transparence et de responsabilité.
Une grande part de ces réglementations gouvernementales
exige que la haute direction approuve le caractère adéquat des
contrôles internes ct qu'elle inclue dans les rapporLo;; financiers
de l'organisation une évaluation des contrôles organisationnels
internes.
2.3 GOUVERNANCE DES Tl D'ENTREPRISE
La gouvemance des Tl d'entreprise (GEIT) sous-entend un système
dans lequel toutes les parties prenantes, y compris le conseil, la
haute direction, le..:; clients internes et les services comme celui des
finances contribuent au processus de prise de décision.
La gouvemance des Tl d'entreprise correspond au système de
gestion utihsé par le conseil d'administration. En d'autres tcm1es,
la gouvernance des Tl d'entreprise concerne l'administration des
ressources de TI pour le compte de tous les intervenants (internes
et externes) qui s'attendent à ce que leurs intérêts soient satisfaits.
Les cadres chargés de cette administration s'attendront à ce
que la direction mette en place les systèmes et contrôles de Tl
nécessaires.
La gouvernance des Tl d'entreprise relève du conseil
d'administration et des dirigeants.
Le but de la gouvernance des Tl d'entreprise est d'orienter les
effort.-; des Tl vers l'atteinte des objectif'\ d'alignement des TJ sur
les objectifs de l'entreprise et la réalisation des bénéfices promis.
De plus, les TI doivent permettTe à l'entreplise de tirer partie des
opportunités et d'optimiser les profits. Les ressources en TI doivent
être utilisées de manière responsable et les risques liés aux Tl
doivent être gérés convenablement.
La mise en place d'un cadre de gouvemancc des Tl d'entreprise
répond à ces deux préoccupations en mettant en place des
pratiques fournissant de la rétroaction sur la valeur et la gestion du
risque. Les processus généraux sont :
• La gestion des ressources Tl, qui met l'accent sur le maintien
d'un inventaire il jour de toutes les ressources des Tl et qui gère
Je processus de gestion des risques.
• La mesure de la performance, qui met l'accent sur le fhit de
s'a<isurer que toutes les ressources des Tl fonctionnent comme
prévu pour apporter de la valeur à l'entreprise, et qui identifie
rapidement le risque. Ce processus se base sur des indicateurs
de performance qui sont optimisés pour la création de valeur et à
part-ir desquels toute déviation pourrait mener à la matérialisation
d'tm risque.
• La gestion de la conformité, qui met l'accent sur la mise en place
de processus qui répondent aux exigences de confmmité aux lois,
règlements, politiques et contmt.:;.
Le cadre CO BIT 5 de I'ISACA étr1blit une distinction claire entre la
gouvemance et la gestion. Ces deux JOnctions englobent diffCrent-;
types d'activités, exigent diflërcntes stmcturc.o.:; organisationnelles ct
répondent à des besoins différents. La perspective du CO BIT 5 quant à
93
Section deux : Contenu Chapitre 2 - Gouvernance et Gestion des Tl
cette distinction clé entre la gouvemancc ct la gestion est la suivante :
• Gouvernance--.. Elle as.<.;ut-c que les besoins. règles ct options des
parties pretmntes sont évalués dans le but de déterminer des objectifS
d'affaires équilibrés et qui font consensus; elle fixe l'orientation
en établissant les pdorités ct prenant des décisions; et surveille
la perfommnce et la confonnité relativement aux orientations et
objectif.<> convenus.
• Gestion-- Elle planifie, construit, exécute et surveille les activités
conlbrmérnent à 1'mientation fixée par la gouvernance afin
d'atteindre les o~jectitS d'affaires.
l_.a gouvernance des TI d'entreprise, l'un des domaines de la
gouvernance d'entreprise, comprend l'ensemble des questions
traitées lorsque 1" on étudie la façon dont les Tl sont appliquées au
sein de l'entreprise.
Une gouvernance d'entreprise efficace concentre l'expertise
et l'expérience individuelJe et collective dans des champs
où elles peuvent être les plus efficaces. Les Tl, longtemps
perç.ues uniquement à titre de t:1ci!itatrices de la stratégie de
l'organisation, sont maintenant considérées comme faisant
partie intégrante de cette stratégie. Les présidents ou diœcteurs
généraux, les directeurs de l'exploitation, les directeurs
financiers, les dirigeants principaux de l'information (DPJ)
et les dirigeants en chef des technologies reconnaissent que
l'alignement st-ratégique des TI sur les objectifs de l'entreprise
constitue un facteur crucial de réussite. La gouvernance des
Tl aide à réaliser ce facteur crucial de réussite en déployant de
manière efficace, efficiente et économique une information et
des technologies associées sécurisées et fiables. Les Tl sont si
cruciales à la réussite de l'entreprise qu'elles ne peuvent pas être
reléguées à la division en charge des Tl ou aux spécialistes des
TI. Elles doivent recevoir l'attention des deux, sous l'micntation
ct la supervision de la haute direction et l'encadrement du conseil
d"administralion.
Cun des éléments clés de la gouvernance des Tl est l'alignement
des opérations sur les Tl, ce qui crée de la valeur pour
l'entreprise.
Figure 2.2- Objectif de la gouvernance : creatiOn de valeur
Objectif de la gouvernance : création de valeur
Source: !SAGA, COBIT 5, É.-U., 2012, figure 3
94
eiSA'*"' certmro.lntormauon
Systems Audilor'
----+-·-
"'~"'-"''"''"''"'
Fondamentalement, la gouvemance des Tl se préoccupe de deux
questions: que les Tl puissent apporter une valeur à l'entreprise
ct que le risque des Tl soit géré. La première est guidée par
l'alignement des Tl sur l'entreprise. La seconde est guidée pnr
l'enchâssement de la responsabilité dans l'entreprise.
2.3.1 BONNES PRATIQUES POUR LA GOUVERNANCE
DES Tl D'ENTREPRISE
[,a gouvernance des Tl d'entreprise intègre ct institutionnalise
les bonnes pm tiques pour assurer que les Tl de !"entreprise
soutiennent les objectifs de l'entreprise. Elle permet ù l'entreprise
de profiter au maximum de ses infOnnatîons, ce qui maximise
les bénéfices, pc1met de profiter des oppo1iunités et augmente
l'avantage compétitif. La gouvernance des 'll d'e11treprise est
une structure de relations et de processus utilisés pour diriger et
maîtriser ['entreprise dans le but d'atteindre ses objectifs tout en
créant de la valeur ct en équîlibmnt !cs risques par rapport' aux
résultats générés par les Tl et leurs processus.
Les sujets que la direction doit aborder pour gouverner les Tl au
sein de l'entreprise sont décrit'> sous trois domaines d'intérêt:
réalisation des bénéfices, optimisation des risques et optimisation
des ressources (voir la figure 2.2).
La gouvernance des Tl d'cntTcprise est devenue significative en
raison de plusieurs facteurs :
• Les gestionnaires d'entrcp1ise et les conseils d'administration
exigent un meilleur retour sur l'investissement (c.-ù-d.les Tf
offrent ce dont l'entreprise a besoin pour augmenter la valeur
des actionnnîres).
• La préoccupation liée à l'augmentation générale des niveaux de
dépenses Tl.
• La nécessité de se confOrmer aux exigences réglementaires
des contrôles des Tl dans les domaines tels que la protection
des données personnelles ou les états financiers (p. ex., la
loi Snrbanes-Oxley aux États-Unis, les accords Base! JI) et
dans des domaines spécîfiques tels la finance, le domnine
pharmaceutique ou les soins de santé.
Manuel de Préparation C/SA 26• édition
ISACA. Tous droits réservés.
e A
Certtfuld Information
~::~,.~~it~·
Chapitre 2 - Gouvernance et Gestion des Tl
.. La sélection de fournisseurs de services et la gestion de la sous-
traitancc et Jlacquisît.ion des services (p. ex., informatique en
nuage).
• Les initiatives de gouvernance des Tl qui comprennent
l'adoption de cadres de contrôle et de bonnes pratiques pour
aider à f'iUrveiller et à améliorer les activités des Tl critiques 1
dans le but d'augmenter la valeur de l'entreprise ct de réduire
les 1isques.
• Le besoin d'optimiser les coùts en respectant, si possible, les
approches normalisées plutôt que celles conçues spécialement
.. La maturité croissante ct l'acceptation des cadres bien perçus.
• Le besoin pour les entreprises d'évaluer leur performance en
fOnction des normes généralement acceptées ct en fonction de
leurs pairs (analyse comparative).
Les processus, d'évaluation, de direction et de surveillance
(figure 2.3) sont intégrés de bout en bout au processus de
gouvernance ct sont ax~s sur l'évaluation, la direction et la
surveillance de :
• La conformité et la pertOnnancc.
• Le système de contTôles internes.
• La conformité aux exigences externes.
Gouvernance des Tl d'entreprise et référentiels de
gestion
Voici des exemples de structures de gouvernance des TI
d'entreprise:
• Le COBIT 5 a été élaboré par l'ISACA pour appuyer la
gouvemance des Tl d'entreprise en offiant un cadre qui
assure l'harmonisation des Tl et des besoins de l'entreprise, la
facilitation des affaires et l'optimisation des profits, l'utilisation
responsable des ressources Tl et la bonne gestion du risque lié
aux Tl. Le CO BIT fournit des outils pour évaluer et mesurer la
performance des processus de Tl au sein d'une organisation. Il
comprend cinq principes, cinq domaines, 37 processus et 210
pratiques.
• La série de nonnes ISO/IEC 27001 (ISO 27001) représente un
. . Figure 2.3- Zones clés de gouvernance et i!e gestion de COBIT 5
1
Besoins d'affaires
Gouvernance
Gestion
Source: ISACA, COBIT 5, E.-U., 2012, figure 15
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rêservés.
Section deux : Contenu
ensemble de pratiques exemplaires qui aide les organisations à
mettre en place et à maintenir des programmes de sécurité de
l'information. ISO 27001 est devenue une norme bien connue
dans l'industrie.
• L:ITIL' (Information Teehnology Infrastructure Library)
a été conçue par le Bureau du commerce gouvernemental
du Royaume-Uni (OGC), en partenariat avec le Forum de
gestion des services des Tl, et constitue une structure détaillée
fournissant de l'information pratique sur les moyens de parvenir
à une gestion réussie des services opérationnels de la gestion
des TI et porte aussi sur la prestation de valeur.
• Les IT Baseline Protection Catalogs, ou l'f~Grundschutz
Catalogs (anciennement connus sous le nom d'fT Baseline
Protection Manual), forment un ensemble de documents du
Bureau fédéral allemand pour la sécurité des technologies de
l'information (FSI). Ces documents sont utiles pour détecter et
corriger les lacunes en sécurité de 1'environnement des Tl.
• Le Modèle de Maturité en gestion de la sécurité de
l'information (ISM3) est un modèle de maturité pour la gestion
de la sécurité de l'information fondé sur les processus.
• ISO/IEC 38500:2008 Gouvernance des technologies
de l'information par l'entreprise (étroitement inspirée
d' AS80 15-2005) fournit un cadre pour la gouvernance effieaee
des Tl. \SOIIEC 38500 aide ceux qui occupent les postes
mganisatîonnels \e.o:; plus élevés à comprendre et à respecter
leurs obligations légales, réglementaires et éthiques relativement
à l'utilisation des Tl faite par leur organisation. ISO/\EC 38500
s'applique aux organisations de toutes tailles, y compris les
sociétés publiques et privées, les entités gouvernementales et
les organismes sans but lucratif. Cette norme offre des principes
directeurs à l'intention des conseils d'administration sur
l'utilisation efficace, rentable et acceptable des Tl au sein de
leur organisation.
•ISO/IEC 20000 est une spécification en matière de gestion
des services qui est harmonisée avec le cadre de gestion des
services de \'\TIL. Elle est composée de deux parties. ISO/
1EC 20000-1 :20 Il consiste en des exigences précises portant
.
95
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl eiSA' CcrtHicdfnfo~Uon
H Systems Aud1tor'
;;;~-

sur l'amélioration de la gestion des services, tandis qu'ISO/
IEC 20000-2:2012 fournit une mientation et des exemples
d'application de la norme ISO/IEC 20000-1:2011.
Rôle de l'audit dans la gouvernance des Tl d'entreprise
Les entreprises sont gouvernées par de bonnes pratiques
généralement acceptées, renforcées par l'implantation de
contrôles. Les bonnes pratiques guident les organisations au
moment de déterminer la façon d'utiliser les ressources. Les
résultats sont mesurés et rapportés, servant de base à la révision
cyclique et au maintien des contrôles.
• l'alignement de la gouvernance d'entreprise ct de la
gouvernance des Tl;
• l'alignement des JOnctions de TJ sur la mission, la vision, les
valeurs, les objectif.-; et les stmtégics de l'organisation;
• la réalisation des objectifs de performance des SI (efficacité el
elficience) établis par l'entreprise et la fOnction des SI;
• les exigences légales, environnementales, qualitatives,
fiduciaires, sécuritaires et confidentielles de l'information;
• l'environnement de contrôle de l'or<JarÜsation;
•les risques inhérents au sein de l'environnement des Si;
•l'investissement et les dépenses en Tl.

De façon similaire, les Tl sont gouvernées par de bonnes 2.3.2 COMITÉS DE GOUVERNANCE DES Tl
pratiques assurant que les technologies de 1'information et
Traditionnellement, les orgnnisations disposaient de comités
autres en place dans l'organisation soutiennent les objectif..;;
de direction pour traiter des questions de Tl pertinentes dans
opérationnels de l'entreprise (p. ex., alignement stratégique),
l'ensemble de l'organisation. Il doit y avoir une compréhension
fournissent une valeur ajoutée, utilisent les ressources de façon
claire de la stratégie des Tl et des niveaux de direction. CtSACA
responsable, gèrent adéquatement les risques et mesurent la
a publié un document proposant une analyse claire des deux
performance.
(voir tableau 2.4). L'auditeur des SI doit être conscient que les
organisations peuvent avoir d'autres comités, dirigés par des
I_:audit joue un rôle significatif dans la mise en place fructueuse
cadres supérieurs ou intermédiaires, qui guident les opérations
de la gouvemance des Tl d'entreprise au sein de l'organisation.
de Tl; par exemple, un comité exécutif des Tl, un comité de
!!audit est bien placé pour faire des recommandations
gouvernance des Tl, un comité d'investissements en Tl ou un
importantes à la haute direction afin qu'elle puisse améliorer
comité de direction des TL
la qualité et J'efficacité des initiatives mises en place par la
gouvernance des Tl.
Remarque : eanalysc des responsabilités du comité direch.~ur
doit être connue du CrSA.
Dans son rôle de surveillance de la confOrmité, le service d'audit
aide à .s'assurer de la conformité des initiatives de gouvernance
des TI d'entreprise mises en place au sein de l'organisation. La 2.3.3 TABLEAU DE BORD DE PERFORMANCE DES Tl
surveillance, l'analyse et l'évaluation continuelles des mesures
Le tableau de bord prospectif (TBP) des Tl (voir figure 25) est
associées aux initiatives de gouvernance des Tl d'entreprise
une technique pour évaluer la gestion des processus qui peut être
nécessitent un point de vue indépendant et équilibré pour assurer
appliquée au processus de gouvemance des Tl d'entreprise lors de
une évaluntion qualitative qui facilite par la suite l'amélioration
l'évaluation des fonctions et des processus. C'est une technique
qualitative des processus des Tl et des initiatives associées en
qui va bien au-delà de l'évaluation financière traditionnelle
matière de gouvemancc des Tl d'entTeprise.
puisqu'on y ajoute des mesures relatives à la satisfaction du
client (l'utilisateur), aux processus internes (opérationnels) ct
La transmission de rapports sur la gouvernance des Tl
à l'aptitude à innover. Ces mesures supplémentaires poussent
d'entreprise implique un audit au plus haut niveau de
l'organisation vers l'utilisation optimale des Tl, qui sont alignées
l'organisation et peut traverser les frontières des divisions, des
sur les objectifs stratégiques de l'organisation. tout en conservant
fOnctions ou des services. L'auditeur des SI doit vérifier que le
en équilibre toutes les perspectives relatives;,) l'évaluation. Pour
cadre de référence stipule clairement :
appliquer le TBP aux Tl, on utilise une structure multiniveaux
• l'ampleur du travail, y compris une définition claire des champs
(déterminée par chaque organisation) pour tTaiter les quatre
fonctionnels et des questions à prendre en compte;
perspectives :
• la ligne de compte-rendu à suivre, lorsque les questions de
• La mission ·- par exemple :
gouvernance des TI d'entreprise sont décelées au plus haut
devenir le fournisseur de premier choix de systèmes
niveau de l'organisation;
d'infOrmation;
• le droit d'accès à l'information de l'auditeur des SI, tant dans
-.. fournir des applications d des services TI efficaces, enïcienls
l'organisation que depuis un fournisseur externe.
ct économiques;
-obtenir une contribution commerciale raisonnable des
1,es compétences de 1'auditeur des SI et sa situation au sein de
investissements en Tl;
l'organisation doivent être prises en compte afin de déterminer
--développer des occasions de relever des défis futurs.
si elles sont appropriées à la nature de l'audit projeté. Lorsque
• Les stratégies -- par exemple :
des manques sont constatés, l'échelon de direction responsable
- él<~borer de meilleures applications ct opérations;
doit envisager l'embauche d'un tiers indépendant pour gérer ou
-développer des partenariats avec les utilisateurs et de
exécuter l'audit.
meilleurs services à la clientèle;
-- fournir des niveaux de service et des structures de plix
Conformément au rôle défini pour l'auditeur des SI, celui-ci
améliorés;
doit évaluer la gouvernance d'entreprise des Tl en fonction des
-contrôler les dépenses des Tl;
aspects suivants :
-fOurnir une valeur commerciale aux projets de Tl;

96 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e Cert. """. '".to~tJon
Systems Audrtor"
~--
Chapitre 2- Gouvernance et Gestion des Tl Section deux : Contenu

--fournir de nouvelles cnpacités commerciales; 2.3.4 GOUVERNANCE DE LA SÉCURITÉ DE

-- former et éduquer le personnel des Tl et promouvoir
!:INFORMATION
l'excellence;
Au sein des processus de gouvernance des Tt, la gouvernance
-fournir un soutien à la recherche et au développement
de la sécurité de l'information est devenue une activité
• Les mesures".. par exemple :
primordiale au plus haut niveau, reposant sur des valeurs
- fournir un ensemble équilibré de paramètres (c.-à-cl. les
particulières: la confidentialité, l'intégrité et la disponibilité
indicateurs clés de performance [!CP]) pour guider les
de J'infOrmation, la continuité des services et la protection
décisions commerciales des Tl.
des actifS d'information. La sécurité est devenue un problème
• Les sources - par exemple :
significatif en raison du réseautagc mondial, de l'innovation ct
---utilisateurs finaux (spécifiques à chaque fonction);
des changements technologiques rapides, de l'augmentation de
--directeurs de l'exploitation;
la dépendance aux TI, de la sophistication des agents menaçants
--responsables de processus.
et du prolongement de l'entreprise au-delà de ses frontières
traditionnelles. Par conséquent, la sécurité de 1'information
L'utilisation d'un tableau de bord prospectif des Tl est l'un des
doit devenir une importante partie intégrante de la gouvernance
moyens les plus efficaces pour aider le comité de stratégie des
des TL Une négligence à cet êgard diminuera la capacité de
Tl et la direction à réaliser l'alignement des Tl et de l'entreprise.
1'organisation à réduire les risques ct profiter des oppmtunités
Les objectifs consistent à établir un véhicule pour les rapports de
la direction au conseil d'administration, à favoriser un consensus
des Tl pour J'amélioration des processus métiers ou affaires. Cela
dit, partout dans le monde, les conseils d'administration et les
parmi les principales parties prenantes en matière d'objectifs
che[<; d'entreprise prennent conscience de leurs responsabilités
stratégiques,;:) démontrer l'ellïcacité ct la valeur ajoutée des TI et
et de leurs obligations en reddition de comptes quant à la
à communiquer la pcrtOrmancc, le risque et les capacités des TL
gouvernance de la sécurité de l'information. Les actionnaires

~
~~---·----·-·---·----------··--~---··------·-J-
en gouvernance de la sécurité de l'information s'attendent à ce
Remarque : Les éléments du tableau de bord prospectif des T.l que la responsabilité et la reddition de comptes fUssent partie
doivent étre connus du candidat au titre CISA. intégmnte des TI de l'entreprise. Le chef de la direction doit
-·-·---·~-·--··'"·------··-·····--·-·----·------ .. ~----~--------
rendre des comptes au conseil d'administration en matière de

Tableau 2.4- Analyse des responsabilitéS du comité directeur

Niveau Comité de stratégie des Tl
Responsabilité • Fou mit un aperçu et des conseils sur:
- La pertinence des développements dans les Tl dans une
perspective administrative;
- L'alignement des Tl sur l'orientation de l'entreprise;
- L'atteinte des objectifs stratégiques des Tl;
- La disponibilité des ressources, des compétences et
des infrastructures en matière de Tl pour atteindre les
objectifs stratégiques;
- L'optimisation des coûts, y compris le rôle et l'offre de
valeur de l'approvisionnement extérieur des Tl;
- Les risques, le rendement et les aspects concurrentiels
des investissements en Tl;
- Les progrès des principaux projets de Tl;
-La contribution des Tl à l'entreprise (c.-à-d. la remise de
la valeur commerciale promise);
- L'exposition au risque lié aux Tl, y compris le risque de
conformité;
- L'endiguement du risque lié aux Tl;
-L'orientation de la direction relative aux Tl;
- Les moteurs et catalyseurs pour les pratiques de
gouvernance des Tl du conseil d'administration,
Autorité • Donne des conseils au conseil d'administration et à la
direction sur la stratégie des Tl;
• Est délégué par le conseil d'administration pour fournir un
apport à la stratégie et préparer son approbation;
• Se concentre sur les questions actuelles et tutures de
stratégie des Tl.
Membres • Les membres du conseil d'administration et des
spécialistes non-membres.
Comité directeur des Tl
• Décide le niveau des dépenses en Tl dans l'ensemble et de la
manière dont les coûts seront affectés;
• Aligne et approuve l'architecture des Tl de l'entreprise;
• Approuve les projets et les budgets, en déterminant les
priorités et les jalons;
• Acquiert et affecte les ressources appropriées;
• Veille à ce que les projets respectent continuellement les
exigences administratives, y compris la réévaluation du
dossier administratif;
• Surveille les projets pour la remise de valeur et les résultats
attendus, à temps et en-dedans du budget;
• Surveille les conflits de ressources et de priorités entre les
divisions de l'entreprise et les fonctions de Tl, ainsi qu'entre
les projets;
• Fait des recommandations et des demandes de changements
aux plans stratégiques (priorités, financement, approches
technologiques. ressources, etc.);
• Communique les objectifs stratégiques aux équipes de projet;
• Contribue de manière importante aux responsabilités de la
direction en matière de gouvernance des TL
• Assiste la direction dans la délivrance de la stratégie des Tl;
• Supervise la gestion quotidienne de la prestation des services
de Tl et des projets de Tl;
• Se concentre sur la mise en œuvre.
• Cadre parrain;
• Cadres administratifs (utilisateurs clés);
• Dirigeant principal de l'information (DPI);
• Conseillers clés tels que requis (Tl, audit, services juridiques,
finances)_

Manuel de Préparation CISA 26" édition 97

ISACA. Tous droits réservés.
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl 9•s•· certifkldklto~ . tion
M Systems Audltor"
~"""""'Cm.JQl.-;,

gouvernance de la sécurité de l'information ct est responsable de
son exécution. par l'intermédiaire de la haute direction ainsi que
de l'organisation et des ressources il sa charge.
Les membres de ln haute direction qui approuvent !cs politiques
de sécmité devraient provenir de différentes opérations ct
fonctions au sein de l'entreprise afin d'assurer une représentation
juste de l'organisation dans son ensemble. Ceci vise à minimiser
tout favoritisme potentiel envers une priorité d'entreprise, une
dépense en technologie ou une préoccupation de sécmité en
particulier. Habituellement, le comité à l'échelon du conseil
d'administration qui approuve les politiques de sécurité peul
comprendre des directeurs, le chef de la direction, le chef des
opérations, le directeur des finances, le directeur de la gestion des
risques, le dirigeant principal de l'information, le directeur de la
technologie, le directeur des ressources humaines, le dirigeant
principal de l'audit (l'indépendance de l'auditeur est de moindre
importance dance contexte), le responsable de la confOrmité
et des représentants du service juridique. L'approbation des
politiques devrait autant que possible être fondée sur un
consensus.
Lin formation est une ressource clé pour toutes les entreprises,
ct depuis le moment où l'information est créée ou reçue
jusqu'<) celui où elle est détruite, la technologie joue un rôle
important. Les technologies de l'information sont de plus en
plus perfectionnées et sont devenues omniprésentes dans les
entreprises et dans les milieux privés, publics et d'affaire::;. Par
conséquent, aujourd'hui plus que jamais, les entreprises ct leurs
dirigeants s'eHOrcent de:
• Maintenir une information de grande qualité pom appuyer les
décisions d'affaires.
• Générer une valeur pour les investissements en TI (c.-à-d.
contribuer à l'atteinte des objectif..:; stratégiques ct tirer des
bénéfices de l'utilisation dlïcacc ct innovante des TI).
• Atteindre l'excellence opérationnelle grflce à l'application fiable
et efficace de la technologie.
• Maintenir les risques liés aux Tl à un niveau acceptable.
• Optimiser le coût des services et des technologies liés aux TL
• Sc conformer aux lois applicables, aux règlements, aux accords
contractuels et aux politiques, dont le nombre ne cesse de
croître.
Jusqu'à tout récemment, les effotts de protection ont été axés sur
les systèmes d'information qui recueillent, traitent et stockent
de l'information, plutôt que sur l'infOrmation en soi. Cette
approche est devenue trop étroite pour accomplir la sécurité
globale requise. La sécurité de 1ïnJOrmation adopte une vision
plus large. r:n effet, les données ainsi que l'inronnation et les
connaissances basées sur celles-ci doivent être protégées de façon
adéquate, abstrnction Jàite de l'endroit où les données ont été
créées, reçues, traitées, transportées ou stockées, puis éliminées.
Cela s'applique pmticulîèremcnt aux situations au sein desquelles
des données sont: partagées facilement sur Internet par l'entremise
de blogues, d'alimentation en nouvelles Uscnet, de poste-à-poste,
de réseaux sociaux ou de sites Web. Par conséquent, la portée des

Figure 2.5- Tableau de bord générique de peiiônnance des Tl

~ Livraison de valeur
Orientation de l'utilisateur
Comment les utmsateurs voienHis
le service des Tl?
Mission
Ëtre le premier fournisseur de
systèmes d'information.
Objectifs
Premier fournisseur d'applications
el d'opérations
Partenariat avec les utilisateurs
Satisfaction des utilisateurs
Contribution commerciale
Comment la direction voit-elle
le service des Tl?
Mission
Obtenir une contribution commerciale
raisonnable des investissements en Tl.
Objectifs +Cause
Alignement affairesrn Jt. Effet
Gestion des coûts Orientation future
Gestion du risque Les Tl sont-ils bien positionnés
pour répondre aux besoins futurs?
Mission
Développer des occasions de
répondre aux défis futurs.
TBPTI Objectifs
1 1
Formation et éducation du
personnel des Tl
Expertise du personnel des Tl
Recherche sur les
technologies émergentes
Excellence opérationnelle
Les processus des Tl sont-ils
efficaces et efficients?
Mission
Livrer des applications et services
des Tl efficaces et efficients.
Objectifs
Développements efficaces et
efficients
Opérations efficaces et efficientes
Niveau de maturité des
processus des Tl

Source : JSACA, IT Govemance Domain Practices and Competencies: Measuriog and Demonstrating the Value of fT, É. -U., 2005, figure 7

98 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e Certffied Informa.tion
Systems Aoditor·
""~""'"'"'''""'"'"
Chapitre 2 - Gouvernance et
efforts de protection doit englober non seulement le processus
qui génère lïnfonnation, mais aussi la préservation continue de
l'infonnation générée par les processus contrôlés.
Les tendances majeures que le commerce mondial vit aujourd'hui
comprennent la sous-traita nee de processus internes et
l'utilisation croissante de l'infOrmatique en nuage. La couverture
de la sécurité de l'infommtion ne se limite pas aux ti·ontières
géographiques des installations de l'entrcptisc, puisque des
modèles de déloca\isation sont adoptés par les orgr:misations.
L'informatique en nuage promet de révolutionner le monde
des services de Tl en tmnsformant l'informatique en une
fonctionnalité omniprésente. Ces tendances ont aussi changé la
façon dont la sécurité de l'information est gérée.
La sécurité de l'infom1atîon englobe la sécurité de la technologie
et est supervisée en général par le dirigeant pdncipal de
l'information (DPI). La sécurité de l'information traite de
l'univers du risque, des avantages et des processus relatifs à
l'information et doit être supervisée par la haute direction (p. ex.,
président~dîrecteur général, directeur financier, directeur de la
technologie, ditigeant principal de l'information) et appuyée
par le conseil d'administration, et ce, en ce qui concerne la
confidentialité et la sécurité de l'information elle-même.
La gouvernance de la sécurité de 1' information est la
responsabilité du conseil d'administration et de la haute
direction. Elle doit être une partie intégrante ct transparente de la
gouvemancc d'entreprise. Elle est formée de la direction, ainsi
que des structures et proces:-;us organisationnels qui sauvegardent
l'information.
Les résultats fOndamentaux d'une gouvernance en matière de
sécurité efficace devraient inclure l'harmonisation stratégique,
la gestion du risque, la conformité et la création de la valeur.
L'at1eintc de ces résultats est rendue possible grâce à l'élaboration
de:
• La mesure de la performance-·- Mesurer, surveille-r et
communiquer les processus de sécurité de l'information
pour assurer le respect des objectifS SMART (Stratégique,
tvlesurable, Atteignable, Réaliste ct lbmporcl). Pour effectuer la
mesure de la performance, il faut réaliser les points suivants:
~- un ensemble précis, approuvé et significatif de paramètres
correctement alignés sur les objectifS stratégiques:
--un processus de mesure qui permet de détenniner les lacunes
ct qui fOurnit une rétroaction sur les progrès accomplis dans la
résolution des problèmes:
~une assurance indépendante fournie par des évaluations ct
audits externes.
• La gestion des ressources-- Utiliser avec efflcacité et
efficience les connaissances et l'infrastructure en sécutité de
l'information. Pour réaliser une gestion des ressources, il faut
considérer les points suivants :
- l'as.<;urance que les connais...'>ance,<; sont ,.:;aisies et disponibles;
des processus et pratiques en sécurité documentaire:
--la mise en place d'architectures de sécurité pour déterminer et
utiliser efficacement les ressources d'infrastructure.
• LJintégratîon des processus- Mettre J'accent sur l'intégration
des processus d'assurance de gestion relatifs à la sécurité.
Les activités liées à la sécurité sont pari-Ois fragmentées
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Gestion des Tl Section deux : Contenu
ct segmentées, et peuvent avoir des stn1ctures de rapport
différentes. Ceci rend difYicile, sinon impossible, de bien les
intégrer. L'intégration des processus permet d'améliorer la
sécurité en général et l'elficacité des activités.
Gouvernance efficace de la sécurité de l'Information
L:orientation stratégique de l'entreprise doit être déterminée par
les buts et objectif.<; opérationnels de l'entreprise. La sécurité de
l'information doit appuyer les activités métiers pour constituer
une valeur pour l'organisation. La gouvernance de la sécurité
de l'infOrmation est un sous-ensemble de la gouvernance
d'entreprise qui fournît une 01ientation stratégique aux activités
de sécurité et qui veille au respect des objectifs. Elle garantit que-
a
les risques relatif-S la sécurité de l'information sont correctement
gérés et que les ressources d'information de l'entreprise sont
utilisées de manière responsable. Selon la publication spéciale
S00-1 00 du Nationa 1 lnstitute of Standards and lcchnology
(NIST) intitulée ln.fùrmation Security f-!andbook: A Guide.fùr
Managers:
La gouvernance de la sécurité de 1'information peut
se dÇfinir comme un processus d'établissement et de
maintien d'un r4férentie/, ainsi que d'une structure de
gestion et de processus pour le soutenil;fournis,-.·ant
1'assurance que les stratégies de sécurité de 1'infOrmation
sont harmonisées aux objectU~· d'entreprises et les
appuient, se confOrment aux lois et f"églementations
applicables en respectant les politiques et les contrôles
internes, et désignent des responsabilités, le tout visant à
gérer le risque.
Pour réaliser une gouvernance de la sécurité de l'information
efficace, la direction doit étabhr et maintenir un cadre pour
guider le développement et la gestion d'un programme complet
de sécmité de l'information qui soit en mesure d'appuyer les
objectifs opérationnels.
Le cadre de gouvernance de la sécurité de l'information
comprend généralement les éléments suivants :
• une stratégie complète de sécurïté intrinsèquement liée aux
objœtifS opérationnels;
• des politiques essentielles de sécurité qui touchent chacun des
aspects de la stratégie, des contrôles et de la réglementation;
• un jeu complet de nonnes pour chaque politique pour s'assurer
que les procédures et les directive.<> sont confOrmes à la politique;
• une puissante structure organisationnelle de sécurité qui ne
présente aucun conflit d'intérêts;
• des processus institutionnalisés de surveillance pour assurer la
conformité et fournir une rétroaction sur l'efficience.
Cc cadre fournil une base pour Je développement d'un
programme de sécurité de l'infom1ation rentable qui appuie les
o~jectitS opérationnels de 1'organisation. Cobjectif du programme
de sécmité de l'information est un ensemble d'activités qui
f-Ournissent l'assumnce que les actifs d'infonnation reçoivent un
niveau de protection proportionné à leur valeur ou au risque qu'ils
posent pour l'organisation.
99
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
Rôles et responsabilités de Ja haute direction et du
conseil d'administration
La gouvcnumce de la sécurité de l'information nécessite une
orientation stratégique et une force d'Impulsion. Elle nécessite un
engagement, des ressources et l'assignation de la responsabilité
pour la gestion de la sécurité de l'information, ainsi qu'un moyen
pour le conseil d'administration de déterminer que son objectif
est atteint.
Le conseil d'administration et les dirigeants
La gouvernance clficacc de la sécurité de l'information peut
être réalisée uniquement avec la participation du conseil
d'administration et de la haute direction, par J'approbation des
politiques, par le tàit d'assurer une surveillance appropriée et par
l'examen des rapports de mesures et de l'analyse des tendrmc.es.
Les membres du conseil doivent être au courant des actif-;
lnfom1ationnels et de leur crîtîcité pour les activités commerciales
courantes. Cctie gouvernance peut être accomplie en fournissant
périodiquement au conseilles résultats de haut niveau de
l'évaluation détaillée des risques ct de l'analyse d'impact sur les
aJfaires (AJA). Elle peut mtssi être réalisée par des évaluations de
la dépendance envers les ressources d'information. Ces activités
doivent inclure l'approbation, par les membres du conseil, de
l'évaluation d'actif'> clés à protéger. cc qui contribuera à assurer
que les niveaux de protection et les priorités soient appropriés à
une norme de diligence requise.
Aux échelons supérieurs, le ton doit être favorable à la
gouvernance etficace de ln sécurité. Il n'est pas raisonnable de
s'attendre à ce que le personnel des échelons infërieurs respecte
les mesures de sécurité si elles ne sont pas appliquées par la
haute direction. L'adhésion par la haute direction aux exigences
intrinsèques de sécurité fournît une base pour s'nssurer que les
attentes en matière de sécurité sont réalisées à tous les niveaux
de J'entreprise. Des pénahtés pour la non-conformité doivent
être déterminées, communiquées ct appliquées, du conseil
d'administration jusqu 'au bas de 1'échelle hiérarchique
La haute direction
La mise en place d'une gouvernance efficace de la sécurité
et la détermination des objectifs de sécurité stratégique de
l'organisation sont des tâches complexes et ardues. Comme
toute initiative împotiante, la gouvernance doit avoir une
direction et l'appui continu de la haute direction pour réussir.
Le développement d'une stratégie de sécurité de l'infOrmation
nécessite son intégration auprès des responsables des procédés
administratifS ct la coopération de ces derniers. Lorsqu'elle
est réussie. on arrive à l'alignement des aclivités de sécurité de
l'information en appui aux objectifs opérationnels. Son niveau
de réussite détermine la rentabilité du programme de sécmité
de l'infOrmation dans l'at1cintc de l'objectifvîsé de fournir un
niveau précis et prévisible d'assurance de l'information ct des
processus administratif..:; ct un niveau d'impact acceptable des
événements défavorables.
Le comité de normes sur la sécurité de l'infOrmation
Jusqu'à un certain point, la sécurité touche tous les aspects de
l'organisation. Pour être efficace, la sécurité doit être présente
dans toute l'entreprise. Pour s'assurer de la participation de
100
eiS"'' H
lnfo~atim
cert. if!ed• Audlltlr"
Systems
;.~-·-
tous les intervenants touchés par les considérations de sécurité,
plusieurs organisations utilisent un comité directeur tOnné de
représentants responsables des groupes concernés. Ce comité
aide à réaliser un consensus sur les priorités et les compromis.
Il set1 également de canal de communication eflïcace ct fournit
une base continue pour assurer l'alignement du programme de
sécurité sur les objectifS opérationnels. Il peut aussi jouer un rôle-
clé dans la réalisation d'une modification des comportements
vers une culture plus propice à une bonne sécurité.
Le directeur de la sécurité de l'infOrmation a pour principale
responsabilité d'établir un programme de sécurité de
l'information caractérisé par des politiques réalistes ainsi que
des normes, procédures et processus qu'il est possible de mettre
en œuvre et d'audilcr, dans le but d'atteindre un équilibre entre
perfOrmance ct sécurité. Il est toutefois nécessaire de faire
participer les groupes concernés à un comité de délibération, que
l'on peut appeler comité de normes en sécurité de l'information
(C'NSI). l.e CNS! comprend des hauts directeurs ainsi que
des cadres supérieurs des services de Tl, des opérations, des
RH, d'audit ct juridique, des responsables d'application ct des
responsables de processus d'entreprise. Le comité débattra
du caractère adéquat des bonnes pratiques et des con!rôles
recommandés dans te contexte de l'organisation, y compris
la configuration sécurisée des systèmes d'exploitation et des
bases de données. La présence de l'auditeur est nécessaire
afin d'assurer que les systèmes pourront être nudités, car ils
disposeront de pistes d'audit ct de journaux approptiés. Le
service juridique doit fOurnir des conseils quant aux enjeux de
responsabilité et de conflit juridique. Ceci n'est pas une liste
nonnative de membres à inclure dans Je CNSI. Les membres
du comité peuvent être modifiés en fonction du contexte
organisationnel. D'autres membres peuvent: être recrutés au
besoin, selon les objectifs de contrôle visés.
[]officier principal de la sécurité de l'information
TOute organisation possède un officier principal de la sécurité de
l'infcmnntion (OPSI). qu'il polie ou non ce titre exact. Ce peut
être le DPI, le directeur des technologies, le directeur financier,
ou dans certains cas le chef de ta direction (CDir) qui se charge
de cette fonction, même s'il y a un bureau ou un directeur de la
sécmité de l'inlbm1ation en place. La portée et l'ampleur de la
sécmité de l'infOrmation sont telles que l'autorité requise et les
responsabilités qui s'y rattachent en font une des responsabilités
de la direction ou de la haute direction. Elle peut comprendre un
poste comme celui de directeur principal des risques ou celui de
directeur principal de la conformité. Par défaut, la responsabilité
légale remontera la hiérarchie et aboutira à la haute direction ct au
conseil d'administTation. Cincapacité à le reconnaître et à mettre en
place des structures appropriées de gouvcmance peut faire en sorte
que la haute direction ne soit pns au courant de cette responsabilité
et: de la responsabilité corollaire. Cela peut aussi causer un manque
d'alignement efficace des objectifs opérationnels et des activités
de sécurité. De plus en plus, une direction prudente a'>socie le
poste de responsable de la sécurité de l'information à un poste de
direction (c.-à-d. OSPI), à mesure que l'organisation commence
à comprendre la dépendance envers l'information et les dangers
croissants qui la guettent.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservês.
e . Certifîed Information
Systems Auditer"
;;,;;;.t:;;;:,-·"
Chapitre 2 - Gouvernance et Gestion des Tl Section deux. : Contenu

Matrice des résultats et des responsabilités

Les relations entre les résultats d'une gouvernance efficace de
la sécurité et les responsabilités de la direction sont illustrées
au tableau 2.6. Ce schéma n'est pas détaillé, mais il indique
simplement quelques tâches essentielles et !0 degré de
responsabilité de la direction quant à ces dernières. Selon la
nature de 1'organisation, ces titres peuvent varier, mais les rôles
et responsabilités doivent exister, malgré l'utilisation de titres
différents.
Remarque : Bien que le tableau 2.6 ne soit pas
spécifiquement évalué dans J'examen CISA, un candidat au
titre CISA doit prendre connaissance des informations qui y
~ont contenue.s.
2.3.5 ARCHITECTURE D'ENTREPRISE
l.:un des volets de la gouvernance des Tl recevant de plus en plus
d'attention est celui de l'architecture d'entreprise. !.:architecture
d'entrep1ise signifie essentiellement la documentation des actifs
dl':s Tl de l'organisation d'une façon structurée, afin de faciliter la
compréhension, la gestion ct la planification des investissements
des Tl. Une architecture d'entreprise repose souvent sur la

!Tableau 2.6- Relations Jlntre les résultatS de la gouvernance de la sécurité elles resmmsabilités de la direction
Niveau de Alignement Gestion Offre de valeur Mesure dela Gestion des Intégration
direction stratégique des risques performance ressources des processus
Conseil Exiger un alignement • Établir la tolérance au Exiger des rapports sur Exiger des rapports Établir une politique Établir une politique
d'administration démontrable. risque. les coûts des activités sur l'efficacité de la de gestion des d'assurance de
• Établir une politique de sécurité. sécurité. connaissances el l'intégration des
de gestion des de l'utilisation des processus.
risques. ressources.
• Assurer la conformité
à la réglementation.
Haute direction Établir des processus • Assurer les rôles, Exiger des études de Exiger la surveillance Assurer des Fournir uue
pour intégrer la responsabilités, cas sur les initiatives et la mesure des processus pour surveillance
sécurité au:-: objectifs inclure la gestion des en matière de sécurité. activités relatives à !a la saisie des d'assurance de
opérationnels. risques dans toute sécurité. connaissances et toutes les fonctions
activité. pour la mesure de et de tous les projets
• Surve!ller la l'efficacité. d'intégration.
conformité à la
réglementation.
Comité directeur • Examiner la Déterminer les Examiner le caractère Examiner les initiatives Examiner !es • Déterminer
stratégie de sécurité nouveaux nsques, adéquat des initiatives de sécurité, donner des processus de saisie les processus
et les efforts promouvoir les de sécurité pour Que conseils par rapport à et de dissémination administratifs et les
d'intégration. pratiques de celles-ci soient au celles-ci et veiller à ce des connaissances. certificateurs.
• Veiller à ce que sécurité des unités service des fonctions qu'elles respectent les • Diriger les efforts
les propriétaires fonctionnelles et opérationnelles. objectifs opérationnels. d'intégration.
de l'entreprise déterminer les
soutiennent problèmes de
l'intégration. conformité.
Responsable de Élaborer une stratégie • Assurer !'évaluation SurveiHer l'utilisation Élaborer et mettre en Élaborer des • Assurer la liaison
la sécurité de de sécurité, surveiller des impacts et l'efficacité des place des approches méthodes de saisie avec d'autres
l'information le programme et les opérationnels. ressources de sécurité. de surveillance et de et de dissémination certificateurs.
initiatives de sécurité • Élaborer des mesure, et diriger et des connaissances, • Veiller à ce que
et assurer la liaison stratégies de surveiller les activités et développer des les lacunes et les
avec les responsables réduction etes de sécurité. mesures d'efficacité chevauchements
des procédés risques. et d'efficience. soient déterminés et
administratifs pour un • Faire respecter corrigés.
alignement continu. la politique et la
conformité à la
réglementation.

Dirigeants d'audit Évaluer et faire un Évaluer et faire Évaluer et faire un Évaluer et faire un Évaluer et faire un Évaluer et faire un
rapport sur le degré un rapport sur les rapport sur l'efficacité. rapport sur le degré rapport sur l'efficacité rapport sur l'efficacité
d'alignement. pratiques de gestion du d'efficacité des de la gestion des des processus
risque de l'entreprise et mesures en place ressources. d'assurance effectués
des résultats. et des paramètres par divers domaines
utilisés. de la direction.
Source : ISACA, Information Security Governance: Guidance for Information Securily Managers, 2008. Tous droits réservés. Utilisé avec permission.

Manuel de Préparation CISA 26' édition 101

ISACA. Tous droits réservés.
Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
représentation de l'état actuel et de l'état futur optimisé (p. ex.,
feuille de route).
L'importance accordée actuellement à l'architecture d'entreprise
répond à la complexité grandissante des Tl et des organisations
modernes et à la volonté de plus en plus grande d'harmoniser
les Tl avec la stratégie d'entreprise et de s'assurer que les
investissements Tl appmtent de rCds résultats.
Le cadre de rétërence de l'architecture d'entreprise, un tTavail
innovateur dans le domaine de l'architecture d'entreprise. a
êté publié pour la première fOis par John Zachman à la fin des
années 1980. Le cadre élaboré par Zachman continue d'être
le point de départ de beaucoup de projets contemporains
d'architecture d'entreprise. Zachman a réalisé que la mise
en place de systèmes Tl s'apparentait considérablement à la
construction immobilière. Dans les deux cas, un grand nombre
de pmiicipants sont impliqués à différentes étapes du projet
Dans la construction immobilière, l'abstrnit sc transforme en
concret grâce à des modèles et des représentations (tels des
plans. des plans d'étage et des schémas de câblage). De f3çon
similaire pour les Tl, ditlèrcnts objets (tels des diagrammes,
des organigrammes, des modèles et des codes de données et
de classes) sont utilisés pour amener les divers éléments des
systèmes d'une organisation vers des niveaux de détail de plus
en plus grands.
Le endre de base de Zachman est montré au tableau 2.7.
L'objectif ultime est de remplir toutes les cellules du tableau.
Au début d'un projet d'architecture d'entreprise, la plupart des
organisations auront de la difficulté à remplir toutes les cellules,
en pmticulier celles du niveau supé1ieur.
Lorsqu'elles tentent d'établir une architecture d'entreprise, les
organisations peuvent adopter une approche s'appuyant soit sur la
technologie, soit sur les processus d'entreprise.
L'architecture d'entrep1ise axée sur la technologie a pour objectif
de clarifier les choix technologiques complexes auxquels font
face les organÎ&1.tions modernes. Il s'agit d'apporter une aide
sur des questions telles que le choix ou non d'environnements
techniques avancés et le moment où l'on doit les utiliser (p. ex., la
plateforme JavaEE ou .NET) lors du développement d'application,
comment mieux connecter des systèmes intraorganisationnels ct
interorganisationnels, comment ndaptcr au Web les applications
traditionnelles ou les applications dédiées à la planification
des ressources de J'entreprise (ERP) (idéalement sans trop de
ifâblllau '1.17 -!laille d'architecture d'enlleprise de Zaçhman
Fonctionnelle
Données (application)
Domaine
Modèle d'entreprise
Modèle de systèmes
Modèle de technologie
Représentation détaillée
102
elsa· H
iliedlnfo~ioo
Gert.
Systems Aud1lor'
;;,~""'
réécriture), si l'on doit intemaliser ou externaliser les fonctions
Tl et si 1'on doit choisir ou non des techniques telles que la
virtualisation et l'informatique en nuage.
l~architecture d'entreprise axée sur les processus d'entreprise
tente de comprendre l'organisation en fonction de ses processus
d'ajout de valeur ct de soutien. Par la compréhension des
processus, des composants et de la technologie qui les soutient,
on peut améliorer l 'entreplise au fur et à mesure que les éléments
sont remodelés et remplacés. Cette façon de penser s'appuie
sur les travaux de Michael Po1ier, protèsseur à Harvard, et en
particulier sur son modèle de chaîne de valeur de l'entreprise.
La modélisation des processus d'entreprise reçoit un coup de
pouce supplémentaire grâce à plusieurs modèles d'entrep1ise
s'appliquant à l'ensemble de l'industrie, pm· exemple le module
eTOM Clèlecom Operations Map) et la méthode SCOR (Supply
Chain Operations References), provenant de l'industrie des
télécommunications. Les éléments d'un modèle de processus
d'entrepri::;e peuvent être cmtographiés dans le niveau supérieur
du cadre Je Zaclunan. Une fois ceci terminé, l'organisation peut
évaluer la combinaison optimale des technologies nécessaires
pour soutenir ses processus d'entreprise.
À titre d'exemple, toute organisation fédérale américaine est
tenue par la loi de développer une architecture d'entreprise et
d'établir une structure de gouvernance afin de s'assurer que
l'architecture d'entreprise est prise en compte et maintenue
dans toutes les activités de planification et de budgétisation
des systèmes. La FEA (Federal Enterprise Architecture) a été
créée afin d'orienter ce processus. La FEA est décrite comme
étant« un cadre basé sur l'entreprise et la pcdOrmance afin
d'appuyer la coopération entre les agences, la transfOrmation
et l'amélioration à tous les échelons du gouvernement>) (wlt'W
whitelwuse.gov/omhle-gov(féa). La FEA repose sur une hiérarchie
de cinq modèles de réfCrence :
• Modèle de référence de performance- Cadre qui mesure
le rendement des investissements majeurs des Tl et leur
contribution à la performance du programme.
• Modèle de référence de rent reprise- Cadre axé sur
les fonctions, qui déc1it les fOnctions ct les sous-fonctions
exécutées par le gouvernement, indépendamment des agences
qui les exécutent réellement.
• Modèle de référence des composants de service·-·· Cadre
fonctionnel qui classifie les composants de service appuyant les
objectif-. d'affaires et les objectifs de perform:.mcc.
• Modèle de référence technique- Cadre qui décrit comment
les technologies appuient la livraison, l'échange et la
COJ1Struction de composants de service.
c
Processus
Réseau Personnes {déroulement des
(technologie) (organisation) opérations) Stratégie
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e . certmoo Information
~tems Audito~
M 15.\0A'"C~L''"''"''
Chapitre 2 - Gouvernance et Gestion des Tl
• Modèle de données de rétërencc --Cadre qui déc1it
les données ct l'information appuyant les opérations des
programmes et des domaines d'activité.
La documentation sur l'architecture d'entreprise et la FEA est
principalement utilisée pour maintenir ct décrire la cohérence
technologique, en expliquant ct en évaluant contînuel!emcnt la
technologie gérée par le service des Tl.
Les éléments de la gouvernance des Tl à prendre en compte en
cc qui concerne la gestion d'un service des Tl sont les processus
de sélection et les méthodologies utilisées pour modifier les
technologies stratégiques. Ils influencent les décisions de la
direction ct sont soumis à un risque d'entreprise élevé.
2.4 STRATÉGIE DES SYSTÈMES
D'INFORMATION
Les systèmes d'information sont cruciaux au soutien, à la
durabilité et à la croissance des entreprises. Par le pa.••;sé, les
conseils de gouvemance et les cadres supérieurs pouvaient
minimiser leur participation à la direction et au développement
de la stratêgie et de l'orientation en SI, laissant la majorité des
décisions à la direction fonctionnelle. Cependant, cette approche
n'est plus acceptable ni même possible, vu la dépend;;mce
accrue ou totale sur les SI pour les activités au quotidien et
pour une croissance réussie. En plus de la dépendance quasi-
totale des activités fonctionnelles ct opérationnelles sur les S(,
les organisations doivent l-'aire -t'ace à de nombreuses menaces
internes et externes; celles-ci vont de la surutilisation des
ressources en SI aux erreurs et omissions, en passant par le
cybercrime et la fhtude. Les processus stratégiques de SI font
partie intégrante de la structure de gouvernance organisationnelle.
Ils fournissent l'assurance raisonnable que les but~ et objectifs
d'entreprise, existants comme émergents, seront atteints et
serviront de facilitatcurs essentiels au renforcement de l'avantage
concurrentiel.
2.4.1 PLANIFICATION STRATÉGIQUE
La planification stratégique, du point de vue des Sl. l'ait référence
aux orientations il long terme sur lesquelles s'appuie une
entreprise pour mobiliser les TI nécessaires à l'amélioration ses
processus d'entreprise.
Sous la responsabilité des ditigeants. les Ütcteurs à considérer
comprennent l'identification de solutions des Tl économiques en
réponse aux problèmes et aux opportunités auxquels l'entreprise
doit faire face, ct le développement de plans d'action pour
l'identification et l'acquisition des ressources nécessaires. Lors
de l'établissement de plans stratégiques, qui ont une durée
moyenne de trois ct cinq ans, les entreprises doivent s'assurer
que les pl:ms sont parfaitement alignés et confOrmes avec les
objectifS organisationnels généraux. La direction du service des
Tl conjointement avec le comité directeur ct le comité stratégique
(qui 10urnit des apports stratégiques très utiles liés à la valeur
pmienariale) jouent un rôle essentiel dans le développement et
l'implantation des plans.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
Une planification stratégique efficace des Sl s'accompagne d'une
réflexion sur les besoins de l'entreprise en matière de systèmes
des Tl, nouveaux ou actualisés, et sur la capacité de l'organisation
des Tl à livrer de nouvelles fonctionnalités par l'intermédinire de
projets bien gouvernés. Pour déterminer les besoins de l'entreprise
en matière de systèmes des SI, nouveaux ou actualisés, il faut
examiner de manière systématique les intentions stratégiques de
l'entreprise. comment elles sc traduisent en objectif.., spécifiques
et en initiatives commerciales, et quelles capacités des Tl
seront essentielles pour appuyer ces objectifs et ces initiatives.
Lévaluation des cnpacités des Tl doit reposer sur l'examen du
portefCuille du système existant pour en évaluer la pertinence,
le coût ct le risque qu'il représente. L'évolution de la capacité
de hvraison des Tl sous-entend une révision de l'infrastmcture
technique des Tl et des procédés de soutien clés (p. ex., gestion de
projets, développement de logiciels et pratiques de maintenance,
administration de la s~'CUJité et services d'assistance), afin de
déterminer si une expansion ou une amélioration sont nécessaires.
Il est important que le processus de planification stratégique
prenne en compte la livraison de nouveaux systèmes ou de
nouvelles technologie,.:;, et qu'il puisse aussi examiner les retours
sur investissement dans les domaines TI existants, ainsi que
la mise hors service des systèmes. Le plan stratégique des Tl
doit comparer les coûts de maintenance des systèmes existants
avec le coût des nouvelles initiatives ou nouveaux systèmes qui
soutiennent les stratégies d'entreprise.
L:auditeur des SI doit porter toute son attention sur l'importance
de la planification stratégique des SI, en examinant les pratiques
de contlüle de gestion. De plus, les objectif'i de gouvernance des
Tl exigent que les plans stratégiques des TI soient synchronisés
avec la stratégie d'entreprise globale. l?auditeur des Sl doit
se concentrer sur 1'importance du processus de planification
stratégique ou du endre de planification. On doit accorder une
attention particulière au besoin d'évaluer la façon dont les plans
opérationnels, stratégiques ou de développement des affaires
sont pris en compte dans le développement de la stratégie de
TI, au contenu des plans stratégiques, aux exigences de mise à
jour, à la diffusion des plans et aux exigences de surveillance et
de suivi. L'auditeur des SI doit aussi prendre en considération la
façon dont le gestionnaire ou les dirigeants des Tl sont impliqués
dans la création de la stratégie d'entreprise globale. Un manque
d'implication des Tl dans la création de la stratégie d'entreprise
indique la présence d'un risque que les plans ou la stratégie des Tl
ne soient pas alignés avec la stratégie d'entrepdse
2.4.2 COMITÉ DIRECTEUR DES Tl
Les dirigeants de l'entreprise doivent nommer un comité de
planification ou un comité directeur afin de superviser les
f'i:mctions ct activités des TI, Un comité directeur cie haut niveau
pour les systèmes d'infOrmation pcnnet d'assurer l'harmonisation
du service des Tl nvec la mission et les objectifS de l'entreprise.
Même s'il ne s'agit pas d'une pratique courante, il est f01iement
recommandé qu'un membre du conseil d'administration, qui
soit au fait des !isques et des enjeux, soit responsable des Tl et
assure la présidence de ce comité. Le comité doit inclure des
représentants de la haute direction, de chaque ligne métier, des
grands services comme les RH et les finances ainsi que le service
des Tl.
103
 Section deux : Contenu
Chapttre 2 - Gouvernance et G es t-10n ues
Les responsabilités et les obligations du comité doivent être
définies dans une cha1te officielle. Les membres du comité
doivent connaître les politiques, procédures et pratiques du
service des TL Chaque membre doit avoir l'autorisation de
prendre des décisions au sein du groupe en fOnction de son
domaine respectif.
Un tel comité sc11 habituellement de conseil de révision général
pour les projets majeurs des SI et ne doit pas ètre impliqué dans
les opérations de routine. Les fonctions principales du comité
comprennent :
• l'examen des plans à long et court terme du service des Tl pour
assurer leur conformité aux objectifs de l'entreprise;
• l'examen et l'approbation des acquisitions majeures
d'équipement et de logiciels dans les limites approuvées par le
conseil d'administration;
• l'approbation et le contrôle des projets majeurs ct de l'état
des plans ct budget«: des SI, l'établissement des priorités,
l'approbation des normes et procédures ainsi que le contrôle de
la performance générale des SI;
.. l'examen et l'approbation des stratégies d'externalisation
pour l'ensemble des activités Tl ou pour certaines d'entre
elles, y compris l'internalisation et J'extcrnalisation, ainsi que
l'internationalisation et la délocalisation des fonctions;
• l'examen de la pertinence des ressources et de leur attribution
en fonction du temps, du personnel et de l'équipement~
.. la prise de décisions concernant la centralisation ou la
décentralisation ct J'assignation de responsabilités;
• le soutien au développement et à l'implantation d'un
programme de gestion de la sécurité de l'infûnnation pour
1'entreprise~
• Je rapport des activités des SJ au conseil d'administration.
Remarque : Les responsabiJit.és varient d'une entreprise à
J'autre, et les responsabilités mentionnées plus haut sont celles
que l'on attribue le plus fréquemment à un comité directeur
des TI. Chaque entreprise devrait pos.sèder des cadres de
référence officiellement documentés et approuvés pour son
comité directeur~ et l'auditeur des SI devrait se familiariser avec
la documentation du comité directeur des Tl et comprendre
les principales responsabîlités aftèctées à ses membres. De
nombreuses entreprises pourraient désîgner cc comité sous un
autre nom. L'auditeur des SI do il repérer le groupe qul exerce
~~~- ~!1ction~ d~-~~~::'._PI_u~~~-t_l.!:. ___ ~·-·---- ------···
Le comité directeur des Tl doit obtenir les intOnnations de gestion
appropriées des services des Tf, des services des utilisateurs et du
service de l'audit, atïn de coordonner et contrôler efficacement
les ressources SI de l'entreprise. JI doit contrôler la performance et
déterminer les mesures appropriées pour obtenir les résultat.'> désirés.
Le comité doit rencontrer régulièrement la direction el lui présenter
des rappmis. Des comptes rendus des rencontres du comité directeur
des sr doivent être rédigés afin de documenter les activités et les
décisions du comité.
104
.
_, ..,.,
•• e ~~:~:.,,~itot
CISA: Certified Information
2.5 MODÈLES D'ÉVOLUTION DES CAPACITÉS
ET D'AMÉLIORATION DES PROCESSUS
La mise en œuvre de la gouvernance des Tl nécessite une mesure
continue de la performance des ressources d'une organisation qui
conhibuent à l'exécution des processus fournissant les services des
TI à l'entrep1ise. Maintenir une efllcacité constante des processus
requiert la mise en œuvre d'un cadre de maturité de processtL'>.
Ce cadre peut êtTe basé sur divers modèles comme l'intégration
du modèle de stabilisation des capacités (CMMI"), le modèle
Initier, Diagnostiquer. Établir, Agir et Apprendre (IDÉAL), etc.
Cette section présente plusieurs processus de maturité et modèles
d'amélioration que les candidat.<> au titre Cl SA peuvent retrouver au
sein d'une organisation.
Le modèle d'évaluation des processus (PAM) de CO BIT,
lequel utilise CO BIT 5, a été développé afin de répondre au besoin
d'améliorer la 1igueur et la fiabilité des examens de processus
des Tl. Le modèle sert de document de référence pour réaliser
des évaluations des capacités des processus des TI actuels d'une
organisation. En outre, il définit l'ensemble minimal des exigences
afin de mener une évaluation pour assurer que les résultats sont
unifOrmes, reproductibles et représentatif..;; des processus évalués. Il
est conforme à la norme ISO/lEC 15504-2 et utilise les indicateurs
de capacité!perfonnance de processus afin de déterminer si les
attributs des processus ont été atteints .
Le modèle IDÉAL est un modèle de programme d'amélioration du
processus de création de logiciels, développé par l'Institut de génie
logiciel de l'Université Camegie Mcllon. JI fonne une infrastruc~re
afin d'orienter les entreprises en matière de planification et de m1se
en œuvre d'un programme d'amélioration efficace de processus
logiciel. Il est composé de cinq phases : Initier, Diagnostiquet;
Établir, Agir et Apprendre (IDÉAL}
Le CMMI est une approche qui fournit aux entreprises les
éléments essentiels à la mise en place de processus efficaces.
Elle peut servir à guider l'amélioration des processus d'un projet,
d'une division ou de l'ensemble d'une organisation. Le CMMJ
permet d'intégrer des fonctions organisationnelles nonnalement
séparées, de fixer des objectifs et des priorités d'amélioration des
processus et d'orienter les processus de qualité, et elle fournit
un point de référence pour l'évaluation des processus actuels.
Le modèle de capacité des processus est basé sur la norme
reconnue à l'échelle internationale d'évaluation des processus
-Technologie de l'information ISO/IEC 15504. Ce modèle
réalisera les mêmes objectifs globaux d'évaluation des processus
et de soutien à l'amélioration des processus (c.-à-d. qu'il
foumira un moyen d'évaluer la pelformance de tout processus
de gouvernance de COBIT 5 [basés sur la GED] ou de processus
de gestion [basés sur le PBRM], et permettra l'identification de
zones d'amélioration).
2.6 INVESTISSEMENT Tl ET PRATIQUES
D'ALLOCATION
Chaque entreprise doit relever le détï d'utiliser ses ressources
limitées, y compris ses ressources humaines et financières,
pour atteindre ses buts et objectif.'\:. Lorsqu'une organisation
Manuel de Préparation CISA 26" édition
ISACA. Tous droits reservés.
e '. ertirll!d lnfnrmation
~tems Audit~
"'"'"""""'"""'""
Chapitre 2 - Gouvernance et Gestion des Tl
investit ses ressources dans un eifort donné, elle engage des
coûts de renonciation, car elle e,.<;t alors dans l'impos..;;ibilité
d'explorer d'autres occasions qui pourraient apporter de la
valeur à l'entreprise. Un auditeur des Sl doit comprendre les
pratiques d'investissement et d'allocation d'une organisation pour
déterminer si elle est en mesure d'obtenir le meilleur rendement
possible de 1'investissement de ses ressources.
Par le passé, les professionnels des Tl et la haute direction
avaient en tête les avantages financiers lorsqu'ils discutaient
du rendement du capital investi (RCI) en TL Aujourd'hui, les
dirigeants d'entreprise tiennent aussi compte des avantage.<; non
financiers des investissements en Tl. Dans la mesure du possible,
des avantages non financiers devraient être visibles et tangibles
par l'utilisation d'algorithmes qui les transforment en unités
monétaires afin de comprendre leurs répercussions et d'améliorer
leur analyse.
Les avantages financiers comprennent l'impact sur le budget et
les finances de l'organisation (p. ex., des réductions de coûts ou
une augmentation du revenu).
Les avantages non financiers comprennent 1'impact sur la
performance et les résultats d'activité ou de mission (p. ex., une
plu-. grande satîsfaction de..'i clienl'i, de l'information plus juste,
un cycle plus court).
2.6.1 VALEUR DES Tl
Les décideurs sélectionnent les projets de TI en fonction de la
valeur perçue de l'investissement. La valeur des Tl se détermine
par la relation entre ce que l'organisation paiera (coûts) et ce
qu'elle recevra en retour (avantages). Plus les avantages sont
grands relativement aux coûts, plus la valeur du projet de Tf est
grande.
La gestion d'un portefeuil1e de Tl est différente de la gestion
financière des Tl en ce sens qu'elle a un objectif stratégique
explicite pour détenniner où l'entreprise investira ou continuera
d'investir et ce qu'elle laissera de côté.
Dans COBIT 5, le proce.'i.<>US EDS02 Assurer la réalisation des
bén4fices optimise la contribution à la valeur de l'entreprise des
processus d'affaires, des services des Tl et des actif.'i des Tl résultant
des investissements réalisés par les Tl à des coûts acceptables. Les
principales pratiques de gouvemance du processus comprennent :
1, Évaluer l'optimisation de la valeur.
2. Diriger l'optimisation de la valeur.
3. Surveiller l'optlmisn.tion de la valeut:
2.6.2 MISE EN PLACE DE LA GESTION DU
PORTEFEUILLE DETI
Les méthodes de mise en œuvre comprennent : analyse du profil
de 1isque; diversification des projets, de l'infrastructure et des
technologies; harmonisation continue aux objectifs d'affaires; et
amélioration continue.
Il n'existe pas de méthode idéale unique pour mettre en œuvre la
gestion du portefeui11e de TI; par conséquent, diverses approches
peuvent être appliquées.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
2.6.3 GESTION DU PORTEFEUILLE DETI PAR
OPPOSITION À UN TABLEAU DE BORD ÉQUILIBRÉ
LC plus grand avantage de la gestion du portefeuille de Tl
est sa souplesse pour ajuster !es investissements. Bien qu'un
tableau de bord équilibré mette également l'accent sur la
prévoyance ct la stratégie pour toute décision d'investissement,
son objectif ne réside pas dans la supervision et le contrôle du
budget opérationneL La gestion du porteCeuille des TI permet
aux organisations d'ajuster les investissements en fonction du
mécanisme de rétroaction intégré.
2.7 POLITIQUES ET PROCÉDURES
Les politiques et procédures rellètcntl'orientation et les
conseils apportés par la direction relativement aux systèmes
d'information, aux ressources connexes et aux processus du
service des TL
2.7.1 POLITIQUES
Les politiques constituent des documents de haut niveau.
Elles représentent la philosophie d'une organisation. Pour être
cfllcaccs, elles doivent être claires et concises. La direction
doit créer un environnement de contrôle positif en assumant la
responsabilité de formuler, développer, documenter~ diffUser et
contrôler les politiques ayant trait aux directives ct aux objectifs
globaux. La direction doit prendre les mesures nécessaires pour
s'assurer que les employés a1lèctés par une politique spécifique
reçoivent une explication complète de la politique en question ct
comprennent ses objectifs. De plus, les politiques peuvent aussi
s'appliquer aux tierces pmiies ct aux sous-traitants, qui devront
s'engager par contrat ou en acceptant les énoncés de travaux
(_[~DT) à respecter ces politiques.
En plus des politiques d'entreprise, qui donnent le ton à
l'organisation entière, les divisions et les services doivent définir
des politiques de niveau interieur. Ces politiques doivent être
cohérentes avec les politiques d'entreprise. Elles s'appliquent aux
employés ct aux activités de ces divisions, et se concentrent sur le
niveau opérationneL
La direction doit réviser toutes les politiques périodiquement.
Ces documents devraient préférablement spécifier une date
de révision, dont l'auditeur des SI devrait vérifier qu'elle est à
jour. Elles doivent être mises à jour pour retléter les nouvelles
technologies, les changements à l'environnement (p. ex., les
exigences de conformité aux réglementations) et les changements
irnportants dans les processus d'entrep1ise, en exploitant les
technologies de l'infom1atîon pour augmenter l'efTkience et
l'efficacité de la productivité et des avantages concurrentiels.
Les politiqUes formulées doivent soutenir l'atteinte des objectif-S
d'affaires ct l'implantation des contrôles des SI. Toutefois, la
direction doit être sensible aux besoins des clients ct changer
les politiques pouvant diminuer la satisfaction des clients ou
la capacité de l'organisation à atteindre ses o~jectifs. Cette
considération doit tenir compte des questions de confidentialité et
de sécurité de l'information, qui pourraient aller à contre-courant
des commodités pour le client. Les politiques générales de niveau
105
 Section deux : Contenu Chapitre 2 - Gouvernance et Gestion des Tl
supérieur ct les politiques détaillées de niveau inférieur doivent
être harmonisées aux objectifs de l'entreprise.
Dans le cadre de la portee d'audit, les auditeurs des SI doivent
comprendre les politiques et doivent en lester la conformité. Dans
une entreprise. !es contrOles des SI doivent résulter des politiques,
et les auditeurs des SI doivent utiliser les politiques comme
point de référence pour l'évaluation de la conformité. Toutefois,
si des politiques gênent l'atteinte des objectifS de l'entreprise,
elles doivent être identifiées ct signalées afin d'être amélîorCes.
L'auditeur des SI doit aussi examiner de quelle façon les
politiques s'appliquent aux tierces parties ou aux sous-traitants,
de quelle façon ces demières se conforment aux politiques, ou si
les politiques des tierces pmiies ou des sous-traitants entrent en
conflit avec les politiques de l'organisation.
Politique de sécurité de l'Information
Une politique de sécurité de l'information communique une
norme de sécurité cohérente aux utilisateurs, à la direction et
au personnel technique. Une telle politique pour l'information
ct la technologie connexe constitue !a première étape en vue
de la construction d'une iniTastructurc de sécu1ité pour les
organisations axées sur la technologie. Les politiques établissent
souvent les étapes en fOnction des outils et procédures nécessaires
à l'organisation. Les politiques de sécurité de lïnfonnation
doivent équilibrer le niveau de contrOle avec le niveau de
productivité. De plus, le coüt d'un contrôle ne doit jamais
dépasser le béné·fîcc prévu qui en découle. En élaborant et en
implantant ces politiques, la culture organisationnelle jouera
un rôle important. La politique de sécurité de lïntbrmation
doit être approuvée par la direction. Elle doit être documentée
et communiquée à tous les employés, fournisseurs de services
et partenaires d'afihires pertinents. La politique de sécurité de
l'information doit être utilisée par les auditeurs des SI en tant que
cadre de référence lors de l'exécution des diverses an-ectations
d'audit des SI. La justesse ct l'exactitude de la politique de
sécurité peuvent aussi faire l'objet d'un examen par l'auditeur des
SI.
DOCUMENT LIÉ À LA POLITIQUE DE SÉCURITÉ DE
IJINFORMATION
La politique de sécurité de l'information doit faire mention
de l'engagement de la direction et annoncer l'approche
de l'organisation en matière de gestion de la sécmité de
l'infOrmation. La nonne ISO/IEC 27001 (ou autres normes
équivalentes) ainsi que les directives 27002 peuvent être
considérées comme une référence pour élaborer le contenu
couvert par le document lié à la politique de sécurité de
l'information.
Le document de politique doit contenir:
• Une définition de la sécurité de l'infOrmation, ses objectifs
généraux et sa portée, ainsi que l'importance de la sécurité en
tant que mécanisme favorisant le partage d'information.
• l?énoncé des intentions de la direction appuyant les oQjcctifs et
principes de sécurité de l'information en lien avec la stratégie et
les objectif.'> de l'entreprise.
• Un cadre définissant les objectif.<; de contrôle et les contrôles, y
compris la structure de l'évaluation et de la gestion des risques.
.. Une brève explication des politiques. ptincipes et normes de
sécurité de l'înfonnation, ainsi que des exigences de contàrmité
106
9•s~~,.· certmed.lnfo!"Jllauon
...._ Systems Auditor'
~~;;;;;;:t;;;;;--
d'une importance particulière à l'organisation, y compris;
-- la confOrmité aux exigences législatives, réglementaires et
contractuelles:
les exigences relatives à l'éducation, à la formation et ù la
sensibilisation en matièœ de sécurité de l'information;
la gestion de la continuité de l'entreprise;
- les conséquences des violations de la politique de sécurité de
l'information.
• Une définition des rcsponsabil ités générales ct spécifiques
pour la gestion de la sécurité de l'information, y compris le
signalement des incidents liés à la sécurité de l'information.
• Les références à la documentation appuyant la politique (p. ex.,
des politiques, procédures et nonnes de sét:urité plus détaîllées
pour les systèmes d'information spécifiques, ou les règles de
sécwité auxquelles les utilisateurs doivent se confOrmer).
Cette politique de- sécurité de l'information doit être
communiquée dans toute l'organisation aux utilisateurs, dans
une forme accessible et compréhensible pour le lecteur visé. Elle
peut constituer une partie d'un document général de politique,
ct peut être distribuée aux tierces parties et aux sous~ traitants de
a
l'organisation condition qu'une attention spéciale soit pmtée
afin de ne pas divulguer d'informations confidentielles. Tous les
employés ou tierces parties ayant accès aux actifs informationnels
doivent signer un document démontrant leur compréhension et
leur consentement à se conformer à la politique de séculité de
l'information; ceci doit se faire au moment de l'embauche et sur
une base régulière par la suite (p. ex., annuellement) pour prendre
en considération les changements pouvant survenir au fil du
temps.
Si cela est nécessaire et approprié, l'organisation peut documenter
les politiques de sécurité de J'infOrmation comme une série de
politiques. En génér-al, les questions de politique suivantes sont
traitées :
• lJnc politique de sécurité de l'information de haut
niveau doit comprendre les énoncés sur la confidentialité,
l'intégrité ct la disponibilité.
• lJne politique de classification des données doit décrire
les classifications, les niveaux de contrôle pour chaque
classification et les responsabilités de tous les utilisateurs
potentiels, y compris le prop1iétairc.
• Une politique d'utilisation acceptable est une politique
détaillée comprenant l'infOrmation sur toutes les ressources
infonnationnelles (matériel, logiciels, réseaux, Internet, etc.) et
décrivant les permissions organisationnelles d'utilisation des Tl
et des ressources infOrmationnelles liées.
• Une politique d'utilisateur final décrit les paramètres et
l'utilisation des outils de bureau, de lïnfonnatiquc mobile et
autres outils par les ulilisateurs.
• Les politiques de contrôle d'accès déc1ivent les méthodes
pour définir et accorder !"accès aux diverses ressources des Tl.
POLITIQUE D'UTILISATION ACCEPTABLE
L'utilisation inappropriée des ressources de Tl expose une
entreprise à un risque (y compris des attaques virales) portant
atteinte à l'intégrité des systèmes et services du réseau, et
pouvant occasionner des problèmes juridiques. Afin de remédier
à cela, une organisation définit un ensemble de lignes directrices
ou de règlements mis en œuvre afin de contrôler comment ses
Manuel de Préparation CISA 26" édition
lSACA. Tous droits réservés.
e. Certified klftl~m.
M Systems Au!litor'
"""""""''"''""'
alion Chapitre 2 - Gouvernance et Gestion des Tl
ressources de systèmes d'infonnation seront utilisées. Ces lignes
directrices ou règlements sont appelées Politique d'utilisation
acceptable (PUA). On demande fréquemment aux nouveaux
employés d'une entreprise de signer une entente avant d'autoriser
leur accès aux systèmes d'information.
La PUA doit déc1ire ce que l'entreprise considère être une
utilisation acceptable des ordinateurs, dans le but de protéger
tant l'employé que l'entreprise des conséquences de gestes
illégaux. Pour cette raison, la PUA doit être concise et claire,
tout en couvrant les points les plus importants, par exemple
définir qui est considéré comme un utilisateur et ce que les
utilisateurs ont le droit de faire avec les systèmes de SI. La PUA
devrait renvoyer les utilisateurs à une politique de sécurité plll~
complète, s'il y a lieu. La PUA doit également définir quelles
sanctions s'appliqueront si l'utilisateur ne s'y conforme pas; ces
sanctions pourraient aller jusqu'au congédiement. Le respect
de cette politique doit être vérifié par des audits réguliers. Cette
politique devrait affirmer (en des termes rédigés par un conseiller
juridique) le droit de l'entreprise à conserver des registres, copies
et copies de sauvegarde, à effectuer des analyses juridiques
manuelles ou automatisées et à utiliser les éléments probants en
cour, tout en respectant le droit à la confidentialité.
La fonne de PUA la plus courante est la politique sur l'utilisation
acceptable d'Internet, qui décrit le code de conduite régissant
le comportement d'un utilisateur branché à lntemet. Le code
de conduite peut comprendre la « nétiquette )) -une description
du langage jugé approprié en ligne. Le code de conduite doit
également préciser ce qui est considéré comme une activité
personnelle interdite ou excessive. Le respect du code de conduite
aide à assurer que les activités de l'utilisateur n'exposeront pas
l'entreprise à des risques quant à la sécurité de l'information.
RÉVISION DE LA POLITIQliE DE Sl,CliRITÉ DE
IJIN~'ORMATION
La politique de sécurité de l'information doit être révisée à
intervalles réguliers (au moins annuellement), ou lorsque des
changements majeurs surviennent dans l'entreprise. à ses activités
ou aux risques inhérents liés à la sécurité. afin d'assurer sa
justesse, son efficacité et sa pettinence. Cette politique de sécurité
de l'information doit avoir un titulaire ayant la responsabilité
officielle du développement, de la révision et de l'évaluation
de cette politique. La révision doit faire en smte que les
évaluations soient l'occasion d'améliorer la politique de sécurité
de l'information et J'approche pour la gestion de la sécurité
de l'inf01mation, en réponse aux changements survenus dans
l'environnement organisationnel, la situation de l'entreprise, les
conditions juridiques et l'environnement technique.
Le maintien de la politique de sécurité de l'information doit tenir
compte du résultat de ces révisions. Des procédures définies de
révision de gestion, y compris un horaire ou une période pour la
révision, doivent être mises en place.
Les éléments de révision de gestion doivent comprendre:
• les réactions de groupes concernés;
• les résultats de révisions indépendantes;
• l'état des mesures préventives, de détection et cotTectriccs;
• les résultats des révisions de gestion antérieures;
• la performance du processus et la conformité ù la politique de
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
sécurité de l'information:
• les changements qui pourmient nffCcter l'approche de
l'organisation relativement à la gestion de la sécurité de
l'information, y compris les changements effectués à
1'environnement organisationneL la situation de 1'entreprise,
la disponibilité des ressources, les conditions contractuelles,
réglementaires et juridiques, ou l'environnement technique:
• 1'uti!isntion de sous-tTaitants ou de ln délocalisation des Tl ou
des fonctions de l'entreprise;
• les tendances liées aux menaces et aux vulnérabilités:
• le signalement des incidents liés à la sécurité de lïnformation;
• les recommandations fournies par les autorités concernées.
Les résultats de la révision de gestion doivent comprendre toutes
les décisions et mesures en lien relatives à:
•l'amélioration de l'hannonisation de la sécurité de l'information
avec les objectif:-. métiers;
•l'amélioration de l'approche de l'organisation face à la gestion
de la sécurité de l'intOnnation ct de ses processus;
• l'amélioration des objectif."' de contrôle et des contrôles;
• l'amélioration de l'attribution des ressources ct des
responsabilités.
Un registre des révisions de gestion doit être maintenu, et la
politique révisée doit obtenir l'accord de la direction.
~
-~~~-~~ ~~~-----~~~·~-~--~~·~~~~~ ~~~~··-~·---~~!]~~~~-~~-
marque : Cet examen est citt."Ctué par la direction afin de
rer les changements dans les facteurs environnementaux.
..
""-~---·"-·- ·----~----~------······--··----~---··-····-· ....·----"------ -~·
Tout en examinant les politiques, l'auditeur des SI doit évaluer ce
qui suit:
• La base sur laquelle la politique a été définie- généralement,
elle se base sur un processus de gestion du risque.
" Le camctère approprié de ces politiques.
• Le contenu des politiques.
• Les exceptions aux politiques-- notant clairement les domaines
pour lesquels les politiques ne s'appliquent pas ct pourquoi--
(p. ex., la politique sur les mots de passe pourrait ne pas être
compatible avec les applications patrimoniales).
• Le processus d'approbation des politiques.
• Le processus de mise en œuvre des politiques.
• EfTicacité de la mise en place des politiques.
• Conscicntisation ct formation.
• Examen périodique et processus de mise à jour.
2.7.2 PROCÉDURES
Les procédures sont des étapes définies et documentées
permettant J'atteinte des objectifs des politiques. Elles doivent
résulter des politiques mères et doivent mettre en œuvre l'idée
(l'intention) de l'énoncé de politique. Les procédures doivent
être éclitcs de façon claire et concise, afin qu'elles puissent
être comprises facilement et convenablement par ceux qui les
suivent. Les procédures offrent de la documentation sur les
processus d'entreprise ct les processus de Tl qui y sont alignés
(administmtifs et opérationnels) ainsi que les contrôles m;sociés.
Les procédures sont formulées par les propriétaires des processus
ct traduisent de façon etricace les politiques.
107
Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
En général, les procédures sont plus dynamiques que leurs
politiques apparentées. Elles doivent refléter les changements
courants intervenus dans les pliorités de r entreprise ct de
Tl ainsi que l'environnement Par conséquent des révisions
fréquentes et des mises à jour sont essentielles afin que les
procédures demeurent pertinentes. Les auditeurs des SI révisent
les procédures pour idcnti fier, évaluer et, par la suite, tester les
contrôles en lien avec les processus d'entreprise et de Tl. Les
contrôles liés aux procédures sont' évalués afin de s'assurer qu'ils
respectent les objectif..;; de contrôle nécessaires, tout en rendant
le processus aussi efficace et pratique que possible. Lorsque les
pratiques opérationnelle::; ne correspondent pas aux procédures
documentées, ou lorsque les procédures documentées n'existent
pas, il est difficile (pour la direction et les auditeurs) d'identifier
les contrôles et de veiller à ce qu'ils soient en opération continue.
Il est très important que les procédures soient bien connues des
gens à qui elles s'adressent. Une procédure mal connue par Je
personnel visé est, essentiellement, inefficace. Par conséquent,
une attention particulière doit être portée aux méthodes de
déploiement et à l'automatisation des mécanismes pour
entreposer, distribuer ct gérer les procêdures des Tl.
Les procédures sont souvent enchâssées dm1s les systèmes
d'intûnnation, une pratique recommandable pour consolider leur
intégration dans l'entreprise.
2.8 GESTION DU RISQUE
La gestion du risque signifie le processus d'identification
des vulnérnbîlités et des menaces touchant' les ressources
intümmtionnelles utilisées par une organisation pour atteindre
les objectifs de i'cntrepJisc. Ce processus comprend également
le choix des mesures de prévention (dispositifS de sécurité ou
contrôles), s'il y a lieu, qui seront mises en place pour réduire
les risques jusqu'à un niveau acceptable (c.-à d. risque résiduel),
4
en se fOndant sur la valeur que représentent les ressources
informationnelles pour l'entreprise.
Une gestion des 1isques e1Tîcace commence par une
compréhension adéquate de la propension de l'organisation à
prendre des risques. Cet élément do il donner la direction à tous
les elforts mis dans la gestion des risques, dans un contexte de
Tl, et avoir un effet sur les investissements futurs en technologie,
sur le degré de protection des actifs Tl et sur le degré d'assurance
requis. La gestion des risques comprend l'identification,
l'analyse, l'évaluation, le traitement, le suivi et la communication
des impacL<> des risques dans les processus en TL Il est possible de
mettre en place des stratégies de gestion des risques et de préciser
les responsabilités lorsque la propension à prendre des risques et
les risques d'exposition ont été définis. En fonction du type de
risque ct de son importance pour l'entreprise, les gestionnaires et
le conseil d'administration pourraient choisir:
• une scratégie d'évitement~ Éliminer le risque en éliminant la
cause (p. ex., lorsque cela est possible, ne pas mettre en œuvre
ce1tains processus et activi1és s'ils risquent d'entraîner un
risque);
• une stratégie d'atténuation- Réduire la probabilité ou
l'impact d'un risque en définissant et implantant des mesures de
contrôle appropriées;
108
eiS"' certmedlnlo~tion
.M. Systems AudrtcFr'
;:;:~·-
• une stratégie de partage ou de transfert (détourner ou
répartir)··· Partager le risque avec des partenaires ou le
transférer à la suite d'une couverture d'assurance, une entente
contractuelle ou autre;
• une stratégie d'acceptation"." Reconnaître fOrmellement
l'existence du 1isque et en assurer le suivi.
En résumé, le risque peut être évité, atténué, transféré, ou
accepté. Une organisation peut aussi choisir de rejeter le risque en
1'ignorant, ce qui peut s'avérer dangereux et doit avoir l'effet d'un
signal d'alanne pour l'auditeur des SI.
2.8.1 CONCEPTION D'UN PROGRAMME DE GESTION
DES RISQUES
!_,cs ét<Ipes du développement d'un programme de gestion du
1isquc comprennent :
• Établir l'objectif du programme de gestion des risques-
La première étape est de déterminer l'objectif de l'organisation
en créant un tel programme. [objectif du programme peut
consister en la réduction des coûts d'assurance ou du nombre
d'actes dommageables liés aux programmes. En déterminant
cet objectif avant de procéder à la planification de la gestion
des risques, 1'organisation peut définir des indicateurs clés de
performance (ICP) et examiner les résultats pour évaluer son
efficacité. Généralement, la haute direction, ainsi que le conseil
d'administration, effectuent les mises en place préliminaires et
dictent les objectif-. du programme de gestion des risques.
• Affecter les responsabilités pour le plan de gestion des
risques - La deuxième étape consiste à désigner une personne
ou une équipe qui sera responsable de la conception et de
la mise en œuvre du programme de gestion des risques de
l'organisation. Puisque l'équipe est principalement responsable
du plan de gestion des risques, le succès d'un progrnmme
nécessite l'intégration de la gestion des risques à tous les
niveaux de l'organisation. Le personnel responsable des
opérations et les membres du conseil d'administration doivent
aider le comité de gestion des 1isques à identifier les risques et
à créer des stratégies d'intervention adCquates tàcc aux pertes
liées au contrôle.
2.8.2 PROCESSUS DE GESTION DES RISQUES
Une entreprise souhaitant s'assurer qu'elle gère ses risques de
façon constante et adéquate doit concevoir et mettre en œuvre un
processus reproductible de gestion des risques de Tl. COBIT 5
fournit un processus de gestion du risque, APO 12 Gérer les
ri.vques. Les principales pratiques de gestion comprennent:
1. Collectt:r des données.
2. Analyser le risque.
3. Maintenir un profil de risque.
4. Énoncer le risque.
5. Définir un poticfCuillc d'actions liées à la gestion des risques.
6. Réagir au risque.
Étape 1 : Repérer les actifs
La première étape du processus consîste ù repérer et à recueillir
des données pertinentes permettant de cerner efficacement Je
risque lié aux TI, de l'analyser et de tàire rapport Cela facilitera
la détem1Ümtion des ressourœs ou actifs informationnels
Manuel de Préparation C/SA 26" édition
ISACA. Tous dmits réservés.
e certmed Information
Systems Audltor"
"'~""""'"'"''"'
Chapitre 2 - Gouvernance et Gestion des Tl Section deux : Contenu

qui doivent être protégés parce qu Ils sont vulnérables aux
menaces. Dans ce contexte, les menaces peuvent être une
circonstance ou un Cvéncrnent susceptible de nuire à une
ressource informationnelle, tel que la destruction, la divulgation,
la modification des données ou le déni de service. Cette
classification peut avoir pour objectif soit la priorisation des
enquêtes et l'identification des mesures de protection appropriées
(simple classification qui se fonde sur la valeur de l'actif), soit
l'application d'un modèle de protection standard (classifications
en fonction de l'importance et de la sensibilité). Voici quelques
exemples d'actifs qui sont souvent associés al'information et aux
Tl:
• infOrmations ct données;
• matériel;
• logiciel;
• documents;
• personnel.
Il existe également d'autres actifs plus traditionnels, tels que les
bfltiments, le stock (les biens disponibles) et les actif,<; monétaires
et incorporels conune le fonds commercial, l'image ou la
réputation.
Étape 2 : Évaluer les menaces et les vulnérabilités
La deuxième étape consiste à évaluer les menaces et les
vulnérabilités associées aux ressources informationnelles ct le
risque qu'elles surviennent. Les classes de menaces les plus
courantes sont :
• les erreurs;
• les attaques ou les dommages malveillants;
• la fraude;
• le vol;
• le bris d'équipement et de logiciels.
Les risques de Tl se présentent ù cnuse des menaces (ou
prédispositions) qui peuvent exploiter les vulnérabilités liées à
l'utilisation des ressources informationnelles. Les vulnérabilités
sont des caractéristiques propres aux ressources infOrmationnelles
qui peuvent être exploitées par un élément menaçant pour causer
préjudice, Voici des exemples de vulnérabilités:
• un manque dans les connaissances de l'utilisateur;
• une lacune dans la fonctionnalité de la sécurité;
• une conscicntisation ou une fonnation inadéquate de l'utilisateur
(p. ex., un mauvais choix de mots de passe);
• une utilisation de technologies non testées;
• la transmission de communications non protégées.
Pour qu'une vulnérabilité se concrétise, elle doit être exploitée par
une menace humaine ou environnementale. Voici des exemples
typiques d'acteurs humains présentant des menaces:
• Novices (pirates débutants)
• Pirates activistes
• Criminels
• Terroristes
• ~~tats-nations
• Émeutes et agitation civile
Voici des exemples typiques de menaces environnementales :
• Inondations
• Foudre
• Tornades
• Ouragans
• Séismes
Étape 3 : Évaluer l'impact
Le résultat de l'exploitation d'une vulnérabilité est appelé un
impact L:impact peut varier en importance, en sévérité et en
durée. Dans les organisations commerciales, les menaces ont
habituellement pour résultat une perte financière directe ù court
terme ou une perte financière ayant un eff-Ct à long terme. Il existe
plusieurs types de pertes, dont :
•la perle directe en argent (comptant ou en crédit);
• la violation des règlements (p, ex., divulgation non autorisée);
• l'atteinte à la réputation/à l'achalandage;
• la mise en danger du personnel ou des clients:
• le bris de connancc;
• la perte d'une occasion d'affaires;
• la diminution de l'efficacité/du rendement lié aux opérations~
•l'interruption des activités de l'entreprise.
Étape 4 : Calculer le risque
Une fOis que ces éléments de risque ont été établis, ils sont
combinés pour obtenir une vue d'ensemble du 1isque. Une
méthode souvent utilisée de combinaison des éléments consiste
à faire le calcul suivant pour chaque menace: (probabilité de
l'occurrence) X (magnitude de l'impact). Cela donne une rnesure
du risque globaL
Le risque est proportionnel à la probabilité estimée de la menace
et à la valeur de la perte ou du dommage.
Étape 5 ; Évaluer le risque et y répondre
Une fois que les risques ont été identifiés, les mesures de contrôle
existantes peuvent être évaluées ct les nouvelles mesures, conçues
pour réduire la vulnérabilité à un niveau acceptable. Ces mesures
de contrôle, appelées contre-mesures ou dispositif.<; de sécurité,
peuvent prendre !a forme d'actions, d'appareils, de procédures
ou de techniques (p. ex., personnel, processus ou produits). Le
potentiel d'une mesure de contrôle peut être mesuré en termes
de potentiel propre et de conception et par son efficacité. Les
caractéristiques de contrôle devant être considérés lors de
l'évaluation du potentiel de contrôle comprennent des mesures de
contrôle préventives, de détection ou correctrices, manuelles ou
automatisées, ct formelles (p. ex., documentées dans les manuels
de procédures et la preuve que leur opération est maintenue) ou
ad hoc.
Le risque résiduel, soit le niveau de 1isque qui demeure, une
fois les mesures de contrôle appliquées, peut être utilisé par
les gestionnaires pour identifier les domaines qui nécessitent
davantage de mesures de contrôle, afin d'obtenir une réduction
accrue du risque. Un objectif de niveau de risque acceptable
peut être établi par les gestionnaires (propension à prendre des
risques), Le risque qui dépasse cc niveau déterminé doit être
atténué par la mise en place de mesures de contrôle plus sévères.
Le risque qui se situe sous le niveau acceptable doit être évalué
pour déterminer si des mesures de contrôle trop drastiques ont été
appliquées et si des économies peuvent être réalisées en éliminant
cet·taines des mesures excessives. L'acceptation finale du risque
résiduel tient compte de :

Manuel de Préparation CISA 26" édition 109

ISACA. Tous droits réservés,
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
• la politique organisationnelle;
• la tolérance au risque;
• l'identification ct la mesure du risque;
• llncetiitude liée à l'approche d'évaluation du risque;
•le coût ct l'efficacité de la mise en œuvre~
• le coût des mesures de contrôle pnr mpport aux hé né fiees.
Il est important de réaliser que la gestion des risques liés aux TI
doit se faire à plusieurs niveaux, incluant:
• Les opérations -- Du côté des opérations, chacun est touché par
le risque qui pourrait compromettre l'efficacité des systèmes de
Tl et l'infrastructure de soutien, par la cnpacîté à contourner des
mesures de contrôle du système ainsi que par la possibilité de
petie ou d'un caractère non fonctionnel des ressources clés (les
systèmes, les données, les communications, le personnel, les
lieux) et l'échec de conformité aux lois et règlements.
• Le projet -. La gestion du risque doit mettre l'accent sur la
capacité à comprendre ct à gérer la complexité du projet; si cela
n'est pas réalisé de manière efficace, il faut pouvoir gérer en
conséquence le risque de non atteinte des objcctif'i du projet.
• La stratégie--- t:accent sur le risque sc déplace vers des
considérations telles que la manière dont les capacités des Tl
s'alignent sur la stratégie de l'entreprise, la manière dont elles
se comparent à celles des compétiteurs et les menaces (tout
autant que les opportunités) provoquées par les changemenlr:;
technologiques.
Lidentitïcation, l'évaluation et la gestion du risque lié aux Tf à des
niveaux divers constituera la responsabilité de divers individus et
groupes à l'intérieur de l'organisation. Ces individus et ces groupes
ne doivent pa.<; cependant exécuter leurs tâches séparément, le tisque
lié à un niveau ou à un domaine pouvant: se répercuter sur un autre.
Un dysfonctionnement majeur du système pourrait compromettre
la capacité d'une organisation à offhr un service à la clientèle ou
à travailler avec les foumisseurs et avoir un impact stratégique
nécessitant l'intervention de la direction. De la même façon, les
problèmes survenant dans un projet d'importance pourmient
avoir des conséquences stratégiques. Enfin, alors que les projets
permettent la création de nouveaux systèmes et inJi·astructures TI, le
nouvel environnement opérationnel lié au risque doit être examiné.
En résumé, Je processus de gestion des risques doit permettre
un équilibre économique entre l'application des mesures de
contrôle rattachées à la sécurité ft titre de mesures de protection
et les menaces împotiantes. Certaines des menaces sont liées aux
questions concernant la sécmité et peuvent être particulièrement
critiques pour certaines organisations.
2.8.3 MÉTHODES D'ANALYSE DU RISQUE
Cette section présente les méthodes de gestion qualitative,
semiquantitative et quantitative du risque ainsi que les avantages
et les limites qui caractérisent chacune d'elles.
Méthodes d'analyse qualitative
Les méthodes d'analyse qualilative du1isque utilisent un
classement en mots ou un classement descriptif pour décrire
les impacts ou la probabilité. Ces méthodes demeurent les plus
simples et les plus fréquemment utilisées. Elles s'appuient
habituellement sur des listes de contrôle et des degrés de risque
subjectif.<>, tels que élevé, moyen ou bas.
110
eiSA" Certiliedlnfu~a!ion
.M. Systems Audrtur"
~'~"""''"''''""""
De telles approches n'ont pas la rigueur qui est de rCglc pour la
comptabilité et la gestion.
Méthodes d'analyse sem/quantitative
Lors d'une analyse semiquantitative, les classements descriptifs
sont associés à une échelle numérique. De telles méthodes
sont souvent utilisées lorsqu'il n'est pas possible d'utiliser une
méthode quantitative ou de réduire la subjectivité des méthodes
qualitatives. A titre d'exemple, la mesure qualitative« élevé)>
pourrait recevoir une pondération quantitative de 5, «moyen))
pourrait recevoir un 3 et~~ fnible )1 pourrait recevoir un 1. La
pondération totale pour Je domaine évalué peut être la somme des
pondérations ainsi dérivées pour les différents facteurs pris en
considération.
Méthodes d'analyse quantitative
Les méthodes d'analyse quantitative utilisent des valeurs
numériques pour décrire la probabilité de risques ct leurs impacts
à !'aide de données provenant de plusieurs types de sources,
comme les documents historiques, les cxpé1iences pnssées, les
pratiques et les documents de l'industrie, les théories statistiques.
les tests et les expériences.
Les méthodes d'analyse du1isque quantitative sont actuellement
utilisées dans les domaines militaire, nucléaire, financier et de la
chimie.
L'analyse quantitative du risque exprime le risque en termes
numériques (p. ex., monétaires). Une analyse quantitative du
risque est habituellement eflèctuée lors d'une analyse d'impact
sur les a'ffaircs (AJA). Le problème principal de ce processus est
la valorisation des actifS informationnels. Différentes personnes
peuvent assigner différentes valeurs au même actif, en fonction
de l'importance de l'information pour ces personnes. Dans le cas
des actifs technologiques, ce n'est pas que le coût de l'actif qui
est considéré, mais aussi le coût de remplacement et la valeur de
J'information traitée par cet actif.
2.9 PRATIQUES DE GESTION DES
TECHNOLOGIES DE !:INFORMATION
Les pratiques de gestion des Tl découlent des politiques et
procédures mises en place pour les diverses activités de gestion
liées aux Tl. Dans la majorité des organisations, le domaine
rattaché aux Tl est une division des services (soutien). Le rôle
habituel d'une division des services est d'aider les domaines de
la production à mener leurs opérations de f3çon plus efficace
ct efficiente. Cependant, les Tl fonl patiic intégrante de chaque
facette des opéralions d'une organisation. Leur impo11ance
continue d'augmenter d'année en année, et cette tendance est
peu susceptible d'être renversée. Les auditeurs des SI doivent
comprendre à quel point un domaine des Tl bien géré est essentiel
pour J'atteinte des objectif..:; de l'organisation.
Les activités de gestion menées pour revoir Je développement des
politiques ou des procédures et leur efficacité au sein du domaine
des Tl comprennent, par exemple, des pratiques telles que la
gestion du personnel, Je sourcing et la gestion des changements
en TI.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits reserves.
e . Certifted lnformalioo
~~ms Am:lilo:.'

"'~"""'"''''""'""
Chapitre 2 - Gouvernance et Gestion des Tl Section deux : Contenu

2.9.1 GESTION DES RESSOURCES HUMAINES .. les évaluations de rendement

La gestion des ressources humaines fait rêlërence aux politiques • les procédures d"urgence
et aux procédures organisationnelles entourant le recrutement la • les mesures disciplinaires pour:
~les absences excessives
sélection, la formation et la promotion du personnel, J'évaluation
du rendement, !"application de la discipline ct la cessation -- le bris de confidentialité ou de sécurité
d'emploi._ la planification de la succession et la rétention du --la non conformité aux politiques
personnel. !_;efficacité de ces activités sc rattachant à la fonction
des Tl a un effet sur la qualité du personnel et sur l'exécution des De manière générale, un code de conduite officiel doit préciser
tâches liées aux Tl. les responsabilités des employés dans l'entreprise.

Remarque :L'auditeur des SI doit avoir une connaissance

Politiques de promotion
Les politiques de promotion doivent être justes, équitables et
des question.<.: Jiécs à la gestion des: ressources humaines·
néanmoins, ces informations n'apparaissent pas dans J'~xamen
comprises par les employés. Les politiques doivent se tünder
sur des critères objectif.<.; et prendre en compte la performance
du C!SA étant donné leur su~iectivîté et le fhit qu'iJ s'agit de
individuelle, l'éducation, l'expérience et Je niveau de
st~jets organisationnels spécifiques.
responsabilité.

Embauche
L'auditeur des SI doits 'assurer que 1'organisation de Tl possède
Les pratiques d'embauche d'une organisation sont importantes
des politiques et des procédures en matière de promotion bien
pour assurer la présence d'un personnelle plus efficace ct
définies et qu'elle y adhère.
efficient possible et la conformité de l'organisation aux exigences
juridiques en matière de recrutement. Les mesures de contrôle
généralement appliquées incluent :
Formation
Une formation doit être offerte régulièrement à tous les employés
"la vérification des antécédents (p. ex., ctiminels, financiers,
selon les domaines d'expertise pour lesquels des manques sont
profe.<:>sionnel.s, réf-ërences, qualifications);
constatés. l.. .a fOrmation est particulièrement importante pour les
"les ententes de confidentialité ou de non-divulgation. Ces
professionnels en TI, compte tenu de la rapidité à laquelle les
ententes doivent contenir des dispositions précises quant au
technologies et les produits changent. Elle garantît la présence de
respect des politiques de sécurité de l'ancien employeur; il ne
ressources de TI plus eificaces et plus efficientes, en plus d'un
faut pas exploiter la connaissance des contrOles intern~s de cette
renforcement du moral des employés. Elle doit être proposée
organisation;
lorsque de nouvelles technologies et de nouveaux logiciels
"la f-Qrmation de liens entre les employés pour se protéger contre
sont implantés. La formation doit également comprendre une
les pertes dues au vol, aux erreurs et à la négligence (note: cette
formation pertinente en gestion, en gestion de projet et en
pratique n'est pas acceptée dans le monde entier. En effet, dans
formation technique.
certains pays, elle est interdite par la loi.);
• les ententes portant sur les conflits d'intérêts;
Le transfe1i d'apprentissage sous-entend la présence de plus
• les codes de bonne conduite professionnelle et les codes
d'i11dividus fOrmés correctement pour réaliser une tâche précise
d'éthique;
ou une procédure. CeUe pratique a l'avantage de diminuer la
• les ententes de non-concurrence;
dépendance à tm employé et peut faire partie de la planification
• les ententes de non-divulgation.
d'une succession. Elle fournit également une sécurité pour
le personnel advenant le cas d'une absence et permet ainsi la
Le risque associé aux mesures de contrôle inclut :
poursuite des opérations. Il faut cependant utiliser cette approche
• un membre du personnel peut ne pas convenir pour le poste pour
avec prudence, c'est-à-dire avoir préalablement évalué le risque
lequel il a été embauché;
lié au filit qu'une personne puisse connaître toutes les pa!1Îes
" la vérifïcation des références peut ne pas avoir été eflCctuée:
d'un système et le degré d'exposition au risque que celte pmtiquc
• le personnel temporaire et les contractcurs de tierces pm1ies
pourrait entraîner.
peuvent représenter un risque incontrôlé;
" le manque de sensibilisation aux exigences de confidentialité
pourrait compromettre l'environnement général de la sécurité. Répartition et déclaration du temps de travail
Une répartition appropriée du temps de travail apporte plus
d'efficacité dans l'exécution des opérations informatiques
Guide de l'employé
et l'utilisation des ressources informatiques. La déclaration
Le guide de l'employé, distribué ù tous les employés lors de leur
du temps de trnvaîl permet aux gestionnaires de suivre le
embauche, doit inclure des explications concemant notamment :
processus de répartition. Les gestionnaires peuvent déterminer
• les politiques et les procédures liées à la sécurité
si l'embauche de personnel est adéquate ct si les opérations
• les conduites acceptables et inacceptables
se déroulent de manière efficace. Les informations entrées ou
"les valeurs de !"organisation et le code d'éthique
enregistrées dans un tel système doivent être à jour.
·les attentes de l'entreprise
La déclaration du temps de travail peut représenter une source
• les avantages sociaux pour l'employé
importante d'infOrmation pour les besoins de la gouvernance des
• les politiques concemant les vacances (les congés)
TL ~une des ressources en Tl les plus restreintes c,st le temps, et une
" les règles concernant le temps supplémentaire
déclaration appropriée de ce demier aidera sans conteste à mieux
"l'emploi extérieur
gérer cette ressource limitée. Cette en1Tée peut être utile pour la

Manuel de Préparation CISA 26" édition 111

ISACA. Tous droits réservés,
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
mesure de la répmiition des coûts, la i"àcturation. la rétrof3cturation,
les indicateurs d'o~jccti(.;; clés (lOC) ct les indicateurs clés de
performance (!CP), ainsi que lors des analyses des activités (p. ex.,
le nombre d'heures consacrées par l'organisation aux modifications
apportées aux applîcations, comparativement aux nouveaux
développements).
Évaluations du rendement de l'employé
Les évaluations du rendement de l'employé doivent être une norme
ct une activité régulière pour tout le personnel en Tl. Le domaine
des ressources humaines doit s'assurer que les gestionnaires et les
employés des Tl établissent des objectif.;; et des résultats attendus
dont ils ont tous dellx convenus. L'évaluntion peut se faire en
fonction de ces objectif..;; uniquement si le processus est objectif et
neutre.
Les augmentations de salaire, les primes au rendement ct les
promotions doivent être obtenues en fonction du rendement.
Le même processus peut également permettre à l'organisation
d'évaluer la satisfaction et les objectif"> de l'employé ct
d'identifier les problèmes.
Vacances obligatoires
Les vacances obligatoires (congés) garantissent qu'une fois par
année, au minimum, une pe~onnc autre que l'employé régulier
réalisera les tâches de cc dernier. Cela diminue la possibilité
de commetire des actes illégaux ou irréguliers. Pendant cette
période, il se peut que l'on découvre aussi l'existence d'une
activité frauduleuse, et ce, tant qu'il n'y a pas entente entre les
employés pour couvrir les possibles écarts.
La rotation dans les emplois permet un contrôle supplémentaire
(pour réduire le risque d'actes malveillants ou frauduleux),
puisque le même individu ne réalise pas les mêmes tâches en
tout temps. Cela offre la possibilité pour un individu autre que
l'employé habituel d'effectuer le travail de l'employé qui en
est habituellement responsable et de remarquer les possibles
irrégularités. En outre, la rotation dans les emplois protège contre
le 1isque de dépendance excessive envers le personnel clé, car
elle permet de diff11ser l'expérience en matière de procédures,
de mesures de contrôle ainsi que de technologies. Sans une telle
rotation, l'entreprise pourrait se trouver vulnérable si un employé
clé était indisponible.
~
ntarque : 1.~audît.eur-~~~-~m~. ;-~~j·~~~na~tre-~i~~-~~~~-~~,·
ltténuer la fraude interne. Les congés obligatoires
présentent une telle mesure de contrôle.
..
··~·------ ---·-··-··~·-------·-------~---~----··-·--~--~·-·------
Politiques de cessation d'emploi
Les politiques écrites concernant la cessation d'emploi doivent
être établies pour indiquer clairement les étapes à suivre lors du
départ d'un employé. Il est impotiant que les politiques soient
structurées pour apporter une protection adéquate des biens
infonnatiques et des données appartenant à l'organisation. Les
pratiques liées à la cessation d'emploi doivent englober les
cessations d'emplois volontaires et involontaires (immédiates).
Dans certaines situations, telles qu'un dépati involontaire dans
des conditions di !Tic iles, une organisation doit avoir défini
112
eiSA" Certifiedlnfn~\lon
.M. Systems Auditor"
A•~=·<K"'"''""
clairement et documenté les procédures pour CSCOlit:r rCmployé
jusqu'à sa sortie des installations de l'organisation. Dans tous les
cas, cependant, les procédures de contrôle suivantes doivent être
appliquées :
• le retour de tous les appareils, les clés d'accès, les cartes
d'identité et les badges~ pour empêcher l'accès physique
facile;
•la destruction ou la révocation des identifiants et des mots
de passe qui ont été assignés pour l'entrée dans les systèmes
---pour empècher l'accès au système;
• l'avertissement donné au personnel concerné ct à la sécurité
concemant le nouveau statut de l'employé qui a quitté;
• la préparation du paiement final~ pour retirer l'employé des
fichiers de paie actifs:
• la tenue d'une rencontre tle cessation d'emploi -pour essayer
de comprendre la perception qu'a l'employé des gestionnaires
de l'entreprise.
-----·---·--·-- ------·----·--l
1Remarque : Des changements au sein du rôle professionnel et
des responsabilités tels qu'une mobilité vers un autre service
peuvent nécessiter. la révocation et ln réémisslon des droîts J
d'accès du système et de la zone de travaïl semblables aux
procédures de cessation d'emploi.
2.9.2 PRATIQUES D'EXTERNALISATION
Les pratiques d'externalisation (impartition) fOnt référence
;:\la façon par laquelle l'entreprise obtiendra les fonctions
des Tl requises afin de soutenir ses activités. Les entreprises
peuvent exécuter toutes les fonctions internes des Tl (aussi
appelées« réalisation à l'interne») d'une manière centralisée,
ou externaliser toutes les fonctions partout dans le monde. La
strntégie d'externalisation doit prendre en considération chaque
fonction des Tl et déterminer quelle approche permet à ces
f()nctions d'aHeindre les buts de l'entreprise.
La réalisation des fOnctions des Tl peut être :
• Réalisée à l'interne~ Exécutée entièrement par le personnel
de 1'entTqJJise
• Impartie~ Exécutée entièrement par le personnel du vendeur
• Hybride-- Exécutée par un ensemble de personnes formé du
personnel de l'entreprise d du personnel de l'impartiteur; elle
peut comprendre le personnel d'une coentreprise ou de la main-
d'œuvre supplémentaire
Les fOnctions des Tl peuvent être exécutées partout dans le
monde en prenant avantage des fuseaux horaires eL de l'arbitrage
des taux de main~d'œuvre ct peuvent être :
• Sur le site-- Le personnel travaille à la division même des TI.
• Hors site---- Aussi appelé localement. Le personnel travaille
dans la même région géographique que la division des Tl.
• À l'étranger Le personnel travaille dans un lieu éloigné, dans
une région géogrnphique diftërente.
L'entreprise doit évaluer ses fonctions de Tl ct déterminer la
méthode la plus appropriée pour réaliser ces fonctions tout en
tenant: compte des points suivants :
• S'agit-il d'une fOnction de base pour l'entreprise?
~Est-ce que cette !Onction requiert une connaissance, un
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
e ~="~""" Chapitre 2 - Gouvernance et Gestion des Tl
processus ct un personnel spécifiques essentiels à l'atteinte de
ses buts et de ses objectifs et qui ne peuvent être reproduits à
1'externe ou dans un autre endroit 7
• Est-ce que cette fonction peut être exécutée par une autre partie
ou dans un autre endroit pour le même prix ou un prix inférieur,
avec la même qualité ou une qualité supérieure, sans augmenter
les risques?
• Est-ce que l'entreprise possède de l'expérience en gestion de
tierces parties ou dans l'utilisation de lieux éloignés/à l'étranger
pour effectuer les fonctions de SI ou opérationnelles?
• Y a-t-il des rest1ictions contractuelles ou réglementaires contre
les emplacements à l'étranger ou l'emploi de ressortissants
étrangers?
Une f()is la stratégie de d'externalisation terminée, le comité
directeur des Tl doit la réviser et l'approuver. À cette étape, si
l'entreprise a décidé de recourir à l'externalisation, un processus
rigoureux comprenant les étapes plus bas do il être suivi :
• Définir la fonction de Tl qui sera impatiic.
• Décrire les niveaux de service requis et les métrologies
infonnatiques minimales à at1eindrc.
• f:tTe au fait du niveau de connaissance, des aptitudes ct de la
qualité désirée du fournisseur de service prévu.
• Connaître l'information sur le coüt interne afin de le comparer
avec les soumissions des tierces pmiies.
• Effectuer des examens rigoureux des fournisseurs de services
potentiels.
• Confinner toute considération architecturale concernant le
respect des exigences contnlctueltes ou réglementaires.
À l'aide de cette information, J'entreprise peut procéder à une
analyse détaillée des soumissions des fournisseurs de service et
déterminer si l'externalisation permettra à l'entreptise d'atteindre
ses buts d'une manière rentable avec des risques limités.
Le même processus doit être envisagé lorsqu'une entreprise
décide de « mondialiser)) ou de déplacer ses fonctions de TI à
1'étranger.
Pratiques et stratégies d'externa/lsatlon
Les pratiques d'externalisation se rapportent aux ententes
contractuelles en vertu desquelles une entreprise transmet
le contrôle d'une partie ou de la totalité des fonctions de la
division des Tl à une partie externe. La plupart des divisions des
Tl utilisent les ressources d'information d'un grand ensemble
de vendeurs ct, par conséquent, ont besoin d'un processus
d'externalisation défini pour gérer efficacement les ententes
contractuelles avec ces vendeurs.
L'entrepreneur fournit les ressources et l'expe1tise requises pour
exécuter le travail convenu. L'externalisation devient de plus en
plus importante au sein de bon 110mbre d'entreprises. !~auditeur
des SI doit être conscient des diverses f-Ormes que peut prendre
l' externahsation. en plus du risque associé.
Les objecti1S spécifiques de l'extemalisation des T[ varient
d'une entreprise à l'autre. Le but est nonnalemcnt d'atteindre
l'amélioration durable et signi 1-icative des procéd~,~ et des se1viœs
d'affaires, en passant par la restructuration de J'entreprise, pour
profiter des compétences principales d'un vendeur. Tout comme
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
pour la décision de réduire ou de bien dimensionner, la décision
d'externaliscr les services et les produit<; exige que l'administration
révise la norme de contrôle sur laquelle elle peut .sc tïet:
Les raisons de sc lancer dans l'cxternalisation incluent:
• un désir de se concentrer sur les activités de base:
• une pression exercée sur la marge de profits;
•l'augmentation de la concurrence, qui oblige des économies
d'échelle;
•la flexibilité de l'entreprise, de sa structure et de la taille du
marché.
L'auditeur des SI doit déterminer si l'entreprise a tenu compte
des avantages, désavantage...:; et risques d'entrcpri."ie et options
d'atténuation des risques illustrés dans le tableau 2.8 au moment
d'élaborer ses pratiques et stratégies d'cxternalisation.
De plus, l'entreprise doit tenir compte des dispositions suivantes
dans ses contrats d'externalisation:
• lntégœr des attentes de qualité des services, y compris l'emploi
des mélhodologies de la norme ISO/IEC 15504 (Software
Process lmprovement and Capability dEtermination fSPICE]))
du CMMI, de lïTIL ou d'ISO.
• S'assurer de la pertinence de la contrepartie contractuelle en
ce qui a trait à l'administration du contrôle d'accès et de la
sécurité, que cette administration soit assurée par un impartiteur
ou par l'entrep1ise.
• S'assurer que les termes du contrat exigent que l'on rédige des
rapports de violation ct de suivi et que l'on avertisse le titulaire
de toute enquête, à laquelle il devra collaborer.
• S'assurer que les termes du contrat exigent un contrôle des
modifications et des versions ainsi que des exigences de tests
pour les phases de production ct d'implantation.
• S'assurer que les parties responsables ct les exigences pour les
contrôles du réseau sont définies adéquatement, et que toute
délimitation de ces respon."iabi!ités est établie.
• Établir des paramètres de pc1fonnance spécifiques et définis
devant étre atteints, par exemple, un temps de tmitement
minimum des transactions ou un temps de maintien minimum
pour la partie contractante.
• Incorporer des critères de gt·stion de la capacité.
• Fournir des dispositions contractuelles permettant d'apporter
des modifications au contrat.
• Fournir un processus clairement défini de résolution de conflit
et de signalisation progressive.
• S'assurer que Je contrat couvre l'indemnisation de l'entreprise
pour !e.s dommages causés par l'entreprise en charge des
services d'extcrnalisation.
• Exiger des ententes de confidentialité qui protègent les deux
pmiies.
• Incorporer des dispositions de« droit à l'audit 1) claires ct
non ambiguës qui permettent le droit à l'audit des activités
de l'impartiteur (p. ex .. l'accès aux installations, J'accès
aux enregistrements, le droit de faire des copies, 1'accès
au personnel ct la disposition de fichiers informatiques)
puisqu'elles sont reliées aux services engagés par contrat.
• S'assurer que le contrat aborde adéquatement la continuité des
ail'aires et les di.spositions de reprise après sinistre ainsi que les
tests approptiés.
• Établir que la confidentialité, l'intégrité et la disponibilité
113
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl eiSA' Certified Informa."""
M Systems Aud1tor'
,.,,,«J,·t><oro""'

(parfois référées comme étant la triade CID) des données
possédées par l'entreprise doivent être m3intenues et établir
clairement le droit à la propriété des données.
• Exiger que le vendeur se conforme à toutes les exigences légales
ct réglementaires pertinentes, incluant celles promulguées après
que le contrat soit entré en vigueur.
• [~tablir l'appartenance de la propriété intellectuelle développée
par l'împartiteur au nom du client.
• Établir des périodes claires de garantie ct d'entretien.
• Fournir des dispositions de dépôt fiduciaire de logiciel.
• Protéger les droits de propriété intellectuelle.
• Se confOrmer à la réglcmentalion.
• l~tablir des rôles et des responsabilités clairs entre les parties.
• Exiger que lïmpartiteur se soumette aux politiques de
l'entreprise, incluant sa politique de sécurité de l'infOmlation,
à moins que les politiques de l'impartiteur aient été acceptées
d'avance par !'entreprise.
• Exiger que l'impartiteur identifie toutes ses relations de sous-
traitancc et exiger !'accord de I'entrepri~e pour changer de sous-
traitant.
L'externalisation nécessite que la direction gère activement
la relation avec l'impartiteuret les services impartis. Puisque
l'entente d'extemalisation est régie par les termes du contrat, Je
contrat avec le fournisseur de service imparti doit inclure une
description des moyens, des méthodes, des procédés ct de la
structure qui accompagnent l'offre des services et des produits
des Tl ainsi que le contrôle de la qualité. Le caractère fOrmel ou
légal de ces ententes repose sur !a relation entre les parties et les
demandes formulées par les directeurs sur ceux qui exécutent ce
contrJ.t.
Une fois que l'impmtiteur a été choisi, l'auditeur des SI doit réviser
régulièrement le contrat ct les niveaux de services pour s'assurer
qu'ils sont appropriés. De plus, l'auditeur des SI pourrnit réviser les
procédures documentét;:s de l'impmiiteur ainsi que les résultats de
ses programmes d'amélioration de qualité, qui pourraient inclure,
pm· exemple, les méthodologies JSO/JEC 15504 (SPICE), !TIL ct
ISO. Ces programmes de qualité exigent des audits réguliers pour
ce11ifier que le processus ct !es procédures respectent la nonne de
qualité.
L'exlcrnalisation n'est pas seulement une décision reliée aux
coûts. C'est aussi une décision stratégique aux répercussions
importantes pour la direction en cc qui concerne le contTôlc.
La qualité du service, les garanties de continuité du service,
les procédures de contrôle, les avantages concurrentiels ainsi
que la connaissance technique sont des problèmes dont on doit
tenir compte dans la décision d'externaliscr les services des
TI. Le choix du bon fournisseur est extrêmement important.
particullèrcrnent: lorsque l'externalisation est une stratégie à long
terme. La compatibilité des fournisseurs en fonction de la culture
et du personnel est un aspect important qui ne doit pas être
négligé par la direction.
La décision d'externa!iser un service particulier actuellement
accompli au sein de l'entreprise demande de pmicr une attention
appropriée aux négociations contractuelles. Un contrat et un
accord sm les niveaux de service (ANS) équilibrés sont d'une
grande importance pour la qualité ct la collaboration future entre
les parties concernées.
Par-dessus tout, l'accord sur les niveaux de service doit servir
d'instrument de contrôle. Lorsque l'impmiitcur est situé dans
un autre pays, l'entreprise doit être au fait des législations
internationales.
Ces accords spécifient le niveau requis de service et d'options de
soutien et obligent un impartitcur à s'y soumettre. Ces services
ct options comprennent un niveau garanti de performance
du système en ce qui a trait au temps d'arrêt ou au temps de
disponibilité, en plus du niveau de soutien au client spécifié. Les

Tableau 2,8- Avantages, désavantages et risque sd'enlteprise et options d'atténuation des risques associés à l'extemalisation
Avantages possibles
• Les entreprises qui font appel à
l'externalisation peuvent réaliser des
économies d'échelle grâce au déploiement de
composants logiciels réutilisables.
• Les impartiteurs sont plus susceptibles de
consacrer davantage de temps à un projet
donné et de s'y concentrer de façon plus
efficace que le personnel interne.
• Les impartiteurs sont plus susceptibles de
posséder une vaste expérience d'un plus
grand nombre de problèmes divers, de
questions et de techniques que le personnel
interne.
• Les spécifications et les ententes
contractuelles rédigées par un impartiteur ont
plus de chance d'être meilleures que si elles
étaient rédigées seulement par le personnel
interne.
• Puisque les impartiteurs sont extrêmement
sensibles aux changements et déviations
chronophages, les risques d'erreurs ou de
glissement de portée sont substantiellement
moindres en faisant appel à leurs services.
Désavantages possibles etlisques d'entreprise Options de réduction des risques
• Le dépassement des coûts au-delà des attentes du client • Fixer des primes et des buts
• La perie de l'expérience interne des Tl communs mesurables édictés par
• La perie de contrôle sur les Tl J'entente de partenariat
• ~échec de l'impartiteur (inquiétude constante) • Mettre en main tierce un logiciel
• ~accès limité aux produits pour en assurer la maintenance
• La difficulté de renverser ou de modifier les arrangements • Faire appel à différents fournisseurs
impartis ou réserver une partie du contrat à
• La conformité insuffisante avec les exigences légales et titre d'incitatif
réglementaires • Procéder de façon périodique à des
• Le non-respect de certaines modalités du contrat évaluations concurrentielles ainsi
• Le manque de loyauté du personnel de l'imparliteur envers qu'à des analyses comparatives
le client • Offrir des contrats à court terme
• Le mécontentement du client ou des employés à la suite • Former une équipe de gestion de
de l'entente d'externalisation contrat interfonctionnelle
• Des coûts de service non concurrentiels pour la durée • Inclure des dispositions
entière du contrat contractuelles permettant de couvrir
• La désuétude des systèmes dell de l'impartiteur toutes les dépenses imprévues
• ~absence pour l'une des entreprises des avantages auxquelles on peut raisonnablement
escomptés devant découler de l'entente d'externalisation s'attendre
• Une atteinte à la réputation d'une des entreprises à la suite
de ratés dans le projet
• Un litige long et coûteux
• La perte ou la fuite d'information ou de processus

114 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e . Certified Information
...., Systems Auditor"
"'"''""'~'''"''""
Chapitre 2 - Gouvernance et Gestion des Tl
exigences concernant les logiciels ou le matériel que le service
doit fournir sont aussi stipulées. Les accords sur les niveaux
de -'>ervice fournis.<>ent aus.c;i des disposilions de pénalité et des
options de mesures coercitives pour les services non tOurnis,
et peuvent inclure des incitatifs tels que des primes ou une
participation au gain pour les niveaux de service au-dessus des
attentes.
l,es ANS sont des moyens contractuels d'aider les divisions des
Tl à gérer les ressources d'information sous le contrôle d'un
impatiiteur.
Normes et analyse comparative de l'industrie
Les entreptises qui th nt appel it l"cxternalisatîon doivent respecter
un ensemble de normes bien définies sur lesquelles leurs
clients peuvent se fier. Les normes et l'analyse comparative de
l'industrie sont une façon de déterminer le niveau de performance
d'installations similaires pour le traitement de lïnformation.
Ces statistiques sur les normes ou les comparaisons peuvent étre
obtenues des groupes d'utilisateurs des vendeurs, des publications
de l'industrie et des associations professionnelles. Parmi les
exemples se trouvent ISO 9001:2008: Systèmes de gestion de la
qualité-- Exigences et CMMI.
Pratiques et stratégies de mondialisation
Dans le cadre de l'externalisation, beaucoup d'entreptises ont
choisi de mondialiser leurs fonctions des Tl, en plus de les
cxternaliser. La mondialisation des fonctions des Tl se fait
pour plusieurs des mèmes raisons citées pour l'externalisation;
cependant, 1'entreprise peut choisir de ne pas externaliser la
fonction. La mondialisation des fonctions des Tl exige que la
direction supervise activement les lieux éloignés et à l'étranger.
Une entreprise qui s'occupe des fonctions ù l'interne peut
décider de déplacer ses fonctions des ·n hors site ou à l'étranger.
L'auditeur dt"S SI peut aider dans ce processus en s'assurant
que la direction des Tl prenne en considération le risque et les
inquiétudes d'audit énumérés plus bas lors de la définition de la
stratégie de mondialisation et de la complétion de la transition
ultérieure à des lieux éloignés ou à l'étranger:
• Les problèmes légaux, réglementaires et d'impôt Avoir des
activités dans une région ou un pays différent peut présenter de
nouveaux risques que pourrait mal connaitre une entreprise.
• La continuité des activités·~ La continuité des affaires ct la
reprise après sinistre peuvent ne pas être offeries ni testées
adéquatement.
• Le personnel- Les modifications néct---ssaires sur les politiques
du personnel peuvent ne pas être considérées.
• Les problèmes de télécommunication- Les contrôles de
réseau et l'accès ù partir de lieux éloignés ou de l'étranger
peuvent être sujets à des interruptions de services plus
fréquentes ou à un nombre plus élevé d'exposition à la sécurité.
• Les problèmes internationaux et intcrculturels -- La gestion
de gens et de procédés qui passent par plusieurs fuseaux
horaires, ditl'érentes langues et cultures peut présenter des défis
et des problèmes imprévus. Le flux de données transfrontalier
peut également être soumis à des exigences législntivcs
(p. ex., les données pourraient devoir êlre chi tfrées lors de la
transmission).
• Toute mondialisation ou expansion importante prévue.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits reservés.
Section deux : Contenu
Informatique en nuage
Un des problèmes avec l'intbnnatiquc en nuage et les services
qui y sont associés est l'absence de définition faisant consensus.
Comme c'est le cas avec toutes les technologies émergentes, le
manque de clarté et de consensus nuit souvent à l'évaluation
générale ct à l'adoption de cette technologie. Le National lnstitutc
of Standards and Technology (NlST) ct la Cloud Sccurity
Alliance (CSA) sont deux groupes qui ont o1fert des définitions
de référence. Ils définissent tous deux rintOrmatique en nuage
comme un modèle permettant un accès réseau. pm tique et sur
demande, à un ensemble partagé de ressources informatiques
configurables (p. ex., réseaux, serveurs, stockage, applications
et services) qui peuvent être rapidement dimensionnées ct
diffusées en limitant au minimum les démarches de la pmt de la
direction ou les interactions avec le fournisseur de services. Une
autre façon de décrire les services offerts dans le nuage est de
les comparer aux services publics. lbut comme les entreprises
paient pour l'électricité, le gaz et l'eau qu'elles utilisent, elles
ont maintenant la possibilité de payer pour les services de Tl en
fOnction de leur consommation.
Le modèle en nuage peut être envisagé comme étant composé
de trois modèles de service (tableau 2.9), quatre modèles de
déploiement (tableau 2.10) et cinq caractéristiques essentielles
(tableau 2.11 ). l,es risques et avantages généraux vmient selon
les modèles, et il est important de noter que les entreprises qui
étudient différent~ types de modèles de service et de déploiement
devraient tenir compte des risques a&~ociés à chacun.
Le stockage dans le nuage peut comporter des exigences
légales supplémentaires que doit connaître l'auditeur des SI.
Certaines lois, par exemple, exigent que les données stockées en
dehors de la région soient soumises à des contrôles de sécurité
supplémentaires, y compris le chiffrement fort.
Rapports d'audit sur l'externallsation et les tierces
parties
Une méthode utilisée par l'auditeur des SI pour s'assurer des
contrôles implantés par un fournisseur de service est d'exiger
que Je fOurnisseur présente périodiquement un rapport d'audit
de tierce pmtie. Ces rapports couvrent l'étendue des problèmes
reliés à la confidentialité, à l'intégrité et à la disponibilité des
données. Dans certains domaines, de tels audits peuvent s'insc1ire
dans le cadre de la surveillance et du contrôle réglementaire. À
titre d'exemple, il existe des exigences comme la norme SSAE
16 {Statemcnton Standards for Attestation Engagements 16),
aiit'i'i qu'un guide d'audit du American lnstitute ofCertified
Public Accountants (AICPA), qui fOurnissent un cadre pour trois
options de rapport quant aux contrôles des organismes de services
(rapports SOC 1, SOC 2 et SOC 3), Les rapports SOC 1 sont axés
sur les contrôles d'un organisme de service qui sont susceptibles
d'être pe1tinents lors de l'audit des états financiers d'une entité
utilisatrice. Les rapports SOC 2 et SOC J concernent les contrôles
de l'organisme de service qui ont à voir avec les opérations et
la conformité. Ces nouvelles nonnes de rapport représentent
un changement considérable comparativement à la norme SAS
70 (Statement on Auditing Standard 70), car les organisations
sont de plus en plll~ intéres.-;ées par des risques qui vont au-delà
de la présentation des états financiers (p. ex., les questions de
confidentialité). Le Conseil des normes internationales d'audit
115
Section deux : Contenu Chapitre 2 - Gouvernance et Gestion des Tl eiSA eertmect lnto~auon
Systems Auditor'
k•"='"''"'""

\Tableau 2r9- Modèles de sentice de l'iiîfoonatigue en nuage

Modèle de service Définition À prendre en compte
Infrastructure-service (laaS) Capacité à dimensionner des fonctions de Possibilité de minimiser l'impact si le
traitement ou stockage, des réseaux ou toute fournisseur d'infonuagique est touché par une
autre ressource informatique fondamentale, interruption de service.
permettant au client de déployer et d'exécuter
les logiciels de son choix, y compris des
systèmes d'exploitation et des applications.
L'laaS confie ces opérations à une tierce partie.
Plateforme-service (PaaS) Capacité à déployer, dans l'infrastructure en • Disponibilité
nuage, des applications créées par le client ou • Confidentialité
des applications créées à l'aide de langages et • Respect de la vie privée et responsabilité
d'outils de programmation pris en charge par le juridique en cas d'atteinte à la sécurité
fournisseur. (puisque les bases de données contenant
de l'information sensible seront maintenant
hébergées hors site)
• Propriété des données
• Préoccupations quant à l'investigation
informatique
Logiciel-service (SaaS) Capacités à utiliser les applications du • Qui est responsable de l'application?
fournisseur qui tournent sur l'infrastructure • Où réside l'application?
en nuage. Les applications sont accessibles à
partir de divers appareils du client, grâce à une
interface client allégée, notamment un fureteur
Web (p. ex., courriel Web).
!SAGA, Cloud Computing: Business Beneftts Witll Secun'ty, Govemance and Assurance Pmspectives, É.-U., 2009, figure 1, page 5, www.isaca.org/Knowledge-Center/
Researcii/Researcl!Deliverables/Pages!Cioud-Compuling-Business-Benefits-Witii-Securily-Govemance-and-Assurance-Perspective.aspx

\Tableau 2.10- Mo(lèles de déploiement de l'informatique en nuage

Modèle de déploiement Description de l'infrastructure en nuage À prendre en considération
Nuage privé • Opéré uniquement pour une organisation • Services d'informatique en nuage à risque
• Peut être géré par l'organisation ou par une minime
tierce partie • Ne procure pas nécessairement l'extensibilité
• Peut se trouver sur le site ou hors site et la souplesse des services d'informatique
en nuage publics
Nuage communautaire • Partagé par plusieurs organisations • Comme le nuage privé, mais en plus :
• Appuie une communauté d'acteurs ayant une • Les données peuvent être stockées avec
mission ou un intérêt en commun celles des concurrents
• Peut être géré par l'organisation ou par une
tierce partie
• Peut se trouver sur le site ou hors site
Nuage public • Mis à la disposition du public ou d'un grand • Comme le nuage communautaire, mais en
groupe de l'industrie plus:
• Appartient à une organisation qui vend des • Les données peuvent être stockées à un
services en nuage endroit inconnu et être difficiles à récupérer
Nuage hybride Ensemble composé de deux nuages ou plus • Risque composite de la fusion de différents
(privés, communautaires ou publics) qui modèles de déploiement
demeurent des entités uniques mais sont reliés • La classification et l'étiquetage des données
par une technologie normalisée ou exclusive sont avantageux pour le gestionnaire de la
qui permet la portabilité des données et sécurité afin d'assurer que les données sont
applications (p. ex., transfert de capacités pour affectées au bon type de nuage
équilibrer la charge entre deux nuages)
!SAGA, Cloud Computing: Business Benefits With Security, Govemance and Assurance Perspectives, É. -U., 2009, figure 2, page 5, www.isaca.org/Knowfedge-Centerl
ResearciJ/Researci!Deliverables!Pages/Cioud-Computing-Business-Benefits-WitiJ-Sec/Jrity-Govemance-and-Assurance-Perspective.aspx

116 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e Certi!ledlnfn·""'. uon
Systems Auditor'
:··,~--·
Chapitre 2- Gouvernance et Gestion des Tl Section deux : Contenu

ct d'assurance (IAASB) a aussi publié de nouvelles directives
à cet égard: Norme ISAE 3402- Rapports d'assurance sur les
contrôles d'une société de service.
Un auditeur des SI devrait connaître cc qui suit:
• Les déclarntions de la dîreciion ct le degré auquel celles
abordent les services offerts par le fOurnisseur de services.
• Les rapports SSAE 16, comme suit:
SOC 1 : Rapport sur la description tàitc par la direction du
système de l'organisation de service el sur le caractère adéquat
de la conception des contrôles,
SOC 2 : Rapport sur la description faite par la direction du
système de !'organisation de service et sur le caractère adéquat
de la conception ainsi que l'ef'ficacitë fonctionnelle des
contrôles.
SOC 3 : Rapport de services Trust pour organisations de
service. un rapport standard sur les contTôlcs d'une organisation
de service relatifs à la sécmité, à la disponibihté, à l'intégrité
des processus, à la confidentialité ou à ln vie p1ivée.
• Comment obtenir k: rapport, le passer en revue et présenter les
résultats à la direction pour donner suite à des mesures.
Gouvernance dans /'external/satlon
L'externalîsatîon est le mécanisme qui permet aux entreprises
de transférer la réalisation de services à une tierce partie. Le
principe de base de l'externalisation est d'accepter que, même si
la réalisation du service est traJ1sféréc, la direction de J'entreprise
cliente demeure fermement imputable et doit s'assurer que le
risque est géré adéquatement et qu ïl y a une réalisation de valeur
continue de la part du fournisseur de service. La transparence
et le droit de propriété du processus décisionnel doivent être du
ressort du client.
La décision d'aller en externalîsalion est une décision stratégique
et non simplement d'approvisionnement. L'entreprise qui
fait appel à l'extemalisation rcconfigurc sa chaîne de valeur
efficacement en identifiant les activités qui sont essentielles
à ses affaires, en les gardant et en faisant de ses <1ctivités non
essentielles des candidates à l' cxternalümtion. Il est essentiel
de comprendre ceci en fonction de la gouvernance. non
seulement parce que les entreprises bien dirigées ont affiché une
augmentation de la valeur des actionnaires, mais, encor~ plus
important, parce que chaque entreprise se bat dans un marché de
plus en plus agressif mondial et dynamique.
L'implantation et la conservation d'un avantage concurrentiel
sur le marché exige quel 'entreprise soit capable d~ 'k1ire fàce
efficacement à la concurrence et aux conditions changeantes
du marché. l.:externalisation peut aider, mais seulement si
l'entreprise comprend quelles parties de ses activités créent
vrniment un avantage concurrentiel.
La gouvernance de l'externalisation est l'ensemble des
responsabilités. rôles, objectifs, interfaces ct contrôles requis
pour prévoir les changements et gérer \Introduction, \"entretien,
la performance, les coûts et le contrôle des services fou mis par
une tierce pmiic. Il s'agit s'un processus actif que le client et le
foumisseur de service doivent adopter afin d'offiir une ;Jpproche
commune, cohérente et cHïcace qui identifie les informations, les
relations, les contT61cs ct les échanges nécessaires entre un grand
nombre de partenaires pour les deux pmties.
l.a décision d'extcrnaliser et, ultérieurement, de gérer avec
succès la relation exige une gouvernance efficace. La plupart
des gens qui font appel à l'extcrnalisation incluent les contrôles

Tableau 2.11- Caractéristiques essentielles de l'informatique en nuage

Caractéristique Définition
Libre service à la demande Le fournisseur de nuage devrait avoir la capacité de dimensionner automatiquement, selon les
besoins, les ressources informatiques comme le stockage sur serveur ou en réseau, sans qu'une
interaction humaine avec le fournisseur de service soit nécessaire~
Accès étendu au réseau Selon le NIST, le réseau infonuagique devrait être accessible de partout, à l'aide de pratiquement
n'importe quel appareil (p. ex., téléphone intelligent, ordinateur portatif, dispositif modèle, ANP).
Mise en commun des Les ressources informatiques du fournisseur sont mises en commun pour servir plusieurs clients selon
ressources un modèle partagé. Différentes ressources physiques et virtuelles sont affectées et réaffectées de
façon dynamique selon la demande. Les ressources sont indépendantes de l'emplacement Le client
n'a généralement aucun contrôle sur l'emplacement des ressources et ne sait pas nécessairement
ou elles se trouvent Toutefois, il pourrait être en mesure de choisir l'emplacement à un niveau
d'abstraction plus élevé (p. ex., pays, région ou centre de données). Le stockage, le traitement, la
mémoire, le réseau, la bande passante et les machines virtuelles sont des exemples de ressources.
Rapidité et élasticité Les capacités peuvent être dimensionnées rapidement et avec souplesse, souvent automatiquement,
lorsque la demande augmente, et diffusées rationnellement lorsque la demande diminue. Du point
de vue du client, les capacités disponibles pour le dimensionnement semblent souvent illimitées et
peuvent être achetées en n'importe quelle quantité à tout moment
Service mesuré Les systèmes en nuage contrôlent et optimisent automatiquement l'utilisation des ressources en
tirant parti des capacités mesurables (p. ex., stockage, traitement, bande passante et comptes
d'utilisateur actifs). ~utilisation des ressources peut être surveillée, contrôlée et rapportée, assurant la
transparence tant pour le fournisseur que pour l'utilisateur du service.
lSACA, Cloud Computing: Business Benefits Wit/1 Security, Governance and Assurance Perspectives, É. -tl, 2009, figure 3, page 6, www.isaca.org/Knowledge-Centerl
Research/ResearciiDe/iverables/Pages!Cioud-Computing-Business-Benefits-With-Security-Govemance-and-Assurance-Perspective.aspx

Manuel de Préparation CISA 26" édition 117

ISACA. Tous droits réservés.
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
de base c.t les dispositions d'exécution de service; cependant,
un des objcctif'i principaux du processus de gouvernance de
l'externalisation, tel que défini dans le contrat d'cxternalisation.
est de s'assurer de la continuité des services aux niveaux
appropriés, des bénéfices et de la valeur ajoutée pour soutenir la
viabilité commerciale des deux pmties. L:expérience a démontré
que beaucoup d'cntrep1iscs présument de ce qui est inclus dans
la proposition d'externa/isation. Bien quïl ne soit ni possible
ni rentable de définir chaque détail ou action dans le contrat,
le processus de gouvernance fournit le mécanisme penncttant
d'équilibrer les risques, la demande de service, la disposition de
service et le coût.
La gouvernance de l'extcrnnlisation étend la responsabilité
des deux parties (c.-à-d. le client et le fournisseur) aux points
suivnnts:
• Lassurancc pour les deux parties de la viabilité contractuelle
grâce à la révision, ù ramélioration et aux gains
• L'inclusion d'un calendrier de gouvernance clairement défini
dans le contrat
• La gestion de la relation pour s'assurer que les obligations
contractuelles sont respectées grâce aux accords sur les niveaux
de service et aux accords sur les niveaux opérationnels
• L'identification et la gestion de tous les pmtenaires, de leur
relation et de leurs attentes
• La définition claire des rôles et des responsabilités pour: la
prise de décision, la signalisation progressive, la gestion de
conflit, la gestion de la demande et la fourniture de services
• L'atiribution des ressources, des dépenses ct de la consommation
des services pour répondre aux besoins priorisés
• eévnluation continue de la performanec, du coût, de la
satisfaction de l'utilisateur et de l'eiTicacité
• La communication en cours parmi tous les partenaires
La taille grandissante de l'espace des solutions technologiques est
en fonction du rythme de l'évolution technologique. Embaucher,
former et retenir du personnel qualifié devient plus coütcux au
sein d'une économie de plus en plus mondiale, dynamique et
mobile. L'investissement dans une implantation de technologie
coüteusc et dans la fOrmation est perçu comme étant moins
une activité de base d'une entreprise que ne l'est la capacité de
travailler efficacement dans toute la chaîne de valeur en intégrant
l'externalisation de services au besoîn.
Bîen que le terme << agencement des activités >> soit souvent
utilisé, cc qu'il englobe n'est pas toujours clairement dél'ini.
Au sens le plus large, cette expression englobe Je fait de
rendre les services tburnis par la fonction d'entreprise des Tl
plus représentatifs des exigences et des désirs des utilisateurs
professionnels. Cagcncemcnt des activités peut sc réaliser
lorsque les entreprises définissent les éléments essentiels de
leurs activités el' quels services leur procurent des avantages
diftërcntiels, et qu'ils ü:mt ensuite appel à l'externalisation pour
soutenir ces services. Pour bien comprendre il quel degré cet
agencement doit être abordé, iliàut savoir que les accords sur les
niveaux de service ct les accords sur les niveaux opérationnels
doivent être établis. contrôlés ct mesurés en fonction de la
performance et de la satist-àction de l'utilisateur. L'agencement
des activités doit être axé sur 1'utilisateur final du service.
La gouvernance doit être planifiée et faire partie des termes
118
9as•· Gertifledtnfo~tioo
H Syl;tems Aud1tof'
....,..... "''''"''"'
du contrat pour optimiser le coût du service. Le processus de
gouvemancc defini doit evoluer à mesure que les besoins et
les conditions de la relation d'extem~11isatîon s'adaptent aux
changements apportés à la demande et à la manière de foumir Je
service, ainsi qu'à l'innovation technologique.
Il est crucial que l'auditeur des SI comprenne les clauses de
droit d'audit et les contrôles des activités d'extcrnalisation qui
concernent de l'information COilfidcntiellc et des processus
sensibles. Cette compréhension inclut, de làçon non limitative:
Dans quelles conditions 1'audit du fournisseur de services
externe peut se dérouler selon les modalités du contrat.
Dans quelle mesure l'auditeur des SI peut examiner les
contrôles internes mis en place par le f-Ournisseur de services
externes afin de fournir une assurance raisonnable que des
contrôles de confidentialité, d'intégrité ct de disponibilité, ainsi
que de prévention, de détection el de correction, sont en place
et fonctionnent efficacement.
Des ANS concernant la gestion des problèmes, y compris la
réponse aux incidents, documentés puis transmis il toutes les
parties concernées par les accords d'extcrnalisation.
Planification de la capacité et de la croissance
Étant donné l'importance stTatégique des Tl au sein des entreprises
et l'évolution constante de la technologie, il est essentiel de plnnif1er
la capacité et la croissance. Cette activité doit être représentative
des plans d'aff..1ires il long et à court terme et doit être pdse en
considération dans le processus budgétaire. Les changements au
point de vue de la capacite doivent refléter les changements dans
l'inffastmcture sous.._jacentc et avoir des répercussions sur le nombre
d'employés disponibles pour soutenir l'entreprise. Un manque de
main-d'œuvre qualifiée et compétente peut occasionner des retards
dans des projets essentiels à l'entreplise ou engendrer le non-
respect des niveaux de services convenus. C'est cc qui peut pousser
certaines entreprises à choisir l'externalisation comme solution de
croissance.
Gestion de la fourniture de services par une tierce
partie
Toute entreprise ayant recours aux services de tierces parties
doit mettre en plaœ un système de gestion de la fOurniture des
services afin d'implémenter et de maintenir le niveau approprié
de sécurité de l'înfonnation et de fourniture des services
co!Tcspondant aux ententes de fourniture de services par des
tierces parties.
t:entreprise doit vérifier la mise en œuvre des ententes, faire un
suivi de !a conformité avec les ententes et gérer les modifications
afin de s'assurer que les services tOurnis rcmpl issent toutes les
exigences que la tierce partie a acceptées.
FOliRNITLJRE DE S~:RVICES
t:entreprise doit s'assurer que les contrôles de sécurité, les
définitions de service ct les niveaux de réalisation compris dans
l'entente de f()urniturc de services par une tierce partie sont
implantés, gérés et entretenus par la tierce pmiîe.
L.a fourniture de services par une tierce pmtie doit inclure les
ententes de sécurité convenues, les définitions de service et
CC!iains aspects de la gestion du service. Dans le cas d'une
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . H
Certificd Information
Systems Au11itor'
"'~""-'''"'''""'""
Chapitre 2 - Gouvernance et Gestion des Tl
entente d'extemalisation, !"entreprise doit planifier les transitions
nécessaires (d'information, des centres de données et den 'importe
quel autre élément devant être déplacé) et doit s'assurer que Je degré
de sécurité nécessaire est maintenu tout au long de la période de
transition.
L'entreprise doit s'assurer que la tierce partie maintient une
capacité de service suffisante avec des plans réalisables conçus
pour s'assurer que les niveaux de continuité de service sur
lesquels les parties se sont entendues sont maintenus à la suite
d'une panne de service majeure ou d'un sinistre.
SUIVI ET Rf:VISION DES SERVICES D'UNE TIERCE
I'ARTIE
Les scrviœs, les rapports elles enregistrements fournis par la
tierce partie doivent être fréquemment contrôlés et révisés, et
des audits doivent être effectués régulièrement Le contrôle ct la
révision des services des tierces parties doivent s'assurer que les
modalités des ententes concernant la sécurité de l'information
sont respectées ct que les incidents et les problèmes reliés à
la sécurité de l'information sont gérés convenablement. Cela
signifie qu'un processus et une relation de gestion des services
entre l'entreprise et la tierce pattie doivent exister afin de:
• Contrôler les niveaux de performance des services pour vérifier
le respect des ententes
• Réviser les rapports de service produits par ta tierce partie et
organiser sur une base régulière des rencontres portant sur le
processus tel que stipulé dans les ententes
• Fournir des renseignements fl propos des incidents reliés à la
sécurité de l'information et faire réviser cette information par la
tierce partie et l'entreprise, tel que stipulé dans les ententes ou
dans toutes autres lignes directrices ou procédures connexes
• Réviser les pistes d'audit des tierces parties et les
enregist-rements d'incidents compromettant la sécurité, de
problèmes opérationnels, de pannes, des traces d'anomalies ct
d'interruptions reliés au service fourni
• Résoudre et gérer tous les problèmes identifiés
GOUVERNANCE INFONlJAGIQlJE
L:ori<:!ntation stratégique de l'entreprise et des Tl en général
est l'élément dominant lorsque l'on envisage l'utilisation de
l'infOrmatique en nuage. À mesure que les entreprises se tournent
vers le nuage pour y obtenir des sctvices de Tl qul ont toujours
été gérés à l'interne par le passé, elles devront mettre en œuvre
ce1iains changements pour s'assurer qu'elles continuent à atteindre
leurs oQjectif.'> de performance, que leur approvisionnement en
technologie d leurs activités sont harmonisés stratégiquement et que
les risques sont maîtrisés. S'assure1· que les Tl sont harmonisées au.x
activités, que les systèmes sont sécurisés et que les risques sont bien
gérés représente un dé'fï dans tout environnement, défi encore plus
complexe dans le cadre d'une relation avec un fOurnisseur extérieur.
Les activités typiques de gouvernance, telles que la fixation
d'objecl'ilS, l'élaboration de politiques ct de nonnes, la définition
des rôles et responsabilités ct la gestion du risque, doivent inclure
des considérations spéciales lorsqu'il est: question de la technologie
infonuagique et des fournisseurs de cette dernière.
Comme c'est le cas avec tous les changements organisationnels,
il est attendu que cert..'lins ajustements devront êtTe fhil.;; dans la
gestion des processus administratif<;. Les processus administratif-;
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
ou de Tl comme le traitement et le développement des données ou
la recherche d'inf(xmation sont des exemples de domaines appelés
à changer. Oc plus, les processus qui décri\'ent la fhçon de stocker,
d'archiver ct de sauvegarder l'information devront être revus.
Le nuage présente de nombreuses situations uniques que les
entreprises devront aborder. Un des grands eqjeux de gouvernance
est que le personnel de l'unité iûnctionnelle, qui était auparavant
forcé de passer par les Tl pour obtenir des services, peut maintenant
contourner les Tl et obtenir les services directement dans le nuage.
Des politiques doivent être modifiées ou élaborées afin de régir
le proce..-:sus d'cxlernalisation, de gestion et de la discontinuité de
l'utilisation des services dans le nuage.
La responsabilité de gérer la relation avec une tierce pmtie doit
être assignée à une personne désignée ou à une équipe de gestion
de service. De plus, 1'entreprise doit s'assurer que la tierce
partie vérifie la conformité et exécute les exigences de l'entente.
L'entrcpiise doit avoir à sa disposition les ressources et aptitudes
techniques suffisantes pour vérifier si les exigences de l'entente, en
particulier les exigences reliées à la sécurité de l'infonnation, sont
respectées. Si des irrégularités sont observées dans la fOurniture de
services, l'entTeprise doit prendre les mesures appropriées.
l:entrep1ise doit maintenir une visibilité et un contrôle général
suffisants !X)Ur tout ce qui conceme la sécurité de l'infonnation
sensible ou critique, ou la sécurité des installations de traitement de
l'information tmitées ou gérées par une tierce partie, ou auxquelles
cette dernière peut accéder. L'entreprise doit garder une visibilité en
cc qui a trait aux activités liées à la sécurité, par exemple la gestion
des modifications, J'identification des faibles...~es, les rappo1is sur
des incidents liés à la sécurité de l'information ella réponse à
ces incidents gr.kc à un processus, à un format et à une shucturc
de rappmt clairement définis. Dans les cas d'externalisation,
l'entreprise doit être consciente que la responsabilité ultime de
l'information traitée par une partie d'externalisation lui revient.
GESTION DlèS MODIFICATIONS AI'I'ORTÉES AUX
SERVICES FOURNIS l'AR li NE TIERCE I'ARTIE
Les changements à la disposition des services, y compris
l'entretien et l'amélioration des politiques, des procédures et des
contrôles existants reliés à la sécurité de l'information, doivent
être gérés en tenant compte de la crîticité des systèmes et des
procédés d'affaires touchés ct en procédant à une nouvelle
évaluation du risque.
Le processus de gestion des modifications apportés à un service
fourni par une tierce partie doit tenir compte :
• Des modifications elfectuées par l'entreprise pour implémenter:
··- Des améliorations aux services actuellement offerts
_..La mise sur pied de nouvelles applications ct de nouveaux
systèmes
- Des modificutions ou mises à jour des politiques et
procédures d'une entreprise
-De nouvelles mesures de suivi afin de résoudre des incidents
concernant la sécurilé de l'infOrmation et d'améliorer la
sécurité
-- Des mist.'S à jour de politiques, dont la politique de sécmité
des Tl
• Des modifications aux services fournis par une tierce partie
pour implanter :
119
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
--Des changements et des améliorations aux réseaux
~ L"utilisation de nouvelles technologies
-L'adoption de nouveaux produits ou de nouvelles versions/
smties
-- La mise au point de nouveaux outils et environnements
-Des modifications à l'emplacement des installations de
Sel\!! CC
- Le changement de vendeurs ou de sous-traitants
Amélioration des services et satisfaction de
l'utilisateur
Les accords sur les niveaux de service établissent la base à pa1tir
de laquelle les impartiteurs effectuent la fonction des TL De
plus, les entreprises peuvent stipukr des attentes concernant
l'amélioration du service dans les contrats, y compris des
indemnités et des primes afférentes. Voici quelques exemples
d'amélioration des services:
• La réduction du nombre d'appels au service d'assistance.
• La réduction du nombre d'erreurs de système.
• L'améliomtion de la disponibilité du système.
L.es utilisateurs ct les TI doivent convenir des améliorations. à
apporter au service dans Je but d'améliorer la satisfaction de
1'utilisateur ct 1'ntteinte des objectifs d'am~ires. Il faudrait vérifier
la satisfaction des utilisateurs par le biais d'entretiens et de
sondages.
2.9.3 GESTION DES CHANGEMENTS
ORGANISATIONNELS
La gestion des changements organisationnels est la gestion des
changements de J'entreprise. Cela signifie qu'un processus
défini et documenté existe pour identifier ct apporter des
améliorations technologiques au niveau de l'infi·astructure et de
l'application qui profitent à l'entreprise et qui fOnt participer
tous les niveaux de l'entreprise touchés par les changements. Ce
degré d'implication ct de communication assurera que la division
des Tl comprend entièrement les attentes des utilisateurs et que
les utilisateurs ne s'opposeront pas aux changements et ne les
ignoreront pas après leur implantation.
La division des Tl est le centre de tels changement.;; car elle düige
ou facilite le changement au sein de l'entn~prise. Cela signifie d'être
à 1'aflùt des changements technologiques qui pourraient mener à
d'importantes mnéliorations au processus d'aflbires et à l'obtention
de l'engagement des dirigeants dans le cadre de changements ou de
projets qui seront nécessaire au niveau de l'utilisateur.
Une f-Ois obtenu le soutien des dirigeants pour aller de l'avant avec
les changements ou les pr<~jets, la division des TI peut commencer
à travailler avec chaque volet fonctionnel et son équipe de dirœtion
pour obtenir J'appui aux changements. De plus, la division des
TI devra meUre en place un processus de communication destiné
aux utilisateurs pour les informer des changement<>, de leurs
conséquences et de leurs avantages, ct fOurnir une façon d'obtenir
les commentaires et la participation des utilisateurs.
JI faudrait recueillir les commentaires des utilisateurs tout au long
du projet, y compris lors de la validation des exigences d'affaires,
de la fOrmation et des tests sur les fonctionnalités nouvelles ou
modifiées.
120
S•s•· '.
M
crtifredlnfurmatioo
Systems
---+---
Auditor•
lA,,...,.""''"''"'
2.9.4 PRATIQUES DE GESTION FINANCIÈRE
La gestion financière est un aspect clitique de toutes les fOnctions
d'a1'1:1ircs. Dans un1nilictt infonnatiquc coûteux, i! est impératif
d'avoir de saines pratiques de gestion financière.
Un projet d'utilisateur-payeur. une sorte de rétrol11cturation, peut
améliorer J'application ct le suivi des dépenses reliées aux SI et des
ressources disponibles. Dans ce plan, les coüts des services reliés
aux SI, y compris le temps de la maitHi'oeuvre, le temps machine ct
tout autre coût pc1iincnt, sont réimputés mLx utilisateurs en se basant
sur un calcul ou une fOrmule (unitbm1e) standard.
La réimputation fOurnit à toutes les parties concernées une
mesure« selon le marché;.;. de l'effîcacité cl l'e-fficience du
service fourni par le centre de traitement de l'information.
Là où elle est mise en œuvre, la politique de ré imputation
doit être énoncée par le conseil d'administration et appliquée
conjointement par le directeur financier, la direction des
utilisateurs et la direction des SI.
Budgets des SI
La gestion des SI, comme c'est le cas dans toute autfè division, doit
établir un budget.
Un budget permet de faire des prévisions, un suivi ct une analyse
des renseignements de nature financière. Un budget permet
également une attribution adéquate des fOnds, particulièrement
dans un milieu relié aux SI, où les dépenses peuvent Ctre
coûteuses. Le budget des SI doit être en lien avec les plans à court
et à long terme des Tl.
Développement de logiciels
Aux États-Unis ct dans les pays qui sUivent l'orientation
de l'lntemational Accounting Standards Board (IASB), les
nonnes de comptabilité exigent que les entreprises aient une
compréhension détaillée de leurs démarches de développement,
y compris du temps consacré ii des projets et activités précis.
[auditeur des SI doit comprendre ces exigences ainsi que les
pratiques employées pnr !es entreprises pour faire le suivi des
coûts de développement des logiciels.
Aux États-Unis, l' AICPA décrit ces exigences dans l'énoncé de
principes comptables SOP 98-1 -·Comptabilisation des coüts des
logiciels développés ou obtenus pour utilisation interne. Ce SOP
explique que les entreprises devraient inscrire à l'actif certains
coûts associés aux logiciels pour utilisation interne. Un logiciel
pour utilisation interne est un logiciel qu'une entité n'a aucune
intention concrète de commercialiser à l'externe.
La norme internationale de comptabilité 38 (lAS 38) décrit
six critères qui doivent être satisfùits pour que les coûts de
développement soient capitalisés. Parmi ces critères, d'après
l'JAS 38.57.d, une organisation doit démontrer en quoi
1'immobilisation incorporelle est susceptible de produire des
bénéfices économiques futurs. Les immobilisations incorporelles
comprennent les sites Web, les logiciels, etc., si elles
correspondent à ces critères. Les interprétations de cc que signifie
«démontrer l'utilité de l'immobilisation incorporelle>> peuvent
vadcr. Ainsi, l'auditeur des SI qui travaille avec des organisations
respectant les Normes internationales d'information financière
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . certif!ed tnfo~matlon
Systems Allditor'
-·~·
"''''""'~"'"''""
Chapitre 2 - Gouvernance et Gestion des Tl
(IFRS) devra obtenir de l'orientation de la patt des comptnblcs
agréés responsables des rapports financiers.
2.9.5 GESTION DE lA QUALITÉ
La gestion de la qualité est l\m des moyens par lesquels les
procédés établis par la division des Tl sont contrôlés, mesurés et
améliorés. Les procédés dans cc contexte sont définis comme un
ensemble de tâches qui, lorsqu'elles sont effectuées correctement,
produisent les résultats désirés. Les volets de contrôle de la
gestion de la qualité peuvent inclure les éléments suivants:
•la conception, l'entretien et l'implantation d'un logiciel;
e l'acquisition de matériel et de logiciels;
• les opérations quotidiennes;
• la gestion du service;
• la sécurité;
• la gestion des ressources humaines;
• l'administration générale.
Le développement et l'entretien de procédés définis ct documentés
par la division des Tl sont la preuve d'une gouvernance efficace
des ressources d'information. Le fàit d'insister sur la conformité
aux procédés et aux techniques connexes de gestion de procédés est
essentiel à l'efficacité et à l'efficience de l'entreprise de Tl. Diverses
normes ont vu le jour pour aider les entreprises de Tl à atteindre
ces tésultats. Les normes de qualité sont de plus en plus utilisées
pour aider les entreprises de Tl à atteindre un cadre d'exploitation
prévisible, mesurable, répétable ct certifié pour leurs ressources de
Tl.
Remarque: L'auditeur des SI. doit être au courant de la gestion
de la qualité. ·Tbutefoîs, rexamen CISA ne teste pas d'exemples
préds d'aucune nonne lSO.
La norme ISO 9001:2008 est une nonne éminente largement
reconnue et acceptée. Elle remplace les normes précédentes ISO
qui régissaient la gestion de la qualité. D'autres normes, telles
que la sérit! ISO/CEl 27000, établissent une fondntîon sur laquelle
construire des programmes de séculité de l'informt:~tion de
qualité. La norme explique l'approche d'ensemble du« Plan-Do-
Check-Act" (PDCA) et fOurnit une mientation détaillée pour sa
mise en œuvre.
La norme introductive JSO/IEC 27000 définit la potiée et le
vocabulaire utilisé au sein de la norme de système de gestion
de la sécurité de l'infOnnation et procure un rCpe1ioire des
publications qui composent la nonne. ISOIJEC 27001 est
l'enseJrrblc formel des spécifications en ve1tu desquelles les
organisations peuvent faire une demande de certification
indépendante de leur système de gestion de la sécurité de
l'information. lSO/IEC 27002 comprend un ensemble structuré
de contrôles suggérés quî peuvent être utilisés, au besoin, par
les organisations afin d'éliminer des !isques de sécurité de
l'information. Des publications additionnelles de la nonne ISO/
1EC 2700X offrent une orientation pour gérer la sécurité de
l'information au sein d'industries et de situations précises. ISO/
IEC 2700X tire son origine de la norme ISO/IEC 17799, laquelle
était basée sur la norme BSI du Royaume-Uni de 1995 intitulée
BS 17799 et portant sur les bonnes pratiques de gestion-de la
sécurité de l'information.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
Section deux : Contenu
2.9.6 GESTION DE lA SÉCURITÉ DE l'INFORMATION
La gestion de la sécurité de l'infonnation joue un rôle essentiel
afin de s'assurer que 1'information et que les ressources de
traitement de l'intürmation de l'entreprise sous sa gouverne
sont protégées convenablement. Cette gestion inclut le fait
de diriger et de Ülcî\îtcr l'implantation d'un programme de
sécurité de l'information il l'échelle de l'entTeprîse. y compris le
dévdopp!!mcnt de plans pour l'analyse de l'impact sur les affaires
(A lA), pour la continuité des aHàircs ella reprise après sinistre
reliés aux fOnctions de la division des TI en. appui aux processus
critiques métiers de l'entreprise. Une composante 11'li.\ÎCUre dans la
mise en place de tels programmes est l'application des principes
de gestion du risque pour évaluer les risques concernant les
actifs des T(, d'atténuer ces risques à un niveau approprié tel que
déterminé par la direction ct de contrôler les risques résiduels
restants.
Voir le chapitre 5, intitulé Protection des actifS informationnels,
pour de plus amples détails sur la gestion de la sécurité de
l'information.
2.9.7 OPTIMISATION DE lA PERFORMANCE
La pcrtOnmmcc ne f.:1it pas référence au bon fonctionnement
du système, mais au service perçu par les utilisateurs ct pmiies
prenantes. L'optimisation de la pcrH:mnance fait référence
au processus d'amélioration de la productivité des systèmes
d'infonnation au plus haut niveau possible, tout comme de la
pcifmmancc perçue des services, sans devoir augmenter inutilement
les investissements dans: l'inti-astmcture des Tl.
Dans une approche efficace de gestion de la performance, les
mesures ne servent pas uniquement à attribuer des oblig<1tions
de t~ndre compte ou à se confOrmer aux exigences de mpport.
Les mesures sont utilisées pour créer ct faciliter des mesures
d'amélioration de la perfonnancc et, par conséquent, de la
gouvernance des Tl d'entreprise.
Deux aspects essentiels doivent être abordés pour que la mesure de
la performance soit efficace :
• La définition claire des o~jectif.<.> de pcrfonnance;
• ~établissement de mesures cffîcaccs visant à surveiller l'atteinte
des o~jectifS.
Un processus de mesure de la performance est également
nécessaire pour assurer une surveillance constante ct fiable de cette
demièrc. Une gouvemance eiTicacc, qui f'àcilite considérablement
l'optimisation globale de la pcliÜJmancc, est réussie quand:
• Les objectifs sont fixés selon une approche descendante ct
harmonisés aux objectiiS d'entreprise de haut niveau approuvés.
• Les mesures sont établies selon une approche ascendante et
ham1onisées de manière à fàvoriser l'atteinte des objectifS à tous les
niveaux, surveillés par tous les échelons de la direction.
Facteurs essentiels au succès
Il y a deux facteurs essentiels de succès de la gouvernance
(favorisant l'optimisation de la perfonnane-c globale):
• l~approbation des objectif." par les parties prenantes.
• Cacceptation de l'obligation de rendre comple de l'atteinte des
objectif.'> par la haute direction.
121
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
Comme les Tl représentent un domaine technique complexe, il est
impot1ant de faire preuve de transparence en employant des tennes
compréhensibles pour les parties prenantes pour exp1imcr les buL<;,
métTiques ct rapports de petformancc, de sotte que des mesures
appropriées puis.<.;ent être p1ises.
Méthodologies et outils
li existe tout un éventail de méthodologies d'amélioration et
d'optimisation qui complètent les approches simples, élaborées à
l'interne. Elles comprennent :
Les méthodologies d'amélioration continue comme le cycle
PDCA.
Les ensembles de bonnes pratiques comme !TIL.
Les référentiels comme COBlT.
PDCA est une méthode de gestion itémtive en quntre étapes utilisée
par les entreprises pour le contrôle et l'amélioration continue des
processus et produits. Les étapes de chaque cycle PDCA sont :
• Planifier Établir les objectifS et processus nécessaires pour
obtenir des résultats conformément aux extrants attendus (cible ou
buts). La définition des attentes relatives aux extnmts fait en sorte
que l'exhaustivité et la justesse de la spécification sont comprises
dans l'amélioration ciblée. Lorsque cela est possible, commencer à
petite échelle afin de tester les conséquences possibles.
• Faire- Mettre en œuvre Je plan, exécuter le processus et créer le
produit. Recueillir des données pour la constitution de graphiques
et l'analyse aux étapes suivantes, vérifier et agir.
• Vérifier -·-l~tudicr les résultats réels (mesurés ct consignés à
l'étape tàire) et les comparer aux résultats attendus (cibles ou
objectifs de l'étape planifier) afïn d'identifier toute différence.
Rechercher des écarts par rapport au plan dans la mise en œuvre
ct confirmer que le plan était approprié et suffisamment complet
pour pennettre l'exécution (c.-à-d. l'étape faire). Présenter les
données en graphique peut faciliter l'observation des tendances
au cours de plusieurs cycles PDCA et la conversion de données
recueillies en infOrmation. Cinformation est nécessaire pour
l'étape suivante, agir.
• Agir-- Demander des mesures correctives relatives aux diflerences
impmtantes entre les résultats planifiés et réels. Analyser les
différences afin de déterminer leurs causes tbndamcntales.
Déterminer où appliquer les changements qui comprendront des
améliorations au processus ou au produit. Lorsque le déroulement
de ces quatre étapes ne débouche pas sur un besoin d'amélioration~
la portée de J'application du PCDA peut être peaufinée dans le
but de rendre la planification et l'amélioration plus détaillées lors
de la prochaine itération du cycle, ou alors l'attention doit être
concentrée à une autre étape du processus.
Utiliser le cycle PCDA après un développement agile permet de
réévaluer I'mientation du projet à différents stades tout au long du
cycle de vic de développement. Ccci est réalisé par des« sprinLo;; ))
ou« itérations» qui exigent que des groupes de travail livrent
un produit îonctionnel. Vu la priorité accordée aux cycles de vie
abrégés, la méthodologie agile a été décrite comme« itérative » ou
« incrémentale H, Contrairement à une méthode comme celle de la
cascade, qui offre une seule occasion de réussir chaque aspect d'un
projet, le développement agile permet de revisiter continuellement
tous les aspects.
Le guide CO BIT 5 pour 1'audit expliquera comment les
professionnels de l'audit peuvent fournir une assurance
122
eiSA Gertinedfnfo~ation
Systems Audltor·
--------+------
'"'"'"""''""'"'
indépendante aux conseils d'administration en matière de
performance des TI.
Outils et techniques
Les outils et techniques qui facilitent les mesures, la bonne
communication et le changement organisationnel comprennent :
.. Six Sigma
• Le tableau de bord prospectif des Tl (TBP)
• Les indicateurs clés de performance (lCP)
• L'analyse comparative
• La refonte des processus administmtifS (RPA)
.. L'analyse des causes fondamentales
• !.;analyse coût-bénéfïces du cycle de vie
Six Sigma et Le-an Six Sigma sont des approches éprouvées
d'analyse ct d'amélioration des processus quantitatifS qui se
transposent aisément aux processus de Tl. r objectif de Six Sigma
est la mise en œuvre d'une stratégie orientée sur la mesure. axée
sur l'amélioratîon des processus ct la limitation des défauts.
D'après Six Sigma, un déf:1ut est tout ce qui n'est pas conforme
aux spécifications du client.
Lean Six Sigma se penche sur la stratégie orientée sur la mesure,
axée sur l'amélioration des processus ct la limitation des défauts,
ainsi que l'efficacité de ces processus. Thnt Slx Sigma que Lean
Six Sigma se fondent sur des données :.iatistiques pour définir
les processus de la source de données, les intrants, les procédés,
les extrants, ct les produits et services fournis par Je processus à
l'examen.
Le tableau de bord prospectif (TBP) des Tl est une technique pour
évaluer la gestion des processus qui peut être appliquée au processus
de gouvernance des TI lors de l'évaluation des fonctions et des
processus de Tl. Pour de plus amples renseignements, voir la scellon
2.3.3 Le tableau de bord de performance des Tl.
Un indicateur clé de performance (ICP) est une mesure qui
détem1ine la perfonnance du proces...-:us dans l'atteinte de l'objectif.
Il s'agit d'un indicateur clé penncttant de savoir si un objectif
sera vraisemblablement atteint ou non, et un bon indicateur des
capacités, pratiques et habiletés. À titre d'exemple, un service
exécuté par les TI est un objectif de Tl. mais pour l'entreprise.
il s'agit d'un indicateur de perfOrmance et une capacité. C'est
pour cela que les indicateurs de performance sont parfois appelés
inducteurs de performance, en pmtkulicr dans les TB P.
Lorsque les mesures de contrôle sont sélectionnées pour la mise
en œuvre, des critères devraient également être établis pour
déterminer le niveau opérationnel et l'eftîcacité de ces mesures.
Ces ctitères sont souvent fondés sur des !CP qui indiquent si le
contrôle fonctionne correctement. À titre d'exemple, un !CP relatif
au processus de mise en œuvre mesure la réussite relative d'une
transition par rapport aux objectif.~ de pcrtünnance désirés. Le
succès d'une transition est souvent mesuré en iant que pourcentage
d'etreurs, du nombre de rappot1s d'erreurs, de la durée des pannes
de système ou du degré de satistàction des client~. Lutilisation
de I'ICP indique à la direction si le processus de contrôle du
changement a été géré corrcctemeni, avec des degrés su frisants de
qualité et de mise à l'essai.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e : :_: .'" ' Chapitre 2 - Gouvernance et Gestion des Tl Section deux : Contenu

L'analyse comparative est une approche systématique de
comparaison de la performance de l'entreprise par rapport à ses
pairs d concurrents, dans le but d'apprendre la meilleure iàçon de
mener des affaires. Il peut s'agir d'une annlyse comparative de la
qualité, de l'efficacité de la logistique ct de diverses autres 1nesures.
La refOnte des processus administratifs consiste en une analyse
complète et une restructuration majeure des processus administratif.-.
et systèmes de gestion afin d'établir une structure plus pe1formante,
qui répond mieux aux besoins de la clientèle et atLx. conditions du
marché, tout en réalisant des économies de coûts subslantielles. Pour
en savoir piLLe:; sur la RPA, consultez ln section 3.11.1 Refonte des
processus administratifS et projet" de changement de processus.
La mesure de la performance des Tl et la production de rapports
peuvent constituer une exigence légale ou contractuelle.
Les pratiques adéquates de mesure de la performance pour
l'entreprise comprennent des mesures de résultats relatives à
la valeur commerciale, l'avantage concurrentiel et des mesures
de pedûrmance définies qui démontrent si les Tl performent
bien. Des incitatifS comme des primes, des rémunérations ct une
reconnaissance doivent être liés aux mesures de performance. Il
est aussi important de pat1ager les résultats et les progrès avec les
employés, les clients ct les partenaires.
termes clés pour ce processus comprennent ce qui suit :
• Cycle de vie (CV): Une série d'étapes qui caractérisent le
cours de l'existence d'un investissement organisationnel (p. ex.,
produit, projet, programme).
• Coût du cycle de vie (CCV): Les coùts estimés liés à
l'entretien et ù la mise à jour, à l'échec, ainsi qu'au maintien de
l'interopérabilité avec les technologies reconnues et émergentes.
• Analyse des bénéfices (AB): Les coüts (ou bénéfices)
d'utilisation ainsi que les coûts (ou bénéfices) opérationnels de
l'entreprise découlant du ou des systèmes d'information.
2.10 STRUCTURE ORGANISATIONNELLE DES
Tl ET RESPONSABILITÉS
Une division des Tl peut être structurée de différentes manières.
Un exemple de modèle est illustré dans la figure 2.12. Cet
organigramme comprend les fOnctions reliées à la sécurité, la
conception et l'entretien d'applications, !"assistance technique
pour le réseau et 1'administration des systèmes et aux opérations.
La structure organisationnelle montre la division des Tl, qui est
normalement dirigée par un gestionnairc/dircdeur des TI ou,
au sein de grandes organisations, par un dirigeant principal de
l'information.

L"analysc des causes fondamentales est un processus
diagnostique servant à établir les origines des événements
(causes fondamentales). Une fois que l'on a cerné les causes
fondamentales qui conduisent à des pannes ct défaillances du
systèmes, elles peuvent servir à élaborer les mesures de contrôles
nécessaires pour y remédier. En outre, l'analyse des causes
fondamentales permet également à une organisation de tirer
des leçons des conséquences (habituellement, des erreurs et des
problèmes) afin d'éviter de répéter des actions ou résultats non
désirés.
n.emarque: Lexamen ClSA n'évalue pas les tâches
spécilîques du travail puisqu'elles varient au sein des
entreprises. Cependant~ des responsabilités reconnues de taçon
universelles telles que les fOnctions reliées aux propriétaires
d'entreprises, à la sécmité de l'information ainsi qu'aux
dirigeants peuvent être testées, spécialement lors de lests sur
les contrôles d'accès ou sur le droit à la propriété des données.
Cauditcur des SI doit se familiariser avec la séparation de
l·~ches.
~--·---------·--------'"·
J
······--·-··-·-

IJanalysc coût-bénélïccs du cycle de vie est une évaluation 2.10.1 RÔLES ET RESPONSABILITÉS DES Tl
visant à déterminer l'orientation stratégique des systèmes de Tl 'fOus les employés doivent connaître l'organigramme de la
d'entreprise et de la gestion globale du potiefCuille de TL Les structure organisationnelle puisqu'il donne une définition claire

fi,Qure 2i12- ornanisalion du setVice des Tl •

r··-··-·-···-~··········1
1Dirige3nt principal de l'information ou
gestionnaile/dtrecteurdes·rl
L••-~•w•------.•••-•-••-----··· ----"'

[~~~:,:,=~~"~J [~;"~~~~,~-. _-T (::-Do::, , ~:1[ So='~"~~h:~~~F~~;'~''"'".;,;'~':";:~1·r=~P~~~:--J

I"=·:··"'J 1-=::-.J 1:-~o~l,-:""~ ~~=.· . ~··.:E:~ [ .~.~1
Admtnimateur de sy1tèmes Analyste\ u,. ~yslemes ··---··--·---·--·-·· ..
sur~nce de la qualité 1 lsystème d'expluuattonl (lysteme> Uexplo•tal<Otl)
--···---------- ···--·---·-·--· - ------ ---

Manuel de Préparation CISA 26' édition 123

ISACA. Tous droits réservés.
 Section deux : Contenu Chapitre 2 - Gouvernance et Gestion des Tl
de la hiérarchie ct des autorités de la division Tl. De plus, des
descriptions de tâches. des tableaux RACI ct des diagrammes de
Hux de travaux par couloirs d'activité fournissent aux employés
des services de SI une infonnation plus claire et complète
quant à leurs rôles ct responsabilités (ainsi que ceux des autres).
t:auditeur des SI doit passer du temps dans le domaine de l'entité
qui se fait vérifier pour observer et déterminer si la description
de l'emploi ct les structures coïncident avec la réalité et sont
adéquates. Généralement, les fOnctions des Tl décrites plus bas
doivent être révisées :
• Gestionnaire des systèmes de développement~ Les
gestionnaires des systèmes de développement sont responsables
des programmeurs et des analystes qui implantent de nouveaux
systèmes ct qui entretiennent les systèmes existants
• Gestion de projet~ Les gestionnaires de projet s'occupent
de planifier et d'exécuter les projets de SI et peuvent relever
d'un bureau de gestion de projet ou de J'organisation de
développement. Le personnel de gestion de projet utilise les
budgets qui lui sont affectés pour la livraison d'initiatives de SI et
rend compte de la progression du projet au comité directeur de Tl.
Les gestionnaires de projet jouent un rôle central pour exécuter
la vision de la stratégie de Tl et du comité directeur de Tl en
planifiant, coordonnant et livrant les projets de Tl à l'entreprise.
• Centre d'assistance (centre de service)·~· De plus en plus
de compagnies trouvent qu'il est important d'avoir un centre
d'assistance pour leur service de Tl. Il s'agit d'une unité au sein
d'une entreprise qui répond aux questions et aux problèmes
techniques auxquels font face les utilisateurs. La plupart des
entreplises infOrmatiques possèdent des centres d'assistance.
Les questions et les réponses peuvent être acheminées par
téléphone, télécopieur, courriel ou messagerie instantanée.
Le personnel du centre d'assistance peut utiliser un logiciel
de service d'assistance d'une tierce partie qui leur permet de
trouver rapidement les réponses aux questions courantes. Une
procédure pour enregistrer les problèmes rapportés, résolus ou
transférés à des instances supé1ieurcs doit être en place pour
ü1ire l'analyse des problèmes ou des questions. Cette façon de
faire permet d'assurer un suivi des groupes d'utilisateurs et
d'améliorer les services oflèrts par l'installation intégrée servant
au traitement d'inf()rnlation et de logiciel.
t:administration du centre de service et de soutien comprend les
activités suivantes ;
·· L:acquisition de matériel ct de logiciel au nom des utilisateurs.
-· t.:aide aux utilisateurs s'ils éprouvent des difficultés avec le
matériel ou le logiciel.
La formation des utilisateurs pour qu'ils utilisent le matêriel ct
le logiciel ainsi que les bases de données.
-" Les réponses aux requêtes des utilisateurs.
Le suivi des développements techniques et l'infonnation
fournie aux utilisateurs sur les développements et qui peut
leur être pertinente.
--L'identification de la source des problèmes avec les systèmes
de production et la mise en place d'actions correctrices.
-~L'information donnée aux utilisateurs sur les problèmes
reliés au matériel et au logiciel ou aux bases de données qui
pourraient affecter leur contrôle de l'installation des mises à
jour du matériel ct du logiciel.
-·-La mise en place de changements pour améliorer l'efficacité.
• Utilisateur final-- L?utilisateur final est responsable des
124
e•s A" Systems
H.
Gertif!ed Information
--+--
Audltor"
''"'(:Jr'"'·'""'"'
fonctions reliées aux services d'application d'affaires; terme
utilisé par la personne qui programme. entretient ou installe
les applications pour désigner la personne pour qui le produit
a été conçu (généralement au niveau de l'application). Il est
important de noter quïl existe une petite distinction entre
les termes« utilisateur final)) et<< utilisateur)). Le terme
~<utilisateur final)) est légèrement plus spécifique et fait
référence à quelqu'un qui accèdera à l'application tel que
mentionné plus haut. Le terme« utilisateur» est plus large
et pourrait Htire référence aux comptes administratifs ct aux
comptes pour accéder aux plate formes.
• Le gestionnaire de soutien à l'utilisateur final- Le
gestionnaire de soutien à l'utilisateur final est responsable de la
liaison entre ladivisiondes SI et les utilisateurs finaux.
• Gestion des données~· Le personnel de gestion des données
est responsable de !'mchilecturc des données dans un plus grand
environnement des Tl ct en charge de la gestion des données en
tant qu'actifS d'une société.
• Oirectem· de l'assurance-qualité- Le directeur de
l'assurance-qualité est responsable de négocier et de faciliter
les activités de qualité dans lous les aspects de la technologie de
l'information.
• Gestion de la sécurité de l'information -li s'agit d'une
fonction qui doit généralement être séparée du service
des Tl et dliigée par un officier principal de la sécurité de
l'information. Ce dernier peut se rapporter au dirigeant principal
de l'information ou ;:tvoir une relation indirecte avec celui-ci.
Même lorsque l'officier principal de la sécurité de l'intbrmation
se rapporte au dirigeant principal de l'information, il existe une
possibilité de conflit puisque les objectifs du ditigcant principal
de l'information sont d'offrir efficacement des services des
Tf continus, tandis que l'officier principal de ta sécurité de
1'infOrmation peut être moins intéressé par la réduction des
coûts si ce ln a un impact sur la qualité de la protection.
Gestion des fournisseurs et des services Impartis
Avec l'augmentation de l'externalisation, y compris l'utilîsation
de multiples vendeurs, il faudra peut-être recourir à une
main-d'œuvre dévouée pour superviser les fournisseurs et les
impartiteurs et pour exécuter les fonctions suivantes ;
• Agir à titre de contact de premier plan pour le vendeur et
llmpartiteur au sein de la fonction des TL
• Donner des directives à l'impartiteur concernant tous problèmes
ct les rapporter à !'autorité compétente au sein de l'entreprise et
de la fonction des Tl.
.. Superviser les niveaux de service ct en faire rapport à la
direction.
• Réviser les modifications fUites au contmt à la suite de
nouvelles exigences et obtenir l'approbation des TI.
Opération et entretien de l'Infrastructure
Un diredeur des opérations est responsable de la main-
d'œuvre des opérations informatiques, y compris toute celle
requise pour 1'airc fOnctionner le centre de données de manière
enèctive et efficiente (p. ex., les opérateurs d'ordinateurs, les
bibliothécaires, les agents d'ordonnancement et le personnel
de contrôle des données). Le centre de données comprend les
serveurs et l'ordinateur central, les périphériques comme des
imprimantes à haute vitesse, l'équipement réseau, les suppmis
magnétiques ct les réseaux de stockage. Cet ensemble constitue
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e certified Information
Systems Allditur'
"'"''"'""''''''·"·'
Chapitre 2 - Gouvernance et Gestion des Tl
un investissement d'actifs majeur ct innuencc la capacité de
1'entreprise à fonctionner efficacement.
Le groupe de contrôle est responsable de la cueillette, de la
conversion et du contrôle des données d'entrée ainsi que de
l'équilibrage et de la distlibutlon des doll!técs de sortie aux
utilisateurs. Le superviseur du groupe de contrôle se rapporte
habituellement au directeur des opérations de l'installation
intégrée servant au traitement d'information ct de logiciel.
Puisqu'il traite des données sensibles, le groupe de contrôle des
données d'entrée et de sortie doit se situer dans un endroit distinct
où seul le personnel autolisé est admis. Pour plus d'infünnatlon,
consultez la section 3.13.1 Contrôles de saisie.
Gestion des supports
La gesHon des supp01·t's est exigée pour enregistrer, émettre,
recevoir ct sauvegarder tous les fichiers de programme et de
données qui sont maintenus sur le support amovible. Selon
la taille de l'entrcprise,cette fOnction peut être assignée à
une personne à temps plein ou à un membre de l'équipe des
opérations qui exécute aussi d'autres tâches.
JI s'agit d'une fonction essentielle. Pm· conséquent, beaucoup
d'entreprises fournissent du soutien supplémentaire pour cette
fonction par rutilisation du logiciel, qui aide dans le maintien de
l'inventaire tout comme dans la gestion du trnnsfCrt du support.
L:utilisation de ce logiciel aide aussi à entretenir la gestion de
versions ct la gestion de la configuration des programmes.
Saisie de données
La saisie de données, essentielle à l'activité de traitement de
l'infOrmation, peut inclure la saisie en lots ou en ligne.
Dans la plupart des entreplises. le personnel de la division de
l'utilisateur effectue ses propres saisies de données en ligne. Dans
beaucoup d'cnvironncme,nts en ligne, les données sont saisies
à la source d'origine (p. ex., les documents d'entrée portant sur
l'échange de données intOnnatisées fEDI], les données saisies
à pmiir des codes à barres pour la gestion du temps, l'inventaire
d'un grand magasin). La division de l'utilisateur, tout comme
l'application de sy,c:;tème, doit avoir des mesures de contrôle
en place pour s'assurer que les données sont validées, exnctes,
complètes et autorisées.
Contrôles de supervision et acquisition de données
Avec l'avancement de la technologie ct le besoin d'acquérir des
données et leur migînc, des systèmes automatisés d'acquisition
de données sont déployés par des organisations. Ces systèmes
comprennent les lecteurs de codes à batTes ou les systèmes
de télésurveill:mcc et d'acquisition de données (SCADA). Le
terme SCADA réfère habituellement aux systèmes centralisés
qui surveillent et contrôlent des sites entiers, ou une .série de
systèmes répartis sur un vaste territoire (de plusieurs kilomètres
ou milles). Ces systèmes se retrouvent typiquement dans les
usines industrielles, aciéries, centrales et installations électriques
ct autres entreprises semblables. La plupmi des contrôles de site
sont effectués automatiquement par des terminaux à distance ou
par des contrôleurs programmables. Les fonctions de contrôle
d'hôte sont généralement restreintes au surpassement de base du
site ou aux interventions de supervision. Un exemple de système
Manuel de Préparation CISA 26" édition
ISACA. Tous droits reservés.
Section deux : Contenu
automatisé pour l'acquisition de données est celui utilisé sur
les appareils de forage pour mesurer et contrôler 1' extraction du
pétrole ct contrôler la température et l"écoulement de l'eau.
Cacquisition de données commence au niveau des terminaux à
distance ou des contTôleurs programmables, et comprend des relevés
d'instruments de mesure et des rapports d'état de l'équipement qui
sont communiqués au SCADA lorsque nécessaire. Les données
sont ensuite compilées et formatées de telle façon qu'un opérateur
de salle de contrôle utilisant un réseau d'interface homme-machine
(!HM) puisse prendre des décisions relatives à l'ajustement ou au
surpassement des contrôles normaux. Des données peuvent aussi
être dirigées vers un registre, souvent inclus dans un système de
gestion des bases de données, dans le but de permettre l'orientation
et autres audit-: analytiques.
Par le passé, les applications SC' ADA avaient recours à des voies de
communication dédiées. Actuellement, il y a un transfert important
vers Internet Cette tendance a des avantages évidents, notamment
l'intégration aisée aux applications d'affaires de l'entreprise. Cela
augmente par contre la vulnérabilité aux cybcrattaques, alors que de
nombreuses entreprises du genre sont des infrastructures essentielles
pour le pays où elles se trouvent (voir la section 3.7 .16 Systèmes de
contrôles industrîels pour de plus amples détails).
Administration des systèmes
[]administrateur des systèmes est responsable de J'entretien de
systèmes informatiques multiutilisateurs importants, y compris
les réseaux locaux (LAN), les réseaux locaux sans fil (WL.-AN),
les réseaux étendus (WAN), les environnements virtuels machine/
serveur/réseau, les réseaux personnels (PAN), les réseaux de
stockage (SAN), les intranets, les cxtranets, les logiciels de
milieu de gamme ainsi que les systèmes d'ordinateur central. Les
responsabilités typiques inc.luent :
• L'ajout et la configuration de nouveaux postes de travail et
périphériques.
• La création de comptes d'utilisateurs.
• L'installation de logiciel à l'échelle du système.
• eexécution de procédures pour empêche!; détecter ct coniger la
propagation des virn'i.
•!:attribution d'espace de mémoire de masse.
Les petites entreprises peuvent avoir un seul ndministrateur des
systèmes, tandis que les plus grandes possèdent habituellement
une équipe d' administmteurs des systèmes. Quelques entreprises
centrées sur 1'ordinateur central peuvent faire référence aux
administrateurs des systèmes en tant que programmeur des
systèmes.
Administration de la sécurité
Cadministration de la sécurité commence par un engagement
de la direction. La direction doit comprendre et évaluer le
risque relié à la sécurité et élaborer et mettre en application
une politique écrite établissant clairement les normes et les
procédures à suivre. Les tâches de l'administrateur de la
sécurité doivent être définies dans la politique. Afin de fOurnir
une séparation adéquate des tâches, cette personne doit être
un employé à temps plein qui peut se rapporter directement
au directeur de l'in finstructure. Cependant, dans une petite
entreprise, l'embauche d'une personne à temps plein pour ce
poste n'est peut-être pas la meilleure solution. La personne qui
125
 Section deux : Contenu Chapitre 2 - Gouvernance et Gestion des Tl eiSA" Certlfled !nlonnaüon
exécute la fonction doit s'assurer que les divers utilisateurs se
conforment à la politique de sécurité de l'entreprise et que les
contrôles sont adéquats pour empêcher 1'nccès non autorisé aux
actifs de la compagnie (incluant les données, les programmes el
l'équipement). Les fOnctions de !'administrateur de la sécurité
incluent normalement:
.. L'entretien des règles d'accès aux données et aux autres
ressources des Tl
• Le maintien de h1 sécurité et de la confidentialité concernant
l'émission et l'entretien des noms d'utilisateurs et des mots de
passes autorisés
• Le contrôle des violations de sécwité et la prise d'actions
correctrices pour assurer une sécurité adéquate
• Les révisions ct les évaluations périodiques de la politique de
sécurité ainsi que la proposition des changements nécessaires à
apporter à la direction
• La préparation et la supervision d'un programme de
sensibilisation à la sécurité pour tous les employés
• La mise à l'épreuve de l'architecture de la sécurité pour évaluer
les forces de la sécurité et détecter les menaces possibles
• Le tmvail avec les fonctions d'audit, de coniOrmité et de
gestion du risque pour s'assurer que la sécurité est assurée
convenablement et revue en f-Onction des tests ou des
commentaires d'audit
Assurance de la qualité
Les termes« assurance de la qualité>) ct« contrôle de la qualité»
sont souvent utilisés de manière interchangeable pour référer à
des moyens d'assurer la qualité d'un service ou d'un produit.
Leur signification est toutefois différente.
Le personnel travaillant en assurance-qualité eftèctuc
nonnalement deux tâches différentes :
• Assurance de la qualité··- Ensemble planifié ct systématique
d'actions destinées <1 donner confiance en la conformité
d'un élément ou produit aux exigences techniques établies.
L'assurance de la qualité aide Je service des Tl à confirmer que
le personnel respecte les procédés de qualité recommandés. À
titre d'exemple, l'assurance de [a qualité définit des procédures
(p. ex., conformes à ISO 9001 _)pour tàciliter l'application
courante des pratiques d'assurance et de gestion de la quJlité.
• Contrôle de la qualité- Techniques et activités d'observation
employées pour satisf:Iirc les exigences de qualité. Cette tfichc
aide à la conduite des tests ou des révisions pour assurer que
le logiciel est exempt de défectuosités et répond aux at1entes
de !'utilisatcm: Cette tflchc peut se faire à diverses étapes de
la conception d'un système d'application, mais avant: que
les programmes ne passent à la phnse de production. Par
exemple, elle permet de s'assurcrquc les programmes et
la documentation respectent les normes et les conventions
d'appellation.
La fonction de l'assurance-qualité au sein d'une organisation doit
concevoir, promulguer et maintenir les normes pour la fOnction
des TL Ce groupe offre aussi de la formation sur les normes ct
les procédures de l'assurance-qualité. Le groupe de contrôle de
la qualité peut aussi aider en vérifiant périodiquement la justesse
et l'authenticité des intrants, du traitement et des extrants de
diverses applications.
126
M Systems Aw:lltor"
'"~'"""'~"''"''""
Afin de permettre au groupe de l' AQ dejouer un rôle efficace,
ce groupe doit être indépendant au sein de l'organisation. Dans
certaines entreprises, il peut faire partie du groupe de contrôle. JI
sc peut que des entrep1ises plus petites ne puissent pas avoir un
groupe d'assurance-qualité distinct. Dans ce cas, une personne
peut jouer plus d'un rôle. En aucun cas cependant une per~onnc
ne doit contrôler la qualité de son propre travail. De plus, la
révision ne doit pas être effectuée par une personne dont le rôle
serait en conflit (p. ex., un administrateur de base de données
effectuant une révision de la qualité de changements apportés au
système d'application qui touchent la base de données).
Administration de base de données
t:administrateur de base de données (ABD), à titre de gardien
des données de !'organisation, définit et entretient !es structures
des données dans le système de base de données de l'entreprise.
L'A BD doit comprendre l'entreplise, les données utilisateur et
les exigences de relation (structure) des données. Le titulaire
du poste doit assurer la sécurité des données partagées stockées
dans les systèmes de bases de données. L'ABU s'occupe de la
conception réelle, de la définition et de l'entretien approprié
des bases de données de l'entreprise. 1-labiluellemcnt, l'ABD
sc rapporte directement au directeur du CT!. Les fonctions de
l'administrateur de base de données incluent:
• La précision de la définition des données physiques (axées sur
l'informatique):
• Les changements appoJiés ù la définition des données physique
pour améliorer la peiiÜrmance;
• La sélection et l'implantation d'outils d'optimisation des bases
de données;
• Les tests et l'évaluation des outils de programmation et
d'optimisation;
• La réponse aux demandes des programmeurs et leur f-Ormation
sur les structures des bases de données:
• L'implantation de contrôles de défînition des bases de données,
des contrôles d'accès, des contrôles de mise à jour et des
contrôles d'accès simultané;
• Le contrôle de l'utilisation des bases de données, la cueillette
des statistiques de performance et la synchronisation des bases
de données;
.. L<l définition et la mise en place de procédures de sauvegarde et
de récupération.
t:ABD possède les outils pour établir les contrôles sur la base de
donnée et la capacité de passer outre ces contrôles. L'ABD a aussi
la capacité d'accéder ù toutes les données, incluant les données
de production. Il n'est habituellement pas pratique d'empêcher
l'ABD d'accéder aux données de production ou de lui en limiter
1'accCs. Par conséquent. la division des Tl doit exercer un contrôle
sené de l'administration des bases de données de la façon
.suivante:
• Séparation des tüches .
.. Approbation de la direction des activités de l'ABD.
• Révision par un superviseur des journaux d'accès et des
activités.
• Contrôles de détection sur l'utilisation des outils des bases de
données.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e "
. ' ifietltnformatmn
Systems Audi!or·
"'"'""""'""""'
Chapitre 2- Gouvernance et Gestion des Tl
Analyste de systèmes
Les analystes de systèmes sont des spécialistes qui conçoivent
des systèmes en fonction des besoins de l'uti!isateUI·. Ils
participent normalement à la phase initiale du cycle de
développement de sy,'>tèmes. Ces personnes interprètent les
besoins de l'utilisateur et établissent des exigences et des
spécitïcatîons fonctlonnel\es, ainsi que des documents de
conception de haut niveau. Ces documents permettent aux
programmeurs de créer une application spécitique.
Architecte de la sécurité
Les architectes de la sécurité évaluent les technologies de
sécurité; conçoivent les aspects de sécurité de la topologie de
réseau, du contrôle d'accès, de la gestion de l'identité ct d'autres
systèmes de sécurité; établissent les politiques et les exigences de
sécurité. On peut argumenter que les analystes de systèmes jouent
le même rôle; toutefois, J'ensemble des aplitudes requises est très
différent. Leurs tâches (p. ex., les spécifications de programme en
comparaison avec les politiques, les exigences ct les diagrammes
d'architecture) sont aussi différentes. Les architectes de la
sécurité doivent également composer avec la conformité, la
gestion du risque et les fOnctions d'audit afin incorporer leurs
exigences ct recommandations en matière de sécurité dans les
politiques et l'architecture de sécurité.
Ingénieur en sécurité de système
Cingénieur cu sécurité de système, comme défini dans la norme
/,)"'0//EC 2182 7:2008: lèchnologies de l'injhrmation·-7èchniques
de sécurité·-lng(~nierie de sécurité 5)'stème-Modèle de maturité
de capacité, fOurnit à l'organisation du soutien technique quant
à l'ingénictie de la sécurité des systèmes d'intünnntion qui
comprend:
• Des cycles de vie de projet, y compris des activit0s de
développement, d'op0ration, d'entretien et de mise hors service.
• Des organisations entières. y compris des activités
organisationnelles, d'ingénierie et de gestion.
• Des interactions simultanées avec d'autres tünctions, comme Je
matétiel ct logiciel de système, les tàcteurs humains, l'ingénierie
de tests, et la gestion, l'exploitation et l'entretien elu système.
• Des interactions avec d'autres organisations, y comp1is celles
chargées de l'acquisition, de la gestion de système, de la
certification, de l'agrément ct de l'évaluation.
Conception et entretien des applications
Les membres du personnel d'applications sont en charge de
la conception et de l'entretien des applications. La conception
peut inclure la création de nouveau code ou un changement à la
configuration existante de J'application. Le personnel conçoit les
progmmmcs ou modifie la configuration de l'application qui sc
retrouvera ultimement en production. Par conséquent, la direction
doit s'assurerque le personnel ne peut pas modifier les programmes
de production ni les données d'application. Le personnel doit
travailler dans un environnement de test seulement ct doit livrer
son travail à un autre groupe pour transférer les changements aux
progmmmes et à l'application en production.
Conception et entretien de l'infrastructure
Les membres du personnel d'infrastructure sont responsab!t::s
de l'entretien des logiciels de base, y compris le système
Manuel de Préparation CISA 26• édition
ISACA. Tous droits reservés.
Section deux : Contenu
d'exploitation. Il peut alors être nécessaire que le personnel
puisse avoir accès à tout le système. La direction des Tl
doit suivre de près les activités en exigeant que les registres
électroniques enregistrent cette activité et ne puissent pas être
modifiés. Le personnel d'infrastructure doit uniquement avoir
accès aux hibliothèqueR de système du logiciel qu'il entretien.
L'utilisation de l'administration de domaine ct des comptes
d'utilisateurs privilégiés doit être contrôlé et suivi de près.
Gestion du réseau
De nos jours. beaucoup d'entreprises possèdent des installations
intégrées servant au traitement d'infOrmation disperi\ées. Elles
peuvent avoit· une installation centrale. mais elles peuvent aussi sc
servir amplement des :
• Réseaux locaux~ Situés dans les filiales et dans les lieux
éloignés
"Réseaux étendus- Par l'entremise desquels les réseaux
locaux peuvent être interconnectés pour faciliter l'accès par le
personnel autorisé des autres emplacements
• Réseaux de communication sans fil-· Établis par des
assistants personnels numériques (APN) et d'autres appareils
mobiles
Les administrateurs de réseau sont en charge des composantes
essentielles de cette infrastmcture (routeurs, commutateurs,
coupe-feu, segmentation du réseau, mesure de la performance,
accès à distance, etc.). En raison de l'étendue géographique,
chaque réseau local peut avoir besoin d'un administmtcur. Tout
dépendant de la politique de l'cntrep1ise, ces administrateurs
peuvent se rappmter au directeur de l'installation, ou, dans
une exploitation décentralisée, au gestionnaire d'utilisateur
final, bien qu'au moins une relation avec le directeur de
l'installation soit conseillée. Le titulaire du poste est responsable
du contrôle technique et administratif sur le réseau local. Cette
tâche comprend la vérification que les chaînons de voie de
communication fonctionnent correctement, que les copies de
sauvegarde des systèmes sc font, et que les achats de logiciel et
de maléricl sont autmisés et que l'installation du logiciel ou du
matériel se fait convenablement. Dans de plus petites entreprises,
cette personne peut être responsable de l'administration de la
sécurité du réseau local. La tâche d'administrateur du réseau
local ne doit pns inclure de responsabilités de programmation
d'application, mais pourrait inclure des responsabilités de
programmation des systèmes et envers l'utilisateur final.
2.10.2 SÉPARATION DES TÂCHES AU SEIN DES Tl
La désignation des emplois et la structure organisationnelle
varient beaucoup d'une entreprise à l'autre en fonction de la
taille et de la nature de 1'entreprise. Cependant, l'auditeur des
SI doit obtenir suffisamment d'information pour comprendre
et documenter les relations entre di tlërentes fOnctions,
responsabilités ct autorités professionnelles, de même qu'évaluer
le caractère adéquat de la séparation des ti'iches. La séparntion des
ti'tches évite le risque qu'une seule personne soit responsable de
diverses tâches essentielles, ce qui pourrait provoquer des erreurs
ou des détou111ements qui ne seraient pas détectés rapidement
dans le cours nonnal des procédés d'affaires. La séparation
des tâches est un moyen important par lequel il est possible
d'empêcher les actes frauduleux.
127
Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl elsA· Certl!lootmo~mation
" H Systems Awl!!l)(
~-··-
""''""""'"'~'"""'""

Parmi les tâches qui doivent être séparées, notons: doivent être organisées de manière ù réaliser une séparation des
• La garde des actifs tâches adéquate. Voir le tableau 2.13 pour une recommandation
• eautorisation sur les tâches ne devant pas être combinées .
• L'enregistrement des transactions
1 R.ema;que : La matrice de contrôle de la séparation des tâches
Si une sépamtion adéquate des tâches n'existe pas, il pourrait (tableau 2.13) n•est pas une norme de l'indushie, mais plutôt
s'ensuivre: une dîrective qui indique quels postes doivent être séparés et
• Un détournement d'actif.<:> lesquels demandent des contrôles correctitS lorsqu'ils sont
• Des rapports inexacts des états financiers combinés. La matrice sert à expliquer la séparation possible
• Une documentation financière imprécise ( c.-à-d. contenant des de tâches et ne doit pas être considérée ou utilisée comme un
erreurs ou des irrégularités) absolu. Elle doit plulôJ être utilisée pour aider à ·identifier les
• Une mauvaise utilisation de fonds ou une modification des

l
cont1its éventuels afin que les bonnes questions puissent être
données pourraient passer inaperçues. posées afin cridentifier les contrôles corrccti[.:.;,
• Des changements non autorisés ou erronés, ou une modification ------~·--~-~---·---·----······-·--~•-•o•o~---··-·-·----····MO-OO.-----~-·--···---·

des données ct des programmes non détectée

Lorsque les tâches sont séparées, l'accès au système
informatique, à la bibliothèque des données de production,
aux programmes de production, à la documentation de
programmation ainsi qu'au système d'exploitation et aux
commodités associées peut être limité, et les dommages
potentiels causés par les actions de toute personne sont, par
conséquent, réduits. Les divisions des SI et d'utilisateur final
Dans la réalité, les fOnctions et les désignations peuvent vmicr
au sein des entreprises. De plus, selon la nature des procédés
d'affaires et de la technologie déployée, les risques peuvent varier.
Toutefois, il est important pour un auditeur des SI de comprendre
les fonctions de chaque désignation spécifiée dans le manuel. Les
auditeurs des SI doivent comprendre le risque de la combinaison
de fonctions tel qu'indiqué dans la matrice de contrôle de
séparation des tâches. De plus, selon la complexité des

Tàbteau 2]13- Matrice dè controle dè là séparâlion dè&\âcl\ês

mm rn
~rn
" ~

~ ~ "
-~
~la
~rn
"o
5o ~
~~
rn~

E,g ~~ .i~
rn
·ê~ );o
"'g
li
{'l ~rn Em

1
.g:;n mm
-~~ Em
m2 -l'AE E'
~-~
"2 t l s.g roE
!5~
-~~.5
m·m
~J
=•o
,~

e§ ~-1* :ï@ § "ê a.> ï~ ·e: E~ E~ 0>2

mm
liB ~..g; ~~ Jl§.
""'
~u ~u ~~ w~ C) li'{'l li'{'l

Groupe de
contrôle
x x x x x x x x x
Analyste de
systèmes
x x x x x x
Programmeur x x
d'applications
x x x x x x x x x
Gestionnaire du
service d'aide
x x x x x x x x x
utilisateur
final
x x x x x x x x
Saisie de
données
x x x x x x x x x
Opérateur
informatique
x x x x x x x x x x
Administrateur de
base de données
x x x x x x x x x
Administrateur de
réseau
x x x x x x x
Administrateur de x
systèmes
x x x x x x
Administrateur de
sécurité
x x x x x
Programmeur de
systèmes
x x x x x x x x x x
Assurance-
qualité
x x x x
X- Une combinaison de ces fonctions peut créer une faiblesse de contrôle.

128 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e . M
Certif!OO lnlormatioo
Systems Auditor"
''""''""''""""'
Chapitre 2 - Gouvernance et Gestion des Tl
applications et des systèmes déployés, un outil automatisé peut
être requis pour évaluer l'accès réel qu'un utilisateur possède par
rapport à la matrice de séparation des tâches. La plupart des outils
viennent avec une matrice prédéfinie de séparation des tâches qui
doit être adaptée aux procédés d'aHàires de l'organisation des Tl,
incluant toutes les fonctions supplémentaires ou les risques qui
ne sont pas mentionnés dans la matrice de séparation des tâches
présentée.
En ce qui concerne les utilisateurs privilégiés du système., la
consignation à distance (envoi des journaux de système à des
serveurs distincts) devrait être activée, de sorte que les utilisateurs
plivilégiés n'ont pas accès à leurs propres journaux. À titre
d'exemple, les activités de l'administrateur de base de données
peuvent être consignées à distance dans un serveur distinct afin
qu'lm représentant officiel du service des Tl puisse les passer
en revue ou les auditer. De manière semblable, les activités
des administrateurs de système peuvent être surveillées par la
séparation des tâches d'examen du joumal sur un serveur distinct.
Les contrOles correctif." sont des contrOles internes qui ont
pour but de réduire le risque d'une faiblesse de contrôle
existante ou potentielle lorsque les tâches ne peuvent pas être
séparées convenablement. On doit tenir compte de la structure
de l'organisation et de ses rôles au moment de détenniner
des contrôles appropriés pour l'environnement pertinent. Par
exemple, une organisatlon peut ne pas avoir toutes les postes
décrits dans la matrice ou une personne peut être responsable
de plusieurs des rôle!'! décrits. La taille de la division des Tl
peut aussi être un facteur impmiant à considérer (c.-à-d. que
certaines combinaisons de rôles au sein d'une division des Tl
d'une certaine taille ne doivent jamais être utilisées). Toutefois,
si pour une raison ou une autre des rôles combinés sont exigés,
des contJ-ôles compensatoires doivent être élaborés et mis en
application.
2.10.3 SÉPARATION DES CONTRÔLES DETÂCHES
Plusieurs mécanismes de contrôle peuvent être utilisés pour
renforcer la séparation des tâches. Ces contrôles sont décrits dans
les sections suivantes.
~ électroniques) qui définissent les droits d'accès de chaque personne.
Autorisation de transaction
L'autorisation de transaction relève de la division de l'utilisateur.
L'autorisation est déléguée au degre auquel elle fait référence
au niveau particulier de responsabilité de la personne autorisée
au sein de la division. Des audits périodiques doivent être
etlCctués par la direction et l'audit afin de détecter !es saisies non
autorisées de transactions.
Garde des actifs
La garde des actifs de l'entreprise doit être déterminée et ntfectée
convenablement. Le propriétaire des données est normalement
aflCcté à une division d'utilisateur en particulier et ses
responsabilités doivent être spécifiées par écrit. Le propriétaire
des données doit déterminer les niveaux d'autorisation requis
afin d'offrir une sécurité adéquate, tandis que le groupe
d'administration est souvent chargé de la mise en place et de
l'application du système de sécurité.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés,
Section deux : Contenu
Accès aux données
Les contrôles sur l'accès aux données sont f'Ournis par un
mélange de sécurité physique, de système et d'application dans
le domaine de l'utilisateur et de l'installation de traitement de
l'information. L'environnement physique doit être sécurisé
afin d'empêcher le personnel non autorisé d'avoir accès aux
divers appareils tangibles reliés à l'unité centrale, ce qui
pennettrait un accès aux données. La sécurité des systèmes et des
applications est une couche supplémentaire pouvant empêcher
des personnes non autorisées d'accéder aux données d'entreprise.
Depuis l'avènement d'Internet, l'accès aux données à partir
de connections externes est une inquiétude grandissante. Par
conséquent, la direction des 1'1 se voit ajouter la responsabilite de
protéger les acti(" d'infOrmation contre des accès non autorisés.
Les décisions de contrôle d'accès sont basées sur la politique
organisationnelle et sur deux nonnes de pratiques généralement
reconnues: la séparation des tâches et les droits d'accès
minimaux. Les contrôles pour une utilisation eiTicace ne doivent
pas nuire plus que nécessaire au bon déroulement du travail
habituel ni êtTc un trop lourd fardeau pour les administrateurs,
les auditeurs ou les utilisateurs autorisés. L'accès plus approfondi
doit être conditionnel, ct les contrôles d'accès doivent protéger
adéquatement toutes les ressources de l'entreprise.
Les politiques établissent les niveaux de sensibilité, tels que top
secret, secret, confidentiel et non classifié, pour les données et les
autres ressources. Ces niveaux doivent être utilisés à titre indicatif
pour les procédures à suivre pour manipuler les ressources
d'information. Ils peuvent aussi servir de base pour des décisions
concernant le contrôle d'accès. Les personnes reçoivent un droit
d'accès pour les ressources situées uniquement à un niveau
spécifique de sensibilité ou sous celui-ci. Des étiquettes sont
utilisées: pour indiquer le niveau de sensibilité de documents
stockés électroniquement. Les contrôles basés sur la politique
peuvent être caractédsés comme obligatoires ou discrétionnaires.
FORMULAIRièS D'AUTORISATION
Les responsables des systèmes doivent f'Ournîr aux TI les
fommlaircs officiels d'autorisation (qu'ils soient sur papier ou
En d'autres termes, les gestionnaires doivent définir qui doit avoir
accès à quoi. Les fornmlaires d'autorisation doivent matérialiser
convenablement l'accord de la direction. Génémlemcnt, lous les
utilisateurs doivent avoir aœès à des systèmes spécifiques en faisant
une demande JOm1elle à la direction. Dans les grandc>s entreprises
ou dans celles qui ont des sites éloignés, des journaux de signnturc
d'autorisation doivent être maintenus et les demandes formelles
doivent être comparées au journal de signature. Les privilèges
d'accès doivent être révisés périodiq ucment a fln de s'<t'>surer qu'ils
sont actuels et appropriés pour les fonctions de l'utilisateur.
LISTES DES DROITS D'ACCÈS DE VUTILISATIWR
La division de.s Tl doit utiliser les données provenant des
fonnulaires d'autoris..'ltÎOn pour créer et maintenir des listes des
droits d'accès de l'utilisateur. Celles-ci détiniront qui est autorisé
à mettre à jour, à modifier, à supprimer ou à visionner les données.
Ces privilèges sont fournis au niveau des systèmes, des transactions
et des champs. Ils sont en rait des listes de contrôle d'accès des
utilisateurs. Ces listes des droits d'accès doivent être sécurisées
129
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
contre les accès non autorisés au moyen d'un mot de passe
supplémentaire ou par Je chiffrement des données. Un joumal de
contrôle doit enregistrer toutes les activités des utilisateurs, et une
personne dirigeante appropriée doit réviser ce journal. Toutes les
exceptions doivent faire l'objet d'une enquête.
Contrôles compensatoires pour le manque de séparation
des tâches
Dans une petite entreprise où la division des TI peut être
formée de seulement quatre ou cinq personnes, des mesures
de contrôle correctif doivent exister pour atténuer le risque qui
résulte d'un manque de séparation des tâches. Avant de se fier
aux rapports générés par le système ou aux fonctions à titre de
contrôles correctif.'>, l'auditeur des sr doit évaluer attentivement
les rapports, les applications et les procédés connexes pour les
contrôles appropriés, y compris les tests et les contrôles d'accès
afin d'apportcrdcs changements aux rapports ou aux fonctions.
Les contrôles correctifs incluraient:
• Les pistes d'audit sont des composantes essentielles de tous
les systèmes bien conçus. Les pistt:s d'audit aident les Tl et' les
divisions d'utilisateurs ainsi que l'auditeur des SI en fournissant
une cmie pour retracer la circulation d'une transaction. Les
pistes d'audit permettent à l'utilisateur et à l'auditeur des SI
de recréer la véritable circulation de la transaction à partir
du point d'origine jusqu'à son existence sur un fichier mis
à jour. En l'absence d'une séparation adéquate des tâches,
les bonnes pistex d'audit peuvent constituer des contrôles
correctifS acceptables. L'auditeur des SI doit être en mesure de
déterminer: qui est à l'origine de la transaction, l'heure et la
date de la saisie, le type de saisie, quels champs d'information
elle contenait ct quels fichiers elle a mis à jour.
• La réconciliation relève du service de l'utilisateur. Dans
quelques entreprises, la réconciliation limitée des applications
peut être dfectuée par un groupe de contrôle des données en
utilisant la somme des contrôles et les bilans. Ce type d'audit
indépendant augmente le niveau de confiance que l'application
a tmitè l'information avec succès et que les données sont
équilibrées.
• Le rapport d'anomalies doit être confié au niveau de
surveillance et doit nécessiter des preuves, comme des initiales
sur un mpport, prouvant que le rapport d'anomalie a été traité
convenablement. La direction doit s'assurer que les anomalies
sont résolues rapidement.
• Les journaux de transaction peuvent être manuels ou
automatisés. Un exemple de joumal manuel est un enregistrement
des tram;actions (groupées ou par lots) avant qu'elles ne soient
soumises pour traitement. Un journal automatisé de transactions
fOurnit un enregistrement de toutes les transactions traitées et est
entretenu par le système infonnatique.
• Les révisions de contrôle peuvent être effectuées par des
observations et des requêtes ou à distance.
• Les révisions indépendantes sont menées pour pallier aux
erreurs ou à la non-confOimité intentionnelle aux procédures
recommandées. Ces révisions sont particulièrement importantes
quand les tâches d'une petite entreprise ne peuvent être séparées
convenablement De telles révisions aideront à détecter les
erreurs ou les irrégularités.
130
eiSA" Certilied!nfo~.'""
M Systems Auditer'
--+----···
"'"""''~'""""'-'
2.11 STRUCTURE DE GOUVERNANCE POUR
!.:AUDIT DES Tl ET MISE EN ŒUVRE
Alors que plusieurs conditions touchent l'auditeur des SI lors
de l'audit de la fonction TI, certains des indicateurs les plus
significatifs des problèmes potentiels incluent:
• une attitude défavorable de la part des utilisateurs finaux;
• des frais excessifs;
• des dépassements de budget;
• des projets en retard;
• un important roulement de personnel;
• un personnel inexpérimenté;
• des erreurs fi·équentes liées <1t1 maté1ie! ct aux logiciels;
• un arriéré excessif des demandes de l'utilisateur;
• un long temps de réponse du système;
• de nombreux projet;;; de développement suspendus ou annulés;
• des achats de matériel ou de logiciels non autorisés;
• des mises ù jour fréquentes du matériel ou des logiciels;
• des rapports d'exception détaillés;
• des rapports d'exception pour lesquels il n'y a pas eu de suivi;
• une f<lible motivation;
• un manque de plans de succession;
• une confiance en une ou deux ressources clés;
• un manque de formation adéquate.
2.11.1 REVUE DE LA DOCUMENTATION
Les documents qui suivent doivent thire l'objet d'une révision:
• Les stratégies, les plans et les budgets relatifs aux TI ·-· J ls
fOurnissent la preuve de contrôle de la planification et de la
gestion de l'environnement des Tl et l'alignement avec la
stratégie de l'entreplise.
• La documentation concernant la politique de sécurité~
Cette documentation fournit les normes pour la conformité. Elle
doit füirc état de la position de l'entreprise par rapport à tout
Je risque lié à la sécurité. La documentation doit identifier la
personne en charge de la sauvegarde des actifs de l'entreprise,
y comp1is les programmes ct les données, et énoncer les
mesures préventives à mettre en place pour offrir une protection
adéquate ct les mesures à prendre contre les transgresseurs. Pour
cette raison, cette partie du document de politique doit être traité
de manière confidentielle.
• Chartes fonctionnelles et organisationnelles -~Ces chartes
fournissent à l'auditeur des SI une compréhension de la ligne
de signalisation au sein d'une division ou d'une entrep1ise. Les
chartes illustrent une division de ln responsabilité et donnent des
indications concernant Je degré de séparation des obligations au
sein de l'entreprise.
• Descriptions de postes -·Ces descriptions définissent les
fonctions et les responsabilités qui se rattachent aux postes
dans l'ensemble de J'entreprise. Les descriptions de postes
permettent à une entrep1ise de regrouper les postes similaires
en différents niveaux pour assurer une juste rémunération de
la main-d'œuvre. De plus, les descriptions de postes donnent
une indication du degré de séparation des tâches au sein de
l'entreprise et aident à identifï~r les tâches qui pourraient
devenir conflictuelles. Elles doivent pcm1et1re d'identifier
le poste auquel se rapporte chuque membre du personnel.
l.:auditeur des SI doit par la suite vérifier que les niveaux de
liens hiérarchiques se basent sur des concepts d'entreprises
Manuel de Préparation CISA 26" édition
ISACA_ Tous droits rêservés.
e . K
Certilied Information
Systems Auditnr"
"''""'"'~'''""""
Chapitre 2 - Gouvernance et Gestion des Tl
détaillés et ne compromettent pas la séparation des tâches.
• Rapports de comité de direction ,_Ces rappmts fournissent de
l'information documentée concernant les nouveaux projets liés
aux systèmes. Les rapports sont révisés par des gestionnaires
des niveaux supérieurs et diffusés parmi les différentes unités de
l'entreprise.
• Procédures de conception de systèmes et de changement
au-x programmes ., Ces procédures fournissent un cadre à
l'intérieur duquel intégrer !a conception de systèmes ou des
changements aux progrnmmcs.
• l)rocédurcs liées aux activités -Ces procédures décrivent
les responsabilités du personnel d'opération. Les procédures
de mesure de la petformance sont généralement intégrées
aux procédures opérationnelles et font l'objet de rapports
périodiques à la haute direction et aux comités de direction.
L'auditeur des SI doit s'assurer que ces procédures sont
intégrées aux procédures opérationnelles.
• Manuels des ressources humaines-- Ces manuels présentent
les règles ct règlements (déterminés par une entreprise) qui
spécifient la manière dont les employés doivent se conduire. Ils
contiennent également les règles relatives aux congés annuels,
qui aideront à protéger l'organisme contre le tisque d'activités
frauduleuses ou inappropriées et contre la dépendance envers le
personnel clé.
• Procédures d~assurance-qmllité ~Ces procédures fournissent
un cadre et des nonnes qui peuvent être suivies par la division
des TL
Les diHèrents documents revus doivent faire l'objet d'une
évaluation plus poussée pour déterminer :
• s'ils ont été créés de la manière souhaitée ct autorisée par la
direction;
• s'ils sont actuels et à jour.
2.11.2 REVUE DES ENGAGEMENTS CONTRACTUELS
Il existe diverses phases dans l'obtention de contrats en lien avec
le matériel infommtique, les logiciels et les services de Tf, dont :
• l'élaboration des exigences du contrat ct des niveaux de service;
• Je processus d'appel d'offres pour Je contrat
• le processus de sélection pour le contrat;
•l'acceptation du contrat;
• la maintenance du contrat;
• la confOnnité au contrat.
Chacune de CCl' phases doit être appuyée par des documents
juridiques sujets ù une autorisation des ditigeants. L'auditeur des
SI doit vérifier la pmticîpation des gestionnaires au processus
de conclusion de contrats et assurer un niveau convenable de
révision opportune de la confonnitê aux exigences contractuelle..~:.;.
L'auditeur des SI peut souhaiter réaliser une révision de la
conformité séparée sur un échantillon de tels contrats.
Lorsqu 'il passe en revue un échantillon de contrat, l'auditeur des
SI doit évaluer la justesse des modalités suivantes:
• les niveaux de service;
• Je droit à l'audit ou au rapport d'audit par une tierce partie;
• la délivrance sous condition de logiciels;
• les pénalités pour non-conformité;
• Je respect des politiques et des procédures liées à la sécurité;
• la protection des renseignements se rapportant au client;
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
Section deux : Contenu
• les droits de la propriété intellectuelle;
• le processus de modi fîcations du contrat;
• la fin du contrat et toute pénalité qui y est associée.
Remarque : Un audlteur des SI doit connaître le processus
de demande de proposition et cc qui doit êlre révisé dans
cette demande de proposition, Jl est aussi important de noter
qu'un CISA doit connaître) d'un point de vue de gouvernance,
les critères d'évaluation et la méthodologie en lien avec une
demande de proposition elles exigences à respecter pour
satis1Tiire aux normes organisationnelles.
2.12 PLANIFICATION DE LA CONTINUITÉ DES
ACTIVITÉS
Cobjectif de la continuité des activités et de la reprise après
sinistre est de permettre à une entreprise de continuer à offrir
ses services essentiels advenant une pe1iurbation et de survivre
à une interruption désastreuse des activités. Une planification
rigoureuse et une allocation des ressources sont nécessaires à une
planification adéquate d'un tel événement.
La première étape de préparation d'un PCA, ou de la mise à
jour d'un PC' A existant, consiste à identifier les processus de
l'entreprise ayant une importance stratégique; ces processus
clés sont responsables de la croissance continue de l'entreprise
et de l'atteinte des objectifs. Idéalement, les PCA/PRS doivent
être soutenus par une politique exécutive formelle qui dicte
les objectifs généraux de l'entreprise relativement à la reprise
et qui délègue des pouvoirs aux personnes impliquées dans le
développement, la mise à l'essai et le maintien des plans.
En sc basant sur les processus clés, le processus de gestion des
risques doit débuter avec une évaluation des risques. Le risque
est directement proportionnel à l'impact sur l'organisation et
à la probabilité de la menace. Par conséquent, le résultat de
l'évaluation du risque doit être l'identification des éléments
suivants :
• Les éléments des ressources humaines, des données, des
infrastructures et autres ressources (incluant celles fournies par
des tiers) soutenant les processus dés;
• Une liste des vulnérabilités potentiel!es: les dangers ou menaces
à l'organisation;
• Ln probabilité estimée d'une occurrence de ces menaces;
• L'efficacité et l'efficience des contrôles d"atténuation des risques
existants (mesures pour contrer les risques).
La haule direction est la première responsable du PCA, puisque
ces dirigeants ont la mission de sauvegarder les actif.~ et la viabilité
de l'organisation, comme défini dans la politique de PCA/PRS.
Le PCA est habituellement suivi par les unités fonctionnelles
et les unités de soutien, afin d'assurer un niveau réduit mais
suffisant de fonctionnalité des opéralions immédiatement après
une interruption, tandis que la reprise est en cours. Le plan doit
englober toutes les fOnctions ct actifs requis pour permettre à
l'organisation de demeurer fonctionnelle. Ceci comprend les
procédures de continuité jugées nécessaires pour la survie et pour
minimiser les conséquences dè l'inteiTllption des opérations.
131
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
Le PCA doit prendre en considération :
• Les opérations critiques nécessaires à la survie de l'organisation;
• Les ressources humaines et maté1ielles les soutennnt.
En plus du plan de continuité des activités, ce plan comprend:
• I~e PRS utilisé pour récupérer une installatioJJ devenue
inopérable, y compris la relocalisation des opérations à un
nouvel cmp!ncement.
• Le plan de restauration utilisé pour reprendre les opérations
normales, que ce soit dans une installation restaurée ou
nouvelle.
En fonction de la complexité de l'organisation, il pourrait y avoir
un ou plusieurs plans correspondant aux divers aspects de la
continuité des activités et de la reprise après sinistre. Ces plans
ne doivent pas nécessairement être intégrés en un seul plan.
Toutefois, chacun doit être cohérent avec Je.s autres plans afin
d'avoir une stratégie de PCA viable.
Il est très souhaitable d'avoir un seul plan intégré afin de s'assurer
que:
• 11 existe une coordination adéquate entre les différentes
composantes du plan.
• Les ressources engagées sont utilisées de la façon la plus
efficace possible ct qu'il y ait une confiance raisonnable
que, par J'application du plan, l'entreprise survivra à une
perturbation.
Même si des processus similaires au sein d'une même
organisation sont gérés dans des lieux géographiques différents,
les solutions de PCA et de reprise après sinistre peuvent varier en
fonction des scénarios. Les solutions peuvent différer en raison
des exigences contractuelles (p. ex., l'organisation traite une
transaction en ligne pour un client, ct le service de soutien traite
celle d'un autre client). Une solution de PCA pour le service en
ligne sera significativcment différente de celle du traitement par le
service de soutien.
2.12.1 PLANIFICATION OE LA CONTINUITÉ DES
ACTIVITÉS DES Tl
En ce qui concerne la planification de la continuité des activité;:;
des SI, l'approche demeure la même que pour le PCA, à
l'exception que c'est la continuité du traitement des Tl qui est
menacée. Le traitement des Tl revêt une impmiancc stratégique.
Il s'agit d'un élément critique puisque la plupart des processus
clés d'entreprise dépendent de la disponibilité des composants ct
données clés de l'infi·astructure du système.
Le plan de continuité des activités des Tl doit s'aligner sur
la stratégie de l"entreprise. La criticité des divers systèmes
d'application déployés dans l'entreprise dépend de la nature
des activités et de la valeur de chacune des applications pour
1'entreprise.
La valeur de chaque application pom 1'entreprise est directement
propmiionnellc au rôle du système d'infOrmation dans le
soutien de la stratégie d'entreprise. Les composants du système
d'information (y compris les composants de l'infrastructure
technologique) sont ensuite mis en corrélation avec les
applications (p. ex., la valeur d'un ordinateur ou d'un réseau
132
eiSA" Certif!Cdlnfo~ma\ÎOIJ
'-' H Systems Alldrtor"
M~'<:.<"'.C.<1•<>1M
est déterminée par l'importance du système d'application qui
l'utilise),
Par conséquent, le PCA/PRS du système d'information constitue
un composant majeur de la stratégie d'ensemble de continuité des
activités ct de reprise après sinistre d'une entrep1ise. S'il s'agit
d'un plan séparé, le plan lié aux Tl doit être cohérent avec le PCA
de l'entrep1ise, ct doit appuyer cc dernier.
Tout au long du processus de planification de la continuité des
'fl de l'entrepdsc (parfois appelée continuité des services de
Tl), l'ensemble des activités de 1'entreprise doit être pris en
considération : encore une fois, il doit être appuyé par la politique
exécutive. Tous les plans liés aux Tl doivent être cohérent.;; avec le
PCA de l'organisation, et doivent appuyer cc dernier. Cela signifie
que les sites de traitement de secours qui soutiennent les activités
clés doivent être prêts, être compatibles avec les installations de
traitement d'miginc ct avoir des plans à jour relatifs à leur utilisation.
Encore une l-Ois, toutes les mesures doivent être mises en place
pour réduire ou éliminer l'éventualité d'une interruption en
cmploynnt la méthode décrite dans d'autres sections du précédent
manuel. En voici des exemples :
• Minimiser les mcnaœs pour le centn:: de données en tenant
compte de l'emplacement:
-Pas dans une zone inondable.
-Pas au-dessus ou près d'une faille séismique.
-Pas à proximité d'un endroit où des engins explosifS ou
matières toxiques sont utilisés régulièrement.
• Utiliser des topographies de réseau résilientes, comme les
boucles ou les mailles, jumelées à d'autres capacités de
traitement intégrées dans l'infrastructure du réseau.
Élaborer et tester un PCA/PRS pour le système d'infOrmation
constitue un composant majeur de la stratégie d'ensemble de
continuité des activités et de rep1ise après sinistre d'une entreprise.
Le plan sc tOnde sur l'utilisation coordonnée des mesures dont
dispose l'entreprise pour contrer les risques (site de traitement
miroir, réseaux de données redondants, matériel résilient, systèmes
de sauvegarde et de restauration, reproduction des données, etc.).
Si le plan de Tl est un plan séparé (ou composé de multiples plans
séparés), il doit être confonne au PC A d'entreprise.
L.: étab! issement de dépendances entre les processus d' entrep1isc
critiques, les applications, le système d'inJOrmation ct les
composante:; de l'infrastructure des TI représente un facteur dans
l'évaluation des risques. L.c schéma des dépendances qui en résulte,
qui montre les menaces ct vulnérabilités relatives aux composants/
dépendances (ainsi que les npp/ications clés regroupées par criticité)
est le produit de l'évaluation des risques.
Une f-Ois que l'évaluation des risques détermine l'impo11ance
des composants de SI pour l'entreprise ainsi que les menaces et
vulnérabilités relatives à ces composants, un plan de mesures
correctives peut être élaboré pour cerner les moyens les plus
appropriés de les protéger. Il est toujours possible de choisir
des mesures d'atténuation des risques (mesures pour contrer les
risques) pour éliminer la menace ou coniger la vulnérabilité.
Le risque peut être estimé soit de façon qualitative (en
attribuant des valeurs qualitatives à l'impact de la menace et à la
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e Gertllied Information Ch
A ~~.~::~,,~~îtor ap1"tre 2 - G ouvernance et G est1on
· d
es Tl
probabilité), soit de façon quantitative (en attribuant une valeur
monétaire à l'impact [c.-à-d. les pertes] et en y aflèctant une
probabilité).
Remarque: Le candidat au titre Cl SA ne sera pas évalué sur Je
calcul de ranalysc des tisques. Toutefois, l'auditeur des SI doit
être tàmiliarisé avec ce concept
Si l'entreprise accepte d'enquêter sur l'ampleur des pertes qu'elle
subira en cas d'interruption, elle peut eHèctuer une AJA (qui
est décrite dans une section distincte du présent manuel). t AIA
permet à J'organisation de détem1iner le temps d'indisponibilité
maximal possible pour une applicntion donnée et le volume de
perte de données tolérable. LAI A permet également à l'entreprise
de quantifier les pelies à mesure qL1'ellcs augmentent après
l'interruption, et donc de prendre des décisions sur la technologie (et
les inst1llatîons) utilisée pour la protection et la récupération de ses
acl'i[.:; informationnels clés {système d'infbrmation, composants de
Tl, données, etc.).
Les résultats de l'évaluation des 1isques et de l'AJA alimentent
la stratégie de continuité des activités de TI, qui décrit !es
technologies et principes majeurs derrière la protection des
Sl.ai1:si que la démarche pour implanter ces technologies et
prmc1pcs.
Lorsque la stratégie de conünuité des activités de Tl et la stratégie
générale de Tl sont mises en œuvre, l'infrastructure de TI de
l'oPJanisation change. De nouvelles mesures pour contrer les risques
sont introduites, et les anciennes deviennent désuètes. Le PCA du
système d'information doit être modifié en conséquence et testé de
nouveau périodiquement pour confirmer que les changements sont
satisfaisants.
Comme pour tout PCA, un PCA des systèmes d'information
touche à bien des éléments en plus des systëmes d'information. Il
détermine cc que l'entreprise fera en cas de sinistre. Pm· exemple,
à quel endroit les employés travailleront-ils, de quelle façon
les commandes seront-elles prises pendant la restauration du
système informatique, quels fournisseurs doivent être contactés
pour obtenir les IOumiturcs nécessaires? Le plan de reprise des
Tl en cas de sinistre (PH.S) constitue un sous-composant du PCA.
Il décrit généralement en détail le processus que le personnel
des Tl suivra pour restaurer les systèmes informatiques, les
communications, les applications et leurs données. Les PRS
peuvent être inclus dans le PCA, ou en tant que document séparé,
en fonction des besoins de l'entreprise.
Une stratégie de reprise en cas de sinistre n'est pas nécessaire
pour tou..;; les systèmes. En se basant sur les résultats de l'analyse
des risques, la direction pourrait ne pas voir de rentabilité concrète
à la restauration de certaines applications en cas de sinistre. Le
fait que les coûts ne devraient jamais dépasser les avantages (ccci
devient généralement évident après la réalisation d'une AfA)
devient un facteur prépondérant au moment de déterminer les
options de restauration. Un des résultats importants de l'Al A,
en plus de l'objectif de temps de reprise et de l'objectif de point
de repTise, est le regroupement des systèmes d'infOrmation en
t'Onction de leur temps de reprise. Ceci guide généralement le
choix des solutions technologiques (les mécanismes de contrôle)
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
,, Section deux : Contenu
qui soutiennent la continuité des activités et la rep1ise des Tl après
un sinistre.
La reprise après sinistre en Tl se produit généralement dans
des circonstances inhabituelles et stressank'S (p. ex., incendie,
inondation, dommages causés par un ouragan). Souvent. les
contrôles de sécurité (tant physiques que de SI) risquent de
ne pas fonctionner. Par conséquent, il est recommandé que
l'entreprise mette en place un système de gestion de la sécurité de
l'information (lSMS) pour maintenir l'intégrité, la confidentialité
ct la disponibilité des SI, ct pas seulement dans des conditions
normales.
2.12.2 SINISTRES ET AUTRES ÉVÉNEMENTS
PERTURBATEURS
Les sinistres constituent des perturbations causant l'arrêt du
fonctionnement des ressources informationnelles critiques
pendant un laps de temps, ce qui a un impact négatif sur !es
opérations de l'entreprise. La perturbation pourrait durer quelques
minutes ou quelques mois, en fOnction des dommages causés aux
ressources inforrnationnelles. À la suite d'un sinistre, des efforts
sont nécessaires pour revenir au statut opérationnel; il s'agit là
d'un point très important
Un sinistre peut être causé par des éléments naturels tels que des
tremblements de terre, des inondations, des tomadcs, des orages
ou des inœndies, qui peuvent causer des dommages importants
aux installations de traitement et à la localité en général. D'autres
événements désastreux menant ù des interruptions peuvent
surwnir lorsque les services attendus, tels que l'élecbicîté, les
télécommunications, l'approvisionnement en gaz naturel ou autres
services, ne sont plus fournis à l'entreprise en rais011 d'un désastre
naturel ou autre.
Tous les sinistres ou pe1turbations impo11antes aux services ne
sont pas nécessairement dus ù des causes naturelles. Un sinistre
peut aussi être causé par des événements liés aux comportements
humains, tels que des attaques terroristes, des attnques de
pirates informatiques, des virus ou des erreurs humaines. Une
pe11urbation de service peut parfois être causée pnr un mauvais
fonctionnement du système, par la suppression accidentelle
d'un fichier, une version non testée d'une application. la perte
d'une copie de sauvegarde, une attaque de déni de service (DoS)
du réseau, une intrusion ou un virus. Ces événements peuvent
nécessiter une action en vue d'acquérir de nouveau un statut
opérationnel permettant la reprise du service. De telles actions
peuvent nécessiter la rc:>tauration du matériel, des logiciels ou des
fichiers de données. ~
De nombreuses pe1turbations sont, au départ, de simples
incidents. Habituellement, si l'entreprise a un bureau de
dépannage, ce dernier servira de système de détection précoce
pour reconnaître les premiers signes d'une perturbation
imminente. Souvent, de telles peJiurbations (p. ex., une
détérioration graduelle de la perfom1ance d'une base de données)
ne sont pas détectées. Les utilisateurs se plaignent rarement
jusqu'à ce que ces« catastrophes d'apparition lente J) frappent
(causant l'arrêt de la base de données).
133
 Section deux : Contenu Chapitre 2 - Gouvernance et Gestion des Tl
Des scénarios de la pire éventualité et des stmtégies de reprise à court
et à long terme sont fonnulécs dans la stratégie de continuité des SI,
en fOnction de r évaluation des risques, pmu· être incorporés ensuite
au PCA (ou à un autre plan). À court terme, une installation de
traiten1ent de secours peut être nécessaire pour répondre aux besoins
opérationnels immédiats. par exemple dans le cas d'un sinistre
naturel majeur. À long terme, une nouvelle installation permanente
doit être identifiée pour la reprise après sinistre et équipée de manière
à pe1mette la poursuite du traitement des SI sur une base régulière.
Planification en cas de pandémie
Une pandémie peut être définie comme une épidémie ou flambée,
chez les êtres humains, d'une maladie qui peut se propager
rapidement sur de grandes régions) voire dans le monde entier.
Plusieurs pandémies ont eu lieu à différents moments dans
l'histoire, et récemment, le risque de pandémie présenté par les
flambées de grippe aviaire ct porcine a sensibilisé Je public à cc
problème. Il existe des différences marquées entre la planification
en cas de pandémie et la planification de la continuité des activités
classique. L'auditeur des SI devmit donc évaluer le degré de
préparation d'une organisation à faire face à une pandémie. La
planification en cas de pandémie présente des difficultés uniques;
comparativement aux catastrophes naturelles. aux désastres
de nature technique, aux actes malveillants ou aux incidents
terroristes. Cimpact d'une pandémie est beaucoup plus difficile à
déterminer en raison de la différence anticipée quant à la po11ée et
à la durée.
Gestion des atteintes à 1"/mage, à ta réputation ou à la
marque
Des rumeurs néfastes peuvent provenir de sources diverses (même
à l'inteme). Elles peuvent être associées ou non à un incident
important ou une crise majeure. Qu'elles soient« spontanées»
ou un etTct secondaire d'un problème de continuité des activités
ou de reprise après sinistre, leurs conséquences peuvent être
dévastatrices. !.:une des pires conséquences d'une c1ise est la perte
de la confiance.
Des activités efficaces de relations publiques (RP) au sein d'une
organisation peuvent jouer un rôle important pour limiter les
atteintes à l'image et s'assurer que la crise n'empire pas. Certaines
industlies (p. ex., banques, organismes de soins de santé, compagnies
aériennes, raffine1ies de pétrole, indust!ies chimiques, entreprises
de transport, centrales nucléaires ou autres organisations ayant un
impact social impo1tnnt) doivent disposer de protocoles élaborés
pour la gestion des accidents et des catastrophes.
Quelques pratiques exemplaires de base doivent être envisagées
et appliquées par J'organisation qui fait face à un incident
majeur. Outre les conséquences objectives de l'incident (délais
ou interruption du service, pertes économiques, etc.), une
opinion publique défavorable ou des rumeurs négatives peuvent
s'avérer coüteuses. Réagir de façon appropriée en public (ou en
présence des médias) lors d'une c1isc n'est pas chose simple. Un
porte-parole formé adéquatement doit être désigné et préparé au
préalable. 1:-iahitucllemcnt. un avocat-conseil ou un relationnistc
constitue le meilleur choix. Mis à part le porte-parole, personne
ne doit effectuer de déclaration publique, et ce, peu importe son
échelon dans la hiérarchie de l'entreprise.
134
e ~:"~~''"'
Pour bien se préparer, le porte-parole devrait rédiger et conserver
en mémoire un communiqué de base comportant des vides à
remplir en fonction des circonstances particulières. Ce processus
doit être respecté pour éviter l'improvisation, ou lorsque des
contraintes de temps existent. Le communiqué ne doit pas
mentionner les causes de l'incident, mais plutôt indiquer qu'une
enquête est en cours et que les résultats seront publiés. Aucune
responsabilité ne doit être assumée. Le système ou le processus ne
doit pas ètre blâmé.
Événements imprévus ou Imprévisibles
La direction doit tenir compte des répercussions possibles
des événements imprévisibles (de type cygne noir) sur les
affaires de l'entreprise. Les événements de type cygne noir
sont des événements qui arrivent de fùçon impromptue (pour
l'observateur), ont des répercussions majeures et auxquels
l'explîcation qu'on leur attribue après le fait, avec du recul, est
souvent inadéquate.
La catastrophe nucléaire de Fukushim<t, au Japon, en mars 2011,
est un c,\emple d'événement de type cygne noir. Un séisme a
déclenché un raz-de-marée qui a mis hors service l'alimentation
de secours des génératrices qui devaient pomper de l'eau servant
à refroidir les réacteurs nucléaires, ce qui a finalement conduit
à une catastrophe nucléaire. Avant la catastrophe, aucun plan
d'urgence n'aurait envisagé ou pris en compte une telle chaîne
d'événements, même en faisant un gros effoti d'imagination.
Même si de tels événements sont extrêmement rares, lorsqu'ils
sc produisent, ils ont des répercussions si foudroyantes pour
l'entreprise que selon la criticité du processus, de l'industrie ou
de l'activité, la direction devrait envisager de se doter d'un plan
d'urgence pour y f..1ire face. Interdire aux membres de la haute
direction qui partagent des responsabilités de voyager ensemble
est un autre exemple de mesure proactive visant i1 assurer que si
une catastrophe sc produisait, l'entreprise ne resterait pas sans
dirigeant à sa tête.
2.12.3 PROCESSUS DE PLANIFICATION DE
CONTINUITÉ DES ACTIVITÉS
Le processus de PCA peut être divisé selon les phases de cycle de
vie décrites à la figure 2.14.
2.12.4 POLITIQUE DE CONTINUITÉ DES ACTIVITÉS
Une politique de continuité des activités constitue un document
approuvé par la haute direction qui définit l'étendue ct la po11ée
des eŒ.nts (un projet ou un programme continu) de continuité
des activités au sein de l'entreprise. La politique de continuité des
activités peut se diviser en deux parties: publique et interne. La
politique de continuité des activités a plusieurs autres fonctions :
• Sa portion interne est un message à l'intention des parties
prenantes à l'interne (employés, gestionnaires, conseil
d'administration) déclarant que l'entreprise met en œuvre des
effotis et investit ses ressources, et s'attend à cc que le reste de
l'organisation en fJ.sse autant.
• Sa portion publique est un message à l'intention des parties
prenantes à l'externe (actionnaires, régulateurs, autorités, etc.)
déclarant que l'entreprise prend ses obligations. (fourniture de
service, conformité) au sérieux.
• Il s'agit d'une déclaration à l'entreprise, qui renforce la position
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certilied Information
Systems Al.lditor"
"'""""'"'''"""'
Chapitre 2 - Gouvernance et Gestion des Tl
des personnes en charge de la continuité des activités.
" Il peut définir les grandes lignes des processus généraux sur
lesquels se ba..o;;era la continuité des activités.
Une politique de continuité des nctivités doit être proactivc. Le
message transmis à l'entreprise doit être que tous les moyens
de contrôle possibles pour détecter et prévenir les perturbations
devraient être utilisés, ct que si une perturbation se produit
malgre tout, les mécanismes nécessaires pour en atténuer les
conséquences doivent être en place. Ceci se reflète ensuite dans
la stratégie de continuité des activités de Tl et dans son exécution.
Il existe des moyens de contrôle préventifS et de détection pour
réduire la probabilité d'une perturbation, ainsi que des correctif..-;
pour en atténuer les conséquences.
Le PCA (ou PRS des Tl) est la mesure de contrôle la plus critique. Il
dépend de l'efficacité des autres contrôles; plus particulièrement, il
dépend de la gestion des incidents et des solutions de sauvegarde ct
de reprise.
Les incidents et leurs impacts peuvent, jusqu'à un certain poinl,
être atténués par des contrôles préventifs. Ces relations sont
illustrées à la figure 2.15.
JI ta ut, pour cc faire, que le groupe de gestion des incidents
(centre d'assistance) dispose d'un personnel suffisant, qu'il soit
soutenu et fOrmé en gestion de crise et que le PCA soit bien
conçu, documenté, testé, financé et vérifié.
2.12.5 GESTION DES INCIDENTS ET PLAN
DE CONTINUITÉ DES ACTIVITÉS
Les incidents et les crises sont de nature dynamique. Ils évoluent,
changent avec le temps ct selon les circonstances, et sont souvent
rapides et imprévisibles. En raison de cela, leur gestion doit être
dynamique, proactivc et bien documentée. Un incident constitue
un événement imprévu, même s'il ne provoque aucun dommage
Figure 2.14- Cycle de planification ile continui!é des activites
Planification du
projet (politique de .
~
Surveillance du plan
de CO, maintenance
CO, portée du projet)
,..
Évaluation des
risques et analyse
*
Analyse de
l'impact
des affaires
...
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
significatif. Pour en savoir davantage, consultez également la
section 5.2. 13 Traitement et réponse ù un incident de sécurité.
Tous les types d'incidents doivent être classés en fonction de
l'estimation de leur niveau de nuisnnce à l'organisation. Un
système de classification pourrait comprendre les catégories
suivantes : négligeables, mineurs, majeurs et crises. La
classification peut changer dynamiquement jusqu'à ce que
J'incident soit résolu. Ces niveaux peuvent êtTe décrits comme
suit:
• Les incidents négligeables sont ceux qui ne causent aucun
dommage perceptible ou significatif, comme une panne
très brève du système d'exploitation (OS) avec récupération
complète de l'information, ou une panne d'électricité avec un
système d'alimentation sans coupure (ASC).
• Les événements mineurs sont ceux qui, bien que non
négligeables, n'ont pas d'impacts matériels (d'importance
relative) ou financiers négatifS.
• Les incidents majeurs causent des impacts matériels négatifS
sur les processus de Pentrep1ise ct peuvent affecter d'autres
systèmes, services ou même des clients externes.
• Une crise constitue un incident majeur pouvant avoir
d'importants impacts matCJiels (d'importance relative_} sur
le fOnctionnement continu de J'entrep1ise et des impacts
négatifS sur d'autres systèmes ou liers. La gravité des impacts
est fOnction de l'industrie et des circonstances, mais est
généralement directement proportionnelle au laps de temps
écoulé entre la survenue de l'incident ct sa résolution.
Les incidents mineurs, majeurs ct les crises doivent être
documentés, classifiés et retravaillés jusqu'à leur correction
ou résolution. Il s'agit d'un processus dynnmique, puisque
l'importance d'un incident majeur peut diminuer de Ütçon
momentanée, pour ensuite augmenter ct se transformer en une
crise.
....
~ Test du
plan de CO
et mise à jour
Formation de
conscientisation
de CO
·~
Développement
d'une stratégie
de CO
...
Développement
du plan de CO
Exécution de la
stratégie (mise en
oeuvre des contre-
mesures des risques
135
Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
Les incidents négligeables peuvent être analysés statistiquement
arin d'identifier toute CHUSe systémique OU évitable.
La figure 2.16 donne un exemple de système de classification
d'incidents et de protocoles de réaction.
L'agent de sécurité, ou toute autre personne désignée, doit être
averti de tous les incidents pertinents dès qu'un événement
déclencheur survient. Cette personne devrait alors respecter un
protocole de recours à la hiérarchie préétabli (p. ex .. téléphoner
à un porte-parole, alerter la haute direction et demander
l'intervention des agences de réglementation), qui peut être suivi
de l'invocation d'un plan de reprise comme le PRS des Tl.
Le service peut se définir comme étant les engagements envers les
clients, qu'il s'agisse de clients cxtemes ou de services internes.
Souvent, la prestation des services est réglementée par des ANS
qui peuvent stipuler Je temps d'indisponibilité maximal et les
estimations de reprise. Bien que ce ne soit pas toujours Je cas, la
gravité se détermine généralement en grande partie par le temps
d'indisponibilité estimé. D'autres critères peuvent comprendre
1ïmpact sur les données ou les plate formes ct dans quelle mesure
le fonctionnement de l'entreprise est pc1iurbé. Une approche anti-
échec prudente semit d'attitrer un niveau de gravité provisoire
à tout incident non-négligeable (montré à la figure 2.16). En
fonction de l'évolution de l'incident, ce niveau doit être réévalué
régulièrement par la personne ou l'équipe responsable, souvent
référée comme étant l'équipe d'intervention en cas d'incident.
2.12.6ANALYSE DE !.:IMPACT DES RISQUES DE
!.:ENTREPRISE
L'analyse d'impact sur les affaires (AJA) est une étape critique
du développement de la stratégie de continuité des activités et de
l'implantation ultérieure des mesures pour contrer le 1isque, en
particulier du PCA.
Figure 2.15- Diagramme sur les relations enlteJès inçidents et les impacts
136
e!S"" CertlfKltltnro~uon
...._ Systems Aud1tor
;:::~-
I:AIA sert à évaluer les processus critiques (et les composants
de Tl qui les soutiennent) et à déterminer les délais, priorités,
ressources ct interdépendances. Même si une évaluation des
risques approfondie a eu lieu avant l'A lA ct que la criticité et
les risques sont intégrés à cette dernière, la règle de jugement
est de revérifier. Souvent,I'AIA met au jour des composants
moins visibles, mais tout aussi critiques, qui soutiennent les
processus d'entreprise essentiels. Lorsque les activités de Tl
ont été imparties à des fournisseurs externes. les obligations
contractuelles (dans le contexte du PCA) doivent aussi être prises
en considération.
Pour mener à bien cette phase, il faut posséder une bonne
compréhension de l'entreprise et de ses processus clés, ainsi que
des ressources de Tl qu'elle utilise pour soutenir ces processus.
Souvent, on peut obtenir cette compréhension des résultats de
l'évaluation des risques. L'AfA a besoin d'un appui important de
la part de ]a haute direction, ainsi qu'une participation générale
du personnel des Tl et du personnel en lien avec les utilisateurs
finaux. La crîticité des ressources liées à l'information (p. ex.,
applications. données, réseaux, logiciels, installations) qui
soutiennent les processus de l'organisation doit être établie avec
l'approbation de la haute direction.
Dans le cas de l'AfA, il est important d'inclure tous les types de
ressources informationnelles et de regarder au-delù des ressources
informationnelles traditionnelles (comme les serveurs de ba.:;;es de
données).
Les systèmes d'information sont formés de composants multiples.
Certains des composants (p. ex., serveurs de bases de données
ou arn1oires de stockage) sont facilement visibles. D'autres (p.
ex passerelles, serveurs de transpmi, périphériques de réseau)
peuvent être hors de portée et rester« invisibles)). Par exemple,
une application bancaire risque de ne pas pouvoir exécuter ses
services si les passerelles de paiement sont en panne. Souvent, les
composants essentiels de l'application ou les données critiques
Atténuer les conséquences
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certilied lnfurmati(}ll
Systems AuditM'
"'~"""'"''"""""
Chapitre 2 - Gouvernance et Gestion des Tl Section deux : Contenu

sont hébergés dans le poste de travail de l'utilisateur. Idéalement, fonctionner si l'approvisionnement est interrompu ou une fois
une fois l'AJA tcrminêe, ces composants« cachés>> sont mis que le remplacement est mTivé. Par exemple, pendant combien
au jour et inclus dans la portée du programme (ou projet) de de temps une banque peut-elle continuer ses activités sans cartes
continuité des activités pour être incorporés au PCA. de plastiques à puce qui seront personnalisées pour en faire des
cartes de crédit ou dans quels délais le département des TI aura-
t-il besoin de recevoir de nouveaux postes de travail après un
Remarque: L'auditeur des SI doit être capable d'évaluer
sinistre?
l'analyse de l'impact des risques de l'entreprise. Cénoncé de
tâche T2.10 des domai11es de pratique CISA prescrit d'<-( évaluer
fi existe plusieurs approches pour effectuer une analyse de
le plan de continuité des activités (PCA) de l'organisation, y
lïmpact des risques. L'approche par questionnaire est toutefois
compris son harmonisation au plan de reprise des opérations
populaire. Cela implique le développement d'un questionnaire
(PRO) de Tl, pour détemliner la capacité de l'organisation
détaillé, et sa diffusion parmi les utilisateurs clés du domaine
à continuer ses opérations d'affaîres essentielles durant une
des Tl ct du domaine des utilisateurs finaux. L:intOnnation ainsi
période d'interruption des TI. >J .Caudîteur doit savoir ce
recueillie est disposée en tableaux et analysée. Si de l'information
qu'implique le développement d'une analyse de l'impact des
additionnelle est requise, l'équipe d'analyse contactera les
risques afin quïl puisse J'évaluer de façon adéquate. Toutefois,
utilisateurs concernés. La rencontre d'un groupe d'utilisateurs
le candidat au titre CJSA ne sera pas évalué sur la façon dont
clés constitue une autre approche populaire. L'information
une telle analyse est effectuée ou sur les mélhodes utilisées à
recueillie lors de ces séances d'entrevue est disposée en tableaux
cette fin.
et analysée afin de développer un plan et une stratégie d'analyse
détaillés. Une troisième approche consiste à réunir le personnel
Les renseignements pour 1'AIA sont recueillis de différentes
des Tl et les utilisateurs finaux (c.-à-d. les propriétaires des
pattîcs de l'organisation qui détiennent les processus
processus critiques) concernés dans une pièce afin de dégager un
d'applications critiques. Pour évaluer l'impact du temps
consensus quant à l'impact potentiel sur l'entreprise des divers
d'indisponibilité pour un processus ou une application donnés,
niveaux de pc1turbations. Cette dernière méthode peut être utilisée
on élabore des seuils d'impact {élevé, moyen ou faible), ct pour
une fois que toutes les données ont étê recueillies. Un groupe
chaque processus, l'impact est évalué en temps (heures, jours,
mixte décidera rapidement du temps d'indisponibilité acceptable
semaines). La même approche sert à évaluer l'impact de la perte
ct des ressources essentielles.
de données. Au besoin, l'impact financier peut être évalué ù l'aide
des mêmes techniques, en attribuant une valeur financière au seuil
Lorsque cela est possible, l'équipe du PCA doit analyser le
d'impact donnée.
volume des transactions passées afin de déterminer l'impact sur
les opérations en cas de non disponibilité prolongée du système.
De plus, les données pour l' AIA peuvent être recueillies en
Ccci validera le résultat du processus d'entrevue réalisé par
fonction des délais nécessaires pour fournir les ressources
l'équipe du PCA pour effectuer l'analyse de l'impact des risques.
essentielles -la durée pendant laquelle l'entreprise peut

~ Figure 2.16- Niveaux d'incidents et de crises

CRITÈRE PRINCIPAL CRITÈRE SUPPLÉMENTAIRE
(heures)
1 NIVEAU TEMPS D'ARRÈT DU SERVICE DONNÉES PlATEFORMES
1------,--;--j 1 PRÉVISION > = RÉEL > =
7
CRISE 6
5
4
INC~ MAJEUR 3
2
INC~ MINEUR 1
NE LGEA LE 0

NIVEAU 2 ACTIONS
__ ] _
CRISE 6
5
CS = Cadres supérieurs
MAJEUR 3 OS =Officier principal de la sécurité
_2 --
MINEUR 1
NEGLIGEABLE 0 (Analyser les journaux régulièrement)

Source : Personas & Técnicas Multimedia SL © 2007. Tous droits réservés. Utilisé avec permission.

Manuel de Préparation C/SA 26• édition 137

ISACA. Tous droits réservés.
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
Les trois questions principales devant être prises en compte lors
de la phase d'analyse sont décrites au tableau 2.17.
Tableau 2.17- Cilnsidérations pour l'Alli
1. Quels sont les différents processus de l'entreprise? Chaque processus
doit être évalué afin de déterminer son importance relative. Les
indications de la criticité comprennent, par exemple :
• Les processus liés à la santé et à la sécurité, comme les dossiers
médicaux des patients et les systèmes de contrôle du trafic aérien.
• La perturbation du processus causant une perte de revenus pour
l'organisation, ou engendrant des coûts exceptionnels inacceptables.
• Les processus répondant aux exigences légales ou réglementaires.
• Le nombre de segments d'entreprise ou le nombre d'utilisateurs
affectés.
Un processus peut être critique ou non en fonction de facteurs tels que
le moment et le mode d'opération (p. ex., les heures d'ouverture ou les
opérations aux guichets automatiques).
2. Quelles sont les ressources d'information essentielles liées aux
processus critiques de l'organisation? Il s'agit de la première chose
aprendre en compte, puisque la perturbation d'une ressource
d'information n'est pas un désastre en soi, sauf si elle est liée à un
processus critique (p. ex., une organisation qui perd ses processus
générateurs de revenus en raison d'une défectuosité des SI).
Voici d'autres exemples de processus d'entreprise potentiellement
critiques:
• La réception des paiements
• La production
• Le paiement des employés
• La publicité
• La distribution de biens finis
• Le respect des règlements et des lois
3. Quelle est la période de reprise critique des ressources d'information
pour lesquelles le traitement doit être repris avant que des pertes
significatives ou inacceptables ne surviennent? En grande partie, la
durée de la période de reprise dépend de la nature de l'entreprise ou
du service en dérangement. Ainsi, les institutions financières, comme
les banques et les maisons de courtage, auront généralement des
périodes de reprise critiques beaucoup plus courtes que les entreprises
de fabrication. La date ou le jour de la semaine peuvent aussi affecter
la période de reprise. Par exemple, une banque qui subit une panne
majeure le samedi à minuit a une période de reprise plus longue que si
la panne était survenue le lundi à minuit, en supposant que la banque
n'est pas ouverte le dimanche.
Pour prendre des décisions, deux Ü1cteurs monétaires
indépendants doivent être considérés, comme le démontre la
figure 2.18. Le premier est le coüt lié à 1'arrêt des opérations
lors du sinistre. Cet élément, à cowi terme (p. ex., heures, jours.
semaines), croît rapidement avec le temps, puisque !'impact
d'une perturbation augmente avec le temps. À un certain
moment, il cesse de croître, ce qui reflète le moment ou le point
où Fcntrcptise ne peut plus fonctionner. Le coût de l'arrêt des
opérations (qui augmente avec le temps) comporte plusieurs
éléments (en fonction de l'industrie, de l'entreprise ct des
circonstances), dont : les coûts des ressources fonctionnant au
ralenti (p. ex., en production), la baisse des ventes (p. ex., les
commandes), les coûts financiers (p. ex. pas de facturation ou
de collecte), les délais (p. ex., l'approvisionnement) et les coûts
indirects (p. ex., la perte des parts de marché, de l'image et de la
clientèle).
138
elsA· M
certifled
Systems lnfn~.ation
AUllitGr'
'"'"'..«"·'"'""
t:autre fi1cteurest le coût des mesures correctives de rechange (c.-
à-d. la mise en œuvre. la maintenance et l'activation du PCA). Ces
coüts diminuent en fonction de la cible de temps de rcp1ise choisie.
Les coûts de reprise possèdent aussi plusieurs éléments (la plupart
d'entre eux sont rigides et non flexibles). Cela inclut les coüts liés
à la préparation et aux tests périodiques du PCA, aux installations
de secours hors site, aux polices d'assurance, aux dispositions
concernant les sites de rechange, etc. Le coüt des stratégies de
reprise de rechange peut être déterminé à des points distincts des
coordonnées de temps et de coüt, avec une courbe tracée pour
joindre ces points (figure 2.18). La courbe représente toutes les
stratégies possibles. Chaque stratégie possible a un coüt de base fixe
(c.-à-d. qu'il ne change pas dans le temps jusqu 'à ce qu'un accident
sc produise). Notez que chaque stratégie possible n'a habitt1ellement
pas le même coüt de base fixe. Si !a stratégie de continuité des
nctivités vise un temps de reprise plus long, les coüts seront
moindres qu'avec une stratégie plus rigide, mais il est plus risqué
de perdre le contrôle sur ces coûts. Normalement, plus le temps de
reprise visé est bref, plus les coûts tïxcs sont élevés. L:organisation
doit payer pour Je coüt de planillcation ct d'implantation, même si
aucun accident ne survient.
En cas d'accident, les coûts variables augmenteront de façon
significative (p. ex., le contmt de la« salle rouge}) peut comporter
des frais <mnuds fixes plus des frais quotidiens pour chaque journée
d'occupation du lieu) en raison du besoin accru en personnel, en
heures de travail, en transport et autres éléments de logistique (p. ex.,
indemnités quotidiennes, nouvelles lignes de cümmunicatlon) à
prendre en considémtion. Les coüts variables dépendront de la
stratégie mise en œuvre.
Le tracé des deux courbes, coûl<> du temps d'arrêt et collts des
stratégies de reprise de rechange, figure 2.18, permet de détem1iner
la courbe des coûts totaux (la somme des deux autres courbes).
l:organisation devrait choisir le point auquel ces coût.-; totaux sont
moindres.
Figure 2.18- COûtS liés à l'intêrruption par rapport aux coûtS de
repriS!l
Temps
En résumé, la somme de tous les coûts (interruption et
repdse) doit être minimisée. Le premier groupe (coüts liés à
l'interruption) augmente avec le temps, alors que le second
(coûts de reprise) diminue avec te temps. La somme forme
habituellement une courbe en U Au bas de la courbe en U, on
retrouve les coüts les plus faibles.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . M
certiftec:~
Information
Systems Auditor'
;~~ .. -
Chapitre 2 - Gouvernance et Gestion des Tl
Classification des opérations et analyse de crlticité
Qu'est-ce que le classement du risque des systèmes? Le
classement du risque est une méthode qui permet d'évaluer le
risque en se fondant sur son impact durant la période critique
de reprise des opérations ainsi que sur la probabilité qu'une
interruption dommageable se reproduise. De nombreuses
organisations prendront le risque qu'une le ile situation survienne
pour en déterminer le coût raisonnable de préparation. Par
exemple, elles peuvent déterminer qu'au cours des cinq
prochaines années le risque que l'organisation subisse une
interruption importante est de 0,1 %(ou de 1 sur 1000). Si
J'impact financier de l'interruption est évalué à 10 millions de
dollars US, le coût raisonnable maximal de la préparation pourrait
être de 10 millions de dollars US x 0, 1 % "' JO 000 $US stu cinq
ans. On appelle cette méthode estimation des pertes annuelles
(EPA). À partir de ce processus d'analyse basé sur le risque, le
classement par ordre de priorité des systèmes essentiels peut
se faire en élaborant des stratégies de reprise des opérations.
La procédure de classement du risque doit être effectuée en
collaboration avec le personnel des SI et les utilisateurs finaux.
On peut retrouver dans une procédure type de classement du
risque les classifications du tableau 2.19.
Tableau 2l19- Classification des sysli!mes
Classification Description
Essentiel Ces fonctions ne peuvent être effectuées à moins
d'être remplacées par des capacités identiques. Les
applications essentielles ne peuvent être remplacées
par des méthodes manuelles. La tolérance aux
interruptions est très faible; par conséquent, le coût
d'une interruption est très élevé.
Vital Ces fonctions peuvent être exécutées manuellement,
mais seulement pour une courte période. La
tolérance aux interruptions est plus élevée
que pour les systèmes essentiels, elles coûts
d'interruption sont moins élevés, à la condition que
les fonctions soient restaurées dans un temps donné
(habituellement cinq jours ou moins).
Important Ces fonctions peuvent être exécutées manuellement,
à un coût acceptable et pour une période de temps
prolongée. Bien qu'elles puissent être exécutées
manuellement, il s'agit habituellement d'un
processus difficile qui nécessite l'ajout de personnel
supplémentaire.
Non important Ces fonctions peuvent être interrompues pendant
un long moment, à peu de frais ou sans frais pour
l'entreprise, el nécessitent peu ou pas de mises à
jour lors de la restauration.
La pmchainc étape de gestion de la continuité des activités consiste
à déterminer les diverses stratégies de reprise et les solutions
disponibles pour reprendre les opérations après une interruption
ou un sinistre. La sélection d'une stratégie appropriée basée sur
Manuel de Préparation CISA 26" édition
ISACA. Tous droits reserves.
Section deux : Contenu
l'analyse de l'impact des risques et l'analyse de c1iticité constituent
la pmchaine étape de développement de PCA ct PRS. Les deux
paramètTes qui aident ù déterminer les stratégies de reprise sont les
OPR et les OTR.
Les stratégies de reprise sont décrites en détail au chapitre 4,
Exploitation. entretien ct soutien des systèmes d'information.
2.12.7 DÉVELOPPEMENT DE PLANS DE CONTINUITÉ DES
ACTIVITÉS
li faut élaborer un PCA ct un PRS détaillés, ou les réviser, en
se servant des données d'analyse de l'impact des risques de
l'entreprise, des données d'analyse de la crit.icité ct de la stratégie
de reprise choisie par la direction. 1\.s doivent traiter tous les
problèmes inclus dans la portée de la continuité des activités liés à
l'interruption des processus d'entrep1ise, y compris la reprise des
opérations après sinistre. Voici les facteurs à considérer lors du
développement ou de la révision du plan :
• la prëparation avant le sinistre couvrant la gestion de la réaction
aux incidents dans le but de traiter tous les incidents pettinents
affectant les processus de l'entreprise;
• la procédure d'évacuation;
• la procédure de déclaration d'un sinistre (procédures de cotation
ct de recours à la hiérarchie);
• les circonstances lors desquelles un sinistre doit être déclaré.
Toutes les interruptions ne sont pas des sinistres, mais un
problème mineur qui n'est résolu rapidement et adéquatement
peut devenir un sinistre. Par exemple, une attaque par un virus
qui ne serait pas reconnue et maîtrisée rapidement pourrait
causer une interruption des activités dans l'installation des Tl;
• la définition claire des responsabilités dans le plan;
"la définition claire des personnes responsables de chaque
f<mction dans le plan;
• la détermination claire de l'infOrmation contractuelle;
• l'explication étape par étape du processus de reprise des
opérations:
• la détermination claire des diverses ressources requises pour la
reprise et la poursuite des opérations de l'organisation.
Le plan doit être documenté et écrit dans un langage simple et
facile ù comprendre.
Il est courant d'identifier des équipes responsables pour certaines
tâches à accomplir en cas de sinistre. Les équipes qui jouent
un rôle majeur doivent être formées; leurs responsabilités sont
expliquées dans la prochaine section. Des copies du plan doivent
être conservées à l'extérieur de l'installation. Le plan doit être
structuré pour que ses pmtics soient facilement gérées par
différentes équipes.
2.12.8AUTRES PROBLÈMES LIÉS AU
DÉVELOPPEMENT DE PLANS
Le personnel qui doit réagir aux intetTuptions et aux sinistres est
celui qui est responsable des ressources les plus importantes. C'est
pourquoi, la participation de la direction ct des utilisateurs est
essentielle pour assurer le succès de l'exécution du PCA. Elle est
aussi vitale pour détem1iner les systèmes essentiels, leurs temps
139
 Section deux : Contenu Chapitre 2- Gouvernance et Gestion des Tl
de reprise critiques et les ressources requises. Les trois principales
divisions qui doivent participer au développement du PCA sont
les suivantes: service de soutien (qui détecte les premiers signes
d'incident/sinistre), service des affitires opémtionnelles (qui pourrait
être atlècté par l'incident) et service de soutien au traitement de
l'intOrmation (qui gérera la reprise),
Puisque le but ultime du PCA est la reprise des opérations, il
est essentiel de considérer l'organisation dans son ensemble
et non seulement en fonction des services de traitement des SI
au moment d'élaborer le plan. Sïl n'existe pas de PCA pour
l'ensemble de l'organisation, il faudra élaborer un plan du
traitement des SI qui inclut toutes les divisions et unités dont le
fOnctionnement repose sur les fonctions de traitement des SI.
JI faut aussi prendre en compte les éléments suivants au moment
d'élaborer le plan :
• une liste du personnel, et ses coordonnées en double
(coordonnées de rechange pour chaque personne-ressource),
requis pour exécuter les fOnctions essentielles à court, à moyen
ct ù long termes;
• la configuration des installations (bureaux, chaises, téléphones,
etc.) nécessaires pour exécuter les fonctions essentielles ù court,
à moyen et à long termes;
• les ressources nécessaires pour reprendre ou continuer les
activités (pas nécessairement des ressources de Tl ni même de
technologie), comme le papier à correspondance officielle de
1'entreprise.
2.12.9 ÉLÉMENTS D'UN PlAN DE CONTINUITÉ DES
ACTIVITÉS
En fOnction de la taille ou des exigences d'une organisation, un
PCA global peut comprendre plus d"un plan.
Il doit nécessairement inclure les plans suivants :
• plan de continuité des activités;
• plan de reprise après sinistre;
• plan de reprise des opérations.
Il peut également inclure les plans suivants :
• plan de continuité du soutien/plan de secours des Tl;
• plan de c01nmunication en cas de crise;
• plan de réaction aux incidents informatiques;
• plan de transport;
• plan d'urgence pour les occupants;
• plan d'évacuation ct de rclocalisation d'urgence.
Un exemple des éléments d'un PCA, comme le suggère le
National Jnstitute (~/Standard\· and Th:hno/ogv (NIST) 800-34, est
indiqué dans le ~abJeau 2.20.
Pour la phase de piani f1cation, de mise en œuvre el d'évaluation
du PCA, il faut que les éléments suivants soient approuvés :
• les politiques qui régiront le travail de continuité et de reprise;
• les objectif.~, exigences ou résultats pour chaque phase;
• les installations de remplacement pour exécuter les tâches et les
opérations;
• les ressources informationnelles essentielles qu'il faut déployer
(p. ex., les données et les systèmes);
• les personnes responsables du déroulement des opérations;
140
eiS"" Certif!edlnfu~rnalion
.H. Systems Audrtor"
~'''"""'"'''''""'
• les ressources disponibles pour aider au déploiement (y compris
les ressources humaines);
• 1'échéancier des activités avec la liste des priorités.
La plupmi des PCA sont créés en tant que procédures qui
facilitent le rétablissement des systèmes d'information (stockage
de données, serveurs, etc.), des postes de travail des utilisateurs,
du matériel désigné (lecteurs de cartes, scanneurs de codes ù
barres, imprimantes, etc.) et du réseau (canaux, équipement).
Des copies du plan doivent être conservées à l'extérieur des
installations par exemple, à l'installation de reprise ou
de remplacement, à l'installation de stockage des suppo1is
infOrmatiques et peut-être aussi aux domiciles des décideurs clés.
Les organisations placent de plus en plus souvent une version
électronique de leur plan sur un site Web miroir.
Décideurs clés
Le plan doit contenir une liste téléphonique ou une « chaîne
téléphonique» (c.-à~d. un répertoire de notification des décideurs
clés en Tl et des utilisateurs finaux qui doivent initier et exécuter
le travail de reprise des opérations). Il s'agit habituellement du
répertoire téléphonique des personneg qui doivent être averti cg
en cas d'incident, de sinistre ou de catastrophe. Voici des points à
garder en tête lors de la préparation de la liste :
• En cas de sinistre de grande envergure, d'incendie ou
d'explosion causant de lourds dommages aux bureaux de
l'organisation durant les heures d'ouve1iure normales, il
est possible que de nombreux chefs d'équipe ne soient pas
disponibles.
• La liste d'appel, ou« chaîne téléphonique», doit être hautement
redondante et mise à jour régulièrement.
Ce répertoire doit contenir les renseignements suivants :
• une liste des personnes-ressources prioritaires (c.-à-d. qui
doivent être contactées en premier);
• les coordonnées principales et d'urgence de chaque personne-
ressource clé. JI s'agira habituellement des chefs d'équipe qui
seront responsables de communiquer avec les membres de leur
équipe;
• les coordoonécs des représentants des fournisseurs
d'équipement ct de logiciels~
• les numéros de téléphone des personnes-ressources
de l'entreprise ayant été désignées pour assurer
l'approvisionnement en foumîtures, en équipement ou en
services;
• les numéros de téléphone des personnes-ressources aux
installations de reprise, y compris les représentants du œntre de
secours immédiat et les services prédéfinis de réacheminement
des réseaux de commtmication;
• les numéros de téléphone des personnes-ressources aux
installations extérieures de stockage des supports informatiques
ainsi que les coordonnées des personnes-ressources de
l'entreprise ayant l'autorisation de récupérer les suppm1s à
1'installation extérieure;
• les numéros de téléphone des agents des compagnies
d'assurance;
• les numéros de téléphone des personnes-ressources aux services
du personnel contractuel;
• les coordonnées des bureaux d'avocats ct agences
gouvernementales, si nécessaire;
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
e ~"~~:;:!loo Chapitre 2 - Gouvernance et Gestion des Tl Section deux. : Contenu

• une procédure pour déterminer combien de personnes ont été
jointes à l'aide de la chaîne téléphonique.
Réserve des fournitures requises
Le phm doit inclure une réserve de toutes les f'Ournltures
nécessaires à la poursuite des activités normales de l'entreprise au
cours du travail de reprise. Ceci inclut les procédures détaillées,
ù jour el sur papier pouvant être suivies facilement par les
employés ct le personnel sous contrat qui ne connais._.:;ent JXlS bien
les opérations normales et les opérations de reprise. De plus,
une réserve de formulaires spéciaux, tels que des chèques, des
factures et des bons de commande, doit être conservé dans une
installation extérieure.
Si la fonction d'entrée de données dépend de certains appareils ou
logiciels, ces programmes et équipements doivent se trouver au
centre de secours immédiat. Il en va de même pour l'équipement de
chifTrement, incluant les dés électroniques (p. ex., jetons RSA, clés
USB, etc.).
Assurances
Le plan doit contenir les informations clés sur les assurances de
l'organisation. La police d'assurance relative au traitement des Tl
est habituellement de type multirisque et est conçue pour offrir
divers types de couverture. Elle doit être conçue en plusieurs
modules pour être adaptée à 1'environnement spécifique des Tl de
l'assuré.

"fableau 2.20- Objet elpotlée des éléments du plan de çonlinuilé des affivilés
Plan But
Plan de continuité Établrt les procédures nécessaires à la
des activités (PCA) poursuite des opérations essentielles
de l'entreprise tout en récupérant d'une
interruption significative.
Plan de continuité Établit les procédures et les directives
des activités (PCA) nécessaires pour soutenir les MEF d'une
organisation dans une installation de
remplacement pour une période allant
jusqu'à 30 jours; il est mandaté par des
directives fédérales.
Plan de Fournit des procédures de diffusion des
communication en communications internes et externes,
cas de crise ainsi que des moyens de fournir de
l'information essentielle sur l'état ainsi
qu'un contrôle des rumeurs.
Plan de protection Fournit des politiques et des procédures
des infrastructures visant à protéger les composants
essentielles d'infrastructures critiques nationales
définies dans le plan national de
protection des infrastructures.
Plan de réaction Fournit des procédures pour atténuer et
aux incidents corriger une cyberattaque, comme un
informatiques virus, un ver ou un cheval de Troie.
Plan de reprise Fournit des procédures pour déménager
après sinistre (PRS) les systèmes d'information à un autre
emplacement.
Plan d'urgence Fournit des procédures et des capacités
des systèmes de récupération d'un système
d'information d'information.
Plan d'urgence pour Établit des procédures coordonnées
les occupants pour minimiser les pertes de vie ou les
blessures et pour éviter les dommages
à la propriété en réponse à une menace
physique.
Source: Nationallnstitute of Standards and Technology, NIST Special Publication 800-34 Revision 1: Contingency Planning Guide for Federa/Information
Systems, E.-U., 201 O. Reproduit avec la permission du Nationallnstitute of Standards and Technology, U.S. Department of Commerce. Sans droits
d'auteur aux Etats-Unis.
Portée
Traite les processus de mission ou
d'affaires à un niveau inférieur ou
élargi par rapport au MEF du PCA.
Traite les MEF dans un
établissement; les systèmes
d'information sont abordés
uniquement en fonction de leur
soutien aux fonctions essentielles
de !a mission.
Vise les communlcations avec !e
personnel et le public; ne vise pas
les systèmes d'information.
Aborde les composants
d'infrastructures critiques qui sont
soutenues ou exploitées par une
agence ou une organisation.
Aborde l'atténuation et l'isolement
des systèmes affectés ainsi que le
nettoyage et la réduction de la perte
d'informations.
Activé après des perturbations
majeures du système ayant des
effets à long terme.
Aborde la récupération d'un
seul systèrne d'information à
l'emplacement courant ou alternatif.
Vise le personnel et les biens
de l'entreprise à une installation
spécifique; ne vise pas les
processus de la mîssîon ou
d'affaires, et n'est pas basé sur les
systèmes d'information.
Relation avec le plan
Processus de mission ou d'affaires axé sur un
plan qui peut être activé en coordination avec
un PCA afin de soutenir les non MEF.
Plan axé sur le MEF, qui peut également activer
plusieurs plans de continuité des activités,
plans d'urgence des systèmes d'information
ou plans de reprise après sinistre à l'échelle
des unités d'affaires, le cas échéant.
Plan basé sur les incidents qui est souvent
activé par un PCA, mais qui peut être utilisé
de façon autonome lors d'un événement
d'exposition publique.
Le plan de gestion du risque qui prend
en charge un PCA pour les organisations
possédant des infrastructures critiques et des
actifs clés.
Plan basé sur les systèmes d'information qui
peut activer un plan d'urgence des systèmes
d'information ou plan de reprise après sinistre
en fonction de l'ampleur de l'attaque.
Plan basé sur les syoièmes d'information qui
active un ou plusieurs plans d'urgence des
systèmes d'information pour la récupération
des systèmes individuels.
Plan basé sur les systèmes d'information
qui peut être activé indépendamment des
autres plans ou dans le cadre d'un effort de
récupération plus vaste, coordonné avec un
plan de reprise après sinistre ou un plan de
continuité des activrtés.
Plan basé sur les incidents qui est mis en
oeuvre immédiatement après un événement,
avant l'activation d'un plan de continuité des
activités ou d"un plan de reprise après sinistre.

Manuel de Préparation CISA 26" édition 141

ISACA. Tous droits réservés.
 Section deux : Contenu Chapitre 2 - Gouvernance et Gestion des Tl
Remarque: Les éléments spécifiques Hés aux polices
d'assuranct.· ne font pas l'objet de vérification dans l'examen
ClSA puiflqu'ils diffèrent d'un pays à l'autre. [examen couvre
ce qui doit être inclus dans les polices et dans les ententes avec
des tierces parties, mais ne couvre pas les garanties spécifiques.
Les garanties spécifiques disponibles sont. les suivantes :
• Équipement- et installations des TI ~-·Couvre les dommages
physiques aux CTI ainsi qu'aux équipements dont l'organisation
est propriétaire. (Il faut contracter une assurance pour
l'équipement loué lorsque le locataire est responsable de la
couve1iurc liée aux bris.) i?auditeur des SI doit étudier ces
polices puisque plusieurs d'entre elles ne lient les compagnies
d'assurances qu'à une obligation de remplacer l'équipement
non récupérable par de l'équipement de« type et de qualité
semblables)) et non par de l'équipement neuf et identique à
celui qu'offre le fOurnisseur de l'équipement endommagé.
• Reconstruction des médias (loglciels) Couvre les dommages
aux médias des Tl qui sont la propriété de l'assuré et pour lesquels
l'assuré peut être responsable. L'assurance est disponible pour
les bris sur place, hors lieu et en transit, et couvre les coûts réels
de reproduction de la propdété. Pour détem1iner la couverture
requise, il fàut tenir compte des coüts de programmation pour
reproduire les médias endommagés, les coÜl') des copies de
sauvegarde et le remplacement physique des médias, tels que les
bandes magnétiques, les cm1ouches et les disques.
• Assurance des frais supplémentaires Conçue pour
couvrir les coûts supplémentaires des opérations courantes à
la suite du bris ou de la destruction au CTJ. [;assurance des
frais supplémentaires requise est calculée en fonction de la
disponibilité et des coûts des installations de secours et des
opérations. Cette assurance peut également couvrir la perte de
profits nets causée par les dommages aux médias informatiques.
Elle rembourse les pertes financières résultant de l'interruption
des opérations causée par la perte physique de l'équipement
ou des médias. Comme exemple d'une situation nécessitant ce
type de couverture, mentionnons une installation de traitement
de l'information située au 6e étage d'un édifice dont les cinq
premiers étages auraient été incendiés. Dans celte situation,
les opérations seraient interrompues même si le CT! n'est pas
touché.
• Interruption des opérations~ Couvre la perte de profits
causée par la perturbation des activités de l'entreprise en raison
du mauvais fonctionnement des Tl de l'organisation.
• Documenfs et enregistrements précieux ·- Couvre la valeur
réelle des documents et enregistrements (non considérés comme
des médias) situés aux installations de l'assuré advenant le cas
de perie physique directe ou de bris.
• Fautes d'action et omissions- Accorde une protection
juridique au professionnel qui commet un acte, une f3.ute
d'action ou une omission qui résulte en une perte financière
pour le client. Au dépmi, cette assurance a été conçue pour les
bureaux de service, mais est désormais offe1te par plusieurs
compagnies d'assurances pour la protection des analystes de
systèmes, des concepteurs de logiciels, des programmeurs, des
consultants ct autre personnel des SI.
• Assurance détournement ct vol -- Prend habituellement la
forme d'une garantie globale des banquiers, d'une assurance
détournement excédentaires et d'une assurance détournements-
garantie collective restreinte et couvre les pelies liées à des
142
eiSA CertniOO fllfo~alion
Systems Audrlor"
'""""'''"'''""""
actes malhonnêtes ou frauduleux de la part des employés. Cette
couverture est courante dans les institutions financières qui
possèdent leurs propres CT/.
• Transport des médias informatiques ··- Couvre !es pertes ou
les dommages potentiels aux médias infOrmatiques en transit
vers les CT! hors lieu. Habituellement, le libellé de police
précise que tous les documents doivent êtTe filmés ou copiés de
quelque manière que cc soit avant le tmnsport. Lorsque ce fait
n'est pas précisé dans le libellé et que les travaux ne sont pas
filmés, la direction doit obtenir de la compagnie d'assurances
une lettre indiquant clairement la position du fournisseur ainsi
que la garantie o1Te1ie en cas de destruction des données.
Il y a plusieurs points importants à retenir à propos des
assurances. La plupart des assurances ne couvrent que les pertes
financières fondées sur le niveau de performance antérieur et
non sur le niveau de performance actuel. l;auditeur des SI devra
également faire en son-e que l'évaluation des objets assurés,
comme l'équipement technique, les infrastructures et les données,
soit approp1iée et à jour. De plus, les assurances n'o1l'rent pas de
compensation pour la perte de J'image ou du fonds de commerce.
2.12.10 MISE À t:ESSAI DU PLAN
La plupart des tests de planification de la continuité des activités,
s'ils sont cifectués, ne constituent pas des mises à l'essai à grande
échelle de toutes les opérations de l'entreprise. Ccci ne devrait
toutefOis pas empêcher les mises à l'essai complètes ou partielles,
car l'un des objectif.-. du test de planification de la continuité des
activités est de déterminer Je niveau de fonctionnement du plan ou
les parties qui doivent être améliorées.
La mise à l'essai doit être effectuée à un moment qui ne nuira
pas aux opérations normales. Les fins de semaine constituent
habituellement Je meilleur moment pour eflCctuer ces tests.
Il est important que les équipes clés de reprise des opérations
participent au processus de mise à l'essai ct aient Je temps
nécessaire pour s'impliquer à fOnd. La mise à l'essai doit
permettre d'évaluer tous les éléments essentiels du plan et simuler
les conditions réelles de traitement, même si elle se déroule hors
des heures normales d'opération.
Spécifications
La mise à l'essai doit viser la réalisation des tàches suivantes:
• vérifier l'exhaustivité et la précision du PCA~
• évaluer le rendement. du personnel qui participe à l'exercice;
• évaluer la Jürmation et déterminer la perception des employés
qui ne sont pas membres d'une équipe de continuité des
activités;
• évaluer la coordination entre les ~quipcs de continuité des
activités ct les fournisseurs externes;
• mesurer !a capacité de l'installation de remplacement à effectuer
le traitement prescrit;
• évaluer la capacité de récupération des enregistrements
essentiels;
• évaluer l'état de l'équipement ct des fOurnitures déménagés il
l'installation de reprise ainsi que la quantité;
• évaluer la performance globale des activités de traitement
des SI et des opérations liées au fOnctionnement de l'entité
commerciale.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certifledtnforma.uoo
Systems Auditor•
;;;~·-
Chapitre 2- Gouvernance et Gestion des Tl
~------·---·--·--·---··------·-]··
Remarque : L'évaluation des résultats et de la valeur de la mise à
l.l'!!!ldu~~:~esS! •.. . . . . ---······-·--·····--··-····-· ·-·-········-
l'essai des PCA et des PRS est une respOllSabiHté impol1tmte de
Exécution de la mise à l'essai
Pour effectuer la mise à l'essai, chacune des phases suivantes doit
être exécutée :
• Pré~test- Ensemble des actions nécessaires à la mise à l'essai
du plan. Ces actions vont de la mise en place de tables dans
la zone de reprise des opérations appropriée au transport ct à
l'installation de l'équipement téléphonique de secours. Cette
phase ne fait pas partie des activités qui seraient effectuées
normalement lors d'une situation d'urgence, puisque dans ce cas
il n'y a pas d'avertissement: pm· conséquent. pas de temps pour
effectuer des actions préparatoires.
• Test- Mise à l'essai réelle du plan de continuité des activités. Les
activilés opérationnelles courantes sont exécutées pour évaluer
les objectif..;; spécifiques du plan. Les actions suivantes doivent
être effectuées : la saisie des données, les appels téléphoniques, le
traitement des systèmes d'inibnnation, la prise de commandes ct
le déplacement du personnel, de l'équipement et des fournisseurs.
Les évaluateurs évaluent le travail des membres du personnel. Il
s'agit du test réel de préparation à répondre à une urgence.
• Post~test --- Le nettoyage à la suite des activilés de groupe.
Cette phase regroupe les tâches telles que le retour de toutes les
ressources à leurs emplacements appropriés, le débranchement
de l'équipement, le retour du personnel à ses activités réguhères
et la suppression de toutes les données de l'entreprise des
systèmes tiers. Le post-test comprend également l'évaluation
formelle du plan et la mise en œuvre des améliorations
indiquées.
De plus, les tests suivants peuvent être etlèctués :
• Itvaluation sur papier Un survol du plan sur papier
impliquant les acteurs clés de J'exécution du plan qui essaye de
prévoir ce qui pourrait survenir dans le cas d'un type particulier
de pe1iurbation du service. Ils peuvent étudier le plan en entier
ou en pmiie. L'évaluai ion sur papier précède habituellement le
test de préparation.
• Test de préparation~ Version localisée du test complet au
cours duquel les ressources actuelles simulent une panne de
système. Ce test permet de tester régulièrement différents
aspects du plan et peut constituer une façon économique
d'obtenir progressivement les preuves de l'efficacité du plan. Il
permet également d'améliorer le plan étape par étape.
• Test opérationnel complet- Étape précédant une interruption
de service. L'organisation doit avoir correctement testé le plan
sur papier et dans sa version localisée avant d'interrompre
complètement les opérations. Pour les fins de mise à l'essai du
PCA, il s'agit du sinistre.
Documentation des résultats
Au cours de chacune des phases de mise à l'essai du plan de
continuité, il fàut tenir à jour une documentation détaillée des
problèmes et des solutions. Chaque équipe doit posséder un
journal, contenant les étapes ct les renseignements spécifiques
à inscrire, qu'elle peut utiliser comme documentation. Cette
documentation constitue une source de renseignements
historiques impm1ants qui peuvent aider au rétablissement
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux. : Contenu
réel des opérations en cas de sinistre. De plus, la compagnie
d'assurances oules autorités locales pourraient exiger celte
documentation. La documentation aide aussi à eftèctucr une
analyse détaillée des forces el des faiblesses du plan.
Analyse des résultats
Il est important de déterminer des méthodes pour mesurer le
succès du plan ct d'en comparer les résultats aux objectifs
énoncés. C'est pourquoi, les résultats doivent être évalués de
fàçon quantitative et non par simple observation.
Les mesures spécifiques varient en fonction du test et de
l'organisation; toutefois, les mesures générales suivantes
s'appliquent habituellement:
• Temps~-· Le temps réel d'exécution des tâches prescrites, de la
livraison de l'équipement, du regroupement du personnel et de
l'arrivée à J'installation prédéterminée.
• Somme·- La somme de travail effectué à l'installation de
secours par le personnel administratif et par les opérations de
traitement des systèmes d'information.
• Nombre-· Le nombre d'enregistrements essentiels transportés
avec succès à l'installation de secours par rapport au nombre
requis, ct la quantité de foumitures et d'équipements demandés
par rapport à ceux qui ont été reçus. Également, le nombre de
systèmes essentiels récupérés avec succès peut être mesuré en
fonction du nombre de transactions effectuées.
• Précision-- La précision des données entrées à l'installation de
reprise par rapport à la précision habituelle (en pourcentage).
(~gaiement, la précision des cycles de traitement courants peut
être déterminée en comparant les résultats obtenus avec ceux de
la même pé1iode de traitement, sous des conditions normales.
Mise à jour du plan
Les plans et les stratégies de continuité des activités doivent
êlre révisés et mis à jour régulièrement pour tenir compte des
conditions changeantes, et des révisions spéciales doivent être-
effectuées lorsqu'un changement important aftècte les plans et
stratégies< Les facteurs suivants peuvent avoir une incidence sur
les exigences de continuité des activités et sur la mise à jour du
plan:
• une stratégie appropriée à un certain moment peut ne plus
convenir en raison des besoins changeants de l'organisation
(processus de l'entreprise, nouveaux services, changements au
personnel clé);
• de nouvelles ressources ou applications peuvent avoir été
développées ou acquises;
• des changements dans la stratégie de l'entreprise peuvent
modifier l'importance des applications essentielles ou rendre
essentielles ecriai nes autres applications;
• des changements dans l'environnement logiciel ou
matériel peuvent rendre certaines dispositions obsolètes ou
inappropriées;
• de nouveaux événements ou un changement dans les
probabilités de survenance d'événements pourraient causer une
perturbation;
• des changements sont effectués auprès du personnel clé ou de
leurs coordonnées.
La mise à jour et la mise à l'essai du PCA est une étape
importante lorsque des changements important surviennent dans
143
 Section deux : Contenu Chapitre 2 - Gouvernance et Gestion des Tl
l'organisation. JI est également recommandé d'inclure le plan
de continuité des nctivités dans le cycle de développement des
systèmes.
La responsabilité de la mise à jour du PC;\ incombe souvent au
coordonnateur du plan. Les tâches liées i1 !a mise ùjour du plan
sont les suivantes:
• J'élaboration d'un calendrier de révisions ct de mises à jour
périodiques du plan pour que les membres du personnel
connaissent leurs rôles et les dates limites de réception des
révisions et des commentaires;
• la demande de révisions imprévues lorsque surviennent des
changements significatifs;
• J'examen des révisions et des commentaires ainsi que la mise
à jour du plan dans un délai de X jours (p. ex., 30 jours, 2
semaines) suivant la date de révision;
• la coordination des mises à l'essai prévues et imprévues du PCA
pour en évaluer J'etricacité;
• la participation aux mises à l'essai prévues, qui doivent être
ellèctuécs au moins une l'ois par année à des dates spécifiques.
Pour les mises ù l'essai prévues et imprévues, le coordonnateur
devra procéder à des évaluations et appmicr des changements
au plan dans un délai de X jours (p. ex., 30 jours, 2 semaines)
afin de résoudre les problèmes relevés lors des mises à l'essai
infructueuses;
• la création d'un calendrier de formation du personnel de
reprise des opérations relativement aux procédures d'urgence
et de reprise, comme il est indiqué dans Je PCA. Les dates de
fOrmation doivent être fixées dans un délai de 30 jours après
chaque révision ct mise à l'essai du plan;
• la mise à jour des registres liés aux activités de mise à jour du
PCA -les mises à l'essai, la formation et les révisions;
• la mise à jour périodique, au moins ù chaque trimestre (des
périodes plus courtes sont recommandées), du répertoire de
notification pour y ajoul'cr tout changement au personnel, y
compris les numéros de téléphone, les responsabilités et Je statut
au sein de l'entreprise.
Un outil logiciel pour l'administration des plans de continuité ct de
reprise peut s'avérer utile pour cflèctucr le suivi des tâches de mise
à jour.
Bonnes pratiques de gestion de la continuité des
activités
Le besoin de réévaluer ct d'améliorer continuellement ct
périodiquement le programme de continuité des activités
est essentiel pour élaborer une stratégie efficace ct fiable de
rétablissement des opérations, ct ce, peu impolie si l'organisation
est à la phase initiale de développement du plan. Afin d'améliorer
les capacités de gestion de la continuité des activités (ct de se
conformer aux directives réglementaires), certaines organisations
ont commencé à adopter les meilleures pratiques provenant
d'entités et d'agences réglementaires liées ou non à l'industrie.
Certaines de ces entités ou agences ainsi que les pratiques, règles
ou normes sont les suivantes :
• Business Continuity Institute (BCI) Communique les bonnes
pmtiques de gestion de la continuité des activités;
• Disaster Recovery lnstitute International (DR Il)-- Communique
les pratiques professionnelles de continuité des activités;
144
eiSA"
"" lnfD~tiOfl
certmed Auditor"
M Systems
- .
"'~""'"'·"'''""'"'·
.. US Federal Emergency Manngcment Association ( FEMA) .... Offre
des guides de gestion d'urgence des entreprises et de l'industrie;
• ISACA -- La nonne CO BIT fournit une orientation sur les
contrôles des Tl qui sont pertinents au sein de l'entreprise;
• US Nationallnstitute ofStand<uds and lf:chnology;
• US Federal Fimmcial Institutions Examinntion Council (FFJEC);
• US Health and Human Services (HHS) ~La norme HIPAA
décrit les exigences de gestion de l'information sur la santé.
.. ISO 22301:2012: S'écu ri té sociétale ~ S~vstèrnes de management
de la continuité d'activité--·- Etigences.
r;ernarque: Le ca~didat au titre CISÀ ne~<;~ru~p~-; evaJué sm-]
lles pratiques, règles ou nonnes spécifiques.
-·-------· " ··-·-~·-····----·-··--···----- -----
2.12.11 RÉSUMÉ DU PLAN DE CONTINUITÉ DES
ACTIVITÉS
Pour nssurer la pe1mnnence des activités de l'organisation, il fi1ut
rédiger un PCA pour minimiser les impacts des interruptions.
Ce plan doit se fonder sur le plan des Tl de longue portée, il doit
aussi soutenir ln stratégie globale de continuité des activités et s'y
aligner. Dnns ces conditions, le processus de développement et de
mise à jour d'un PCA ou PRS approp1iés doit respecter les clitères
suivants:
• Effectuer une évaluation du risque.
- Déterminer les systèmes et les autres ressources nécessaires
pour prendre en charge les processus essentiels en cas
d'interruption et en déterminer la priorité.
-Déterminer les menaces et vulnérabilités et en fixer la priorité.
• Préparer l'analyse de l'impact sur l'entreprise relative aux
conséquences de la perte des processus administratif.<; critiques
et de leurs composants de soutien.
• Choisir les contrôles et les mesures appropriés pour rétablir les
composants de Tl qui soutiennent les processus administratif.<.;
critiques.
• Élaborer le plan détaillé de rétablissement des installations des
SI (PRS).
• Élaborer un plan détaillé pour que les fonctions essentielles
continuent d'être exécutées ù un niveau acceptable (PCA);
• Mettre les plans à l'essai.
• Mettre les plans à jour à mesure que des changemcnt'i
surviennent au sein de l'organisation et aux systèmes.
2.13 AUDIT DU PLAN DE CONTINUITÉ DES
ACTIVITÉS
L'auditeur des SI doit:
• comprendre et évaluer la stratégie de continuité des activités
ainsi que ses liens avec les objectif.<; de l'organisation;
• réviser les conclusions de l'analyse de l'impact des risques
afin des 'assurer qu'elles re-flètent les priorités ct contrôles
d'entreprise courants;
• évaluer les PCA afin d'en déterminer la qualité et la fiabilité en
révisant les plans et en les comparant aux normes ct aux règles
gouvernementales appropriées, incluant l'OTR, I'OPR, etc.,
définis par l'analyse de l'impact des risques;
• vérifier l'efficacité des PC A en étudiant les résultats des tests
elfectués par le personnel des Tl et le personnel utilisateur;
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e !:':"~?""' Chapitre 2 - Gouvernance et Gestion des Tl
.. évaluer les mécanismes basés sur le nuage;
• évaluer l'installation d'entreposage hors lieu afin d'en assurer
la qualité en inspectant les installations et leur contenu ainsi
que les mesures de sécurité et de régulation des conditions
ambiantes;
• vérifier les arrangements pour le transport des médias de
sauvegarde afin de s'assurer qu'ils répondent aux exigences de
sécurité approptiées;
• évaluer la capacité du personnel à faire face efficacement à
une situation d'urgence en revoyant la procédure d'urgettce,
la formation des employés et les résultats de leurs tests et
exercices;
• s'assurer que le processus de mise à jour des plans est en place,
qu'il est efficace et qu'il couvre les révisions périodiques et
imprévues;
• évaluer si les manuels et procédures de continuité des activités
sont rédigés dans un langage simple et facile à comprendre. Ccci
peut être déterminé en tenant des entrevues pour vérifier si toutes
les parties prenantes comprennent leurs rôles et responsabilités
relativement attx stmtégi<.-s de continuité des activitt.-s.
2.13.1 RÉVISION DU PLAN DE CONTINUITÉ DES
ACTIVITÉS
Lors de la révision du plan, l'auditeur des SI doit s'assurer que les
éléments de base ont été développés dans le plan. Les procédures
d'audit liées à ces éléments de base sont abordées dans !es
sections qui suivent.
Examiner le document
• Se procurer une copie à jourde la politique ct de la stmtégie de
continuité des activités.
• Se procurer une copie à jour du PCA.
• Se procurer une copie de la plus récente analyse de l'impact
des risques et identifier l'OTR. I'OPR ct les autres directives
stratégiques clés.
• Sc procurer des copies du plan qui ont été remis aux diftCrents
intervenants et vérifier qu'elles sont à jour.
• Vérifier que le PCA soutient la stratégie générale de continuité
des activités.
• Évaluer l'efficacité des procédures documentées pour
l'invocation de la mise en œuvre du PCA
• É~valuer les procédures de mise ù jour du plan. Les mises
à jour sont-elles effectuées et distribuées rapidement? Les
responsabilités spécifiques sont-elles documentées pour la mise
à jour du plan?
Révision des applications couvertes par le plan
• Revoir les priorités et le soutien prévu pour les applications
essentielles, soit les applications sur serveur et sur poste de
travail.
• Déterminer si le niveau de tolérance en cas de sinistre des
application.;;; a été revu.
• Déterminer si toutes les applications essentielles (y compris les
applications sur ordinateur personnel) ont été établies.
• Déterminer si le site secondaire possède les bonnes versions
de tous les logiciels. Vérifier que tous les logiciels sont
compatibles; dans le cas contraire, le système ne sera pas en
mesure de traiter les données de production lors de la reprise des
opérations.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
Section deux : Contenu
Révision des équipes de continuité des activités
• Sc procurer une liste des membres de toutes les équipes de reptise/
continuité/réponse.
• Sc procurer une copie des accords relatif.~ à l'utilisation des
installations de secours.
• Revoir la liste du personnel de continuité des activités, des
personnes-ressources du centre de secours immédiat, des
fournisseurs en cas d'urgence, etc., pour en evaluer la pertinence
et l'exhaustivité.
• Contacter quelques-unes des personnes désignées, vérifier leurs
coordonnées et s'assurer qu'elles possèdent une copie à jour du
plan de continuité des activités.
• Rencontrer ces personnes afin de comprendre leurs tâches et
leurs responsabilités en cas d'interruption ou de sinistre.
Mise à l'essai du plan
• Évaluer les procédures de documentation des mises à !"essai.
• Revoir les procédures de sauvegarde suivies par chaque domaine
couvert par le PRS.
• Déterminer si les procédures de sauvegarde et de repli sc sont
respectées.
En plus des consignes précédentes :
• Vérifier si toutes les procédures d'urgence sont complètes,
appropriées, exactes, à jour et faciles à comprendre.
• Déterminer si les transactions entrées à nouveau dans le système
par suite du rétablissement doivent être séparées des transactions
nonnalcs.
• Déterminer si les équipes de reprise/continuité/réponse ont en
leur possession les procédures écrites qu'elles doivent suivre
advenant un sinistre.
• Déterminer s'il existe une procédure adéquate pour la mise à
jour des procédures d'urgence.
• Déterminer si la procédure de reprise pour les utilisateurs est
documentée.
• Déterminer si Je plan traite adéquateme-nt du déménagement à
l'înst:allation de reptise des opérations.
• Déterminer si le plan traite adéquatement de la reprise depuis
l'installation de reprise de secours.
• Déterminer si les éléments nécessaires à la reconstruction du
Centre de traitement informatique sont entreposés à l'extérieur
des lieux, comme les plans détai\1és, l'inventaire du matétiel ct
les schémas de câblage.
Voici certaines questions qu ïl faut sc poser :
• Qui est responsable de l'administration ou de la coordination du
plan?
• L'administrateur oule coordinateur du plan est-il responsable de
sa mise ù jour?
• Ollie PRS est-il entTeposé?
• Quels systèmes essentiels sont indiqués dans le plan?
• Quels systèmes ne sont pas indiqués dans le plan? Pour quelle
raison?
• Quel équipement n'est pas indiqué dans le plan? Pour quelle
raison?
• Le plan fonctionne-t-il selon certaines hypothèses? Quelles
sont-elles?
• Le plan détermine-t-H des lieux de rendez-vous pour le comité
de gestion du sinistre ou pour l'équipe de gestion des urgences
afin que ces responsables puissent décider si le plan de
145
 Section deux : Contenu Chapitre 2 - Gouvernance et Gestion des Tl
continuité des activités doit être exécuté?
• Les procédures documentéeR sont-elles adéquates pour assurer la
réussite de la reprise des opérations?
• Le plan li-aile-t-il des sinistres de degrés divers?
• Le plan traite-t-il des mesures de secours liées aux
télécommunications (lignes de secours dédiées aux données et ù
la voix)?
• Où sc trouve l'installation de sauvegarde hors lieu?
• Le plrm traite-t-il du déménagement vers un nouveau Centre de
traitement informatique advenant Je cas où l'installation initiale
ne peut pas être remise en état?
• Le plan inclut-il des procédures de fusion des fichiers de
données maîtres, des données sur bandes magnétiques et autres
avec les fichiers existant avant le sinistre?
• Le plan aborde-t-il la question du chargement manuel des
données dans un système automatisé?
• Y a-t-il des procédures officielles p01tant sur la responsabilité
liée à la sauvegarde des données?
• Quelle fDrmation a été donnée au personnel sur l'utilisation de
l'équipement de secours et sur les procédures établies?
• Les procédures de rétablissement sont-elles documentées?
• Des copies de sauvegarde régulières et systématiques des
applications sensibles ct essentielles ainsi que des fichiers de
données sonl-ellcs effectuées?
• Qui détermine les methodes et la fréquence de sauvegarde des
données critiques à entreposer?
• Quel type de média est utilisé pour les sauvegardes?
• L'installation d'entreposage hors lieu est-elle utilisée pour tenir à
jour les copies de sauvegarde de l'infOrmation essentielle requise
pour em~ctuer les opérations à l'installation principale ou de
secours?
• La documentation est-elle adéquate pour reprendre les
opérations en cas de sinistre ou de perte de données?
• Y a-t-il un calendrier de mise à l'essai et de formation dans le
plan?
2.13.2 ÉVALUATION DES RÉSULTATS DETESTS
PRÉCÉDENTS
Le coordonnateur du PCA doit: tenir à jour une documentation
historique des résultats des tests de continuité des activités.
L'auditeur des SI doit examiner ces résultats et déterminer si des
mesures correctives ont été apportées au plan. De plus, il doit
évaluer la rigueur et l'exactitude des tests des PCA/PRS par
rappmi aux objectif.'> visés. Les résultats des tests doivent être
examinés pour savoir si les objectifs visés ont été atteints et pour
déterminer les problèmes récurrents et les solutions.
2.13.3 ÉVALUATION DE L'INSTALLATION
D'ENTREPOSAGE HORS LIEU
L'installation d'entreposage hors lieu doit être vérifiée pour
assurer la présence, la synchronisation et la fiabilité des médias.
et de la docum.entation essentiels à la reprise des opérations.
Ceci comprend les fichiers de données, les applications, la
documentation sur les applications, les logiciels d'exploitation, la
documentation sur les systèmes et les opérations, les fournitures
nécessaires, les fonnulaires spéciaux et une copie du PCA. Pour
s'assurer que ces conditions sont respectées, l'auditeur des SI doit
procéder à un examen minutieux du matériel. Il doit notamment
vérifier le nom des ensembles de données, des numéros de
146
eiSa· Certlf!ed tnfm_mauon
H. Systems AudJtor•
'"'~"""'"""'·'"''"'
série de volumes, des périodes comptables et des emplacements
des médias. L'auditeur des SI doit également réviser la
documentation, en assurer la conlDrmité avec la documentation de
production, évaluer !a disponibilité des installations et en assurer
la confOrmité avec les exigences de la direction.
eauditeur des SI doit aussi revoir la méthode de transport des
données de sauvegarde vers ct depuis l'installation d'entreposage
hors site afin de s'a.:;surer qu'elle ne représente pas une faiblesse
dans le système de gestion de la sécurité de l'information.
2.13.4 ENTRETIEN AVEC LE PERSONNEL ClÉ
L~auditeur des SI doit s'entretenir avec le personnel qui est
responsable de la réussite de la reprise des opérations. Ces
personnes doivent comprendre les tâches que l'on attend d'elles et
connaître la documentation à jour ct détaillée de ces tâches.
2.13.5 ÉVALUATION DE LA SÉCURITÉ À
L'INSTALLATION HORS LIEU
La sécurité à l'installation hors lieu doit être vérifiée pour
s'assurer que des mesures de contrôle pour l'accès physîque et
l'accès aux systèmes de ventilation/réfrigération sont établies.
Ces mesures comprennent la possibilité de hmiter l'accès aux
utilisateurs autorisés, la surélévation des planchers. le contrôle de
l'humidité et de la température ainsi que la présence de circuits
spécialisés, d'une source d'alimentation sans interruption,
d'appareils de détection d'infiltration d'eau, de détecteurs de
fumée et d'un système approprié d'extinction des incendies.
l:auditeur des SI doit inspecter l'équipement ct les étiquettes de
calibrage. Cette évaluation doit aussi prendre en considération les
exigences de sécurité du transport des médias.
2.13.6 RÉVISION DU CONTRAT POUR L'INSTALLATION DE
TRAITEMENT DE SECOURS
!.:auditeur des SI doit se procurer une copie du contrat avec
le fournisseur de l'installation de traitement de secours. Les
références du fournisseur doivent être validées et toutes les
promesses du fournisseur doivent être consignées par écrit. Les
directives suivantes doivent être vérifiées dans le contrat:
• s'assurer que le conh·at est écrit de façon claire et
compréhensible:
• confirmer par un examen juridique que les modalités requises
satisfont à toutes les lois ct réglementations applicables;
• réexaminer et confirmer l'accord avec J'organisation en tenant
compte des règles qui s'appliquent aux installations pm1agées
avec d'autres membres;
• s'assurer que la garantie d'assurance couvre la majorité des
dépenses en cas de sinistre;
• s'assurer que des tests peuvent être etlCctués au centre de
secours immédiat à des intervalles réguliers;
• réviser ct évaluer les demandes de matériel de communication à
1'installation de sauvegarde;
• s'assurer que le code source bloqué est révisé par un avocat
spécialisé;
• déterminer la tolérance limite pour les recours advenant le cas
d'un non-respect des clauses du contmt.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e. M
Certifie<! Information
Systems Auditor'
''·"'""'·~"'"''""'
Chapitre 2 - Gouvernance et Gestion des Tl
2.13.7 RÉVISION DE LA COUVERTURE D'ASSURANCE
Il est essentiel que la couverture d'assurance reflète les
coûts réels de reprise des opérations. En considérant la
prime d'assurance (coût), la couverture pour les dommages
aux médias informatiques, l'interruption des opérations. le
remplacement de l'équipement ct le processus de continuité
des activités doit être revue pour s'assurer qu'elle c;;;t
suffisante. Les domaines à risque précis devraient être
définis dans \'AIA, dans les contrats avec les clients ct
dans les ANS, tout comme les répercussions réglementaires
causées par une interruption des activités commerciales.
-------------------------------------
Remarque : Le candîdat au titre CJSA doit connaître les
:]----
clauses essentielles qui doivent être incluses dans les polices
d'assurances pour bien protéger l'organisation.
2.14 ÉTUDES DE CAS
Les études de cas qui suivent servent d'outil d'apprentissage pour
renforcer la connaissance des concepts présentés dans cc chapitre.
2.14.1 ÉTUDE DE CASA
On a demandé à un auditeur des SI de revoir l'ébauche d'un
contrat d' extemalisation ct d'un ANS et de recommander des
changements ou de mettre en lumière les préoccupations avant
qu'ils ne soient soumis aux gestionnaires supérieurs pour
approbation finale. L'entente inclut le support d'extemalisation
de Windows et la gestion du réseau ainsi que l'administration
du serveur UNIX par une tierce pmtie. Les serveurs seront
relocalisés dans les locaux de l'impartiteur, situés dans un
autre pays, et la connexion sera établie par le biais d'lntemet.
L.e logiciel du système d'exploitation sera mis à jour de façon
scmi-annuelle, mais il ne sera pas livré sous condition. Toutes les
demandes d'audit ou de suppression de comptes d'utilîsateurs
seront traitées en trois jours ouvrables ou moins. Un logiciel
de détection des intrusions sera supervisé en continu par
J'irnpartiteur ct le client sera ave1ti par courrîel si des anomalies
sont détectées. Les nouveaux employés engagés au cours des
trois dernières années ont été sujets à une vérification des
antécédents. Auparavant, aucune politique n'avait été mise en
place. Une disposition donnant droit d'audit est en place, mais
un avis de 24 heures minimum avant une visite sur place est
exigé. Si l'impartiteur est trouvé coupable d'avoir transgressé
toute condition stîpulée dans le contrat, il disposera de dix jours
ouvrables pour corriger la problématique. L:impatiiteur n'a pas
d'auditeur des SI, mais il est audité par une firme comptable
publique de sa r~gion.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
ÉTUDE DE CAS A : QUESTIONS
'
At Lequel des énoncé suivant doit préoccuper le PLUS l'auditeur
des SI?
A. Les changements au compte de l'utilisateur sont réalisés en un
maximum de trois jours ouvrables.
B. Un avis 24 heures avant une visite sur place est exigé.
C. ~impartiteur n'a pas une fonction d'audit des SI.
D. La délivrance sous condition de logiciels n'est pas incluse
dans le contrat
A2. Lequel des énoncés suivants représente le point le PLUS important
à traiter si les serveurs contiennent des renseignements personnels
permettant d'identifier des clients, sont accessibles et mis à jour
régulièrement par les utilisateurs finaux?
A. Le pays où est situé l'impartiteur interdit l'utilisation du
chiffrement pour les données transmises.
B. ~impartiteur limite sa responsabilité s'il a pris des mesures
raisonnables pour protéger les données du client
C. ~impartiteur n'a pas effectué de vérifications des antécédents
pour les employés engagés il y a plus de trois ans.
D. Le logiciel d'exploitation est mis à jour seulement une fois
tous les six mois.
Voir les réponses et les explicalions aux questions des études de cas à la fin du
chapitre (page 150).
2.14.2 ÉTUDE DE CAS B
Une cntreptise a implanté une application intégrée de soutien aux
processus d'entreprise. Elle a aussi pris un engagement avec un
fournisseur pour la maintenance de l'application et pour le soutien
aux utilisateurs et aux administmteurs du système. Ce soutien
sera oflèrt par un centre de soutien ù distance du fournisseur,
qui possèdera un identifiant p1ivilégié donnant accès au système
d'exploitation et permettant J'accès en lecture et en écriture à
tous les fichiers. Le fOurnisseur utilisera cet identifiant spécial
pour accéder au système dans les situations de dépannage ct
d'implantation des mises à jour de l'application (correctif..:;). En
raison du volume de tTansactions, les journaux d'activités ne sont
maintenus que pour 90 jours.
147
 Section deux : Contenu Chapitre 2 - Gouvernance et Gestion des Tl
~
ÉTUDE l!E CAS B : QUESTIONS
81. Lequel des énoncés suivants constitue une préoccupation
MAJEURE pour l'auditeur des SI?
A. Les journaux d'activités des utilisateurs ne sont maintenus
que pour 90 jours.
B. ~identifiant spécial aura accès au système à distance.
C. ~identifiant spécial peut modifier les journaux des activités.
0. Le fournisseur testera et implantera les correctifs sur les
serveurs.
82. Laquelle des actions suivantes serait la PLUS efficace pour réduire
les risques associés à une mauvaise utilisation du compte du
superutilisateur?
A. ~identifiantdu superutilisateur doit être désactivé sauf lors de
la maintenance.
B. Toute utilisation du compte du superutilisateur doit être
enregistrée.
C. ~entente doit être modifiée afin que le soutien soit effectué
sur place.
O. Tous les correctifs doivent être testés et approuvés avant leur
implantation.
Voir les rêponses et les explications aux questions des étvdes de cas à la fin du
chapitre (page t 50).
2.14.3 ÉTUDE DE CAS C
On a demandé à un auditeur des Sl de revoir ralignement entre
les Tl et les oQjccti['> de l"entrep1ise (petite institution financière).
[auditeur des SI a demandé diverses informations, y compris les
objectifs de l'entreprise et les ohjccti tS des TI. tauditeur des SI a
constaté que les objectî["> de l'entreprise se limitaient à une courte
liste, tandis que les objectifS des Tl sc limi1aient à des diapositives
utilisées lors de réunions avec le dirigeant principal de l'information
(cc dernier se rapp011e au directeur financier). On a aw-;~i tmuvé
dans la documentation fOurnie que, depuis deux ans, Je comité de
gestion du risque (composé de représentants de la direction) ne
s'est rencontré qu'à tmis occasions, ct aucun compte-rendu de ces
réunions n'a étë conservé. Lorsque le budget des Tl de l'année à
venir a été compnré aux plans stratégiques des Tl, on a remarqué
que plusieurs des initi:Jtives mentionnées dans les plans de l'année à
venir n'étaient pas incluses dans Je budget de l'année.
148
eiSA' .M.
C.eflifiCd
Systems lnformafioo
AutlltO('
"'"""'"'~"'·""'
.
~
ÉTUDE DE CAS C: QUESTIONS
C1. Lequel des énoncés suivants doit préoccuper le PLUS l'auditeur
des SI?
A. Les documents stratégiques sont informels et incomplets.
B. Le comité de gestion du risque se rencontre rarement et ne
tait pas de compte-rendu.
C. Les budgets ne semblent pas adéquats pour soutenir les
investissements futurs en Tl.
O. Le dirigeant principal de l'information se rapporte au directeur
financier.
C2. Lequel des énoncés suivants constitue le problème le PLUS
important à régler?
A. La culture prédominante au sein des Tl.
B. Le manque de politiques et de procédures liées aux Tl.
C. Les pratiques de gestion du risque en comparaison à d'autres
entreprises semblables.
O. La structure de rapport des Tl.
Voir les réponses at les explications aux questions des études de cas â la fin du
clmpitre (page 150).
2.14.4 ÉTUDE DE CAS D
Un auditeur des SJ effectue un audit des pratiques de gouvernance
des TI pour une entreprise. Au cours de l'audit, on remarque que
l'entreprise ne possède pas de dirigeant principal de l'information
à temps plein. L'organigramme indique un gestionnaire des SI
se rappmiant au dirccl'eur financier, qui lui-même se rappm1e au
conseil d'administration. Le conseil d'administration joue un rôle
majeur dans la surveillance des initiatives des Tl de 1'entreprise
et le directeur financier communique régulièrement les progrès
de ces demi ères. En révisant la matrice de séparation des
tâches, il appert que les programmeurs de l'application doivent
seulement obtenir l'approbation de l'administrateur de bases de
données pour accéder directement aux données de production.
On remarque également que les programmeurs de l'application
doivent fournir le code de programme développé au bibliothécaire
du programme, qui le fait migrer ensuite en production. Les
audits des SI sont effectués par le service d'audit interne, qui se
rapporte au directeur financier à la fin de chaque mois dans Je
cadre du processus de révision de la perfOrmance; les résultats
financiers de l'organisme sont révisés en détail ct signés par les
gestionnaires de l'entrep1ise afin de confirmer l'exactitude des
données qu'ils contiennent.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e. M
c.ertined lnfonnation
Systems Auditor"
""""""''"''''"""'
Chapitre 2 - Gouvernance et Gestion des Tl
érÎJDE DE GAS D; QUEST!Oti:S
01. En fonction des circonstances décrites. lequel des énoncés
suivants constituerait la PLUS GRANDE inquiétude du point de
vue de la gouvernance des Tl?
A. ~entreprisene possède pas de dirigeant principal de
l'information à temps plein.
B. L'entreprise ne possède pas de comité directeur des Tl.
C. Le conseil d'administration de l'entreprise joue un rôle majeur
dans la surveillance des initiatives des Tl.
O. Le gestionnaire des systèmes d'informatiOn se rapporte au
directeur financier.
02. En fonction de cette situation, lequel des énoncés suivants
constituerait la PlUS GRANDE inquiétude du point de vue de la
séparation des tâches?
A. Les programmeurs de l'application doivent seulement obtenir
l'approbation de l'administrateur de bases de données pour
avoir accès en écriture aux données.
B. Les programmeurs de l'application doivent fournir le code de
programme développé au bibliothécaire du programme, qui le
fait ensuite migrer en production.
C. Le service d'audit interne se rapporte au directeur financier.
O. Les révisions de la pertormance de l'entreprise doivent être
signées uniquement par les gestionnaires de l'entreprise.
03. Lequel des énoncés suivants assurerait le MIEUX l'intégrité des
données du point de vue de 1'atténuation des contrôles?
A. Les programmeurs de l'application doivent obtenir
l'approbation de l'administrateur de bases de données pour
pouvoir accéder aux données.
B. Les programmeurs de l'application doivent fournir les codes
de programme développé au bibliothécaire du programme,
qui les fait ensuite migrer en production.
C. Le service d'audit interne se rapporte au directeur financier.
O. Les résultats de la performance de l'entreprise doivent être
révisés et signés par les gestionnaires de l'entreprise.
Voir les réponses et les explications aux questions des études de cas à fa fin du
clrapitre (page 150).
2.14.5 ÉTUDE DE CAS E
Une organisation élabore de nouveaux PCA et PRS pour son
siège social et ses 16 succursales. Les plans actuels n'ont pas
été mis à jour depuis plus de huit ans, ct depuis ce temps,
l'organisation a connu une croissance de plus de 300 %). Au
siège social, on compte environ 750 employés. Ces employés
sont branchés par un réseau local à un groupe de plus de 60
applications, bases de données et serveurs d'impression de
fichiers situés au centre de données de l'entreprise. lis sont aussi
en liaison avec les succursales par un réseau à relais de trames.
Les utilisateurs en déplacement ont accès aux sy.stèmcs de
l'entTeprise en se connectant à Internet à l'aide d'un réseau privé
virtuel. Les utilisateurs du siège social et des succursales ont
accès à Internet par un serveur mandataire ct un coupe-feu situés
au centre de données. Les applications critiques ont un OTR de
trois à cinq jours. Les succursales sont situées à une distance
de 60 à 1JO km les unes des autres et aucune d'entre elles n'est
située à moins de 50 km du siège social. Chaque succursale
compte de 20 à 35 employés, de même qu'un serveur de courriels
et un serveur d'impression. Des médias de &'luvegmde pour le
centre de données sont entreposés dans une installation tierce
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
située à 70 km de là. Des copies de sauvegarde des serveurs
situés aux succursales sont entreposées dans les succursales
voisines (des ententes de réciprocité ayant été conclues entre
ces succursales). Un fournisseur de centre de secours immédiat
sous contrat offre 25 serveurs, un espace de travail équipé
d'ordinateurs de bureau pouvant accommoder lOO personnes et la
possibilité d'envoyer jusqu'à deux serveurs ct lü ordinateurs de
bureau à toute succursale déclarant une urgence. selon une entente
particulière conclue. Les modalités du contrat sont valides pour
trois ans, et des mises à niveau de l'équipement sont ctfectuées au
renouvellement du contrat. Le fournisseur du centre de secours
immédiat possède plusieurs installations au pays advenant le cas
où l'instaliation principale serait utilisée par un autre client ou
deviendrait non disponible en cas de sinistre. La haute direction
souhaite que toute amélioration appmiée coütc le moins cher
possible.
érÎJDE DE CA$ E: QUESTIONS
E1. En se fondant sur l'information ci-dessus.laquelle des
recommandations suivantes l'auditeur des SI doit-il émettre à
propos du centre de secours immédiat?
A. Le nombre d'ordinateurs de bureau au centre de secours
immédiat doit passer à 750.
B. 35 serveurs supplémentaires doivent être ajoutés au
contrat du centre de secours immédiat.
c. Tous les médias de sauvegarde doivent être entreposés
au centre de secours immédiat afin de réduire l'objectif
de délai de rétablissement
O. Les demandes d'équipement de bureau et de serveurs
doivent être révisées à chaque trimestre.
E2. En se fondant sur l'information ci-dessus, laquelle des
recommandations suivantes l'auditeur des SI doit-il émettre à
propos de la reprise des opérations aux succursales?
A Inscrire chacune des succursales au contrat existant du
centre de secours immédiat.
B. S'assurer que chaque succursale possède une capacité
de sauvegarde suffisante pour effectuer la sauvegarde
du matériel essentiel des autres succursales.
c. Déménager au centre de données tous les serveurs de
courriel et de sauvegarde des succursales.
O. Ajouter au contrat du centre de secours immédiat une
clause de capacité supplémentaire équivalente à la plus
grande succursale.
Voir tes réponses et les explications aux questions des études de cas à fa fin du
chapitre (page 150).
149
Section deux : Contenu Chapitre 2 - Gouvernance et Gestion des Tl eiSA. Certif!OO Information
H. ~ystems Audit~

""""'""''"'''""~

2.15 RÉPONSES AUX QUESTIONS DES vérifiées pour en assurer la pertinence. Les autres
choix ne sont pas aussi efficaces ou pratiques pour
ÉTUDES DE CAS réduire les risques.

RÉPONSES AUX QUESTIONS DE !:ÉTUDE DE CAS A

RÉPONSES AUX QUESTIONS DE !:ÉTUDE DE CAS C
Al. A t:utilisation de trois jours ouvrables pour
supprimer le compte d'un ex-employé C 1. H La plus grande inquiétude est le fà.ît que le comité
représenterait un risque inaccept1blc pour de gestion du tisque sc rencontre rarement et
l'organisation. Des dommages importants ne tàit pas de compte~rendu de ses rencontres.
pourraient être causés à 1'intérieur du délai Puisque les représentants de la direction ne se
d'intervention. Par contre, un certain préavis rencontrent pas régulièrement pour discuter des
précédant une visite sur place est habituellement problèmes clés, et puisque aucun compte-rendu
acceptée dans l'industrie. Égnlernent, tous les n'est rédigé pour permettre un suivi, une nnalyse et
impartiteurs n'ont pas leur propre fonction d'audit un engagement, ceci indique un manque sélieux de
ou lem· propre auditeur des SI. La délivrance gouvernance. Les autres options ne sont pas aussi
de logiciels sous condition est particulièrement critiques par rapport à leurs impacts potentiels sur
1·entreprise.
importante lors du travail avec un logiciel
d'application personnalisé, qui demande la
conservntion d'une copie du code source chez une C2. B !:absence de politiques et procédures rend
tierce partie. Un logiciel du système d'exploitation difficile, sinon impossible, l'implantation d'une
pour les systèmes d'exploitation commerciaux gouvernance des TI efficace. Les autres problèmes
habituellement disponibles ne demander::1 pas la sont secondaires en comparaison.
délivmnce de logiciels sous condition.
RÉPONSES AUX QUESTIONS DE !:ÉTUDE DE CAS D
A2. A Parce que la connexion aux serveurs se fait
D 1. D Le gestionnaire des systèmes d'informntion doit
par l'entremise d'Internet, l'interdiction d'un
idéalement se rapporter au conseil d'administration
chiffrement rigoureux rendra toute donnée
ou au président-directeur général afin d'ofli·ir Je
transmise plus vulnérable à l'interception. La
degré d'indépendance suffisant. La structure de
limite de responsabilité est une pratique standard
rapport qui exige que le gestionnaire des systèmes
de l'industrie. Même si aucune vérification des
d1information se rapporte au direct'eur financier
nntécédents n'a été faite pour les employés ayant 1
ll CS1 pas une situation souhaitable et pourrait
été embauchés il y a plus de trois ans, il ne s'agit
compromettre certains contrôles.
pas d'un problème lrès important. La mise à jour
d'un logiciel de système une fois tous les six mois
D2. A Les programmeurs de l'application doivent obtenir
ne crée pas d'exposition particulière aux risques.
l'approbation des propriétaires de l'entreprise
avant d'accéder aux données. Les administrateurs
RÉPONSES AUX QUESTIONS DE !:ÉTUDE DE CAS B de bases de données ne sont que les gardiens des
données ct doivent uniquement offrir l'accès s'il
B l. C Puisque le supcrutilisateur a des droits d'accès en
est autorisé par le propriétaire des données.
lecture et en éc1iture à tous les fichiers. i J n'est pas
possible de s'assurerquc les journaux des activités ne
D3. D La signature des données contenues dans les
sont pas modifiés dans Je bui. de masquer une activité
résultats financiers par les gestionnaires de
non auto1isée du fOurnisseur. L'accès à distance
l'entreprise à la fin de chaque mois permettrait
n'est pas un problème majeur à condition que la
de détecter tout écart significatifrésultanl de
connexion soit faite à partir d'une ligne chiffi'ée. Les
l'altération des données par un accès direct
tests et l'implantation des correcti[<; sur les sen.rcurs
inapproprié aux données sans J'approbation des
font partie du soutien offert par le foumissem: Bien
gestionnaires de l'entreprise.
que la période de rétention des journaux de 90
jours pourrait ne pas être sunïsante dans certaines
situations, il nes 'agit pas d'un problème aussi RÉPONSES AUX QUESTIONS DE !:ÉTUDE DE CAS E
impo11ant que le iàit que le fournisseur ait la capacité
de modifier les jou maux des nctivités.
El. 1) Puisque les besoins en équipement d'une
entreprise dont la croissance est rnpide changent
B2. A Le contrôle le PLUS elllcace et pratique dans
fréquemment, des révisions tJimestriclles sont
cette situation consiste à verrouiller le compte
nécessaires pour s'assurer que les capacités de
du superutilisateur lorsqu'il n'est pas nécessaire.
reprise sont toujours adéquates. Étant donné
Le compte ne doit être ouvert que lorsque le
que les fonctions des employés ne sont pas
foumisseur doit y accéder pour le soutien, ct il
toutes essentielles en cas de sinistre, il n'est pas
doit être fermé immédiatement après l'utilisation.
nécessaire d'exiger un nombre d'ordinateurs
Toutes les activités doivent être enregistrées et
de bureau équivalent à celui des employés aux

150 Manuel de Préparation CISA 26' édition

ISACA. Tous droits réservés.
e Certlfied.lntormatlon
Systems Auditor'
;;;;;;:~t:::-·
Chapitre 2 - Gouvernance et Gestion des Tl Section deux : Contenu

installntions de reprise. De la même façon. tous les

serveurs ne sont pas essentiels à la permanence des
opérations de 1'entreprise. Dans les deux cas, un
nombre restreint d'ordinateurs et de serveurs serait
acceptable. Puisqu'il n'existe aucune garantie que
le centre de secours immédiat sera libre, il n'est pas
conseillé d'y stocker les médias de sauvegarde. Ces
installations ne sont habituellement pas conçues
pour offrir une capacité d'entreposage à grande
échelle, et les tests fréquents effectués pnr d'autres
clients powTaient compromettre la sécurité des
médias de sauvegarde.

E2. B La solution la moins coüteuse est de recommander

que les succursales aient une capacité suffisante
pour accueillir le personnel essentiel d'une autre
succursale. Puisque les employés ayant des
fOnctions essentielles ne représentent que 20%
de l'effectif de la succursale touchée, il faudra
des installations pour accueillir de quatre à sept
personnes. Ajouter chacune des succursales au
contrat du centre de secours immédiat constituerait
une solution beaucoup plus coüleusc et ajouter de
la capacité au contrat n'offrirait pas de garantie
puisque les tmifs pour cc type de contrats se basent
sur chaque lieu couvert. Enfin, le déménagement
des serveurs des succursales au centre de données
pourrait nuire à la performance et ne résoudrait pas
Je problème de relogement des employés

Manuel de Préparation CISA 26" édition 151

ISACA. Tous droits réservés.
 e '. ertifled Information
Systems Alld!tor"
•.. '
'""(:.<''""'"'""'

Page laissée vide intentionnellement

152 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 e
Certified Information
Systems Auditor'
Chapitre 3 :
Acquisition, Développement
An ISACA~ Cerliliçafion
et Implantation des
Systèmes d'Information

Section un :Avant-propos
Définition .......................................................................................................................................................................................... 154
Objectifs •....................................................................................................•.••....................................................................•.............. 154
Tâches ct énoncés de connaissances ............................................................................................................................................... 154
Ressources suggérées pour approfondir l'étude ........................................................................................................................... 163
Questions d'autoévaluat'ion ............................................................................................................................................................. 164
Réponses aux questions d'autoévaluation ..................................................................................................................................... 165

Section deux : Contenu

3.1 Résumé ..•........................................•..•..•.•.................•..................................•...................•....................................................... 167
3.2 Réalisation des bénéfices ....................................................................................................................................................... 168
3.3 Structure de gestion de projet .............................................................................................................................................. 171
3.4 Pratiques de gestion des projets ......•..............................................................................••.•.......................................•.......... 176
3.5 Développement des applications d'affaires ......................................................................................................................... 183
3.6 Virtualisation ct cnvironncn1ents d'infonuagique ............................................................................................................... 204
3.7 Systèmes d'applications d'affaires ....................................................................................................................................... 205
3.8 Méthodes de dévelopf>cmcnt .....•......•.....................•......•.............................................•...•.•............................•.........•.•.......... 228
3.9 Pratiques de développement/Acquisition d'infrastructure ................................................................................................ 234
3.10 Pratiques en matière de maintenance des systèmes d'information .................................................................................. 241
3.11 Outils de développement des systèmes et aides à la productivité ..................................................................................... 246
3.12 Pratiques d'antélioration des processus ............................................................................................................................... 248
3.13 Contrôles applicatifs .•...................•......................•...........•...•..........•........................................•...................................•.•.•..... 250
3.14 Audit des contrôles applicatifs ...................•.......................•..................................•.................•....•.....................•.................. 257
3.15 Audit du développement, de l'acquisition ct de la maintenance de systèmes .................................................................. 261
3.16 Jttudes de cas .................•.•................•............................•.....................•....................................•............................................. 265
3.17 Réponses aux questions des études de cas ........................................................................................................................... 266

Manuel de Préparation CISA 26" édition 153

ISACA. Tous droits réservés.
 Section un : Avant-Propos
Chapitre 3 - Acquisition, Développement et ltnplantation
des Systèmes d'Information
Section un : Avant-propos
DÉFINITION
Le chapitre sur l'acquisition, le développement et l'implantation
des systèmes d'information donne un aperçu des processus ct
méthodologies clés utilisés par les organisations lors de la création
et de la modification d'éléments des systèmes d'applications (ou
de logiciels) et de l'inf-i-astructurc.
OBJECTIFS
L'objectif de cc domaine est de s'assurer que le candidat CISA
comprend et peut fOurnir l'assurance que les pratiques en matière
d'acquisition, de conception, de test et d'implantation des
systèmes d'infOrmation respectent les stratégies et objectifs de
1'organisation.
Cc domaine représente 18% des questions de l'examen CISA
(soit environ 27 questions).
TÂCHES ET ÉNONCÉS DE CONNAISSANCES
TÂCHES
Sept tâches sont comprises dans Je domaine couvrant
l'acquisition, le développement et l'implantation des systèmes
d'information :
TJ.l Évaluer le dossier d'affaires proposé pour l'acquisition,
la conception, l'entretien et le retrait éventuel des
systèmes d'infOrmation afin de détenniner s'il
correspond aux oqjectifs d'entreprise.
T3.2 f~valuer le processus de sélection ct de gestion de
contrat pour le fournisseur des Tl afin de s'assurer
que les niveaux de service et les contrôles requis par
l'organisation sont respectés.
T3.3 f~valucr le cadre et les contrôles de gestion de projet
pour déterminer si les exigences d'entreprise sont
atteintes d'une manière rentable tout en gérant les
1isques pour !'organisation.
T3A Effectuer des révisions afin de déterminer si un projet
progresse selon les plans, s'il est soutenu adéquatement
par de la documentation ct si les rapports sur son état
d'avancement sont exacts et en temps opportun.
T3.5 Évaluer la conf(mnité des contrôles en place pendant
les phases d'acquisition, d'élaboration et de test des
systèmes d'infOrmation aux politiques, normes ct
procédures de l'organisation ainsi qu'aux exigences
externes applicables.
T3.6 (2valuer l'état de préparation des systèmes d'infOrmation
pour l'implantation et la migration en production
afin de déterminer si les éléments livrables de projet,
les contrôles et les exigences de l'organisation sont
respectés.
T3.7 Effectuer des revues postimplantation des systèmes
pour déterminer si les éléments livrables de projet, les
contrôles ct les exigences de l'organisation
sont respectés.
154
e C.ertifiOO Information
Systems Audîtor'
~''""""""'""'"'
ÉNONCÉS DE CONNAISSANCES
Le candidat au titre CISA doit avoir une bonne compréhension
de chacun des sujets ou domaines définis par les énoncés de
connaissances. Ces énoncés constituent la base de l'examen.
Quatorze énoncés de connaissance sont t.:omp1is dans le domaine
couvrant l'acquisition, le développement et l'implantation des
systèmes d'information:
C3. 1 Connaissance des pratiques de réalisation (p. ex., les
études de faisabilité, les dossiers d'analyse d'aft3ires, le
coût total de possession [CTP], Je rendement du capital
investi [RCI]l.
C3.2 Connaissance des pratiques d'acquisition des Tl el de
gestion des fournisseurs (p. ex., processus d'évaluation ct
de sélection, gestion de contrat, gestion des risques ainsi
que des relations avec les fournisseurs~ entiercement,
octroi de licences de logiciels), y compris des relations
avec les ressources d'externalisation des tierces parties.
des foumisscurs des TI ct des prestataires de services.
C3.3 Connaissance des mécanismes de gouvernance de projet
(p. ex., comité directeur, conseil de surveillance du projet,
bureau de gestion de projet).
C3.4 Connaissance des cadres de contrôle, des pratiques et des
outils de gestion de projet.
C3.5 Connaissance des pratiques de gestion defi risques
appliquées aux prqjets.
C3.6 Connaissance de l'analyse des exigences ct des pratiques
de gestion (p. ex., vélification des exigences, traçabilité,
analyse de l'écart, gestion des vulnérabilités, exigences de
sécurité).
C3.7 Connaissance de l'architecture d'entreprise en matière
de données, d'applications et de technologie (p. ex.,
applications Web, services Web, applications à n-nivcaux,
services infonuagiqucs, vîrtualisation).
C3.8 Connaissance des méthodologies et des outils de
développement ainsi que de leurs forces ct de leurs
faiblesses (p. ex., pratiques de développement agile,
prototypage, développement rapide d'applications [DRA],
techniques de conception orientées objet, pratiques de
codage sécuritaîrc, contrôle des versions du système).
C3.9 Connaissance des objectifs ct des techniques de contrôle
qui garantissent l'exhaustivité, la justesse, la validité et
l'autorisation des transactions et des données.
CJ.IO Connaissance des méthodologies et des pratiques de
tests liées au cycle de développement de systèmes
d'information.
C3.11 Connaissance de la gestion des configurations et des
changements relative à la conception des systèmes
d'infOrmation.
C3. 12 Connaissance des pratiques de migration de système,
de deploiement d'infrastructure ainsi que les outils.
techniques et procédures de conversion de données.
CJ.l3 Connaissance des critères de réussite des projets et du
risque.
C3.14 Connaissance des objectifs et des pratiques de revue
postimplantation (p. ex., fermeture de projet, implantation
des contrôles, réalisation de la rentabilité, évaluation de la
perf(u·mance ).
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certlfied Information
Systems Auditor'
"'""'''~"'""'""'
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section un : Avant~Propos

Relation entre les tâches et les énoncés de connaissances

On s'attend ù ce que le candidat au titre CISA connaif>se et puisse appliquer les énoncés de tâches. Les énoncés de connaissances
délimitent chacun des domaines que doit bien connaître le candidat au titre CISA pour exécuter des tàchcs. Les énoncés de tâches et
de connaissances sont mis en correspondance au tableau 3.1 dans la mesure où il est possible de le faire. Notez que bien quïl y ait
souvent chevauchement, chaque énoncé de tâche correspondra généralement à plusieurs énoncés de connaissances.

Remarque: Le matériel et les logiciels sont des composants intégrés de J'infrastructure technique qui rendent possible le 1
fOnctionnement des applications d'afthires. Les considérer comme des éléments d'audit séparés en limite intrinsèquement la port.~:.;~:+ 1
nécessite une définition prud.ente des objectiü; d'audit, car ceux-ci doivent généralement être formulés en fonction de ]eur efricacité et
de leur efficience à soutenir les amlires. La nécessité d'évaluer séparément un élément, ou une classe d'éléments doit être déterminée
comme une partie de l'évaluation d'ensemble du système. Un audit particulier serait nécessaire, par exemple, si une révision ]1
précédente à un éche1on supélieur concluait qu)un élément, ou une classe d'éléments, aftltîblit la pertlwmanœ du systême dans son .
ensemble. De plus, l'auditeur des Sf doit tenir compte des aun·es synergies et restrictions qui ont un effet sur la fonctionnalité d'un
élément particulier à J'intérieur du système., car celles-t::i ont un impact direct sur la portée des résultats de l'audit.
j
" ,---· - - -~-·--~---·-~---~~-·---·-~--··--~-···--··-···------~·--·--------

Tableau 3.1 -COrrespondance des tâches et énoncés de connaissances

Énoncés de tâches
T3.1 Évaluer le dossier d'affaires proposé pour
l'acquisition, la conception, l'entretien et le
retrait éventuel des systèmes d'information
afin de déterminer s'il correspond aux
objectifs d'entreprise.
T3.2 Évaluer le processus de sélection et de
gestion de contrat pour les fournisseurs
des Tl afin de s'assurer que les niveaux
de service et les contrôles requis par
l'organisation sont respectés.
T3.3 Évaluer le cadre et les contrôles de gestion
de projet pour déterminer si les exigences
d'entreprise sont atteintes d'une manière
rentable tout en gérant les risques pour
l'organisation.
T3.4 Effectuer des révisions afin de déterminer
si un projet progresse selon les plans,
s'il est soutenu adéquatement par de la
documentation et si les rapports sur son
état d'avancement sont exacts et en temps
opportun.
Énoncés de connaissances
C3.1 Connaissance des pratiques de réalisation (p. ex., les études de faisabilité, les dossiers
d'analyse d'affaires, le coût total de possession [CTP], le rendement du capital investi
[RCI]).
C3.3 Connaissance des mécanismes de gouvernance de projet (p. ex., comité directeur, conseil
de surveillance du projet, bureau de gestion de projet).
C3.5 Connaissance des pratiques de gestion des risques appliquées aux projets.
C3.7 Connaissance de l'architecture d'entreprise en matière de données, d'applications et de
technologie (p. ex., applications réparties, applications Web, services Web, applications à
n-niveaux).
C3.13 Connaissance des critères de réussite des projets et du risque.
C3.2 Connaissance des pratiques d'acquisition des Tl et de gestion des fournisseurs (p. ex.,
processus d'évaluation et de sélection, gestion de contrat, gestion des risques ainsi
que des relations avec les fournisseurs, entiercement, octroi de licences de logiciels),
y compris des relations avec les ressources d'externalisation des tierces parties, des
fournisseurs des Tl et des prestataires de services.
C3.1 Connaissance des pratiques de réalisation (p. ex., les études de faisabilité, les dossiers
d'analyse d'affaires, le coût total de possession [CTP], le rendement du capital investi
[RCI]).
C3.3 Connaissance des mécanismes de gouvernance de projet (p. ex., comité directeur, conseil
de surveillance du projet, bureau de gestion de projet).
C3.4 Connaissance des cadres de contrôle, des pratiques et des outils de gestion de projet
C3.5 Connaissance des pratiques de gestion des risques appliquées aux projets.
C3.6 Connaissance de l'analyse des exigences et des pratiques de gestion (p. ex., vérification
des exigences, traçabilité, analyse de l'écart, gestion des vulnérabilités, exigences de
sécurité).
C3.8 Connaissance des méthodologies et des outils de développement ainsi que de leurs
forces et de leurs faiblesses (p. ex., pratiques de développement agile, prototypage,
développement rapide d'applications [DRA], techniques de conception orientées objet,
pratiques de codage sécuritaire, contrôle des versions du système).
C3.13 Connaissance des critères de réussite des projets et du risque.
C3.1 Connaissance des pratiques de réalisation (p. ex., les études de faisabilité, les dossiers
d'analyse d'affaires, le coût total de possession [CTP], le rendement du capital investi
[RCI]).
C3.3 Connaissance des mécanismes de gouvernance de projet (p. ex., comité directeur, conseil
de surveillance du projet, bureau de gestion de projet).
C3.4 Connaissance des cadres de contrôle, des pratiques et des outils de gestion de projet
C3.5 Connaissance des pratiques de gestion des risques appliquées aux projets.
C3.8 Connaissance des méthodologies et des outils de développement ainsi que de leurs
forces et de leurs faiblesses (p. ex., pratiques de développement agile, prototypage,
développement rapide d'applications [DRA], techniques de conception orientées objet,
pratiques de codage sécuritaire, contrôle des versions du système).
C3.13 Connaissance des critères de réussite des projets et du risque.

Manuel de Préparation CISA 26" édition 155

ISACA. Tous droits réservés.
Section un : Avant-Propos
Chapitre 3 - Acquisition, Développement et Implantation
:rableau 3.1 - Correspgndance des lâches êt lmonCês de connaissances
Énoncés de lâches
T3.5 Évaluer la conformité des contrôles en
place pendant les phases d'acquisition,
d'élaboration et de test des systèmes
d'information aux politiques, normes et
procédures de l'organisation ainsi qu'aux
exigences externes applicables.
T3.6 Évaluer J'état de préparation des systèmes
d'information pour l'implantation et la
migration en production afin de déterminer
si les éléments livrables de projet, les
contrôles et les exigences de l'organisation
sont respectés.
T3.7 Effectuer des revues postimplantation des
systèmes pour déterminer si les éléments
livrables de projet, les contrôles et les
exigences de l'organisation sont respectés.
156
des Systèmes d'Information
e . Certif!ed lnfonnation
...._ Systems Amlitor"
"'"t.o''""'""'"'
Énoncês de connaissances
C3.2 Connaissance des pratiques d'acquisition des Tl et de gestion des fournisseurs (p. ex.,
processus d'évaluation et de sélection, gestion de contrat. gestion des risques ainsi
que des relations avec les fournisseurs, entiercement, octroi de licences de logiciels),
y compris des relations avec les ressources d'externalisation des tierces parties, des
fournisseurs des Tl et des prestataires de services.
C3.4 Connaissance des cadres de contrôle, des pratiques et des outils de gestion de projet.
C3.5 Connaissance des pratiques de gestion des risques appliquées aux projets.
C3.6 Connaissance de l'analyse des exigences et des pratiques de gestion (p. ex., vérification
des exigences, traçabilité, analyse de l'écart, gestion des vulnérabilités, exigences de
sécurité).
C3.7 Connaissance de l'architecture d'entreprise en matière de données. d'applications et de
technologie (p. ex., applications réparties, applications Web, services Web, applications à
n-niveaux).
C3.8 Connaissance des méthodologies et des outils de développement ainsi que de leurs
forces et de leurs faiblesses (p. ex., pratiques de développement agile, prototypage,
développement rapide d'applications [DRA], techniques de conception orientées objet,
pratiques de codage sécuritaire, contrôle des versions du système).
C3.9 Connaissance des objectifs et des techniques de contrôle qui garantissent l'exhaustivité,
la justesse, la validité et l'autorisation des transactions et des données.
C3.10 Connaissance des méthodologies et des pratiques de tests reliées au cycle de
développement de systèmes d'information (SDLC).
C3.11 Connaissance de la gestion des configurations et des changements relative à la
conception des systèmes d'information.
C3.12 Connaissance des pratiques de migration de système, de déploiement d'infrastructure
ainsi que les outils. techniques et procédures de conversion de données.
C3.5 Connaissance des pratiques de gestion des risques appliquées aux projets.
C3.6 Connaissance de l'analyse des exigences et des pratiques de gestion (p. ex., vérification
des exigences, traçabilité, analyse de J'écart, gestion des vulnérabilités, exigences de
sécurité).
C3.8 Connaissance des méthodologies et des outils de développement ainsi que de leurs
forces et de leurs faiblesses (p. ex., pratiques de développement agile, prototypage,
développement rapide d'applications [DRA], techniques de conception orientées objet,
pratiques de codage sécuritaire, contrôle des versions du système).
C3.9 Connaissance des objectifs et des techniques de contrôle qui garantissent l'exhaustivité,
la justesse, la validité et l'autorisation des transactions et des données.
C3.10 Connaissance des méthodologies et des pratiques de tests reliées au cycle de
développement de systèmes d'information (SDLC).
C3.11 Connaissance de la gestion des configurations et des changements relative à la
conception des systèmes d'information.
C3.12 Connaissance des pratiques de migration de système, de déploiement d'infrastructure
ainsi que les outils, techniques et procédures de conversion de données.
C3.13 Connaissance des critères de réussite des projets et du risque.
C3.1 Connaissance des pratiques de réalisation (p. ex., les études de faisabilité, les dossiers
d'analyse d'affaires, le coût total de possession [CTP], le rendement du capital investi
[RCI]).
C3.4 Connaissance des cadres de contrôle, des pratiques et des outils de gestion de projet.
C3.9 Connaissance des objectifs et des techniques de contrôle qui garantissent l'exhaustivité,
la justesse, la validité et l'autorisation des transactions et des données.
C3.10 Connaissance des méthodologies et des pratiques de tests reliées au cycle de
développement de systèmes d'information (SDLC).
C3.13 Connaissance des critères de réussite des projets et du risque.
C3.14 Connaissance des objectifs et des pratiques de revue postimplantatiOn (p. ex., fermeture
de projet, implantation des contrôles, réalisation de la rentabilité, évaluation de la
performance).
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
 Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section un : Avant-Propos

Guide de référence sur les énoncés de connaissances

Chaque énoncé de connaissances est expliqué en fonction des concepts sous-jacents et de la pertinence de l'énoncé de connaissances
pour l'auditeur des SI. Le candidat à l'examen doit absolument comprendre les concepts. Les énoncés de connaissances représentent ce
que l'auditeur des SI doit savoir pour exécuter ses tâches. Par conséquent, seuls les énoncés de connaissances sont présentés dans cette
section.

Les sections citées sous C3.1 à C3.14 sont décrites plus en détail dans la section deux du présent chapitre.

C3.1 Connaissance des pratiques de réalisation (p. ex., les études de faisabilité, les dossiers d'analyse d'affaires,
le coût total de possession [CTP], le rendement du capital investi [RCI]).
EXplication 1 Côncepl$ clés 1 Référence dans le Manuel2016
Le principe de la réalisation de la rentabilité provient d'une préoccupation Comprendre l'approche 3.2 Réalisation des bénéfices
fondée pour le conseil d'administration et la haute direction à l'effet que de développement par 3.2.2 Développement et approbation du
les dépenses élevées pour les initiatives liées aux Tl ne réalisent pas la dossier d'affaires pour la plan de mise en œuvre
rentabilité d'affaires qu'elles promettent. ~objectif de la réalisation de gestion du programme et 3.2.3 Techniques de réalisation des
la rentabilité est d'assurer que les Tl et l'entreprise s'acquittent de leurs les processus SDLC. bénéfices
responsabilités de gestion de la valeur, en particulier : 3.5.2 Description des phases
• Les investissements des entreprises en Tl atteignent la rentabilité promise tradftionnelles du cyde de
et offrent une valeur commerciale mesurable. développement de systèmes
• Les capacités requises (solutions et services) sont fournies : 3.15.2 Étude de faisabilité
-à temps, respectant à la fois les échéanciers et les exigences d'un Comprendre les 3.2.3 Techniques de réalisation de
marc11é sensible au temps, de l'industrie et de la réglementation; techniques de réalisation bénéfices
- à l'intérieur des budgets. de bénéfices.
• Les services des Tl et autres actifs des Tl continuent de contribuer à la
valeur de l'entreprise.

La réalisation des avantages des projets de logiciels et de systèmes est

un compromis entre des facteurs majeurs comme les coûts, la qualité, les
échéanciers de développement et de livraison, la précision et la fiabilité.
Avant de lancer ce type de projets, la haute direction réalise une étude
complète et évalue quels sont les facteurs« qualifîants »ou« gagnants >1.
Ces résultats sont ensuite comparés aux forces, faiblesses et compétences
des services disponibles afin de compléter ou maintenir les systèmes ou
les logiciels à être tournis par le projet. Les organisations doivent employer
des principes de gestion de projet structurés pour appuyer les changements
à leur environnement de systèmes d'information. ~auditeur des SI doit
comprendre comment l'entreprise définit les études de cas, les processus
utilisés durant les études de faisabilité et les décisions en découlant par
rapport au RCI pour l'élaboration des projets connexes. Si une entreprise
est incapable d'atteindre ses objectifs de RCI de façon constante, cela
peut suggérer qu'il y a des faiblesses dans son cycle de développement de
systèmes et dans les pratiques de gestion de projet connexes

Manuel de Préparation CISA 26• édition 157

ISACA. Tous droits réservés.
Section un ; Avant-Propos
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e C.ertified.lnformatioo
Systems Auditor"
;;;~~

C3.2 Connaissance des pratiques d'acquisition des Tl et de gestion des fournisseurs (p. ex., processus
d'évaluation et de sélection, gestion de contrat, gestion des risques ainsi que des relations avec les fournisseurs,
entiercement, octroi de licences de logiciels), y compris des relations avec les ressources d'extemal/satlon des
tierces parties, des fournisseurs des Tl et des prestataires de services.
EXplication j ÇQnceptS Clés l Réfêrençe dans le Manuel2016
Selon les exigences définies pour le système ou les logiciels et les études de Comprendre les 3.4.2 Planification du projet
faisabilité, l'équipe de gestion de projet doit évaluer, pour le développement processus d'évaluation 3.9 Élaboration d'infrastructure et
du système/des logiciels du projet, si l'organisation utilisera des ressources et de sélection pour pratiques d'acquisition
internes de développement, une combinaison de ressources internes l'achat de projets 3.9.4 Acquisition du matériel
complétées par des produits et capacités apportés par le fournisseur ou une de systèmes et de 3.9.5 Acquisition d'un logiciel
ressource totalement externe. Les capacités, services et produits provenant logiciels, la gestion de d'exploitation
de ressources imparties ou du fournisseur doivent être évalués quant au contrat, la gestion du
risque que ces entités externes apportent al'organisation et leur impact sur risque et des relations
les objectifs de réalisation de la rentabilité. avec les fournisseurs,
l'entiercement, les
L'auditeur des SI dort comprendre l'ensemble des services fournis par licences logicielles.
le fournisseur (matériel informatique/logiciels déjà disponibles dans le
commerce, services impartis incluant offres en nuage, services sous gestion,
etc.) et les exigences fonctionnelles auxquelles ces services s'adressent. De
plus, l'auditeur des SI doit comprendre les accords de niveaux de service
en place pour satisfaire les exigences en matière de soutien opérationnel
et technique au système et aux logiciels. D'autres considérations incluent
également la viabilité financière du fournisseur, l'extensibilité des licences et
les provisions pour l'entiercernent des logiciels.

Le recours ades fournisseurs externes peut accélérer un projet et

a
potentiellement réduire les coûts totaux. Toutefois, faire appel des
fournisseurs ajoute des risques, particulièrement lorsqu'il s'agit d'un
fournisseur en source unique. La gestion appropriée des fournisseurs
peut réduire ou prévenir des problèmes causés lorsqu'un fournisseur est
choisi, mais est incapable de terminer la solution requise ou de respecter
l'écl1éancier. La gestion appropriée des fournisseurs peut également assurer
que les contrats correspondent aux besoins d'affaires et n'exposent pas
a
l'entreprise des risques inutiles. Comprendre 3.9.4 Acquisition du matériel
l'information principale 3.9.5 Acquisition d'un logiciel
Les processus de gestion des contrats peuvent inclure de nombreuses qui doit être incluse d'exploitation
activités (cycle de vie complet du contrat) et impliquer diverses unités dans un contrat avec un
organisationnelles (service des utilisateurs, développement des Tl, finances, fournisseur.
juridique). Les normes, cadres et certifications jouent un rôle important
puisqu'il s'agit de façons rentables d'évaluer et de communiquer la
confiance ainsi que d'épargner efforts, temps et paperasse. Le processus
d'ensemble peut comprendre l'élaboration des spécifications; la sollicitation
de contrats; l'évaluation et la sélection des fournisseurs; la rédaction,
négociation et exécution du contrat; les autorisations de modifications;
la surveillance et la notation continues du fournisseur; et la fermeture du
contrat.

Bien qu'ils ne soient ni des auditeurs juridiques, ni des spécialistes des

contrats, les auditeurs des SI doivent comprendre l'importance des
spécifications d'exigences qui constituent la demande de proposition (OP).
t:audrteur des SI doit comprendre la nécessité de préciser les contrôles de
sécurité et les autres contrôles requis, les éléments critiques de la sélection
assurant le choix d'un fournisseur fiable et professionnel, de même que le
contenu essentiel du contrat, en particulier le besoin lorsqu'approprié, de
mettre en place un contrat d'entiercement. Le droit d'audit doit également
être abordé dans le contrat.

158 Manuel de Préparation CISA 26' édition

ISACA. Tous droits réservés.
e . Certifled. Information
M Systems Auditor'
;::;~-
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section un : Avant-Propos

C3.3 Connaissance des mécanismes de gouvernance de projet (p. ex., comité directeur, conseil de surveillance du
projet, bureau de gestion de projet).
EXplication 1 Côncepl$ clés 1 Référence dans le Manuel201~
Lorsque approprié, les projets doivent avoir des structures de gouvernance, Comprendre la gestion 3.2.1 Gestion de dossier et de programme
des politiques et des procédures; des mécanismes de contrôle spécifiques de dossier du projet 3.2.2 Développement et approbation du
assurent un alignement stratégique et tactique avec les buts et objectifs ainsi que la structure plan de mise en œuvre
propres à l'organisation et la gestion des risques associés. Sans une de supervision et les 3.4.4 Contrôle du projet
surveillance adéquate de la gouvernance. tous les aspects d'un projet processus du projet 3.5.4 Risque associé au développement de
peuvent être compromis. logiciels

~auditeur des SI dort comprendre les concepts de gouvernance en matière

de gestion de programme et comment évaluer l'intégration de l'équipe
interne eVou du comité directeur du programme au sein de l'organisation.
Avec cetle compréhension, l'auditeur des SI peut réaliser des évaluations
proactives des activités supérieures de développement du système/logiciel
au sein de l'organisation, tant au niveau de l'entreprise qu'à celui des
opérations, qui peuvent avoir des impacts significatifs, tant positifs que
négatifs, sur l'organisation.

C3.4 Connaissance des cadres de contrôle, des pratiques et des outils de gestion de projet.
EXpiÎcation 1 Concepl$ clés 1 Référence dans le Manuel201&
Une gestion de projet efficace nécessite entre autres un appui de la haute Comprendre les outils, 3.3 Structure de gestion de projet
direction ainsi qu'un gestionnaire de projet compétent Sans l'application pratiques et cadres de 3.3.1 Aspects généraux
des pratiques, des outils et des cadres de contrôle de gestion de projet, contrôle de la gestion de 3.3.3 Formes d'organisation de projet
il est pratiquement impossible de gérer tous les paramètres propres à un projet 3.3.5 Objectifs du projet
projet d'envergure. Les projets doivent être gérés en fonction de facteurs 3.3.6 Rôles et responsabilités des groupes
techniques comme les produits livrables, la qualité,les coûts et les et des personnes
échéanciers; de facteurs comportementaux comme la dynamique d'équipe, 3.4 Pratiques de gestion des projets
la résolution de conflits, les enjeux de leadership, les différences culturelles 3.4.1 Lancement d'un projet
et !a communication; et enfin, de facteurs environnementaux comme les 3.4.2 Planification du projet
questions de politique et de pouvoir au sein de l'organisation qui parraine, la 3.4.3 Exécution du projet
gestion des attentes des parties prenantes et les enjeux éthiques et sociaux 3.4.4 Contrôle du projet
susceptibles d'entourer le projet Bien que l'examen CISA ne contrôle la 3.4.5 Fermeture du projet
connaissance d'aucune méthodologie en particulier, l'auditeur des SI doit
Comprendre le cycle 3.5.2 Description des phases
comprendre la nécessité d'avoir un cadre de gestion du développement de développement de traditionnelles du cycle de
établi au sein de l'organisation, les éléments composant une méthodologie systèmes (SDLC) en développement de systèmes
typique et les contenus et produrts livrables de chaque phase pour évaluer le relation avec la gestion Méthodes d'élaboration
3.8
degré de participation d'audit nécessaire. de projet 3.8.1 Utilisation des techniques d'analyse
structurée, de conception et de
développement
3.9 Élaboration d'infrastructure et
pratiques d'acquisition
3.12 Pratiques d'amélioration des
processus
3.12.1 Reconfiguration des processus
et projets de modification des
processus
3.12.2 Norme ISO 25010:2011
3.12.3 Intégration du modèle de stabilisation
des capacités
3.12.4 Série ISO/IEC 330xx

Manuel de Préparation CISA 26• édition 159

ISACA. Tous droits réservés.
Section un : Avant~Propos
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e Certilied lnformatkm
Systems Audltor'
--+----
~·"'t.Jr'"'·'"''""'

C3.5 Connaissance des pratiques de gestion des risques appliquées aux projets.
EXplication 1 COncepts clés 1 Référence dans Je Manuel 2016

Le risque se définit comme une condition ou un événement négatif possible Comprendre les 3.4.4 Contrôle du projet
qui perturberait des aspects du projet. Il y a deux principales catégories de concepts et processus 3.7 Systèmes d'applications d'affaires
risques de projet: ceux qui ont un impact sur sa rentabilité pour l'entreprise clés utilisés afin 3.15.1 Gestion de projet
(et qui remettent donc en question l'existence même du projet) et ceux d'atténuer les risques
qui ont un impact sur le projet en soi. Le parrain du projet est responsable quant à la gestion de
d'atténuer les risques de la première catégorie, et le gestionnaire de projet programme et de projet.
est responsable d'atténuer ceux de la seconde.

L'auditeur des SI doit comprendre de quelle façon les processus de gestion

du risque sont intégrés dans tous les processus de gestion de programme
ainsi que dans les activités de développement de systèmes et de logiciels.

C3.6 Connaissance de l'analyse des exigences et des pratiques de gestion (p. ex., vérification des exigences,
traçabllité, analyse de l'écart, gestion des vulnérabilités, exigences de sécurité).
§î!licalion 1 COncepts clés 1 Référence dans le Manuel2016
Cerner les exigences est une des activités les plus critiques et les plus Comprendre l'analyse 3.5 Élaboration d'applications de gestion
difficiles du cycle de développement. Elle est critique puisqu'il s'agit d'une des exigences pendant 3.5.1 Approclle traditionnelle du cycle
phase initiale qui constitue la base pour toutes les autres activités. Elle est les phases SDLC. d'élaboration de systèmes
difficile parce qu'elle nécessite des décisions subjectives et une grande 3.5.2 Description des phases traditionnelles
interaction entre des unités, fonctions et individus (principalement entre des du cycle de développement de
utilisateurs et des développeurs) dont les tâches, compétences et intérêts systèmes
sont très différents. Certains outils et techniques (entrevues, analyses de 3.5.3 Systèmes de gestion intégrée des
protocole, etc.) facilitent la définition des exigences. Les exigences doivent ressources
être prudentes, réalisables, rentables et harmonisées avec les stratégies, Comprendre l'utilisation 3.5 Élaboration d'applicabons de gestion
plans et politiques de l'entreprise. Les exigences doivent être dûment
du modèle Vpour réduire
documentées et approuvées formellement pour faciliter la compréhension
les risques de ne pas
des développeurs, puis fixées dans des documents de référence afin d'éviter satisfaire les exigences.
la dérive des objectifs.
Comprendre 3.3.6 Rôles et responsabilités des groupes
Il incombe à l'auditeur des SI de comprendre le cycle de développement de le rôle du promoteur du et des personnes
programme et de projet ainsi que les exigences uniques de développement projet dans
de système et de logiciels. Cette compréhension inclut les processus l'élaboration de critères
d'identification des besoins fonctionnels, opérationnels et de sécurité clés, de succès.
et ce, grâce à l'implantation de contrôles de gestion pour l'entretien, la
vérification, la traçabilité, l'analyse de l'écart et la gestion des vulnérabilités Comprendre 3.3.5 Objectifs du projet
par rapport aux exigences de référence. les raisons d'utiliser une
structure de répartition
de l'objet.

C3.7 Connaissance de l'architecture d'entreprise en matière de données, d'applications et de technologie (p. ex.,
applications réparties, applications Web, services Web, applications à n-niveaux).
EXplication 1 COncepts Clés 1 lléféœnce dans le Manuel2016
L'architecture d'entreprise est une description systématisée de la structure Comprendre les 3.6 Environnements de virtualisation et
d'une organisation, y compris ses processus administratifs, systèmes composants d'une d'informatique en nuage
d'information, ressources humaines et unités organisationnelles. architecture d'entreprise. 3.7 Systèmes d'application d'affaires
3.7.1 Commerce électronique
Il existe divers modèles d'architecture d'entreprise; la connaissance 3.7.16 Systèmes de contrôle industriels
d'un modèle précis n'est pas essentielle pour /'auditeur des SI et cette 3.9 Élaboration d'infrastructure et
connaissance ne sera pas contrôlée à l'examen CISA. Les architectures pratiques d'acquisition
d'entreprise sont appuyées ou servies par les architectures des Tl (p. ex.,
n-tiers, client-serveur, Web et à composants répartis). L'auditeur des SI doit
comprendre le rôle de ces composants et comprendre comment les objectifs
de contrôle sont atteints relativement à tous les composants pour déterminer
si les contrôles suffisent à atténuer le risque.

160 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section un : Avant-Propos

C3.8 Connaissance des méthodologies et des outils de développement ainsi que de leurs forces et de leurs
faiblesses (p. ex., pratiques de développement agile, prototypage, développement rapide d'applications [DRA],
techniques de conception orientées objet, pratiques de codage sécur/talre, contrôle des versions du système).
EXplication 1 COnceptS cléS 1 Rêfér~nce dans le Manuel2016
Confrontés à l'augmentation de la complexité des systèmes et au besoin de Comprendre les 3.8 Méthodes d'élaboration
mettre en place des systèmes plus rapidement pour réaliser les avantages différents types de
avant que l'entreprise ne change, les spécialistes en développement méthodologies et outils
de logiciels et de systèmes ont adopté de nouvelles façons d'organiser pour le développement
les projets de logiciels et de systèmes qui varient ou, dans certains cas, de systèmeflogiciels.
s'écartent complètement du modèle en cascade classique. De plus, il y Quel est l'impact de
a eu une évolution constante dans la sélection de la meilleure manière l'adoption de ces
d'analyser, de concevoir et de créer des systèmes logiciels ainsi que dans
méthodologies et outils
tes technologies d'information disponibles pour réaliser ces activités. de développement de
système/logiciels sur
La compréhension de l'auditeur des SI de ces différentes méthodologies les programmes et les
lui permet de mieux évaluer l'existence et l'efficacité des contrôles de projets respectifs.
développement de système cruciaux, d'analyser la variété de méthodologies
et de voir si les processus vont répondre adéquatement aux exigences
du projet (temps, budget, ressources). l:examen CISA ne contrôlera pas
la connaissance détaillée d'une méthodologie ou d'un cadre de gestion
de projet précis ni d'un outil en particulier, mais une compréhension des
mérites relatifs des outils généralement reconnus et du risque associé à ces
derniers est attendue.

C3.9 Connaissance des objectifs et des techniques de contrôle qui garantissent l'exhaustivité, la justesse, la
validité et l'autorisation des transactions et des données.
EXplication 1 ConceptS clés 1 Référence dans le Manuel2016
De mauvais contrôles relatifs à l'entrée, au traitement, au stockage ou à la Comprendre les 3.7 Systèmes d'application d'affaires
sortie des données peuvent accroître le risque de perte pour l'entreprise. contrôles d'autorisation 3.13. t Contrôles de saisie
l:auditeur des SI do~ connaître les besoins en matière de contrôles assurant et d'édition, de 3.13.2 Procédures et contrôles du
l'autorisation, l'exactitude et l'exhaustivité des données entrées, traitées traitement et de sortie. traitement
et produites dans les applications informatiques. l:auditeur des SI doit 3.13.3 Contrôles des données de sortie
également savoir quels types de techniques de contrôle sont disponibles à
chaque niveau et quelles preuves de leur présence sont tirées des rapports,
journaux et pistes d'audit.

C3.10 Connaissance des méthodologies et des pratiques de tests reliées au cycle de développement de systèmes
d'Information (SDLC).
EXplication
1 Conce~cfés

Comprendre les types

l lléférence dans Je Manuel2016
Inhérents au succès du projet de développement de système et de logiciels 3.14.6 Vérification des systèmes
sont le choix approprié de méthodologies de test, l'élaboration de plans de tests du processus d'application
de test entièrement arrimés aux exigences et l'acquisition de ressources de développement de
essentielles pour réaliser les tests avec succès. systèmes.

Une fois complétés, les tests apportent aux parties prenantes la certitude Comprendre les objectifs 3.3.6 Rôles et responsabilités des groupes
que le système ou la portion de système fonctionne comme prévu et fournit d'un programme et des personnes
la réalisation de la rentabilité exigée au début du projet. d'assurance qualité dans 3.5.2 Description des phases
le contexte du cycle traditionnelles du cycle de
l:auditeur des SI doit également connaître d'autres formes de tests de développement de développement de systèmes
comme les tests unitaires, d'intégration, de sociabilité (ou cohabitation) systèmes.
et de régression. De plus, l'auditeur des SI doit comprendre le rôle de la
surveillance et de l'évaluation de l'assurance de la qualité (AQ) dans la Comprendre les tests 3.14.4 Test de l'intégrité des données
qualité des processus internes d'une entreprise (p. ex., gestion de projet, d'assurance qualité.
processus de développement logiciel ou services Tl) et de la qualité des
produits finis résultant de ces processus (p. ex., le système implanté ou le
logiciel développé).

Manuel de Préparation CISA 26• édition 161

ISACA. Tous droits râservés.
Section un :Avant-Propos
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e Certilied lnformatkm
Systems Auditor•
-'---1---~

''"""'"'""'"''..'

C3.l1 Connaissance de la gestion des configurations et des changements relative à la conception des systèmes
d'Information.
EXplication j Concep!S clés l Référence dans le Manuel2016
La conception et la maintenance efficaces et efficiente de systèmes de Comprendre les 3.1 0 Pratiques en matière de maintenance
Tl complexes nécessitent que des processus rigoureux de gestion des processus de gestion des systèmes d'information
configurations, des changements et des versions soient implantés et des configurations, des 3.1 0.1 Aperçu du processus de gestion des
respectés au sein de l'organisation. Ces processus fournissent un contrôle changements et des modifications
systématique, cohérent et non équivoque sur les caractéristiques des versions, ainsi que les 3.1 0.2 Gestion de la configuration
composantes Tl incluses dans le système (matériel infonmatique, logiciels, façons d'évaluer ces
micrologiciels et connectivité réseau, incluant les câbles physiques de processus.
connexions médias, les fibres, les radiofréquences [RF]). La connaissance
du statut de configuration actuel des environnements informatiques est
essentielle a la fiabilité du système, sa disponibilité et sa sécurité ainsi
qu'a la réalisation en temps opportun de l'entretien de ces systèmes. Les
modifications aux systèmes des Tl doivent être soigneusement évaluées,
planifiées, testées, approuvées, documentées et communiquées pour
minimiser les conséquences indésirables sur les processus administratifs.

~auditeur des SI doit connaître les outils a sa disposition pour la gestion des
configurations, des changements et des versions, ainsi que les contrôles
en place pour assurer la séparation des tâches entre les équipes de
développement et d'exploitation.

C3.12 Connaissance des pratiques de migration de système, de déploiement d'infrastructure ainsi que les outils,
techniques et procédures de conversion de données.
.
Explication 1 COncepts Clés 1 Référence dans le Manue12016
Les applications et logiciels nouveaux sont généralement plus complets Comprendre les critères 3.5.2 Description des phases
et intégrés que les anciens. De plus, les organisations se fient de plus de réussite d'une traditiOnnelles du cycle de
en plus aux entrepôts, modèles et simulations de données pour prendre conversion des données développement de systèmes
des décisions, et par conséquent, l'importation de données des anciens pendant la migration du
systèmes (et systèmes patrimoniaux) dans la nouvelle application est système.
donc cruciale. Le format, la codification, la structure et l'intégrrré des
données doivent être préservés ou traduits adéquatement. Il faut préparer
un scénario de migration et réaliser le plan de retour en arrière. Il existe
plusieurs stratégies et outils directs (de l'ancienne application à la nouvelle)
et indirects (utilisation de stockage temporaire) pour effectuer la conversion
de données. La conversion de données est une tâche complexe et a Comprendre le génie 3.11.2 Génie logiciel assisté par ordinateur
exécution unique pour la plupart des projets de développement. ~exactitude logiciel assisté par
des résultats est d'une importance critique et le succès final dépend de ordinateur et comment
l'utilisation des bonnes pratiques par l'équipe de développement, puisque les l'utiliser pour la
validations des intrants programmés en cours de développement ne seront conversion des données.
pas utilisées pour la conversion. Les données sources doivent être qualifiées
correctement et la base de données de destination doit permettre d'accueillir Comprendre les 3.12 Pratiques d'amélioration des
toutes les valeurs de données existantes. Les données résultantes doivent pratiques d'amélioration processus
être vérifiées avec grand soin. Les étapes de conversion élaborées dans des pro cessus. 3.12.1 Reconfiguration des processus
l'environnement de test doivent être consignées afin qu'on puisse les répéter et projets de modification des
dans le système de production. ~auditeur des SI doit s'assurer que les outils processus
et techniques sélectionnés pour ce processus sont adéquats et appropriés, 3.12.2 Norme ISO 25010:2011
que la conversion des données s'effectue sans perte ni corruption et que 3.12.3 Intégration du modèle de
toute perte est à la fois minime et formellement acceptée par la direction de stabilisation des capacités
l'utilisateur. 3.12.4 Série ISO~EC 330xx

162 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e '" . lfJOO lnformalion
Systems Auditor'
;.-,~-
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section un : Avant~Propos

C3.13 Connaissance des critères de réussite des projets et du risque.

EXplication , ConceP!$ clés Référence dans le Manuel2016
Dès le départ, les chefs de programme et de projet doivent déceler et Comprendre les 3.2.3 Techniques de réalisation de la
documenter les critères qui indiquent clairement que les exigences des méthodes pour rentabilité
parties prenantes ont été satisfaites, allant de la forme, l'adaptabilité, développer, contrôler, 3.4 Pratiques de gestion de projet
le rôle, l'échéancier, le budget, l'interopérabilité. Parmi les activités de mesurer et atteindre 3.4.2 Planification du projet
planification et de gestion globale de programme et de projet, les risques les critères de succès 3.4.5 Fermeture du projet
liés aux critères de succès définis sont également décelés, analysés critiques de programme 3.15.8 Examen après implantation
et évalués pour permettre aux chefs de projet de prendre les actions et de projet.
préventives et correctrices lorsque requis.

L'auditeur des SI doit comprendre les critères de succès spécifiques

pour les programmes de système/logiciels et les projets respectifs,
et comment la direction évalue les progrès dans le but de satisfaire
ces critères et traiter les déficiences qui comportent un risque pour le
programme et les projets respectifs.

C3.14 Connaissance des objectifs et des pratiques de revue postlmplantatlon (p. ex., fermeture de projet,
Implantation des contrôles, réalisation de la rentabilité, évaluation de la performance).
EXplication 1 concepts clés 1 Référence dans le Manue12016
Les projets doivent être fermés formellement pour fournir de l'information Comprendre les 3.2.3 Techniques de réalisation de
complète sur les résultats du projet, améliorer la planification des projets et méthodes et les bénéfices
permettre la libération ordonnée des ressources de projet. Le processus de avantages des revues 3.4.5 Fermeture du projet
fermeture doit déterminer si les objectifs de projet ont été atteints ou écartés et post implantation. 3.5.2 Description des phases du cycle
identifier les leçons apprises pour éviter la répétition des erreurs et encourager de développement de systèmes
les bonnes pratiques. Contrairement à la fermeture de projet, la revue s'effectue traditionnels
généralement plusieurs semaines ou mois après l'achèvement du projet, 3.15.8 Examen après implantation
lorsque les bénéfices majeurs ou lacunes de la solution implantée se seront
manifestés. La revue fait partie du processus de réalisation de bénéfices et
comprend une estimation du succès d'ensemble du projet et de son impact sur
l'entreprise.

RESSOURCES SUGGÉRÉES POUR APPROFONDIR !.:ÉTUDE

Bonham, Stephen S.; fT Project Por(folio Management, J\11ech
House lnc., t-U., 2005
Maizlish, Bryan; Robert Handlcr: fT Portfolio Management Step-
by-Step: UnLocking the Business Value (d7èchnology,
John Wiley & Sons, 1°.-U., 2005
Natan, Ron Ben; lmplementing Database Security and Auditing,
Elsevier Digital Press, li.-U., 2005
Projcct Management lnstitutc (PMI), iVWlqm1i.org
Project Management lnstitute (PMI), A Guide to the Prqject
Management Bo<~V (~/Knmvledge (PM BOA~ Guide), Y• Ecbtion,
É.-U., 2013
\Vysocld, Robett K.; ElfèctiPe Project Management:
Traditional, Agile, E'<treme, 6'11 Etlition, Wile;y Publishing lnc.,
~:.-u., 2011

Remarque: Les publications en gras se trom'ent dans la bibliothèque de 1'/SACA.

Manuel de Préparation CISA 26• édition 163
ISACA. Tous droits réservés.
Section un : Avant~Propos
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e Certifled llllormation
Systems Audilor·
,,..,;.<"tM"'<>-!"1

QUESTIONS D'AUTOÉVALUATION 3~3 En effectuant un examen de la réîngénierie du processus

Les questions d'autoévaluation C!SA appuient le contenu du
présent manuel et fournissent une compréhension du style ct de
la structure des questions que l'on retrouve habituellement dans
l'examen. Les questions sont à choix multiple et conçues pour
obtenir une réponse optimale. Chaque question a une prémisse
(la question) et quatre options (les choix de réponse). La prémisse
peut prendre la forme d'une question ou d'un énoncé incomplet.
Dans certains cas, un scénario ou une description de problème
pourraient être inclus. Ces questions comprennent habituellement
une mise en situation et exigent du candidat qu'il réponde à
deux questions ou plus en fonction de l'information fournie.
Souvent, une question exigem du candidat qu'il choisisse la
MEILLElJfŒ réponse ou la réponse la l'LOS probable parmi
les options proposées.
Dans chaque cas, le candidat doit lire la question attentivement,
éliminer les réponses qu'il sait être incorrectes, puis faire le
meilleur choix possible. Connaître le format des questions
ct savoir ce qui sera vérifié aidera le candidat à répondre
correctement aux questions.
opérationnel, l'auditeur des SI découvre qu'un contrôle
préventif clé a été supprimé. Dans cette situation. l'auditeur
des SI doit : .
A. informer la direction de sa découverte et déterminer si
celle-ci est prête à accepter Je risque matériel potentiel
engendré par cette suppression.
B. dCterminer si un contrôle de détection a remplacé le
contrôle préventif pendant le processus, et si ce n'est
pa.<> le cas, signaler la suppression du contrôle préventif.
C' recommander que ccrte procédure et toutes les
procédures de contrôle qui existaient avant que le
processus soit remodelé fassent partie du nouveau
processus.
D. développer une approche d'audit continu pour
surveiller les eftèts de la suppression du contrôle
préventif.
3-4 Quel contrôle de validation des données permet de
détecter de façon efficace les erreurs de transposition et de
transctiption?

3-1 Pour aider à tester un système bancaire principal qu'elle est A. Conlrôle de limites
sur le point d'acheter, une entreprise a f-Ourni au fournisseur B. Chiffre de contrôle
des données sensibles de son système de production C. Contrôle de validité
existant. La préoccupation PRINCII)ALE d'un auditeur des D. Contrôle de duplication
SI serait que !es données soient:
3-5 Laquelle des lacunes suivantes serait considérée comme
A. épurées. la PLUS sé1ieuse pour un logiciel de planification des
B. complètes. ressources d'entreprise (ERP) utilisé par une banque?
C. représentatives.
D. actuelles. A. Les contrôles d'accès n'ont pas été passés en revue.
B. La documentation disponible est limitée.
3-2 Lequel des éléments suivants constitue l'objectif C. Des bandes de sauvegarde vieilles de deux ans n'on!
PRINCIPAL d'un tes! en parallèle" · pas été remplacées.
D. Une copie de secours de la b<Jse de données est
A. Déterminer si les systèmes sont rentables. effectuée une tbîs par jour.
B. Permet1re des tests unitaires ct des tests de système
complets. J-6 Lorsqu'il vérifie la phase relative aux exigences de
C. Mettre en évidence les erreurs dans les interfaces de l'acquisition d'un logiciel, l'audit.eurdes SI doit:
programme avec fichiers.
D. S'assurer que le nouveau système répond aux exigences A. évaluer la faisabilité de l'échéancier du projet.
des utilisateurs. B. évaluer les processus de qualité proposés par le
fOurnisseur.
C. s'assurer de l'acquisition du meilleur progiciel.
D. réviser l'exhaustivité des spécifications.

3-7 Une entreprise décide d'acqué1ir un progiciel au lieu de le

concevoir. Dans une telle sltuation, les phases de conception
et de développement classiques des systèmes seraient
remplacées par :

A. les phases de sélection et de configuration_

B. les phases de faisabilité et d'exigences.
c. les phases d'implantation et de test.
D. rien; aucun remplacement n'est nécessaire.

164 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d~lnformation
3-8 Les spécifications de l'utilisateur définies pour un
projet réalisé par la méthode traditionnelle du cycle de
développement des systèmes n'ont pas été respectées.
Laquelle de ces phases doit examiner l'auditeur des SI pour
découvrir ce qui a engendré cette situation?
A. Assurance-qualité
B. Exigences
C Dévc loppcment
O. Formation de l'utilisateur
3-9 Lors de l'introduction d'une architecture client léger,
lequel des types de risques suivants, en ce qui concerne les
serveurs, est augmenté de façon significative?
A. Cintéglité
B. La concurrence
C. l. .a confidentialité
O. La disponibilité
3-10 Laquelle des procédures suivantes doit être implantée pour
aider à nssurer l'exhaustivité des transactions entrantes par
l'échange de documents ini<mnatisés (EDI)?
A Totaux de contrôle incorporés dans l'enregistrement
complémentaire de chaque segment
B. Un journal du nombre de messages reçus, vérifié
péliodiquement avec l'expéditeur de la transaction
C. Une piste d'audit électronique pour la responsabilité et
la poursuite
D. ~:tablir une correspondance entre les accusés de
réception des transactions reçues au journal des
messages d' EDI envoyés
RÉPONSES AUX QUESTIONS
D'AUTO ÉVALUATION
3-1 A. Les données de test doivent être épurées pour
empêcher que les données confidentielles se
retrouvent dans les mains de personnes non
autorisées.
B. Bien qu'il soit important que l'ensemble des
données soit complet, la première préoccupation
est que les données de test doivent être épurées
pour empêcher que les données confidentielles
se retrouvent dans les mains de personnes non
autorisées.
C. Bien quïl soit important d'inclure une
représentation des données transactionnelles, la
première préoccupation est que les données de
test doivent être épurées pour empêcher que les
données confidentielles sc retrouvent dans les
mains de personnes non autorisées.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section un : Avant-Propos
D. Bien qu'il soit important que l'ensemble des
données représente les données actuelles ét..tnt
trnitées, la première préoccupation est que
les données de test doivent être épurées pour
empêcher que les données confidentielles se
retrouvent dans les rnains de personnes non
autorisées.
.1-2 A. Le test en parallèle peut montrer que l'ancien
système est plus économique que le nouveau
système, mais ce n'est pas la raison principale.
B. Les tests unitaires et les tests de système sont
réalisés avant le test en parallèle.
C. Les interfaces de programme avec fichiers sont
testées lors du lest de système.
D. L'objectif du test en parallèle est de s'assurer
que la mise en œuvre d'un nouveau s~'stèmc
répondra aux exigences des utilisateurs.
3-3 A. Les gestionnaires doivent être informés
immédiatement pour déter·miner s'ils
souhaitent accepter· le risque matériel
potentiel de ne pas avoir de mesure de
contrôle préventive en place.
B. !;existence d'une mesure de contrôle de détection
remplaçant une mesure de contrôle de prévention
augmente habituellement le risque qu'un
problème matériel puisse sm·venir.
C. Souvent, au cours d'une réingénie1ie des
processus de l'entreprise (BPR), plusieurs
mesures de contrôle sans valeur ajoutée seront
éliminées. Il s'agit d'une bonne chose, sauf si le
risque financier ct d'entreprise augmente.
D. L'auditeur des SI pourrait souhaiter assurer un
suivi du nouveau processus ou recommander que
les gestionnaires en assurent le suivi, mais cela
doit être fait seulement après que ces derniers
aient été informés et qu'ils aient accepté le risque
de ne pas avoir de mesure de contrôle préventive
en place.
3-4 A. Un contrôle de limites permet de vérifier .si les
données correspondent à une plage de valeurs
prédéterminée.
Il. Un chiffre de contrôle est une valeur
numérique calculée mathématiquement qui
se joint' aux données afin de s'assurer que les
données originales n'ont pas été modifiées
(p. ex., une valeur incorrecte, mais valable,
est substituée à la valeur originale). Ce
contrôle permet de dét-ecter efficacement les
erreurs de transposition et de transcription.
c. Un contrôle de validité est un audit programmé
de la validité des données conformément à des
critères prédéterminés.
D. Dans un contrôle de duplication, les
opérations nouvelles ou récentes sont mises
en correspondance avec celles précédemment
réalisées afin de s'assurer qu'elles ne sont pas
déjà dans le système.
165
Section un :Avant-Propos
Chapitre 3 - Acquisition, Développement et Implantation
3-5 A. Ne pas passer en revue les contrôles d'accès
dans une organisation linancièrc pourrait
avoir des conséquences graves.
B. Le manque de documentation n'est pas :.mssi
grave qu'omettre de passer en revue les contrôles
d'accès.
c Il n'est peut-être même pas possible de récupérer
les données vieilles de deux ans.
D. JI peut être acceptable pour 1'entreprise de
n'enregistrer qu'une copie de sauvegarde par jour,
tout dépendant du volume de transactions.
3-6 A. Un calendrier de prqjet ne se trouve
habituellement pas dans un document présentant
les exigences.
B. L'évaluation des processus de qualité du
foumisseur viendrait après la conformité avec les
exigences.
c. La décision d'acheter un ensemble d'un
tOurnisseur vient une fois les exigences
complétées,
D. L'objectif de l'étape des exigences est de
spécifier la fOnctionnalité du système proposé;
pour cette raison, l'auditeur des SI doH- se
concentrer sur l'intégralité des spécifications.
3-7 A. L'achat d'ensembles devenant de plus en
plus chose commune, la conception ct la mise
en œuvre du cycle de vie traditionnel sont
devenue-S remplaçables par les phases de
sélection et de configuration. Une demande
de soumission pour le fournisseur des
ensembles de systèmes est émise ct évaluée
selon les critères prédéfinis de sélection.
avant qu'une décision soit prise concernant
l'achat du logiciel. Celui-ci est par· la suite
configuré pour répondre aux exigences de
l'organisation.
B. Les autres étapes du cycle de développement
de systèmes d'information, par exemple l'étude
de faisabilité, la définition des exigences,
l'ïmplantation et la post-implantation, demeurent
inchangées.
c. Les autres étapes, par exemple l'étude de
faisabilité, la définition des exigences,
l'implantation et la post-implantation, demeurent
inchangées.
D. Dans ce scénario, la conception et la mise en
œuvre du cycle de vie traditionnel sont devenues
remplaçables par les phases de sélection ct de
configuration.
3-8 A. L'assurance de la qualité met l'accent sur
les a.spects formels du développement de
logiciels, tels que la confOrmité aux normes
de programmation ou à une méthodologie de
développement spécifique.
166
des Systèmes d'Information
e .
'. H.
ertif!ed Informai.;,.,
Systems Auditor'
"''""""''""'"''"'
B. Échouer par rapport aux s.pécificntions de
l'utilisateur implique que l'ingénierie des
exigences a été effectuée pour déc1ire les
demandes des ulilisateurs. Dans le cas contraire,
il n'y aurait pas de base de référence de
spécifications à comparer.
c. De toute évidence, la gestion de projet a
échoué relativeni(~Ot à la contiguration
ou la vérification des mesures de contrôle
pour les logiciels ou les modules logiciels
en développement qui se conforment
aux spécifications mentionnées par les
utilisateurs. Les questions de fonctionnalité
en termes de facilité d'utilisation sont hors de
portée et font, dans ce cas, partie de la phase
de développement.
D. En fonction de l'approche sélectionnée
(cascade traditionnelle, développement rapide
d'applications, etc.), ces écm1s peuvent survenir
pendant la formation de l'utilisateur ou les
tests d'acceptation, peu importe lequel survient
d'abord.
3-9 A. Parce que les autres éléments n'ont pas besoin
d'être modifiés, le risque d'intégrité n'augmente
pas.
B. Parce que les autres éléments n'ont pas besoin
d'être modifiés, le risque de concurrence
n'augmente pas.
C. Parce que les autres éléments n'ont pas besoin
d'être modifiés, le risque de confidentialité
n'augmente pas.
D. Le principal changement lors de l'utilisation
d'une architecture client est de rendre
les serveurs essentiels pour l'opération;
par conséquent, la probabilité que l'un
d'eux cesse de fonctionner augmente ct,
par conséquent, le risque de disponibilité
augmente également.
3-10 A. Les totaux de contrôle élaborés dans
l'enregistrement complémentaire de chaque
segment sont la seule option qui assurera que
toutes les transactions individuelles envoyées
sont reçues en entier.
B. Un journal du nombre de messages reçus
fournit des preuves, mais ses résultats sont soit
incomplets, soit inopportuns.
C. Une piste d'audit électronique fournit des
preuves, mt~is ses résultats sont soit incomplets,
soit inopportuns.
D. Établir une correspondance entre les accusés de
réception des transactions reçues aujoumal des
messages d'ëchanges de données infOrmatisées
(EDI) envoyés foumit des preuves. mais ses
résultats sont soit incomplets, soit inopportuns.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e certlfioo klformation
~ystemsAudilor
"''"""""'''""""
Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
3.1 RÉSUMÉ
Résumé
Le chapitre 3 aborde la nécessité de gérer le cycle de vie des systèmes
et des infrastructures. Pour qu'un auditeur des SI puisse confirmer
que les pratiques de gestion des systèmes et des infrastructures
d'une entreprise sont à la hauteur de ses objectifs, il est important
qu'il comprenne la méthode employée par cette dernière pour évaluer,
concevoir, mettre en œuvre, maintenir ses systèmes de Tl et composants
connexes et en disposer.
Les candidats au titre CISA doivent avoir une solide compréhension des
éléments qui suivent, non seulement dans le cadre du présent chapitre,
mais aussi pour pouvoir traiter adéquatement les questions dans les
domaines connexes. Il est important de se rappeler qu'une connaissance
de la définition de ces concepts ne suffit pas. Le candidat CISA doit aussi
être apte à déterminer quels éléments peuvent représenter le plus grand
risque et quels sont les contrôles les plus efficaces pour atténuer ce
risque. Voici des exemples de sujets clés traités dans ce chapitre:
• Les pratiques de gestion de la réalisation des bénéfices sont un
processus grâce auquel une organisation évalue les solutions
technologiques relativement aux problèmes d'entreprise. Une étude de
faisabilité définit le problème et les solutions possibles et propose une
recommandation. Habituellement, une analyse de rentabilisation dérive
d'une étude de faisabilité et comprend l'information nécessaire au
processus de prise de décision à savoir si un projet doit être entrepris
ou non; dans l'affirmative, elle devient le fondement d'un projet.
• Un dossier de projets se définit comme tous les projets (connexes ou
non) exécutés au sein d'une organisation à un point précis dans le
temps. On peut définir un programme comme un groupe de projets
qui sont étroitement liés par des objectifs communs, un budget
commun, des calendriers entrelacés et des stratégies. Les dossiers,
les programmes et les projets sont contrôlés par un bureau de gestion
de projets, qui gouverne le processus de gestion de projets, mais qui,
habituellement, ne participe pas à la gestion du contenu du projet.
• Un projet peut être lancé à partir de n'importe quelle partie de
l'organisation, y compris à partir du service des Tl. Un projet est limité
dans le temps, comprend des dates de début et de fin précises de
même qu'un objectif et des éléments livrables précis. Tout au long
du cycle de vie du projet, l'analyse des bénéfices doit être révisée à
des moments décisifs prédéfinis. Les processus de gestion de projet,
notamment le lancement, la planification, l'exécution, le contrôle et la
fermeture du projet, sont des pratiques de gestion qui définissent la
manière selon laquelle l'organisation fonctionne pour mettre les projets
en œuvre.
• À l'aide de structures d'objet et de définition du travail, les activités
du projet sont définies et mises à l'échelle en se servant de plusieurs
techniques, comme l'évaluation des lignes de code pour effectuer une
analyse par point des fonctions et des caractéristiques. Le gestionnaire
de projet détermine alors l'horaire optimal sur la base de la méthode
du chemin critique. Le calendrier peut prendre plusieurs formes,
comme le diagramme de Gant! ou les graphiques PERT.
• Un projet doit tenir compte de sa durée, de ses coûts et de ses
éléments livrables (qualité). Ces éléments sont gérés tout au long des
étapes de contrôle et d'exécution du projet. À la fermeture du projet,
une analyse postprojet doit être effectuée pour évaluer les leçons
apprises au sujet du processus de gestion de projet.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
Résumé (suitiJ} •
• Les pratiques en matière de gestion de processus de Tl particuliers
servent à gérer et à contrôler les ressources et les activités de Tl.
Les processus de Tl composent un cycle de vie de développement
de système appelé SDLC. Un projet peut respecter divers formats
de SDLC, comme le modèle classique en chute d'eau, la méthode
itérative, les modèles de développement par vérification et validation
agiles ou d'autres méthodes de développement, de mise à l'essai et de
mise en œuvre.
• Les étapes principales du SDLC comprennent la planification de
version, la définition, le développement, la validation et le déploiement.
Tout au long de ces étapes, on procédera à l'étude de faisabilité, à
la définition des exigences, à la conception, au développement, à la
mise à l'essai, à la formation, à la mise en œuvre, à la certification et
à l'analyse postprojet. Les phases de chaque projet varient selon que
l'on a choisi de concevoir ou d'acquérir une solution.
• Les processus de développement peuvent varier selon l'utilisation des
outils de développement de systèmes et des aides à la productivité
comme les générateurs de codes, les applications de génie logiciel
assisté par ordinateur GLAO (appelés aussi outils CASE- Computer
Aided Software Engineering, ou AGL, pour Atelier de Génie Logiciel),
des services collaboratifs de messagerie et d'échange de code ainsi
que les langages de quatrième génération (L4G) et les utilitaires
connexes.
• Il est essentiel d'identifier les risques associé au projet. Les risques
d'affaires incluent le fait que le nouveau système ne répondra peut-
être pas aux exigences d'affaires des utilisateurs, alors que les risques
du projet ont trait à la possibilité que les activités du projet excèdent
les limites budgétaires ou les échéanciers, ce qui découlent souvent
des exigences ou d'une extension de la portée du projet.
• Dans le cadre de ses processus de Tl, une organisation se sert des
pratiques de gestion pour définir et analyser les besoins en matière
d'infrastructure de Tl. ~analyse de l'architecture physique, la définition
d'une nouvelle architecture et la feuille de route nécessaire pour
passer de l'une à l'autre représentent des tâches essentielles pour un
département des Tl.
• Alors que les systèmes et l'infrastructure d'une organisation évoluent,
les pratiques de gestion sont mises à profit pour gérer ce clmngemenl
(gestion des cllangements, gestion des versions et gestion des
configurations). Les processus de gestion des changements intègrent
la gouvernance, soit la manière selon laquelle le changement est
présenté, attribué, mis à l'essai, documenté et approuvé.
• ~auditeur des SI doit comprendre la méthode de développement,
d'acquisition et de maintenance des systèmes en usage et déterminer
la vulnérabilité possible et les points qui exigent un contrôle. Le rôle
de l'auditeur des SI est de conseiller l'équipe du projet et les cadres
supérieurs au sujet des lacunes et des meilleures pratiques relatives à
chaque processus.
• D'autres impacts clés qui influencent les pratiques de gestion de
l'organisation relativement à ses systèmes et à son architecture
comprennent le commerce électronique, l'intelligence d'affaires
et l'infonuagique, déterminés par des facteurs liés au marché, à
l'industrie ou à la réglementation.
• Des procédures de contrôle des données à l'intérieur des pratiques de
Tl sont évaluées afin de déterminer si elles permettent seulement des
transactions valides, autorisées et uniques. Dans un environnement
d'application intégré, les contrôles sont intégrés dans l'application et
ils sont conçus à même l'application qui soutient les processus. La
garantie de contrôle des processus de gestion implique une évaluation
des contrôles au niveau du processus et des activités. Ces contrôles
peuvent être une combinaison de contrôles programmés et manuels.
167
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
3.2 RÉAliSATION DES BÉNÉFICES
to~jectif de la ré;:tlisation des bénéfices est d'assurer que les Tl
et J'entreprise s'acquittent de leurs responsabilités de gestion de
la valeur, en particulier :
• Les investissements des entreprises en TI atteignent les
bénéfices promis et ofli.-ent une valeur çommcrciale mesurable.
• Les capacités requises (solutions et services) sont livrées :
-~à temps, en ce qui concerne tant le calendrier que les
exigences temporelles du marché, de l'industrie et prévues par
la réglementation;
·-·en respectant le budget
• Les services des Tl et autres acti tS des TI continuent de
contribuer à la valeur de l'entreprise.
Le principe de la réalisation des bénériccs est qu'il existe une
forte préoccupation pour le conseil d'administration ct la haute
direction à l'effet que les dépenses élevées pour les initiatives
!îécs aux Tine réalisent pas les bénéfices d'affaires qu'elles
promettent. Des études et des enquêtes indiquent également des
niveaux élevés de pertes en raison d'initiatives mal conçues et
mal exécutées. Il est désonnais plus répandu de mettre l'accent
sur la valeur, tandis que la stabilisation des capacités des pratiques
de gestion de la valeur est demeurée üüblc dans la plupart des
entreprises.
La réalisation des bénéfices d'un projet est un compromis entTe
des facteurs majeurs comme les coûts, la qualité, les échéanciers
de développement et de livraison, la précision ct la fiabilité. Les
responsables de la stratégie effectuent une étude approfOndie
et évaluent quels facteurs sont« admissibles" ou<~ gagnants~},
puis ils comparent ces facteurs aux forces, aux faiblesses et aux
compétences des services disponibles pour compléter et maintenir
les systèmes. La plupart des grandes organisations emploient
des principes de gestion de projet structurés pour appuyer les
changements à leur environnement de- systèmes d'infOrmation.
Comme point de départ, l'auditeur des SI doit comprendre
comment l'organisation définit la valeur ou le rendement du
capital investi (RCI) pour les projets de développement. Si une
entreprise est incapable d'atteindre ses objectifs de RC[ de façon
constante, cela peu suggérer qu'il y a des faiblesses dans son
cycle de vic de développement de système et dans les pratiques
de gestion de projet connexes.
168
e Certffied lnlormation
Systnms Audilor·
~''"<A'"'~'''""'"'
Exemple 1
Remarque: Cet exemple n'est pas exhaustif, mais il est une
illustration pour expliquer le concept. D'nutres facteurs peuvent
s'appliquer à chaque situation.
Une entreprise prévoit investir dans une application qui
permettrait aux clients de gérer leurs commandes en ligne. Ce qui
suit serait pertinent au calcul de RC! :
A. Coûts
1. Les coüts d'élaboration de l'application.
2. Les coflls de contrôle pour s'assurer de l'intégrité des
données, inactives et en traitement, tout en assurant la non-
répudiation.
B. Avantages
1. Augmentation des profits d'exploitation attribuables aux
pointes d'activité commerciale attendues résultant de la
satisfaction de la clientèle (pourcentage du revenu).
2. Diminution des coûts d'exploitation (en matière de
personnel dédié qui nupnravant interagissait avec les clients
et fàisait les changements).
Le RCl peut être mesuré comme un ratio avantages/coûts lequel
peut ensuite être comparé à la valeur coüts de financement, pour
prendre une décision pour ou contre le projet. Ce cadre RCI peut
ensuite être utilisé comme repère pour évaluer les progrès du
projet et déceler les causes, si le RCJ actuel ne se compare avec le
RCI prévu.
3.2.1 GESTION DU PORTFOLIO/PROGRAMME DE
PROJETS
On peut définir un programme comme étant un groupe de projets
et de tâches assortis d'un calendrier et qui sont étTOitement liés
par des objectifs communs, un budget commun et des calendriers
et stratégies entrelacés. Comme les projets, les programmes ont
un calendrier d'exécution précis (c.-à-d. une date de début et
de fin) ct des limites organisationnelles. Ce qui les différencie,
c'est que les programmes sont plus complexes, qu'ils ont
habituellement une durée de vie plus longue, un plus gros budget,
qu'ils compo1ient des 1isques plus élevés et que leur nature même
fait qu'ils sont d'une plus grande importance stratégique.
Un programme lié aux SI typique peut être, par exemple, la
mise en œuvre d'un système de planification des ressources de
l'organisation (ERP) à grande échelle, comprenant des projets
qui tiennent compte des infrastructures technologiques, des
activités, de la réorganisation, de la réingénierie des processus et
de l'optimisation, la formation et le développement. Les fusions
et acquisitions peuvent servir d'exemple de programmes non
liés aux SI qui ont aussi des répercussions sur J'architecture des
SI, les systèmes, la structure organisationnelle et les processus
d'affaires des organisations vendeuses ou acquéreuses.
L'objectif de la gestion de programme est l'exécution réussie du
programme, y compris, entre autres, la gestion :
• de la portée, des finances (coûts, ressources, liquidités, etc.), des
calendriers et des objectif'> et des livrables du programme;
• du contexte et de l'environnement du progmmme;
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réser-vés.
 Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
• de la communication et de la culture du programme;
• de l'organisation du programme.
Pour faciliter l'autonomie des projets tout en tirant parti des
synergies entre projets d'un programme, la mise en place d'une
organisation dédiée du programme est nécessaire. Les rôles
types au sein du programme sont le responsable de programme,
le directeur de programme ct l'équipe de programme. Le rôle
du responsable de programme doit être distinct de celui du
responsable de projet. Les structures types de communication
ù l'intérieur d'tm programme sont les réunions organisées par
le responsable de programme et les réunions de l'équipe de
programme.
La méthodologie et les processus utilisés dans la gestion de
programme sont très similaires il ceux de la gestion de projet
ct fonctionnent en parallèle les uns par rapport aux autres. Ils
ne doivent toutefois pas être combinés et doivent être traités ct
exécutés séparément.
Le démarrage oificiel d'un programme nécessite une
f01me quelconque de lettre de mission de la part du parrain
(responsable_) du programme au directeur de programme et ;;i
l'équipe de programme. Comme souvent les programmes sont
élaborés suite à des projets, une telle lettre de mission est d'une
imp011ance capitale pour déterminer le contexte et les limites du
programme, ainsi que l'autorité fOrmelle de gestion.
Un dossier de projets sc définit comme~< tous les projets exécutés
dans l'organisation à un point précis dans le temps (analyse
sélective))). À la ditlërence de la gestion de programmes, où tous
les prqjcts concemés sont étroitement associés, ce n'est pas une
exigence pour le dossier de projets. Les projets d'un programme
font pmiie du dossier de projets de l'entreprise, tout comme les
projets n'étant pas associés à un programme.
Pour gérer les portefeuilles, les programmes et les projets, une
organisation a besoin de structures particulières bien conçues,
comme une équipe d'experts, un bureau de gestion des projets
et des groupes chargés de dossiers de projets. Des outils
d'intégration particuliers comme des directives de gestion de
projet, des plans standards des projets et des instruments de
marketing sont utilisés.
Le bureau de gestion des projets, en tant qu'un des responsables
de la gestion des projets et: du processus de gestion de
programmes, doit: être une structure permanente et doit disposer
d'un personnel adéquat:, afin qu'il soit en mesure d'apporter
un appui professionnel dans ces: domaines en vue du maintien
des procédures ct des normes actuelles et du développement de
nouvelles: procédures et nom1es.
L'objectif du bureau de gestion des prqjets est d'améliorer la
qualité de la gestion des programmes et des projets et d'assurer la
réussite des projets, mais il doit se concentrer avant tout sur des
activités et des tâches qui découlent de ce domaine (processus
de gestion de projets), et non sur Je contenu des projets ou
des programmes. Par conséquent, l'auditeur des SI doit faire
la différence entre l'audit du contenu du projet et les aspects
procéduraux d'un programme ou d'un projet.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
Les objectifS de la gestion du dossier de projets sont :
• 1'optimisation des résultats du dossier de projets (non des
projets individuels);
• la priorîsation et la programmation des projets;
• la coordination des ressources (intemes ct externes);
• le transfe1i de connaissances à travers les pr<.~jets.
Une base de données du dossier de proje-ts est obligatoire
pour la gestion du dossier de projets. Elle doit comprendre les
données des projets, comme le nom du responsable du projet, les
calendriers, les objectifs, le type de projet, son état d'avancement,
les coüts, etc. La gestion du dossier de projets nécessite la
production de rapports particuliers au dossier de projets. Les
rapports types de dossier de projets sont le graphique à barres du
dossier de projets, la matrice des profits vs les risques, le graphe
de progression du dossier de projet, etc.
Excmple2
Une entreprise mène les activités suivantes :
A. Une entreprise migre d'applications patrimoniales à un
progiciel de gestion (ERP); son o~jectif stratégique est: de
f-Ournir des ordinateurs à la fine pointe de la technologie
et de maintenir un tlux monétaire élevé pour continuer de
financer la recherche et le développement.
1. I.:entreptisc utilise ses ressources internes de créateurs
d'applications pour coder ses processus d'affaires
stratégiques pour la fabrication des ordinateurs
nouvellement conçus afin de l'ournir des produits
finis ainsi que les commandes de clients jusqu'aux
encaissements. tout en considérant: la sensibilité du
modèle d'affaires.
2. L'entreprise a recours à des fOurnisseurs pour coder les
processus d'affaires non stmtégiques des achats à la paie
et à la comptabilité financière.
B. L'entreprise poursuit également un programme pour
l'cxternalisation de processus transactionnels ù un
lûurnisseur de services de tierce partie pour les achats en
ligne et un portail de système de paiements.
Dans ce contexte, les activités A.l, A.2 et B, considérées
individuellement, sont des projets. Les activités A.! ct A.2
représentent un programme unique, puisqu'elles font pmiie
de la même activité plus large de migration des applications
patrimoniales en progiciel de gestion (ERP) tandis que l'activité
8 fait partie d'un autre plu:-; grand programme d'externalisation
des processus manufacturiers non essentiels. Les activités A.l,
A.2 ct 8 (en présumant: que celles-ci sont les seules activités en
voie de réalisation dans cette entreprise) représentent les dossiers
de cette entreprise.
3.2.2 DÉVELOPPEMENT ET APPROBATION DU PLAN
DE MISE EN ŒUVRE
Tout projet de Tl, que ce soit le développement d'un nouveau
système ou l'investissement dans une nouvelle infrastructure,
repose sur un plan de mise en œuvre. On reconnaît de plus en
plus que les bénéfices commerciaux doivent gouverner les
projets.
169
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d~lnformation
e. Certlfied !nforrnatlon
M Systems Allditor•
M'WkO~"'"-'""'

Le plan de mise en œuvre fournit l'information dont toutes les principales pa1iics prenantes signent le document.
1'organisation a besoin pour décider si un projet doit aller de Le raisonnement concernant le n.~jet de l'analyse de faisabilité
l'avant. En nmction de l'organisation et, souvent, de la taille de doit être expliqué et joint au document ct faire partie de
lïnvestissement, le développement d'un plan de mise en œuvre la liste des leçons apprises pouvant servir dans les futures
est soit la première étape dans un projet, soit le précurseur du analyses de projets.
commencement d'un projet
Une partie du travail de développement des options consiste à
Le plan de mise en œuvre initial doit normalement dériver d'une calculer et à produire un plan de mise en œuvre pour chaque
étude de faisabilité entreprise dans le cadre de la planificatîon solution afin de permettre une comparalson des coûts et
ou du lancement du projet. li s'agit ici d'une étude préliminaire avantages pour 1'entreprise.
d'un problème afin d'évaluer s'il existe une solution pratique
qui satisfait les exigences à l'intérieur des budgets établis et des Le plan de mise en œuvre doit être suffisamment détaillé et
exigences du calendrier. !:étude de faisabilité devra normalement apporter une justification au démarrage ou à la continuation du
inclure les six éléments suivants : projet Il doit indiquer quelles sont les raisons qui justifient le
1. La portée du projet définit les problèmes ct/ou les occasions projet et répondre à la question<~ Pourquoi cc projet doit-il être
d'ailùires à considérer. Elle doit être clo.ire, concise ct directe. entrepris? )>
2. L'analyse en cours définit et établit une compréhension d'un
système, de logiciels, etc. Selon cette analyse, il peut être Le plan de mise en œuvre doit également être un élément clé du
déterminé que le système ou les logiciels actuels fonctionnent processus de décision tout au long du cycle de vic de tout projet.
correctement, que des modifications mineures sont requises, Si, à n'importe quelle étape, on croit que le plan de mise en
ou qu'une mise à niveau complète ou un remplacement sont œuvre n'est plus valable, à cause d'u11e augmentation des coOls
requis. À cc stade du processus, les forces et les faiblesses du ou d'une réduction des bénéfices anticipés, le parrain du projet
système ou logiciel actuel sont repérées. ou le comité directeur de Tl du projet doit alors décickr si le
3. Les exigences sont définies en fonction des besoins ct projet doit se poursuivre. Dans un projet bien planifié, il y aura
contraintes des parties prenantes. La définition des exigences des moments de décision, appelés parfois« barrières d'étape>> ou
pour un logiciel est différente de la définition des exigences «points d'arrêt>~, où le plan de mise en œuvre sera otriciellement
pour un système. Suivent ici des exemples de besoins et de révisé pour s'assurer qu'îl est toujours valable. Si le plan de mise
contraintes utilisés dans la définition d'exigences: en œuvre change durant le cours d'un projet de Tl, ce dernier
Processus d'affaires, contractuels et de réglementation doit être de nouveau approuvé par le processus d'approbation du
Besoins fonctionnels de l'utilisateur service.
Caractéristiques techniques et physiques qui définissent les
paramètres opérationnels et de génie 3.2.3 TECHNIQUES DE RÉALISATION DES BÉNÉFICES
4. L'approche est la solution de système et/ou de logiciels
Le COBIT 5 fournit le cadre de référence de J'industrie reconnu
recommandée pour satisfaire les exigences. Cette étape
selon lequel les buts et objectifS de gouvernance Tl découlent
identifie clairement les alternatives ayant été considérées et
des fReteurs de motivation des parties prenantes, avec l'intention
le raisonnement quant à cc pour quoi la solution privilégiée a
de générer une valeur marchande de la division Tl à pmi ir des
été choisie. Ceci est le processus où J'utilisation des structures
investissements consentis en Tl (c.-à-d. atteindre les o~jectifs
existantes et les alternatives commerciales sont considérées
stratégiques et réaliser la rentabilité grâce à une utilisation
(p. ex., les décisions telles que« bâtir vs acheter~}.
efficace et innovatrice des Tl). Tel qu'indiqué à la figure 3.2, le
5. L'évaluation est basée sur les éléments complCtés
principe no 1, SatisHlire les besoins des parties prenantes, met en
antérieurement dans l'êtude de faisabilité. Le rapport final
évidence le besoin pour la division Tl de créer de la valeur pour
considère le rapport coût-efficacité de l'approche choisie. Le
les parties prenantes en maintenant l'équilibre entre la réalisation
rapport final inclut les éléments suivanls :
de la rentabilité ct l'optimisation du risque et l'utilisation des
Le coût total estimé du projet si la solution p1ivîlégiée
ressources. Le CO BIT 5 traite des processus et autres outils
est choisie parmi les alternatives, et cc, à des fins de
habilitants requis pour appuyer la création de valeur commerciale
comparaison de coûts, incluanl :
par l'utilisation des Tl. Comme chaque entreprise a différents
Une évaluation des heures/employés requises pour
objectif..;;, une organisation peut adapter CO BIT 5 à son propre
réaliser le projet.
contexte grâce à des objectifs en cascade, c'est-à-dire faire
Les cmîts en maléiiel et d'inst..1llation.
correspondre des objectifs d'entreprise généraux à des objectifs
Les coûts des fOurnisseurs et des entrepreneurs de tierce
géra bles propres aux Tl ct rattacher ces objectif." à des processus
partie.
ct pm tiques précis.
Les dates de début et de fin planifiées pour le projet
-- Un résumé des coùts et des évaluations, y compris
l'analyse coüts-bénéfices, le RCI, etc.
6. Un examen formel du rappo1i d'analyse de faisabilité est
mené avec toutes les pmiies prenantes. Cet examen devra à
la fOis valider l'exhaustivité et la précision de l'analyse de
tàisabilité et rendre une décision quant à l'approbation ou le
rejet du projet, ou demander des corrections avant de prendre
une décision finale. Si l'analyse de faisabilité est approuvée,

170 Manuel de Préparation C/SA 26" édition

ISACA_ Tous droits réservés.
e Certifled lnfm;malion
Systems Auditor"
,.,.,..,...,~,,,..,""
Chapitre 3 - Acquisition, Développement et Implantation
des Systémes d'Information
Flgure'3.2- Poncfpes de COB II 5
Source: ISACA, COBIT 5, É.-U., 2012
Les bénéfices commerciaux sont en grande partie obtenus grâce
à des changements rendus possibles par la technologie. Avec
l'évolution de l'application des Tl, de la simple automatisation
du travail, en passant par la gestion de l'information jusqu'à
la transformation des activités, la réalisation de bénéfices est
devenue une t..:'tche plus complexe. Les bénéfices ne surviennent
pas simplement lorsque la nouvelle technologie est livrée; elle est
présente dans tout le cycle commercial.
On doit adopter une approche planifiée de la réalisation des
bénéfices, en regardant au-delà des cycles du projet vers des
cycles ù long terme prenant en considération les bénéfîccs totaux
et les coûts totaux tout au long de la durée de vie du nouveau
système. Les bénéfices sont rarement identiques à ceux prévus
par les plans. L.'organisatîon doit continuellement vérifier et
ajuster ses stratégies. Ce concept est appelé gestion des avantages
ou réalisation des bénéfices, ct les éléments clés sont les suivants :
• La desc1iptîon de la gestion ou de la réalisation de la rentabilité;
• La désignation d'une mesure et d'une cible;
.. !.:établissement d'un régime de suivi ou de mesure:
• La documentation de !"hypothèse;
• l.?établissement de responsabilités clés pour la réalisation;
• La validation de la rentabilité escomptée;
• La planification de la rentabilité à réaliser.
En général, la réalisation des bénéfices à l'échelon du projet
comprend quatre phases, illustrées à la figure 3.3.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
Figure 3.3- Phases de realisation des bénéfices- Échelon du proiéll
Source : New South Wales Government Department of Finance & Services,
Benefits Realisation Guideline, Version 1.2, Australie, 2011
La réalisation des bénéfices est un processus continu qui doit
être géré comme tout processus administmtif. L;évaluation des
processus de réalisation des bénéfices ainsi que le plan de mise en
œuvre doivent être des éléments dés des processus de réalisation
des bénéfices. Les études de réalisation des bénéfices à l'échelle
de l'entreprise doivent être agrégées et }es leçons qu'on en tire
doivent afl'incr le processus de réalisation des bénéfices de
1'entreprise.
La réalisation des bénéfices comprend souvent une révision de
six à dix~huit mois après la mise en œuvre des systèmes. On doit
allouer du temps pour la résolution des problèmes techniques
initiaux et pour que les avantages du projet s'accroissent au fur et
à mesure que les utilisateurs se familiarisent avec les nouveaux
processus et les nouvelles procédures.
La réalisation des bénéfices doit faire partie de la gouvernance
ct de la gestion des projets. JI doit y avoir un cautionnement
des projets par l'entreprise. Les structures de gouvernnnce de
pr~jet doivent comprendre l'organisation du projet et de l'axe
fonctionnel; toutes les décisions de gouvernance relatives au
projet doivent passer par le plan de mise en œuvre ct les bénéfices
doivent être révisés périodiquement.
3.3 STRUCTURE DE GESTION DE PROJET
Il existe aujourd'hui plusieurs approches de gestion de pr~jet.
Certaines se concentrent sur le développement de logiciels,
d'autres ont une approche plus générale; certaines se concentrent
sur une perspective holistique et systémique, d'autres proposent
un flux de travail très détaillé comprenant des modèles pour la
création de documents. Certaines des normes et organisations
les plus importantes defàcto sont le Project Management Body
171
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes dllnformation
ofKnowledge (PMBOK'') (c.-à-d. la norme IEEE 1490 du
Project Management Institule [PMI], le Projects in a Controlled
Environmcnt fPRINCE2TM] de l'üffïcc ofGovernmcnt
Commerce [OGC] au Royaume-Uni, et l'lntemational Project
Management Association [IPMAJ). Parce qu'il y a d'impm1antcs
différences de portée, de contenu et de vocabulaire dans chacune
de ces normes, 1'auditeur des SJ doit se familiariser avec la norme
utilisée avant de s'impliquer dans des projets spécifiques.
Bien qu'il y ait des pour el des contre à chaque approche de
gestion de projet, plusieurs éléments sont communs à toutes les
méthodologies de gestion de projet.
Les structures de gestion de projet sont dépendantes de la taille
de l'organisation et de la complexitë de ses opérations d'affaires.
En conséquence, certains rôles ct responsabilités peuvent être
regroupés ou remplacés. En certaines circonstances, le rôle de
l'auditeur des SI est de s'assurer que les règles de développement
se rappor!nnt à la ségrégation des tâches et des responsabilités ne
sont pns compromises.
3.3.1 ASPECTS GÉNÉRAUX
Les projets de SI peuvent être lancés à partir de n'importe quelle
entité de l'organisation, y compris à pmiir du service des TL
Un projet est toujours un etlOrt à durée limitée. Un projet peut
être complexe et impliquer un élément de risque. Un projet
comporte des objectif.-;, des livrables et des dates de début et de
fin spécifiques. La plupart des projets des SI sont divisibles en
phases explicites (p. ex., cycle de vie du développement d'un
système). Un projet peut être perçu comme un groupe de tâches
complexes aussi bien que comme un système social ou une
organisation temporaire (au contraire des structures relativement
stables d'une organisation permanente).
La gestion de projet constitue un processus administratif de
l'org:.misation axée sur les projets. Le processus de gestion de
projet commence avec la charte du projet et se termine avec
l'achèvement du projet.
La complexité de la gestion de projet nécessite une conception
soignée et explicite du processus de gestion de projet, ce qu'on
fUit normalement pour un processus administratif~ mais qu'on
néglige parfois pour le processus de gestion de projet. Par
conséquent, toutes les questions de conception applicables à
l'ingénierie des processus administTatifs doivent s'apphqucr au
processus de gestion de projet.
3.3.2 CONTEXTE ET ENVIRONNEMENT DE PROJET
Le contexte de projet peut être divisé entre le contexte de temps ct
Je contexte socîal. Dans l'analyse de la dimension du contenu du
contexte, ce qui suit doit être pris en compte :
• l'impo11ance du projet dans l'organisation;
•le rapport entre la stratégie de l'organisation et le projet;
• la relation entre le prqjet et les autres projets du même
programme, aussi bien que d'autres projets de programmes
distincts;
• le rapport entre le projet et le plan de mise en œuvre sous-jacent
172
e catlfJed lnfwmalioo
Systems Auditor'
~
~'''"""'""""'""""
~
Cormne il y a normalement plusieurs projets sc déroulant en
même temps, les relations entre ces projets doivent être examinées
pour déterminer des objectifs communs pour 1'organisation,
déterminer ct gérer le risque, et déterminer les relations entre
les ressources. Une approche courante pour traiter ces questions
consiste à établir une structure de gestion du dossier de projet et
de gestion du programme.
Un projet, par définition, possède une date de début et une date
de fin précises. Le contexte de temps du projet doit cependant
tenir compte de la phase précédant le démarrage du projet et
de la phase suivant la clôture du projet. Au cours de la phase de
préparation de projet, des activités et objectifs clés à considérer
dans la planification du projet sont identifiés. Un trnnsfert
complet de l'infmmation sur les négociations et les décisions.
ainsi que la connaissance des détails de la phase de préparation
de projet sont essentiels. Les attentes relatives à la phase d'après-
projet inlluenccnt également les tâches ù accomplir ct la stratégie
pour concevoir les relations de l'environnement du projet.
Parce qu'un projet représente un système social, il est
également nécessaire d'examiner ses relations avec ses
propres environnements sociaux. La conception des relations
d'environnement du pf(~jet est une activité de gestion de projet.
l?objcctif consiste à déterminer tous les environnements
pertinents pour le projet, qui auront une influence importante sur
la planification du projet dans son ensemble et sur la réussite du
projet.
3.3.3 STRUCTURE D'ORGANISATION DE PROJET
On peut observer trois principales structures organisationnelles
pour la gestion de projet :
1. l'organisation d'influence
2. l'organisation pure
3. l'organisation matricielle
Dans une organisation d'influence, le directeur de projet n'a
qu'une fonction consultative sans avoir une autmité officielle de
gestion. Le directeur de prqiet n'a que le droit de conseiller ses
pairs ct les membres de l'équipe quant aux activités à réaliser.
Dans une organisation pure, le directeur de projet a une autorité
officielle sur ceux qui prennent part au projet. Il s'agit souvent.
par exemple, de fournir une aire de travail particulière ù 1'équipe
du projet, qui soi! séparée de leur espace nom1al de bureau.
Dans une organisation matricielle, l'autorité de gestion est
partagée entre le directeur de projet et les chefS de service.
Il est important pour l'auditeur des SI de comprendre ces formes
d'organisation ct leurs implications sur J'autorité dans les activités
de gestion de projet.
Les demandes pour les projets majeurs doivent être soumises
au comité directeur des Tl qui leur assignera une priorité. Un
directeur de projet doit être identifié et nommé par le comité
directeur des Tl. Pour l'achèvement réussi du projet, on doit
donner au directeur de prqjct, qui n'a pas besoin d'être un
membre du personnel des Tl, l'autorité opérationnelle complète
du projet, ct on doit lui allouer les ressources appropriées, y
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certified.!nlormatioo
Systems Auditor'
;:;·,~·--
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
compris des professionnels des SI ct autre personnel des services
utilisateurs. Des auditeur,:; des SI peuvent faire partie de l'équipe
du projet à titre d'experts en contrôle. Ils peuvent également
fournir Ull bilm1 indépendant et objectif pour s'assurer que le
niveau de participation (d'engagement) des groupes responsables
est approprié. Dans pareils cas, les auditeurs des SI n'effectuent
pas un audit, mais ils participent au pr~jet à titre consultatif; selon
leur degré d'implication, ils pourraient devenir inadmissibles
à effectuer des audits de l'application lorsque celle-ci sera
fOnctionnelle. Un exemple de structure organisationnelle de projet
est présenté à la figure 3.4.
3.3.4 COMMUNICATION ET CULTURE DE PROJET
Selon la taille et la complexité du projet et les personnes
conccmées, lors du lancement du processus de gestion, la
communication peut être réalisée par :
• des entretiens pmticuliers:
• des réunions de lancement;
• des ateliers de démarrage de projet;
• une combinaison des trois.
Les entretiens particuliers et les ateliers de démarrage de projet
aident ù fàciliter une communication bilatérale entre les membres
de l'équipe du projet elle directeur du projet. Le directeur de
projet peut tenir une réunion de lancement pour informer l'équipe
de cc qui doit être fait pour le projet. Les communications
concernant les événements significatifs du projet doivent être
documentées comme parties intégrantes des artéfacts du projet
( c.-il-d. rencontre sur ln chnrtc du projet, rencontre de lancement,
contrôles d'étape, rencontres des parties prenantes, etc.).
Une des méthodes préférentielles garantissant une communication
ouverte ct claire au sein de l'équipe du projet est la tenue d'un
atelier de démarrage de projet pour obtenir la coopération de
tous les membres de l'équipe ct la participation de tous les
intervenants. Ceci contribue il créer une vision d'ensemble
commune du projet et à communiquer la culture du projet dès le
début.
Figure 3.'1- Gestion ile pmj!lli exemple d'organigramme
Comité
de direction
Analyse d'application/
de systèmes
*Défini comme "'gestion du développement de systèmes»
Manuel de Préparation CISA 26' édition
ISACA, Tous droits réservés.
Section deux : Contenu
En tant que système social indépendant, chaque projet a sa
propre culture qui définît ses normes et règles d'engagement. La
culture du projet ne peut pas être décrite, mais elle sc manifeste
dans les techniques appliquées de gestion du projet, y compris
la planification du projet, les formes de communication,
etc. Les dynamiques de la culture du projet fournissent une
compréhension commune de ce qui est perçu comme souhaitable
ct de ce qui sert d'orientation ù l'équipe.
Une culture de projet comprend des nonnes, croyances, valeurs et
hypothèses communes à l'équipe de projet. Un facteur de succès
clé afin d'établir la culture de projet approp1iée est la définition et
l'adaptation des caractéristiques uniques du prqjet, ce qui permet
ù la culture appropriée qui s'épanouit de s'adapter à la complexité
de ce prqjet.
L'établissement d'un énoncé de mission du projet, d'un nom et
d'un logo pour le projet, d'un lieu de réunion ou d'un bureau,
d'un intranet de projet, de règles de réunion ct d'un protocole
de communication pour l'équipe du projet, ainsi que d'activités
sociales liées au projet, sont autant de méthodes de création d'une
culture de projet.
3.3.5 OBJECTIFS DU PROJET
Les objectifs du projet sont les énoncés d'actions spécifiques
qui soutiennent la feuille de route afin d'atteindre les o~jectif.'>
de prqjet établis. Tous les buts du projet auront un ou plusieurs
objectifs désignés comme étant les actions requises pour atteindre
chaque but. r.;objectif de projet est Je moyen pour atteindre les
objectif.'> du prqjct. Pour la définition d'un objectif de projet, il
f:1ut toujours commencer par un verbe d'action. Cette syntaxe
garantit que 1'objectif est mesurable ct peut être utilisé pour
vérifier que les résultats du projet sont directement imputables à
l'action de J'objectif.
Les résultats attendus d'un projet doivent être clairement définis
et être de type SMART, c'est-à-dire stratégiques, mesurables,
atteignables, réalistes et temporels. Une perspective détaillée du
-1 - Assurance qualité
1
Soutien
logiciel
173
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e Gertifled Information
Systems Audit()('
M"'-C<'O~M"""''

projet permet de valider ct d'unifier tous les objectifS étroitement La figure 3.5 donne un exemple de ce processus :
reliés entre eux. Ces objectifs sont scindés en objectifs ptincipaux,
en objectifs complémentaires et en<( non-objectif') >'f.
Figure 3.5 ~Définition des objectifS lie projet
• Les objectifs principaux sont la raison-d'être du projet el sont
touiours directement liés au succès de J'entreprise (voir la
section 3.5 Développement des applications d'affaires). OBS - Services à
• Les objectifs complémentaires ne sont pas directement liés la clientèle en ligne
aux objectif.') principalLx du projet, mais peuvent contribuer à
sa réussite (p. ex .. la réorganisation des domaines d'activité
dans le cadre d'un projet de développement de logiciel). WBS - Développement
• Les non-objectifs sont les résultats qui ne sont pas attendus à d'applications de vente
la fin du projet. La définition des non-objectif:." apporte de
la clarté à la portëe et clarifie les limites du projet. Les 11011-
o~jcctîfs définissent les limites des produits finis du projet
ct aident toutes les parties à obtenir une compréhension nette WP1- WP2 - Développement
des résultats inclus dans les attentes et de ceux non compris Développement du code d'interface
de pages Web des ventes
dans la portée du projet de façon à éviter toute ambiguïté.

Pour définir les objectifs d'un projet, l'approche la plus courante
est de définir la structure de r~partitîon de l'objet (SRO). Sous
tOrme graphique ou de tableau, la SRO représente les composants
individuels de la solution ainsi que leurs interrelations d'Lm point
de vue hiérarchique. Une SRO peut être utile pour s'assurer
que les biens livrables ne sont pas oubliés, particulièrement
lorsque l'on traite des résultats de projet intangibles, comme le
développement organisationnel.
Après que la SRO a été compilée ou qu'une solution a été définie,
une structure de répartition du travail (SRT) est conçue pour
structurer toutes les tâches requises pour définir les éléments de
la SRO durant le projet La SRT est une représentation du projet,
selon des unités de travail gérables ct contrôlables; elle sert de
moyen de communication central dans le projet ct constitue la
base de la planification des coOts et des ressources.
À l'inverse de la SRO, la SRT ne comprend pas les éléments de
base de la solution à créer, mais plutôt Je bloc de t:.îches (BT).
Corganisation de la SRT est axée sur Je processus et est effectuée
par phases. Le niveau de détail de la SRT sert de base à la
négociation des objectif.<; détaillés entre le responsable du projet,
le gestionnaire du projet et les membres de J'équipe du projet.
Les spécifications détaillées de la structure de répm1ition
du travail (SRT) peuvent se trouver dans les blocs de tâches
( BT). Chaque BT doit avoir un propriétaire distinct ct une
liste d'o~jectifs principaux; elle peut également avoir une
liste d'objectifS complémentaires et de non-objectifS. Les
spêcificaiions du BT doivent inclure les dépendances envers les
autres BT ainsi que la méthode d'évaluation de la performance
et de l'atteinte des objectifs. La figure 3.6 donne un exemple de
SRT
Les ëléments clés à se rappeler pour la structure de répartition du
travail et les processus de travail respectif.') incluent :
• Le premier niveau de SRT représente la définition des produits
finis ou projet.
• La définition des sous~produits finis contient les plans de travail
assignés ù un service ou une unité de l'organisation .
.. Tous les éléments de la SRT n'ont pas besoin d'être définis au
même niveau.
• Les SRT définissent le travail, la durée et les coûts pour les
tüchcs requises pour réaliser les sous-produits finis.
• l,es BT ne doivent pas excéder une durée de 10 jours.
• Les BT doivent ètre indépendnnts les uns des autres dans la SRT
• Les BT sont uniques et ne reproduisent pas un autre BT à travers
la SRT

figure 3.6- EXemple de Sliùêtüre de répal'lilion du travail

. '
L 1 Spécifications
·· ' de conversion
'
1

des données

174 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e Certified Informa·\"'
Systems Auditer"
~~-
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
Pour Ülcîlitcr la communication, des listes de tâches sont souvent
utilisées. Une liste de tâc-hes est une énumération des actions::'!
accomplir en relation avec !cs blocs de tâches et auxquelles sont
nssociées des responsabilités et des échéances. La liste de tâches
aide les membres de l'équipe de projet à planifier les travaux
aussi bien qu'à élabore;;:r des ententes.
Habituellement, ces listes de tâches sont intégrées dans le
calendrier du projet lors de la phase de planification de projet
ct sont utilisées lors de la phase de contrôle pour suivre le
progr~s et le déroulement des BT. Les calendriers de projet sont
des documents dynamiques et doivent indiquer les tâches qui
font partie du 81~ les dates de début et de fin, le pourcentage
d'exécution, les dépendances des tâches et le nom des personnes-
ressources qui doivent accomplîr ces tâches. Un calendrier de
projet indiquera aussi les limites des phases telles qu'elles sont
expliquées dans la section 3.2.2 Développement el approbation du
plan de mise en oeuvre.
3.3.6 RÔLES ET RESPONSABILITÉS DES GROUPES ET
DES PERSONNES
Pour rélL.;;sir l'implantation d'un nouveau système dans les délais,
il hmt que la fonction d'audit joue un rôle actif, s'il y a lieu, dans
le développement du cycle de vic d'une application d'affaires.
Ccci facilitera le travail pour s'assurer que des contrôles adéquats
sont conçus ct implantés dans le nouveau système (p. ex.,
la continuité des contrôles simultanés pour des systèmes de
commerce électronique). De plus, d'autres intervenants clés
doivent jouer un rôle dans la conception, le développement ct
l'implantation du système. Les différents rôles et responsabilités
des groupes ou des personnes qui pourraient intervenir dans le
processus sont les suivants :
• Cadres supérieurs- Démontrent leur engagement envers
le projet ct approuvent les ressources nécessaires pour le
terminer·. Cet engagement des cadres supérieurs aide à assurer la
participation des personnes nécessaires à l'exécution du projet.
• Responsables des utilisateurs- Pre-nnent en charge la
responsabilité du projet et du système qui en découle, associent
des représentants qualifiés à l'équipe, puis participent
activement à la nouvelle conception du processus de gestion, à
la définition des exigences du système, au développement de
scénarios de test, aux essais d'acceptation ct à la formation des
utilisateurs. Les responsables des utilisateurs doivent réviser
et approuver les biens livrables liés au système, tels qu'ils sont
définis et implantés. Les questions suivantes s'adressent aux
responsables des utilisateurs:
--Les fonctions rt."quises sont-elles disponibles dans le logiciel?
--Dans quelle mesure le logiciel est-il fiable?
-Dans quelle mesure le logiciel est-il efficace?
- Le logiciel est-il convivial?
- Dans quelle mesure est-il fhcile de transférer ou d'adapter
d'anciennes données du logidel existant dans cet
environnement?
~·Dans quelle mesure est-il facile de transférer le logiciel vers
un autre environnement?
-·-Est-il possible d'ajouter de nouvelles f-Onctions?
--Satisfait-il aux exigences de la réglementation?
• Comité directeur du projet-·- Fournit des directives générales
et assure la représentation approp1iée des principales parties
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
prenantes dans la conclusion du projet. Essentiellement, le
comité directeur du projet est responsable de tous les biens
livrables, des coüts et des calendriers de projet Ce comité doit
être formé d'un haut représentant de chaque domaine d'activité
qui sera touché de Ülçon importante par le nouveau système
proposé ou par les modifications au système. Chaque membre
doit pouvoir prendre des décisions relatives à la conception
du système qui touchera son service respectif. En général,
le responsable de pr~iet, qui assumerait l'entière propriété et
responsabilité du projet, doit présider le comité directeur. Le
gestionnaire de projet doit aussi être membre de ce comité. Le
comité directeur du projet accomplit les fonctions suivantes :
--Évalue régulièrement la progression du projet (p. ex., une ou
deux fois par mois) ct tient des rencontres d'urgence lorsque
c'est nt-cessai re.
--Agit à tire de coordonnateur et de conseiller. Les membres du
comité doivent être disponibles pour répondre <HIX questions et
prendre des décisions liées aux utilisateurs en ce qui a trait à la
conception du .système et du programme.
---Apporte des correctif.'>. Le comité doit évaluer la progression,
puis agir et faire des recommandations quant aux changements
de personnel dans l'équipe du projet, ilia gestion des budgets
ou des échéanciers, aux modifications des objectifs du projet
et au besoin de modifier la conception. Le comité do il être
disponible pour faire face aux problèmes qui dégénèrent et qui
ne peuvent être résolus dans le cadre du projet. Le gestionnaire
de projet doit avoir J!autorité pour dili ger ces problèmes vers
une instance supérieure ct compter sur le comité directeur pour
régler les problèmes relatif.'> au projet, ct ce, à l'avantage de
l'organisation. Dans ccr1ains cas, le comité peut recommander
d'interrompre ou de cesser le projet
• Responsable du projet-·- Fournit les fonds pour le projet
ct travaille en étroite collaboration avec Je gestionnaire du
projet en vue de définir les facteurs détenninants de réussite
et les pammèlres d'évaluation de la réussite du projet. Il est
primordial que la réussite soit traduite en termes mesurables ct
quantifinbles. La propriété des données et de J'application est
attribuée au responsable du projet. Normalement, Je responsable
du projet est le cadre supérieur chargé du principal domaine
d'activité que l'application soutiendra.
• Gestion du développement des systèmes -·· Fournit le soutien
technique relatif aux environnements matériels et logiciels en
développant, en installant et en faisant fOnctionner le système.
Ce domaine fournit aussi 1'assurance que le système est
compatible avec l'environnement informatique et l'orientation
stratégique relative aux Ti de l'organisation, puis assume
la responsabilité des activités de soutien et de malntenancc
opérationnels après l'inst.1llation.
• Gestionnaire de projet -Assure la gestion et la direction du
projet au quotidien, garantit que les activités du projet restent
confOrmes à l'orientation générale, assure la représentation
adéquate des services touchés, assure que le projet est conforme
aux normes locales, assure que les biens livrables satisfont aux
attentes des intervenants clés, résout les conflits interservices.
puis surveille et contrôle les coûts et les échéanciers du projet.
Le gestionnaire peut aussi aider à définir la portée du projet,
gérer le budget et contrôler les activités à l'aide d'un calendrier
de projet. Cette personne peut être un utilisateur final, un
membre de l'équipe de développement des systèmes ou un
gestionnaire de projet professionnel. Lorsque l'etlèclif du
175
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
projet est constitué d'employés qui se consacrent au projet, le
gestionnaire aura une responsabilité hiérarchique envers ces
employés.
• ~:quipe de projet de d.é'r'eloppement de systèmes Exécute
les tâches qui lui sont assignées, communique cllïcaccment avec
les utilisateurs en les engageant activement dans le processus
de développement travaille en respectant les nonnes locales
ct conseille le gestionnaire relativement nux changements
nécessaires au plan d'exécution du pr~jet.
• Équipe de projet utilisateur~ Ellèctue les tâches assignées,
communique efficacement avec les développeurs de systèmes
en participant activement au processus de développement ft
titre d'expert en la matière (EM), accomplit le travail selon les
normes locales et conseille Je gestionnaire de projet relativement
aux changement actuels et futurs du plan d'exécution du projet.
• Responsable de la sécurité des syst-èmes d'information
-Garantit que !es contrôles du système et les processus de
soutien procurent un niveau de protection efficace en fonction
de la classification des données détenninée en accord avec les
politiques ct procédures de sécurité de l'entreprise; sïnformc,
tout au long du cycle de vic, des mesures de sécurité approp1iées
qui doivent être intégrées dans le système: révise les plans de
mise à l'essai de la sécurité ct les rapports avant la mise en
œuvre; évalue les documents relatif.'> à la sécurité qui ont été
élaborés lors de la création du rapport concernant l'efficacité de
la sécurité du système à des fins d'accréditation, puis surveille
périodiquement l'efficacité de la sécmité du système au cours
de sa durée de vie opérationnelle.
• Ingénieur de la sécurité du système d'information~
Applique les principes scientifiques ct de génie pour identifier
les vulnCrabilités en matière de sécwité et minimiser ou
restreindre le risque associé à ces vulnérabilités (Organisation
internationale de normalisation [JSO]/Commission
électrotechnique internationale [CEl] 21827:2008 précise
l'ingénierie des systèmes de sécurité/le modèle d'évolution des
capacités [SSE-CMNV]). Essentielle à l'accomplissement de
cc rôle est la définition des besoins, exigences, architectures
et plans pour construire un réseau, une platefonne et des
applications respectant chacun des principes {( défense
transversale» ct« sécurité en profondeur)>.
• Assurance-quaJu-é (AQ)- Vérifie les résultats et les biens
livrables au cours de l'exécution des phases et à la fin de
chaque phase, puis confirme sa confOrmité aux exigences.
L'objectif de ce groupe est de s'assurer de la qualité du projet,
en détcrminnnt si le pt::rsonnel affecté au projet suit le cycle de
vie de développement des logiciels (SDLC) de l'organisation,
d' ofli·ir des conseils relatif.'> aux dérogations et de proposer des
recommandations visant à améliorer les processus ou augmenter
les points de contrôle lorsque surviennent des changements. Les
points à vérifier sont déterminés en fonction de la méthode de
SDLC utilisée, de la structure ct de l'ampleur du système ct de
l'e1lèt des changements possibles. De plus, l'attention peut être
mise sur la vérification des activités appropriées, fOndées sur Je
processus, en relation avec la gestion de projet ou 1'utilisation
de processus de génie logiciel spécifiques dans le cadre d'une
phase précise du cycle de vie. Une telle attention est essentielle
pour pouvoir terminer un projet à temps et dans les limites
budgétaires et <ttteindre un degré de maturité spécifique dans
le processus logiciel (voir la section 3.12.4, famille de normes
ISO/IEC 330xx).
176
des Systèmes d'Information
e Cer1ified tnfurmatioo
Systems Auditor•
~'"'"""'~'"'""''"'
Les objectifs spécifiques de la fonction d'AQ incluent:
-s'assurer de la participation active ct coordonnée de toutes
les parties doms la vérification, l'évaluation, la diffusion ct
l'application de nonnes, de lignes directrices et de procédures
de gestion;
-s'assurer de la conformité à la méthode de développement des
systèmes convenue;
-vérifier et évaluer des projets de systèmes d'envergure
à des étapes importantes du développement et ib.ire les
recommandations :.tdéquates en vue de les améliorer;
---établir, améliorer et maintenir un environnement stable
el contrôlé pour la mise en œuvre des changements dans
l'environnement du logiciel de production;
··-définir, établir ct mnintenir une méthode d'essai standard,
cohérente et bien définie pour les systèmes informatisés;
-·produire des rapports pour la direction sur les systèmes dont la
performance ne correspond pas à ce qui a été défini ou conçu.
Pour l'auditeur des SI, il est essentiel de comprendre la méthode
de développement, d'acquisition et de maintenance des systèmes
en u~age ct de déterminer la vulnérabilité possible ct les points
qui exigent un contrôle. Si les contrôles sont déficients (à cause
de la structure organisationnelle ou des méthodes logicielles
utilisées) ou que le processus est imprécis, il revient à l'auditeur
des SI d'infOrmer l'équipe de pn.~jet et les cadres supérieurs de
ces déficiences. Il doit également infOrmer les personnes qui
travaillent aux activités de développement et d'acquisition au sujet
des contrôles appropriés ou des processus ù mettre en œuvre et à
exécuter.
Remarque: Le candidat à l'examen du CISA doit connaître
les rôles et. les responsabilités des groupes et des personnes qui
participent aux proœssus de développement des systèmes.
3.4 PRATIQUES DE GESTION DES PROJETS
La gestion de projet est la mise en pratique des connaissances,
des habiletés, des outils et des techniques appliqués à une large
gamme d'activités en vue d'atteindre un objectif dé fmi, comme
celui de satisfaire aux exigences déterminées de l'utilisateur
et de respecter les échéances et le budget d'un projet en Tl.
La connaissance et les pratiques liées à la gestion de projet
sc déc1ivent mieux en termes de processus des composants,
tels l'initiative, la planification, l'exécution, le contrôle et la
conclusion d'un projet. Les caractéristiques globales d'une
planification de projet réussie se définissent par un processus
de gestion fondé sur Je risque et dont la nature est itérative.
Les techniques de gestion de projet offrent aussi des approches
systématiques quantitatives et qualitatives utiles à l'évaluation
de la taille des logiciels, à J'ordonnancement, à la répartition des
ressources et à la mesure de la productivité.
Il existe de nombreuses techniques de gestion de projet et de
nombreux outils pour aider le gestionnaire de projet à gérer le
temps et les ressources utilisées pour le développement d'un
système. Les techniques et les outils peuvent varier d'un simple
travail manuel à un processus infOrmatisé plus élaboré. La
dimension et la complexité d'un projet peuvent exiger différentes
approches. De manière général cl ces outils fournissent de
l'assistance dans les domaines décrits dans les sections suivantes.
Manuel de Préparation CISA 26" édition
ISACA" Tous droits réservés.
 Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section deux : Contenu

Divers éléments d'un prqjet doivent être pris en considération en 3.4.1LANCEMENT D'UN PROJET
tout temps. Leur relation est illustrêe dans le tableau 3.7. Pour lancer un projet, le gestionnaire ou le responsable du projet
doit recueillir l'infOrmation nécessaire pour obtenir J'approbation
La gestion de projet devrait po1ier une attention particulière à du projet. L'information sera souvent utilisée comme référence
trois éléments clés interdépendants: les biens livrables, la durée ou charte de pt·ojet pour déterminer 1'objectif du pn~jet, les
et le coût (tableau 3.7.A). Leur relation est très complexe, mais intervenants dans le système à concevoir ainsi que le gestionnaire
illustrée de façon schématisée et simplifiée à l'extrême dans le et Je responsable du projet. L'approbation d'un document de
tableau. La durée et le coût du projet doivent être proportionnels lancement de projets ou d'un document de demande de projets
à la nature et aux caractéristiques des biens livrables. En général, doit être accordée pour que le projet puisse comincncer.
il y aura une corrélation positive entre des biens livrables très
exigeants, une longue durée ct un coût élevé. 3.4.2 PLANIFICATION DU PROJET
Les prqîets de développement, d'acquisition ou de mise à jour de
Le budget est déduit (figure 3.7.8) à partir des ressources
logiciels ct de systèmes doivent être piani fiés ct contrôlés.
nécessaires pour réaliser le projet en multipliant les frais ou coûts
par le montant de chaque ressource. Les ressources requises par
Le gestionnaire de projet doit déterminer :
le projet sont estimées au début du projet à l'aide de techniques
• les diverses tâches qui doivent être effectuées pour créer le
d'estimation de la taille du logiciel/projet.
système d'application d'amtircs attendu;
• la séquence ou l'mdrc d'exécution des tâches;
Les estimations de taille fournissent un calcul des « ressources
• la durée ou la tCnêtre de temps de chaque tüche:
totales )1. Les gestionnaires de projet décident des ressources
• la priorité de chacune des tâches;
allouées à tout moment donné dans le temps. En général,
• les ressources de soutien, liées aux Tl ou non, qui sont
il est facilitant d'allouer une quantité (presque) fixe de
disponibles ou nécessaires pour effectuer ces tâches;
ressources, ce qui réduit fort probablement les coûts (directs
• le budget ou le coùt de chacune des tâches;
et d'administration). La figure 3.7.C est simplifiée selon la
• les sources et moyens de financement pour la main-d'oeuvre,
prémisse que la quantité de ressources est fixe pendant tout le
les services, les matériaux et les ressources en installations et en
projet. La courbe montre les ressources allouées (R) x durée
équipements nécessaires au projet.
(D) =ressources totales (RT, une quantité constante); il s'agit de
la courbe du dilemme classique « personneMmois ».Tout point
le long de la courbe correspond aux conditions R x D = RT. Si De façon réaliste, sauf pour les petits projets. la piani fication
détaillée des tâches ne peut être effectuée que vers la fin d'une
nous choisissons n'importe quel point 0 de la courbe, l'aire du
phase ou d'une itération ou lors de la prochaine porte de décision.
rectangle sera Rl~ proportionnellement au budget. Si peu de
Tant que les techniques ne sont pas exécutées et que les décisions
ressources sont utilisées, la durée du projet sera longue (un point
ne sont pas prises durant la phase ou l'itération courante,
près de LR); si beaucoup de ressources sont utilisées, la durée
l'information demeure insuffisante pour bien comprendre ce qui
du projet sera moindre (un point près de L0). LR et LD sont deux
se passera durant la phase ou l'itération suivante.
limites pratiques : une durée trop longue peut sembler impossible,
l'utilisation de trop de ressources (humaines) à la fOis serait
Certaines techniques sont utiles pour la création d'un plan de
impossible à gérer.
projet et pour la surveiHance de son évolution tout au long de

Logiciel
Ressources

Lo

Ressources 1

Rx D ·-
"'Budget
Qurée

Manuel de Préparation CISA 26• édition 177

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
son exécution afin de foumir un soutien continu vers son succès.
Certaines de ces techniques sont discutées dans les sections
suivantes.
Des paramètres sont nécessaires pour évaluer l'effort de
développement. La première étape est d'identifier les ressources
(p. ex., personnes possédant les compétences requises, outils
de développement, installations) pour le développement de
système et de logiciel. Cela aidera à estimer les ressources de
développement de système et de logiciel et à les prévoir au
budget. Différentes techniques d'estimation de la taille et de
mesure sont présentées ci~dessous.
Évaluation des coûts du projet d'élaboration de
système
Normalement plus grand en portée et en fOrmat, le projet
d'élaboration de système se concentre sur une solution plus
complète et plus intégrée (matériel infonnatique, loglciels,
capacités. services, etc.). Par conséquent, ces types de projets
exigent une plus grande planification en cc qui a trait aux
évaluations ct à la planification budgétaire.
Les quatre méthodologies utilisées fréquemment pour évaluer les
coûts de développement de système sont :
• Évaluation analogique- En ayant recours aux évaluations
de projets antérieurs, le chef de projet peut développer une
évaluation des coüts pour le nouveau projet. Ccci est la technique
d'évaluation la plus rapide.
• Évaluation paramétrique- Le chef de projet regarde les
mêmes données passées utilisées dans l'évaluation analogique
et démultiplie les données statistiques (heures des employés
prévues, coüts du matériel, technologies, etc.) pour développer
son évaluation. Cette approche est plus précise que l'évaluation
analogique.
• Évaluation ascendante ..... Avec cette méthode, Je coût de
chaque activité du projet est évalué dans ses moindres détails
(c.-à-d. en partant d'en bas), et ensuite, tous les coüts sont
additionnés pour obtenir 1'évaluation des coùts du projet au
complet. Bien qu'il s'agisse de l'évaluation la plus précise, cet1e
approche est celle qui requiert le plus temps.
• Coûts réels- Comme l'évaluation analogique, cette approche
utilise une extrapolation des coüts réels encourus pour le même
système pour des projets antérieurs.
Estimation de la taille du logiciel
L'estimation de la taille du logiciel po11e sur des méthodes
de détermination de la taille physique relative du logiciel
d'application à développer. Les estimations peuvent servir à
orienter l'allocation des ressources et à juger du temps et du
budget nécessaire pour le développement, ainsi qu'à comparer
l'effort total requis des ressources. Référez-vous au tableau 3.7.
Par le passé, l'évaluation de la taille du logiciel s'eflèctuait
à partir d'estimations par point unique (basée sur un seul
paramètre) comme les lignes de code source (LCS). Pour les
systèmes complexes, les techniques d'estimation à point unique
ne fonctionnent pas bien puisqu'elles ne peuvent accueîllir qu'un
paramètTc dans différents types de programmes, ce qui en retour a
un impact sur les paramètres de coût) de durée ct de qualité. Pour
178
e Certif!OO lnfn~lioo
Systems Audrto(
"
A'""""'"''''""""'
"
surmonter cette restriction, des estimations par points multiples
ont été élaborées.
Les technologies courantes prennent maintenant la forme de
représentations plus abstnlÎtes comme des diagrammes, des
objets, des cellules de fCuilles de calcul, des interrogations
de base de données et des gadgets à interfaces utilisateurs
graphiques (JUG). Ces technologies sont plus étroitement liées
aux« fonctionnalités}> livrables qu'au« travail» ou aux lignes
qui doivent être créées.
Analyse des points fonctionnels
La technique d'analyse des points fOnctionnels (APF) a évolué au
fil du temps pour devenir une technique .ù points multiples et son
utilisation s'est largement répandue pour estimer la complexité du
développement de grandes applications d'affaires.
De l' APF résulte une mesure de la taille d'un système
dïntOrmation fondée sur le nombre et la complexité des intranls,
des extrants, des fichiers, des interfaces et des interrogations
que 1'utilisateur visualise et avec lesquels il interagit. C'est une
mesure indirecte de la taille du logiciel et du processus grâce
auquel il est développé par rappo1i à la mesure directe axée sur la
taille, cornme le compte des LCS.
Les points fonctionnels (PF) sont calculés en remplissant d'abord
un tableau (voir le tableau 3.8) pour déterminer si une entrée
particulière est simple, moyenne ou complexe. Cinq valeurs
de calcul des PF sont définies, incluant le nombre d'intmnts,
d'extrants et de requêtes des utilisateurs ainsi que les fichiers et
interfaces externes.
Une fois le tableau rempli, le nombre total dérivé des points
f-Onctionnels est calculé gràcc 3 un algorithme qui tient compte
des valeurs de rajustement de la complexité (p. ex., les facteurs
d'évaluation) fondées sur les réponses aux questions liées
à la fiabilité, la criticité, la complexité, la réutilisabilité, la
<~ modifiabilité " et la portabilité. Les points fonctionnels obtenus
par cette équation sont ensuite utilisés d'une manière analogue
aux dénombrements par LCS en tant qu'évaluation du coût, du
calendrier, de la productivité et des vmiables de la qualité (p. ex.,
la productivité " PF/personne-mois, qualité~= défauts/PF et le
0
coût " $/PF)"
CAPF est une mesure indirecte de la taille du logiciel. Elle est
fondée sur le nombre et la complexité des intrants, des cxtrants,
des fichiers, des interfaces et des requêtes.
Remarque: Le candidat à l'examen du CISA doit connailre
la méthode d' APE Toutefois, J'examen ne comp01tera pas de
questions précises sur la façon d'effectuer les calculs.
Caractéristiques de I'APF
Dans la plupart des applications standards, des listes de 10nctions
sont établies et le travail qui y est associé est évalué. Dans Je
cas d'applications Web, le travail de développement dépend
du nombre d'écrans (formulaires), du nombre d'images, du
type d'images (statiques ou animées), des fOnctions à activer,
des interfaces ainsi que des réfCrences croisées nécessaires.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e . M
Certifled Information
Systems Audil!lt"
·~----f----

"''"''~"""""""
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section deux : Contenu

Dans le ens d'applications Web donc, le travail englobe tout
ce qui est mentionné pour l'analyse des points fonctionnels en
plus des fonctions qui doivent être activées pour les différents
types de groupes d'utilisateurs. Les mesures comprendraient
l'identification et l'énumération des fonctions, les règles d'accès,
les liens, le stockage, etc.
L' APF est un bon outil d'estimation des applications d'affaires.
Toutefois, il n ·est pas efficace pour d'autres types de logiciels
(p. ex .. les systèmes d'exploitation, le contrôle des processus, les
communications et l'ingénierie). D'autres méthodes d'estimation
sont plus appropriées pour de tels logiciels, incluant le modèle du
coût constructif (COCO MO) et 1eR points caractéristiques APF de
De Marco et de Watson-Felix.
Chiffrer les dépenses
Un projet de développement de système doit être élaboré en
vue d'estimer Je travail requis pour réaliser chaque lâche. IA.::S
estimations pour chaque tâche doivent compotier ceJiains ou
l'ensemble des éléments suivants:
• les heures du personnel selon leur spécialité (p. ex., l'analyste
de système, le programmeur, les employés de bureau);
• les heures-machine (principalement le temps d'ordinateur de
même que les installations de reproduction, les équipements de
bureau et de communication);
• les autres coüts externes comme les logiciels de tierce pmiie,
l'octroi de licences des outils du projet, les frais des consultants
ou des contractuels, la fOrmation, la cetiîtlcation (si exigée) et
l'occupation (si de l'espace supplémentaire est nécessaire à la
réalisation du pr~jet).
Après avoir établi l'estimation la plus juste des heures de travail
prévues par tâche par le personnel (p. ex., les heures actuelles,
minimum/maximum), il faut chiffrer le budget en deux étapes:
1. Les heures de travail du personnel et des machines par phase en
additionnant les heures de travail prévues pour réaliser toutes
les tâches associées à chacune des phases;
2. Multiplier les heures totales de travail par le taux horaire
approprié pour obtenir une estimation des dépenses de
développement des systèmes pour chaque phase.
Il faudra peut-être obtenir des soumissions pour les autres
dépenses.
Estimation du coût du logiciel
l:estimation du coüt découle de l'estimation de la taille du
logiciel. Cette étape est nécessaire pour évaluer adéquatement ln
portée du projet.
Des techniques automatisées existent aussi pour estimer les coüts
des projets à chaque phase de développement du système. Pour
utiliser ces techniques, un système est habituellement divisé en
composants principaux, puis un ensemb1e de facteurs de coûts est
établi. Les composants incluent :
.. le langage de code source;
.. les contraintes de temps d'exécution;
"les contraintes de stockage principal;
• les contraintes de stockage de données;
• l'accès à l'mdinateur;
• la machine cible utilisée pour le développement;
•l'environnement de sécmité;
• les qualifications du personnel.
Dès que tous les n1ctcurs sont définis, le programme élabore les
estimations de coûts du système et de l'ensemble du projet.
Planification et élaboration du délai d'exécution
Alors que l'élaboration d'un budget prend en compte les heures
de travail du personnel et des machines pour chacune des tâches,
la planification s'occupe d'établir des relations séquentielles
entre les tâches. Ce résultat est obtenu en organisant les tâches en
f-Onction des éléments suivants :
• la date de début au plus tôt, en tenant compte de la relation
dans !"ordre logique des tâches et si possible, de la réalisation
simultanée des tâches.
• la date de fin au plus tard, en tenant compte de l'estimation
des heures selon le budget, de la disponibilité du personne! et
des autres ressources, en tenant compte de facteurs de temps
écoulé connus (p. ex., les vacances, le temps de recrutement les
employés ù temps plein ou partiel).
Le calendrier peut être représenté sous forme de graphique en
utilisant diverses techniques comme les diagrammes de Gantt,
la méthode du chemin critique (CPM) ou les graphiques PERT
(Program Evaluation Review "fCchnique). Pendant l'exécution
du projet, le budget et le calendrier doivent être revérifiés pour
évaluer la conformité et identifier les écarts aux points clés et
aux étapes principales. Chaque écart par rapport au budget et au
calendrier doit être analysé pour déterminer la en use et appmier

'
TableaÛ3.8- Câlcul îles meS!lres dilS miniS fonèllonnels
Paramètre de mesure Compte Coefficient de pondération
Simple Moyen Complexe Résultats
Nombre d'intrants de l'utilisateur x3 4 6 -
Nombre d'extrants de l'utilisateur x4 5 7 -

Nombre de requêtes de l'utilisateur x3 4 6 -

Nombre de fichiers x7 10 15 = ___ , .._,_

Nombre d'interfaces externes x5 7 10 =

Nombre total :
Remarque : Les organisations qui utilisent les méthodes de PF élaborent des critères pour déterminer si une entrée particulière est simple, moyenne ou
complexe.

Manuel de Préparation CISA 26" édition 179

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
des correctifS dans le but de minimiser ou d'éliminer 1'écart pour
l'ensemble du projet. Les écmis et leur analyse doivent faire
l'objet d'un rapport présenté régulièrement ilia direction.
Méthode du chemin critique
Tous les échéanciers de projet ont un chemin critique. Comme les
activités de projet sont ordonnées et indépendantes, un projet peut
être représenté comme un réseau où les activités sont illustrées
par des branches reliées par des nœuds juste avant et juste après
les activités.
Tout ensemble d'activités successives, allant du début jusqu'à la
fin du projet, fonne un chemin à travers le réseau. Un nombre
qui représente l'estimation de la durée de l'activité la plus juste
est associé à chaque activité du réseau. Il existe différentes façons
d'estimer la durée d'une activité.
Peu impmie comment la durée de l'activité est estimée, le chemin
critique représente la suite d'activités dont la durée cumulée est
plus longue que celle de n'importe quel autre chemin du réseau.
Tous les échéanciers de projet ont (au moins) un chemin critique,
habituellement un seul lorsqu'il s'agit d'échéanciers de projet
non manipulés. Les chemins critiques sont importants parce que
si tout se passe dans le respect de l'échéancier, leur durée donne
le temps de réalisation le plus court possible pour l'ensemble
du projet. Les activités non comprises dans le chemin critique
ont un échéancier flexible. La marge est la différence entre la
date d'exécution au plus tard de chaque activité, sans en retarder
l'ensemble du projet, et la date d'exécution au plus tôt qui tient
compte des activités précédentes. Les activités sur le chemin
critique ont une marge de zéro el, réciproquement, les activités
qui ont une marge de zéro t'Ont partie du chemin critique.
L.es chemins critiques et les marges d'un projet sont déterminés
en parcourant le réseau de gauche à droite (calcul au plus tôt). Il
s'agit alors de calculer, pour chaque activité, la date d'exécution
au plus tôt, ct ce, jusqu'à ce que soit déterminée la date
d'exécution au plus tôt de l'ensemble du prqjeL En empruntant
ensuite le chemin à rebours dans le réseau, on trouve pour chaque
activité la date d'exécution au plus tanL puis on calcule les marges
ct trace le chemin critique. Cette procédure est informatisée pour
faciliter les calculs et les simulations.
Jusqu'à un certain point, les activités peuvent ètre «condensées''
(accélérées en payant une prime pour réalisation à l'avance) ou
relâchées (avec réductions de coûts correspondantes). De cette
façon, la durée et le budget totaux peuvent être gérés (dans la
mesure du possible).
Ln plupart des CPM facilitent l'nnalyse de l'utilisation des
ressources par unité de temps (p. ex.,jour, semaine, etc.) et le
nivellement des ressources, qui est une façon de compenser les
hauts et les bas des ressources. Les hauts et les bas de la vmiable
ressource sont coüteux en raison de la gestion, de !"embauche, du
congédiement ou des coûts des heures supplémentaires et celui
des ressources inactives. Une utilisation constante des ressourœs
de base esl préfCrable.
Très peu de méthodes scientifiques (algorithme) de nivellcmcnl
des ressources sont disponibles, mais il existe une gamme
180
e Certifled lnformatioo
Systems AuditG('
;t,·UUO'"'''""'~"
complète (offerte dans les progiciels CPM) de méthodes
heuristiques efficaces qui donnent des résultats satisf..1isants.
Diagrammes de Gantt
Les diagmmmes de UanH (figure 3.9) peuvent servir à planifier
les activités (üîches) nécessaires pour exécuter un projet Les
diagrammes montrent à quel moment une activité devrait
commencer et se terminer Je long d'une ligne du temps. Ils
indiquent également quelles activités peuvent être exécutées
en parallèle et en séquence. Les diagrammes de Gantt peuvent
aussi représenter les ressources a11ouées à chaque tâche et le
pourcentage d'allocation. Les diagrammes contribuent à identifier
des activités réalisées en avance ou en retard par rapport au plan
de base. On peut lire le progrès de J'ensemble du projet dans le
diagramme de Gantt pour déterminer si le projet a de l'avance ou
du retard ou s'il respecte l'échéancier par rapport au plan de base.
Les diagrammes de Uantt peuvent également fàirc le suivi des
objectifs ou des réalisations impo1iantes dans le projet, comme la
fin d'une phase ou l'exécution d'un produit livrable principal.
Méthode de programmation optimale (MPO)
La MPO est une technique de type calcul du chemin critique
qui utilise trois estimations differentes pour la durée de chaque
activité au lieu d'un chiffre unique par activité (comme c'est Je
cas pour le calcul du chemin critique). Les trois estimations sont
ensuite réduites (par l'application d'une formule mathématique)
à un chiffre unique, et l'algorithme classique de calcul du chemin
critique est appliqué. La MPO est souvent utilisée dans les
projets de développement de système dont la durée est incertaine
(p. ex., recherche pharmaceutique ou développement de logiciel
complexe). La figure 3.10 illustre la MPO. Sur Je diagramme,
les événements sont représentés par des points sur une échelle de
temps ou des jalons pour indiquer le début ct la fin des activités
(flèches).
Pour déterminer la fin d'une tâche, nous voyons trois estimations.
La première est la plus optimiste (si tout va bien) et la troisième
est la plus pessimiste. La deuxième représente le scénario le plus
probable. Cette estimation est fondée sur l'expérience acquise
dans des projets de taille et de portée similaires. Pour estimer
les heures de travail de chaque activité selon la MPO, on doit
appliquer la formule suivante :
[Optimiste+ Pessimiste+ 4(Je plus probable)]/6
De l'utilisation de la MPO découle aussi un chemin critique. C'est
le plus long chemin du début à la fin du réseau (un seul chemin
critique par réseau). Le chemin critique correspond au parcours
qui permet d'accélérer le projet ou de le retarder. Dans la figure
3. J 0, les lettres A, C, E, F, H et l désignent le chemin critique.
L;avantagc de la MPO par rapport au calcul du chemin critique
est que la lOrmule plus haute est fondée sur la présomption
raisonnable que les trois estimations suivent une distribution
statistique bêta et, par conséquent, les probabilités (avec Je degré
de confiance qu'on y associe) peuvent être reliées à la durée totale
du projet.
Lors de la conception d'un réseau MPO pour des projets
de développement de système, la première étape consiste à
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . Certified lnlormalion
.M. Systems Auditor'

'"='"'''""~'
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section deux : Contenu

déterminer toutes les activités et les événements ou jalons
C:Lo;;sociés ainsi que leur séquence relative. Par exemple,
l'exécution d'une étude de faisabilité opérationnelle ou le point
où l'utilisateur reçoit le concept détaillé sont des exemples
d"événemcnt ou de résultnt. L'analyste doit veiller à n'omettre
aucune activité. De plus. certaines activités, comme l'analyse et la
conception, doivent ètre précédées par d'autres activités avant que
la programmation puisse commencer. La complexité du reseau
MPO dépend de la liste des activités. Canalyste peut préparer
plusieurs diagrammes qui fOurniront des estimations de temps
encore plus détaillées.
Gestion de l'échéancier
La gestion de l'échéancier est une technique de gestion de projet
servant à définir et à déployer les biens livrables logiciels dam: un
délai fixe ct relativement court avec des ressources spécifiques.
À l'intérieur de cc cadre de temps, il faut créer l'équilibre entre
la qualité du logiciel et le respect du délai de livraison. Le
gestionnaire de projet bénéficie d'une cctiaine liberté ct élabore
les exigences selon son bon jugement. La gestion de l'échéancier
peut servir à réaliser du prototypage ou des approches fondées
sur le développement rapide d'applications lorsque les éléments
clés doivent être livrés en un court laps de temps. Les éléments
clés comprennent des interfaces pour des intégrations futures.
Le grand avantage de cette approche c'est qu'elle évite les
dépassements de coûts du projet et les retards par rapport au délai
de livraison prévu. Le besoin d'un processus de qualité n'est pas
nécessairement écarté. La conception et le développement des
phases sont abrégés en raison de l'utilisation de nouveaux outils
et de nouvelles techniques de développement. La participation de
1'utilisateur final tàcilîte la préparation des scénarios de test et des
exigences de test. Habituellement, 1'essai de système et les essais
d'acception de l'utilisateur sont effectués ensemble.
3.4.3 EXÉCUTION DU PROJET
Une fois que les efforts de planification sont terminés, le
chef de projet, de concert avec la direction du programme,
commence la réalisation propre des tâches planifiées telles que
décrites dans la structure de répmtitîon de l'objet, la structure
de répatiition du travail et les processus de travail~- les plans,

figure 3.9-EXemple de diagramme île Ganlt

~·:~::. !f4~,,~, ~::: ,,,,, ''"'icr;~±::~[;;.i a~:i:1:.:::.:;1~2:2!12;;;;.::lli17i1r::~~::''':'~"··:"'*··~,:;,
~ m;l,,.,;,,., •:.<~«r•

$'~'"'' "" "\10~

'""''
~ t.. ,

.,,.., ""'"'"
*::\'·"' '""'' '"~··,
·~ <l>··
;;G•;,·,
~. tt4'•
f.lt<»t
.., ~:~.:::.:J

:==::~::::-,--~c-,~-,bL::--,--.-L.l
~~

C.:::::· ,-,"'"~-.:··

......
,;,;-
c,t

• figure 3.10 -Réseâu llEÎli

1-2-3

1-3-5 B 1-3-5 1-2-4

1-1-3
2-4-9 2-5-8
A E

2-4-6 1-4-6

0 1-4-7 1-2-5

Manuel de Préparation CISA 26' édition 181

ISACA- Tous droits réservés.
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
processus et procédures. !.:équipe de gestion du programme et
du projet met en place le contrôle des critères de production et
de qualité pour l'équipe interne et contrôle ces critères pour les
entrepreneurs et les fOurnisseurs. Un facteur de succès clé est la
supervision du projet de l'équipe intégrée pour les exigences des
systèmes Tl, l'architecture, la conception, l'élabomtion, les tests,
l'implantation et la transition aux opérations de production.
3.4.4 CONTRÔLE DU PROJET
Les activités de contrôle d'un projet comprennent la gestion de
la pot1ée ainsi que l'utilisation des ressources et des risques.
JI est important que les nouvelles exigences du projet soient
documentées et, si elles sont approuvées, que les ressources
appropriées lem· soient allouées. Le contrôle du changement
assure que les projets respectent les délais, les montants alloués
et les objectifs de qualités déterminés par les parties prenantes.
La satisfaction des pmiies prenantes devrait être abordée par une
définition des exigences juste et efficace, une documentation
adéquate, l'établissement d'une base de référence et des activités
du comité directeur réalisées avec compétence.
Gestion des changements de la portée
Gérer la portée des projets exige une documentation soignée
sous forme d'une structure de répartition de travail. Cette
documentation fait partie du plan de projet ou de la base du
projet. Pour les biens livrables complexes, il est préférable de
documenter la structure de répartition de travail dans une base de
données de gestion des composantes (CMDB). Les modifications
à la portée entraînent presque inévitablement des changements
aux activités requises et ont un impact sur l'échéancier et le
budget. Par conséquent, il est nécessaire d'avoir un processus de
gestion du changement. Ce processus commence par une requête
de modification officielle contenant une description claire des
changemenl"> demandés et des raisons les motivant. Les requêtes
de modification doivent être soumises au gestionnaire de projet.
Évidemment, seules les parties prenantes sont autorisées à
soumettre des requêtes de modification. Des copies de toutes
les requêtes de modification doivent être archivées dans le
dossier de projet. Le gestionnaire de projet évalue l'impact de
chaque requête de modification sur les activités du projet (la
portée), le calendrier et le budget. Le comité consultatif sur les
changements étudie la requête de modification (pour le compte
du parrain) et décide de recommander ou non la modification.
Si la modification est acceptée, le gestionnaire de projet reçoit
la consigne de mettre à jour le plan de projet pour intégrer la
modification demandée. Le plan de projet mis à jour doit être
confirmé officiellement par le parrain du projet, qui accepte
ou rejette la recommandation du comité consultatif sur les
changements.
Gestion de /"utilisation des ressources
L'utilisation des ressources est le processus de dépense du budget
de projet. Pour vérifier si les dépenses réelles correspondent
aux dépenses prévues, l'utilisation des ressources doit être
mesurée et rappmiée. Un simple suivi des dépenses réelles ne
suffit pas. Chaque budget et plan de projet présupposent une
certaine« productivité}} des ressources (p. ex., si la réalisation
d'une tâche est censée prendre 24 heures-personnes, on suppose
implicitement que les ressources déployées pennettront de la
182
des Systèmes d'Information
e Certified Information
Systems Audîlor'
..,,,==''"'"'''
terminer en 24 heures-personnes tout en livrant des résultats de
qualité satisHtisante). On vérifie si c'est réellement le cas, dans
les faits, avec une technique appelée analyse de la valeur acquise
(EVA).
L'EVA consiste à comparer les paramètres qui suivent à
intervalles réguliers pendant le projet: le budget à ce jour, les
dépenses réelles à ce jour, Pestimation jusqu'à la fin du projet et
l'estimation à l'achèvement. Si on prévoit qu'un projet à tâche
unique prendra trois jours de travail au rythme de huit heures
par jour, huit heures de ressources auront été dépensées après le
premier jour. Cela correspond au budget, mais il faut répondre à
la question suivante: le projet respecte-t-il son échéancier? Il est
impossible de répondre sans connaître l'estimation des ressources
prévues pour terminer le projet. Si la productivité des ressources
correspond à ce qui était prévu, il faudra 16 heures de plus pour
accomplir la tâche. Plutôt que de présumer que c'est le cas, il
faut demander au travailleur combien d'heures seront nécessaires
pour terminer Je travail. La réponse pourrait bien être qu'il faudra
encore 22 heures avant de compléter la tâche. Lestimation à
l'achèvement passe alors à 30 heures pour le projet. Ce résultat
représente un dépassement de 25 pourcent. Pendant la première
journée de ce petit projet, les ressources dépensées correspondent
au budget, mais la « valeur acquise >> des huit heures dépensées
n'est que de deux heures (selon la productivité prévue). Bien sûr,
les rapports par fiche de temps et par les gestionnaires constituent
la base de tous ces processus.
Gestion du risque
Le risque sc définit comme une condition ou un événement
négatif possible qui perturberait des aspects du projet. Il y a
deux principales catégories de risques de projet : ceux qui ont
un impact sur sa rentabilité pour l'entreprise (et qui remettent
donc en question l'existence même du projet) et ceux qui ont un
impact sur le projet en soi. Le parrain du projet est responsable
d'atténuer les risques de la première catégorie, et le gestionnaire
de projet est responsable d'atténuer ceux de la seconde.
Le processus de gestion du risque consiste en cinq étapes
exécutées à répétition pendant un projet. Les jalons en fin de
phase sont un bon point de repère dans le temps pour réviser et
mettre à jour l'évaluation du risque d'origine et les atténuations
associées. Les étapes du processus de gestion du 1isque sont :
• Identifier les risques- effectuer un remue-méninges avec
l'équipe pour dresser une liste des risques possibles.
• Évaluer les risques~ quantifier la probabilité (exprimée
en pourcentage) et J'impact du Iisque (exptimé en somme
d'argent). La« police d'assurance)) qui doit être intégrée au
budget de projet est calculée en multipliant la probabilité par
l'impact.
• Gérer les risques- Élaborer un plan de gestion des risques
décrivant la stratégie adoptée et les mesures pour gérer les
risques. En général, plus le risque est important, plus le budget
prévu pour les contre-mesures devrait être impo1iant. Les
contre-mesures comprennent la prévention, la détection et les
activités de 1imitation des dégâts ou de reconstruction. Tout
risque peut être atténué, évité, transféré ou accepté, dépendant
de sa sévérité et de sa probabilité, des coûts associés aux contre~
mesures et de la politique de l'entreprise.
• Surveiller les risques- Découvrir les risques qui se
Manuel de Préparation CISA 26" édition
ISACA_ Tous droits n!servés.
e CerlifiCd Information
Systems Audito(
~---+----··~
"'"""""'"'"""'""'
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
concrétisent et agir en conséquence.
• ÉYaluer le processus de gestion des risques~ Réviser et
évaluer l'efficacité et les coûts du processus de gestion des
risques.
3.4.5 FERMETURE DU PROJET
Un projet doit avoir une durée de vie limitée pour qu'à un
moment donné il soit fCrmé et que le système, nouveau ou
modifié . .soit remis aux utilisateurs ou au personnel de soutien
du systè.mc. À ce stade, un responsable devm être affecté à toute
question non résolue. Le système doit être prêt à êtTc livré et
répondre aux besoins du responsable du projet Les points clés à
considérer comprennent :
• Quand le chef de projet émetlTa+ill'avis final de lèrmeture du
pr~jet?
• Qui émettra l'avis final de projet?
• Comment le chef de projet va-t-il soit aider les membres de
l'équipe de projet à ülirc la transition vers de nouveaux projets
soit les libérer pour qu'ils retournent à leurs tâches habituelles?
• Que va faire le chef de projet relativement aux actions, risques
et e1~cux en suspens? Qui va prendre en charge ces actions ct
comment seront-elles financées?
On devra peut-être assigner un propriétaire aux contrats. et la
documentation devra être archivée ou transmise ù ceux qui en
auront besoin. Il est fréquent à celte étape de sonder l'équipe
du projet, l'équipe de développement, les utilisateurs de même
que les pmiies prenantes à propos de l'exécution du projet Les
leçons apprises pourront servir lors de projets qui comprennent
des critères fondés sur le contenu comme la pe1fonnancc,
l'atteinte d'objectif..;; complémentaires, le respect de l'échéancier
ct des coûts. À cela, ajoutons les c1itèrcs fondés sur Je processus,
comme la qualité du travail de l'équipe et les liens avec les
environnements pertinents.
La vérification peut se {-[lire en suivant une procédure formelle
comme 1'évaluation nprès projet, au cours de laquelle les leçons
apprises et l'évaluation des processus de gestîon de projet utilisés
sont documentées pour en faire profiter d'autres gestionnaires
de projet ou utilisateurs qui travai11cront ultérieurement sur des
projets de taille et de p01tée similaires.
A l'opposé, une évaluation postimplantation est habituellement
effectuée une fois que le pr~jet est mis en œuvre (ou << en
production))) depuis un certain temps--- soit assez longtemps
pour pouvoir évaluer les bénéfices et les coûts pour l'entreprise,
puis mesurer le succès global du projet ainsi que son impact sur
les domaines d'activité. Les métriques utilisées pour quantifier la
valeur du projet comprennent: coüts totaux de propriété (CTP) et
rendement du capital investi (RCI).
Remarque : Les descriptions des pratiques d~gesti~n de -----·-·»-
projet ainsi que les concepts et théories associés derrière les
pratiques exemplaires ont été rassembl~s dans des bibliothèques
de référence appelées {(blocs de connmssances » (BoKs).
r
Les systèmes de certification ont ultérieurement été fOndés
r les BoKs. Trois organisations protèssionnelles pertinentes
ffrent de tels systèmes de certification; le PMI, l'lPMA et la
mRINCE2 Foundation.
~''''~~~~---,---,~~,,,_, ________ ~-~~-----,--~~,, ____ ,J
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
3.5 DÉVElOPPEMENT DES APPliCATIONS
D'AFFAIRES
Les entreprises affectent souvent un nombre important de
ressources de Tl (p. ex., des gens, des applications, des
installations ct de la technologie) à la conception, à l'acquisition.
à l'intégration et à l'entretien de systèmes d'application essentiels
au fonctionnement efficace des processus opérationnels clés.
Ces systèmes, pour leur patt, contrôlent souvent les produits
d'information essentiels et doivent être considérés comme des
actifs devant être gérés ct contrôlés de manière efficace. Les
procédés des Tl pour la gestion et le contrôle de ces ressources
des Tl et d'autres activités du même genre fOnt partie d'un
processus de cycle de vie comportant des phases définies
applicables à la conception, au déploiement, à l'entretien et au
retrait des applications d'atlhires. Dans ce processus, chaque
étape ou phase dans le cycle de vic est une étape incrémenta le
qui jette les bases de la phase suivante, ce qui permet de gérer
efficacement la conception et le fonctionnement des systèmes
d'application d'affaires.
Le processus d'implantation des applications d'affaires suit
la planifîcation de projet et les processus de gestion décrits
précédemment. Le projet de développement d'une application
d'affaires s'amorce habituellement lorsqu'une étude de faisabilité
d'une application est déclenchée en raison d'une ou de plusieurs
des situations suivantes :
• Une nouvelle occasion reliée ù un nouveau processus
opérationnel ou à un processus existant
• Un problème relié à un processus opérationnel existant
• Une nouvelle occasion permettant à l'entreprise de tirer profit
de la technologie.
• Un problème avec la technologie actuelle.
• L'alignement des applications d'affaires sur les systèmes
nonnalisés dans l'industrie et chez les pm1enaires, ainsi que sur
leurs interfaces respectives.
Toutes ces situations sont étroitement liées aux catalyseurs
opérationnels essentiels. Les catalyseurs opérationnels essentiels,
dans ce contexte, peuvent être définis comme étant les attributs
d'une fonction de gestion qui dirigent le comportement et
l'implantation de cette même fOnction afin d'atteindre les
objectif..:.; opérationnels stratégiques de l'entreprise.
JI faut donc transf-ormer tous les objectifs opérationnels essentiels
(p. ex., la décomposition de la stratégie d'entreprise) en
catalyseurs opérationnels clés pour toutes les parties impliquées
dans le fonctionnement de !'entreprise lors d'un cycle de
développement de systèmes. Les objectifS devraient respecter les
directives de qualité SMART mentionnées dans la section 3.3.5
sur les objectifs du projet, afin que les exigences générales soient
exprimées sous forme d'une fiche de pointage qui permet la
collecte de preuves objectives pour évaluer la valeur commerciale
d'une application et prioriser les exigences.
L'utilisation de cetle approche fait en sorte que les parties
impliquées auront une compréhension commune et claire
des objectifs et de la manière dont ils contribuent ù soutenir
l'cntr~prisc. De plus, les problèmes reliés aux catalyseurs
183
 Chapitre 3 - Acquisition, Développement et Implantation
Section deux : Contenu des Systèmes d'Information

opérationnels conflictuels (p. ex., coüts et fonctionnalité) et aux
catalyseurs opérationnels essentiels interdépendants peuvent
être détectés et résolus dans les premières étnpes d'un cycle de
développement de systèmes.
Les projets d'applications doivent être enclenchés ù l'aide de
procédures ou d'activités bien définies à l'intérieur d'un processus
défini visant à faire part des besoins de l'entreprise à la direction.
Ces procédures nécessitent souvent une documentation détaillée
qui identifie le besoin ou le problème et qui mentionne la solution
privilégiée ainsi que les avantages possibles pour l'entreprise. Il
faut identifier tous les facteurs internes ou externes touchés par le
problème ainsi que l'impact sur l'entreprise.
Tout projet de conception d'un logiciel comporte le risque de
ne pas respecter toutes les exigences. Des problèmes provoqués
par des erreurs de traduction surviennent lors de la définition
initiale des exigences pour les produits temporaires. Cc modèle
de chute et ses variantes nécessitent habituellement une approche
de la vé1ification du cycle de vie, qui s'nssure que les erreurs
potentielles sont conigées rapidement et non pns uniquement au
cours des derniers tests d'ncccptation. Le modèle de vérification
et validation, pmfois appelé le modCJc V, met aussi l'accent sur la
relation entre les phases de développement et les niveaux de tests
(voir la figure 3.11). Le test Je plus granulaire-- le test unitaire
-se fait immédiatement après l'écriture des programmes. Des
tests sont effectués en conformité avec cc modèle afin de valider
la conception organique. Les tests de système sc rapportent aux
spécifications architecturales du système, alors que les tests
d'acceptation de l'utilisateur final se rapportent aux exigences.
Du point de vue d'un auditeur des Sf, le modèle V, qui comprend
des phases de cycle de vie définies et des points spécifiques à
passer en revue ct .à évaluer, offre les avantages suivants:
• L'inOuence de l'auditeur des SI est beaucoup plus importante
lorsque des procédures ct des lignes directrices formelles
identifient chaque phase dans le cycle de vie de l'application
ainsi que l'étendue de !a participation de !'auditeur.
• L"auditcur des SI pèut revoir toutes les phases et tous les aspects
pe1iinents des projets de développement de systèmes et fhire
un rappmi indépendant à la direction concernant le respect des
objectif..,. établis et des procédures de l'entreprise.
• L'auditeur des SI peut identifier des pmties sélectionnées du
système et toucher aux aspects techniques en fonction de ses
compétences ct capacités.
• Cauditeur des SI peut fournir une évalua1ion des méthodes ct
des techniques appliquées pendant les phases de conception du
cycle de vic de l'application.
Toute application conçue se classe sous une de deux catégories
importantes :
• Centrée sur l'entreprise (système d'infOrmation de gestion
[SIG], progiciel de gestion intégré, gestion des relations avec
la clientèle [CRM], gestion de la chaîne logistique [SCM],
etc.). L'o~jcctifd'une application centrée sur l'entreprise est
de recueillir, d'efl'cctuer un collage, de stocker, d'archiver
ct de pmiager l'information aux utilisateurs fonctionnels
ainsi que diverses fonctions de soutien applicables au
besoin. Ainsi, les données sur les ventes sont mises à la
disposition des services des comptes, de l'administration,
des divisions des prélèvements gOLIVernementaux, etc. La
perception réglementaire de prélèvement (c.-à-d. les impôts)
est également couverte par la présence d'applications
centrées sur l'enJreprise. Les projets d'applications centrées
sur l'entreprise utilisent habituellement le SDLC ou des
approches d'ingénierie logicielle plus détaillées pour le
développement
• Centrée sur l'utilisateur final. Lobjectif d'une application
centrée sur l'utilisateur final est d'offrir différentes façons
de voir les données afin d'en optimiser la performance.
Cet objectif comprend les systèmes d'aide à la décision, les
systèmes d'infom1ation géographique (GIS), les techniques.
etc. La plupart de ces applications sont conçues en utilisant
des approches de conception alternatives.

Figure 3.11 -Vérification e!validation

[E;~;~~~~fu~eJ\·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·{d·~c::;alio~]

to~~;::~f:s} ~--·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·--~-!~1~~~ J
~ ~.1.~-
\ .-,

l ;,;;L . •1
· architecturale .·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·l d'intégration

- J....__ __} _ ,----- ---.. -

Vérifier Conception ·-·-·-·-·-·J Test
-·-·-·-·-·-·-·+ détatllé_" ·. \._ v[u_nitaire

~~~:· [_____ _

184 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d~"lnformation Section deux : Contenu

3.5.1 APPROCHETRADITIONNELLE DU CYCLE DE
DÉVELOPPEMENT DE SYSTÈMES
Au cours des années, la conception d'applications s'est
principalement faite en utilisant les phases traditionnelles
de cycle de développement de systèmes illustrées dans le
tableau 3.12. Aussi appelée technique de chute, cette approche
est la plus vieille et la plus répandue pour concevoir des
applications. Elle est basée sur une approche systématique et
séquentielle de la conception de logiciels (principalement des
applîcations ct·amlires) qui commence par une étude de faisabilitê
et évolue ensuite vers la définition des exigences, la conception,
le développement, l'implantation et la postimplantation. La série
d'étapes ou de phases a des buts et des activités défitlis qu'elle
doit réaliser avec les responsabilités attribuées, les résultats prévus
et les dates d'achèvement cibles.
Cette approche fOnctionne mieux si les exigences d'un projet
demeurent stables et bien définies. Elle facilite la définition d'une
architecture de système assez tôt dans l'effort de conception. Un
autre type d'approche pour le développement d'un logiciel est
J'approche itérative, dans laquelle les exigences opérationnelles
sont conçues et testées en itérations jusqu 'à ce que 1'application
entière soit conçue, prête et testée. L'approche traditionnelle est
utile pour les applications Web, pour lesquelles les prototypes
d'écrans sont nécessaires pour aider à réaliser les exigences ct la
conception.
Alors que les progiciels achetés deviennent de plus en plus
communs. les phases de conception et de développement du cycle
de vie traditionnel sont remplacées par les phnses de sélection ct
de configuration.

Tableau 3.12 -IMJproche traditionnelle du cycle de développement de ~stème

Phase de développement de
systèmes
Pl1ase 1 -Étude de faisabilité
Phase 2 - Définition des exigences
Phase 3A- Sélection et acquisition
des logiciels (systèmes achetés)
Phase 38 - Conception
(développement al'interne)
Phase 4A - Configuration (systèmes
achetés)
Phase 48 - Développement
(Développement al'interne)
Phase 5 - Essais finaux et
implantation
Phase 6 - Post -implantation
Description générale
Déterminer les avantages stratégiques de l'implantation du système en termes de gains de productivité ou de
réduction des coüts futurs, identifier et quantifier les économies réalisées grâce au nouveau système et évaluer
un calendrier de remboursement des coûts survenus lors de l'implantation du système. D'autres facteurs
intangibles tels que la disponibilité des utilisateurs fonctionnels et l'échéance des procédés d'affaire seront aussi
considérés et évalués. Cette analyse de cas permet de passer ala phase suivante.
Définir le besoin ou le problème arégler et définir les exigences fonctionnelles et de qualité du système de
solution. Il peut s'agir d'une approche personnalisée ou d'un progiciel fournit par un fournisseur, qui serait mis
en place ala suite d'un processus d'acquisition défini et documenté. Dans les deux cas, la participation active de
l'utilisateur est essentielle.
Selon les exigences définies, préparer une demande de propositions décrivant les exigences de l'entreprise dans
le but d'inviter des offres de services de fournisseurs potentiels, dans le respect des systèmes pour lesquels les
revendeurs et fournisseurs de solution feront l'approvisionnement.
En se basant sur les exigences définies, établir une base de référence du système et des spécifications des
sous-systèmes qui décrivent les parties du système, de quelles manières elles s'intertacent et comment le
système sera implanté en utilisant le matériel, le logiciel et l'installation réseau sélectionnés. Habituellement, la
conception comprend également les spécifications des programmes et des bases de données et couvrira toutes
les considérations de sécurité. De plus, un processus formel de supervision des changements est établi pour .
empêcher l'ajout non contrôlé de nouvelles exigences dans le processus de conception.
Configurer le système et, s'il s'agit d'un progiciel, l'adapter aux exigences de l'entreprise. La meilleure façon de
procéder est de configurer des paramètres de contrôle du système plutôt que de modifier le code de programme.
Les progiciels modernes sont extrêmement flexibles, ce qui leur permet de convenir abeaucoup d'entreprises
simplement en activant ou en désactivant des fonctionnalités et en réglant les paramètres dans des tables. Il
peut être nécessaire de concevoir des programmes d'intertace qui relieront le système acquis aux programmes
et bases de données existants
Utiliser les normes de conception pour commencer la programmation et la formalisation qui soutiennent les
procédés opérationnels du système. Des tests de degrés différents sont également effectués au cours de cette
phase pour vérifier et valider ce qui a été conçu. Cette étape inclut généralement tous les tests unitaires et de
systèmes, ainsi que plusieurs itérations de tests d'acceptation de l'utilisateur.
Déterminer le fonctionnement réel du nouveau système d'information et procéder al'itération finale des tests
d'acceptation de l'utilisateur et al'approbation de l'utilisateur au cours de cette phase. Le système peut aussi
passer par un processus de certification et d'accréditation pour évaluer l'efficacité des applications adiminuer
les risques aun niveau approprié, et rendre la direction imputable de l'efficacité du système aatteindre les
objectifs prévus en établissant un niveau de contrôle interne approprié.
Àla suite de l'implantation réussie d'un nouveau système ou d'un système considérablement modifié, instaurer
un processus formel qui évalue la conformité du système et les coûts et avantages ou les mesures du rendement
du capital investi (RCI) prévus par rapport aux conclusions et aux déviations de l'étape de faisabilité. De cette
manière, l'équipe de direction du projet des SI et de l'utilisateur final peut taire état des leçons apprises ou des
plans pour régler les déficiences du système, ainsi que taire des recommandations pour les projets futurs en ce
qui a trait au développement de systèmes et aux procédés de gestion de projet suivis.

Manuel de Préparation CISA 26" édition 185

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e. Cert!fJed lnfo.""'
.,.. Systems
~~
... ""
Auditor'

d'entre elles). Chacune possède un ensemble d'activités ct de

Remarque : Le candidat au titre CISA doit se Huniliariser avec
résultats définis. (IYautres interprétations utilisent un nombre
les phases du cycle de développement de systèmes. Il doit être
légèrement différent de phases avec diftèrents noms; par exemple,
conscient de ce qu'un auditeur des SI doit rechercher lorsqu'il
une septième phase, la maintenance, est souvent ajoutée.)
révise l'étude de tàisabilité.
La section qui suit décrit en détaille but de chaque phase et
Certains exemples de mesure des facteurs de succès essentiels
sa relation avec les phases précédentes, les activités générales
à un cycle de développement de systèmes pourraient inclure la
effectuées et les résultats prévus.
productivité, la qualité, la valeur économique et le service à la
clientèle, tels qu'illustrés dans le tableau 3.13.
Phase 1 - Étude de faisabilité
Une fois que l'approbation initiale a été donnée pour aller de
I.:avantage principal de l'approche traditionnelle est qu'elle
l'avant avec un projet, une analyse sc fait pour déterminer
t()Urnit un modèle dans lequel on peut inclure les méthodes
clairement le besoin et pour identifier les autres façons d'aborder
pour les exigences (c.-à-d. la définition, la conception, la
le besoin. Cette analyse sc nomme étude de faisabilité.
programmation, etc.). Toutefois, voici quelques-uns des
problèmes éprouvés avec cette approche :
Le but de l'étude de faisabilité est d'analyser les avantages et
.. Les événements imprévus. Puisque les vrais projets suivent
les solutions pour l'aspect du problème identifié. Cette étude
rarement le cheminement· séquentiel prescrit, l'itération se
comprend l'élaboration d'une analyse de cas, qui dicte !cs
produit toujours et crée des problèmes lors de l'implantation de
avantages stratégiques d'implanter le système en termes de gains
11approchc.
de productivité ou en évitement de coûts futurs. Elle détermine
• JI est difficile d'obtenir un ensemble explicite d exigences de
1

et quantifie les économies du nouveau système et évalue un

la part du consommateur ou de l'utilisateur, comme !"exige
calendrier de remboursement pour les coùt'-> encourus lors de
l'approche.
l'implantation du système, ou elle montre le RCI (rendement
• Gérer les exigences et convaincre 1'utilisateur que ccrt.."lincs
du capital investi) projeté. Des avantages intangibles tels que
exigences concernant la fonctionnnlité du système sont
l'amélioration du moral peuvent aussi être identifiés. Cependant,
excessives et injustifiées, ce qui peut entraîner des conflits dans
les avantages doivent être quantifiés autant que possible.
le projet.
• La nécessité d'avoir la patience du consommateur ou de
L'étude de faisabilité englobe habituellement les éléments
l'utilisateur. Cette patience est requise puisque, sous cette
suivant.<; ;
approche, une version de travail des programmes du système ne
• Définir un échéancier pour l'implantation de la solution requise.
sera pas disponible avant que le cycle de vie du projet ne soit
• Déterminer une solution de rechange optimale basée sur
très avancé.
le risque pour répondre aux besoins de l'entreprise et
• Un contexte commercial changeant qui modifie les exigences
aux exigences générales des ressources dïnformation {p.
des consommateurs ou des utilisateurs avant la livraison du
ex., concevoir ou acquérir un système). Les ressources
produit.
d'information incluent les gens, les applications, la 1echnologie,
les installations et les données organisées el gérées par un
De plus, les phases réelles pour chaque projet peuvent varier
ensemble donné de procédés « naturels )} des Tl. On peut
selon que l'on ait choisi de concevoir ou d'acquérir une solution.
facilement établir une correspondance entre de tels processus et
Par exemple, les efforts d'entretien du système peuvent ne pas
le SDLC el, avec un peu plus d'etfOJiS, le développement rapide
exiger le même niveau de détail ou le même nombre de phases
d'application (DRA).
que les nouvelles applications. li faut décider des phases et des
• Déterminer si un système existant peut corriger la situation avec
livrables au cours des premières étapes de planification du projet.
de légères modifications (p. ex., une solution de rechange) ou
sans modification.
3.5.2 DESCRIPTION DES PHASES TRADITIONNELLES • Déterminer si le produit d'un fOurnisseur propose une solution
DU CYCLE DE DÉVELOPPEMENT DE SYSTÈMES au problème. Les produits des fournisseurs incluent des services
L1approche traditionnelle du cycle de développement de systèmes comme l'infonuagique, la plateiDrme ou le logiciel en tant
est composée de phases distinctes (le tableau 3.12 illustre six que service, les services de sécurité gérés ct les applications

'
Tableau 3.13- Mesures des tacteurs ile sucêès essentiels
Productivité Dollars dépensés par utilisateur
Nombre de transactions par mois
Nombre de transactions par utilisateur
Qualité Nombre de divergences
Nombre de conflits
Nombre d'occurrences de détection de fraude ou d'utilisation malveillante
Valeur économique Réduction au total du temps de traitement
Valeur monétaire des coûts d'administration
Service à la clientèle Délai d'exécution pour répondre à la question d'un consommateur
Fréquence des communications utiles aux utilisateurs

186 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e Certil!ed lnftmnatioo
Systems Allditor·
-----+------
"'''"""'W'''"''""
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
commerciales disponibles sur le marché.
• Détem1incr le coût approximatif de concevoir le ,système nfin de
corriger la situation.
• Déterminer si la solution convient à la stratégie de l'entreprise.
Le.'> f<lctcurs qui ont un impact sur la décision de concevoir ou
d'acquérir un système incluent :
• La date à laquelle le système doit être fonctionnel.
• Le coût de conception d'un système par opposition au coût
d'achat d'un système.
• Les ressources, le personnel (la disponibilité et l'ensemble des
compétences) et le mntériel requis pour concevoir un système
ou implanter la solution d'un fournisseur.
• Dans un système acheté, les caractéristiques de la licence
(p. ex., le renouvellement annuel ou perpétuel) ct les coûts
d'entretien.
• Une interface permettant l'échange d'information entre les
autres systèmes ct le système acheté.
.. La compatibilite avec les plans d'affaires stratégiques.
• La compatibilité avec la propension au risque ct les besoins en
conformité à la réglementation.
• La compatibilité avec l'infrastructure des Tl de l'entreprise.
.. Les exigences futures probables pour apporter des
modifications aux fonctionnalités offertes par le système.
Le résultat de !"étude de faisabilité doit être une sorte de rapport
comparatif qui montre les résultats des critères analysés (p. ex.,
les coûts, les avantages, les risques, les ressources requises et
l'impact sur l'entreprise) et recommande l'une des solutions de
rechange ainsi qu'une ligne de conduite.
La mise sur pied d'une étude d'impact est liée de près à l'étude de
faisabilité. Une étude d'impact est une étude des elTets possibles
futurs d'un projet de conception sur les projets et les ressources
courantes. Le document résultant doit donner les avantage'> et les
inconvénients de la poursuite d'une ligne de conduite spécifique.
Phase 2 - Définition des exigences
La définition des exigences .se préoccupe d'identifier et de
spécifier les besoins fonctionnels du système choisi pour
la conception lors de l'étude de faisabilité. Les exigences
comprennent la description de ce qu'un système doit faire, de
la manière dont les utilisateurs interagiront avec le système,
des conditions sous lesquelles le système fOnctionnera ct des
critères d'information que le système doit respecter. Le réfèrcntiel
COBI1' définit les critères d'information devant être inclus dans
les exigences de systèmes pour aborder les problèmes associés
à l'efficacité, à l'efficience, à la confidentialité, à l'intégrité,
à la disponibilité, à la conlùrmîté et à la fiabilité. La phase de
définition des exigences traite aussi de problèmes très importants
parfois appelés exigences non fonctionnelles (p. ex., les contrôles
d'accès). Dans le marché d'aujourd'hui. on donne une priorité
accrue à l'assurance que les considérations de sécurité sont
abordées au début du cycle de développement de systèmes. De
nombreuses faiblesses de sécurité des Tl peuvent être corrigées
en portant une attenlion critique à ce sujet dans le contexte du
cycle de développement de systèmes, en particulier pendant la
phase de définition des besoins.
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
Pour réaliser avec succès la phase de definition des exigences,
l'équipe de projet doit:
• Identifier et consulter les pmicnaires pour déterminer leurs
exigences.
• Analyser les exigences pour detecter ct corriger les conflits
(surtout les différences entre les exigences ct les attentes) et
déterminer les priorités.
• Identifier les limites du système ct la façon dont le système doit
interagir avec son environnement.
• Convc1iir les exigences de l'utilisateur en exigences de système
(p. ex., un prototype d'interface utilisateur interactive qui illustre
l'aspect et la convivialité de l'écran)
.. Enregistrer les exigences dans un format structuré.
l-fistoriquement, les exigences sont notées dans des
spécî fi cations des besoins écrites, possiblement complétées
par quelques modèles schématiques. Des outils de gestion
des exigences commerciales sont maintenant disponibles et
permettent de stocker les exigences et l'information connexe
dans une base de données multiutilisateur.
• Vérifier que les exigences sont complètes, constantes, limpides,
vérifiables, modifiables, testables et traçables. En raison du coùt
élevé relié à la correction de problèmes des exigences dans les
phases de développement descendantes, les révisions efficaces
des exigences constituent un gain énorme.
• Résoudre les conflits entre les partenaires.
• Résoudre les conflits entre l'ensemble des exigences et les
I'CSSOUrCCS disponibles.
Les utilisateurs dans ce processus spécifient leurs besoins en
ressources d'information, non automatisées ou automatisées,
et la tàçon dont ils veulent que le système y réponde {p. ex., les
contrôles d'accès, les exigences réglementaires, les besoins en
inf01mation de la gestion ct les exigences d'interface).
I.:auditeur de'> SI doit pmier une atiention particulière au degré
d'implication de l'équipe de sécurité de l'ingénierie des systèmes
de l'entreprise dans l'élaboration des contrôles de sécurité durant
tout le cycle de développement des applications commerciales.
Ceci signifie que les contrôles sont mis en place en ce qui a trait
aux besoins inhérents de donnCes sur la confidentialité, l'intégrité
et la disponibilité, ù pmtir de la créatiOJV'réception, du traitement,
du stockage, de la transmission et, ultimement. de la destruction.
À parlir de ce processus interactif: une conception préliminaire
générale du système peut être élaborée ct présentée à la
direction des utilisateurs à des fins de révision, de modification,
d'approbation ct d'endossement. Un échéancier est établi pour
concevoir, tester et implanter le système. Des engagements
sont aussi obtenus de la part des développeurs de système et
des divisions d'utilisateurs touchées pour prêter les ressources
nécessaires à la réalisation du projet. Il est important de noter
que tous les groupes d'utilisateurs et équipes de direction
conccmés doivent participer activement à la phase de définition
des exigences pour prévenir des problèmes tels qu'affecter
des ressources à un système qui ne répondra pas aux besoins
fonctionnels. La participation de 1'utilisateur est essentielle pour
obtenir l'engagement ct tous les avantages du système. Sans
l'appui de la direction. les exigences clairement définies el' la
parlicipation de l'utilisateur, les avantages peuvent ne jamais être
réalisés.
187
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes drlnformation
Les auditcms des Sl sont impliqués dans cette étape pour
déterminer si les exigences adéquates de sécurité ont été définies
pour couvrir, au minimum. !es exigences de confidentialité,
d'intégrité et de disponibilité du système. Cela comprend de
savoir si des pistes d'audit adéquates sont définies comme
faisant partie du système, puisqu'elles concernent la capacité de
l'auditeur d'identifier les problèmes pour faire un bon suivi.
Phase 3A - Sélection et acquisition du logiciel
A ce stade du projet, il peut être approprié d'évaluer les
risques ct avantages du développement d'un nouveau système
comparativement à l'acquisition, auprès d'un foumisseur, d'un
système adéquat qui est complet, testé et éprouvé. JI faut tenir
compte de la capacité de l'organisation à entreprendre le projet
de développement proposé, des coüts et risques liés à celui-ci, et
des avantages de détenir et contrôler entièrement le système plutôt
que de dépendre d'un 10urnisseur. L'acquisition de logiciel n'est
pas une phase du cycle standard de dévcloppemen! de systémes.
Toutefois. si une décision a été prise d'acquérir le logiciel au
heu de le concevoir, l'acquisition de logiciel est le processus qui
doit se produire après la phase de définition des exigences. La
décision est généralement basée sur divers fhcteurs comme la
différence entre le coüt de conception et le coût d'acquisition, lu
disponibilité d'un logiciel générique et l'écnrt de temps entre la
conception et l'acquisition. Veuillez noter que si la décision finale
est d'acheter un progiciel fOurni par un fournisseur, l'utilisateur
doit participer activement au processus d'évaluation et de
sélection des progiciels.
l:étude de faisabilité doit contenir de la documentation qui
soutient la décision d'acquérir le logiciel. Selon Je logiciel requis,
quatre cas sont possibles :
1. Lt! logiciel est requis pour un proœssus opérationnel général
pour lequel des fournisseurs sont disponibles et le logiciel peut
être implanté tel quel.
2. Le logiciel du fournisseur doit être adapté pour répondre aux
processus opérationnels.
3. Le logiciel doit être conçu par le fOurnisseur.
4. Le logiciel est offert sous forme de service par l'infonuagique
(logiciel-service, SaaS). Ceci est généralement ofl'ert pour les
processus génériques.
Une équipe de projet, avec la participation du personnel du
service de soutien technique et des utilisateurs clés, doit être
créée pour rédiger une demande de proposition (OP) ou un appel
d'offres (AO). Une DP doit être préparée séparément pour chaque
cas mentionné précédemment.
L'invitation à répondre à une OP doit être diffusée largement
aux fournisseurs approp1iés et, si possible, affichée sur un
média d'achat:. gouvernementaux (Intemet ou un journal). Ce
processus permet à l'entreprise de déterminer quels produits des
foumisseurs répondants om-ent la meilleure solution à un prix
rentable.
La DP doit inclure tous les aspects illustrés dans le tableau 3.14.
Il est important de noter qu'une distinction peut parfois être fhite
entre un appel d'offres (AO) et une demande de proposition (OP)
sur le plan de leur applicabilité. Lorsque le produit et les services
188
e Certi1kld !nfo:matron
Systems Autlltor'
~''"""'"'"''''"''"'
connexes sont connus d'avance, une organisation d'utilisateur
préférera procéder à un AO pour obtenir la meilleure combinaison
prix-services. Cela s'applique davantage à l'approvisionnement
en matière de matériel, de réseau, de bases de données, etc.
Lorsqu'une exigence nécessite davantage une solution avec
le soutien ct l'entretien connexes, une entreplise préfère
habituellement procéder à une DP, grâce à laquelle il est possible
de mesurer la capacité, l'expérience et l'approche en comparaison
avec les exigences. Cette option s'applique davantage dans les
projets d'intégration de systèmes tels que les solutions de gestion
intégrée et la gestion de la chaîne logistique, qui impliquent la
livraison ou l'externalisation du code source.
Souvent, avant l'élaboration d'une DP, les entreprises élaborent
une demande d'information (RFI) pour demander leur avis aux
fournisseurs de développement de logiciel dans le traitement de
problèmes avec les systèmes existants. L'information obtenue de
cette manière peut être utilisée pour rédiger une DP.
---·--·- -----------------------------1
rRemarque: Le candidat au titre CISA doit sc tàmilimiser avec
ie processus de DP. J
L .. -
-~-·-----,-------·---·--------··-- ' ------- ..-----·------·
C équipe de projet doit étudier attentivement les réponses des
fournisseurs aux DP et les comparer. Cette comparaison doit
être eftèctuéc en utilisant des méthodes objectives comme
la méthodologie de notation et de classement. Après avoir
examiné les réponses aux demandes de proposition, l'équipe
de projet peut être en mesure d'identifier un seul fournisseur
dont le produit répond à toutes les exigences mentionnées dans
la demande de proposition ou à la plupart· d'entre elles. Dans
d'autres ca.s, !'équipe peut ramener la liste à deux ou trois
candidats acceptables (c.-à-d. une liste restreinte de fournisseurs).
Il tàut adopter une méthodologie appropriée pour évaluer la
meilleure solution ct le meilleur fOurnisseur en fonction de
J'ensemble donné des besoins fonctionnels et des conditions. La
méthodologie doit assurer une comparaison objective, équitable
et juste des produits ct des fournisseurs {p. ex., une analyse
de l'écart pour trouver les différences entre les exigences ct le
logiciel, les paramètres requis pour les modifications, etc.).
Il faut garder en tête les exigences minimales et recommandées
pour utiliser le logiciel, y compris:
• Le matériel requis tel que la mémoire, l'espace disque, ainsi que
les caractéristiques du serveur ou du client;
• Les versions des systèmes d'exploitation ct les niveaux de
correction supportés;
• Des outils supplémentaires tels que des ou1ils d'impo!iation et
d'exportation;
• Les bases de données supportées.
Il est fréquent que plus d'un produit ou fournisseur répondent aux
exigences avec des avantages et des inconvénients pour chacune
des parties. Pour résoudre une telle situation, des présentations
basées sur !c calendrier doivent être exigées des fournisseurs qui
figurent sur la liste restreinte. Ces présentations sont des scénarios
d'affaires écrits conçus pour montrer comment le fournisseur
etlèctucra certaines fonctions opérationnelles essentielles. Les
fournisseurs sont habituellement invités à tàire une démonstration
de leur produit et à suivre les exemples de scénarios d'affaires
qui leurs ont été remis pour qu'ils se préparent. Il est fortement
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 3- Acquisition, Développement et Implantation
des Systèmes d'Information Section deux : Contenu

recommandé que les divers groupes d'utilisateurs participent
adéquatement à 1'évaluation de la <:ompétcnce du produit ou du
foumisseur et de la convivialüé du système. l:équipc de projet
a donc l'occasion de vérifier les points intangibles tels que la
connaissance du produit par le fournisseur et la capacité du
Ihurnis.<>cur ù comprendre les problèmes d'entreprises. Le lilit
que chaque foumisseur qui figure sur la liste restreinte iàssc la
démonstration de son produit en suivant un document défini
permet également à l'équipe de projet d'évaluer et de prendre
une décision finale concernant le produit ou le iburnisseur en
incorporant la connaissance et l' o~jcctivité dans le processus.
Le fournis:;;eur finaliste doit alors organiser des visites des lieux
poun:onfinner les conclusions des présentations basées sur le
calendrier et vè1i fier le système dans un environnement réel. Une
fois que le choix du f'Oumisseur est confirmé, il faut réaliser un
projet pilote en salle de conférence. Ce projet pilote permettra
à l'équipe de projet de comprendre le système awc une Hes.sion
pratique ct d'identifier les aspects qui ont besoin cl 'une certaine
pcrsonnulisation et de solutions de rechange.
De plus, en ce qui concerne la liste restreinte des foumisscurs,
il peut être avantageux pour l'équipe de projet de parler am<
utilisateurs actuels de chaque produit potentiel. Une visite
des lieux pourrait être encore plus profitable si elle peut être
organisée et justifiée en termes de coûts. Autant que possible, les
fburnisscurs choi.sis doivent utiliser les produits d'une manière
semblable à celle de l'entreprise. L·auditeur des SI doit encourager
l'équipe de projet à communiquer avec le_-; utilisateurs actuels.
L'infom1ation découlant de ces discussions ou de ces visites
valide les formulations faites dans 1'offre du foumisscur ct peut
déterminer quel foumîsseur sera choisi.
Les discussions avec les utilisateurs actuels doivent porter sur les
aspects suivants de chaque fourni.ssem :
• Fiabilité-- Est-cc que lus produits fou mis par le foumisscur
(améliorations ou correctifs) sont fiables?
• Engagement de service-· Est-ce que le fournisseur est réceptif
nux problèmes éprouvés avec son produit? Est-ce que le
tOumis..-;eur respecte les échéanciers?

"
Item
Produit et exigences du système
Flexibilité et interopérabilité des
produits
Références des consommateurs
La viabilité et la stlbilité
financière du fournisseur
La disponibilité d'une
documentation complète et fiable
Soutien du fournisseur
Disponibilité du code source
Nombre d'années d'expérience
dans l'offre du produit
Une liste avec les dates des
améliorations récentes ou
planifiées du produit
Le nombre de sites clients qui
utilisent le produit avec une liste
des utilisateurs actuels
Les tests d'acceptation du produit
1fableau 3<14-COntenu de l'appel d'~fft'ê$
Description
Le produit du fournisseur choisi doit répondre le plus possible aux exigences définies du système. Si aucun produit
ne répond à toutes les exigences définies, l'équipe de projet, surtout les utilisateurs, devra décider si elle accepte ou
non les lacunes. Une autre option, pour le fournisseur ou l'acheteur, est d'apporter des changements personnalisés
au produit
~équipe de gestion du projet ne doit pas considérer seulement la capacité du fournisseur de produits à satisfaire
les exigences existantes du projet, mais également la capacité du produit à croître eUou à se contracter selon les
processus d'affaires de l'entrepose. Les produits du fournisseur doivent être évalués en fonction de la capacité des
applications d'interagir avec les autres systèmes dont les interconnexions sont actuellement hors de la portée du
projet, mais qui pourraient être requises à l'avenir.
La direction du projet doit vérifier les références fournies par le fournisseur pour valider les affirmations du
fournisseur à propos de la pertormance de son produit et de sa réalisation du travail.
Le fournisseur qui fournit ou soutient le produit doit être digne de confiance et être capable de fournir la preuve de
sa stabilité financière. Un fournisseur peut ne pas être en mesure de prouver sa stlbilitè financière. Si le produit est
nouveau, le fournisseur présente alors un risque substantiellement plus élevé pour l'entreprise.
Le fournisseur doit être d'accord pour fournir un ensemble complet de documentltion du système à des fins
de révision avant l'acquisition et être en mesure de le laire. Le niveau de détail et de précision contenu dans
la documentation peut être un indicateur du degré de détail et de précision utilisé dans la conception et la
programmation du programme lui-même.
Le fournisseur doit avoir une gamme complète de produits de soutien pour le progiciel. Cette gamme peut inclure
une ligne de service 24 heures par jour, 7 jours par semaine, la formation sur place lors de l'implantation, les mises
à jour du produit, les avis automatiques d'une nouvelle version et l'entretien sur le site, au besoin.
Le code source doit être reçu du fournisseur initialement ou il pourrait y avoir des dispositions pour l'acquisition du
code source dans l'éventualité que le fournisseur lasse faillite. Normalement ces clauses font partie d'un contrat
de délivrance sous condition d'un logiciel dans lequel une tierce partie conserve le logiciel en liducie si jamais un
tel évènement se produisait. La compagnie qui lait l'acquisition du logiciel doit s'assurer que les mises à jour du
produit et que les corrections au programme sont incluses dans le contrat de délivrance sous condition.
Un plus grand nombre d'années d'expérience indique la stabilité et la connaissance du domaine que le produit
soutien.
Une petite liste suggère que le produit n'est pas entretenu à jour.
Un grand nombre de sites suggère l'acceptation répandue du produit dans le domaine.
Ces tests sont essentiels pour déterminer si le produit répond réellement aux exigences du système. Ces tests sont
permis avant de s'engager à acheter le produit.

Manuel de Préparation CISA 26• édition 189

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
.. Engagement à fournir· de la formation, du soutien technique
et de la documentation pour son produif --Quel est le niveau
de satisfàclion du client?
A près avoir terminé les aclÎvités mentionnées, les présentations
des fournisseurs ct les évaluations finales, l'équipe de projet peut
faire une sélection de produits. Les raisons d'un choix particulier
doivent être documentées.
La demière étape du processus d'acquisition est de négocier et de
signer un contrat pour le produit choisi. Les conseillers juridiques
appropriés doivent réviser le contrat avant sn signnture.
Le contrat doit inclure les points suivants:
• La desc1iption précise des livrables et leur coût;
• Les dates d'engagement pour les livrables;
• Les engagements conccmant la livraison de la documentation,
des correctifs, des mise-s à jours, des avis de nouvelle version et
de formation;
• Les engagements pour la migration des données:
• L'allocation d'un contrat de délivranœ sous condition si les
livrables n'incluent pas de code source;
o La desc1iption du soutien qui sera fourni lors de l'installation ou
de la personnalisation;
• Les critères d'acceptation de l'utilisateur;
• La disposition pour une péJiode raisonnable de tests
d'acceptation avant que l'engagement d'achat ne soit tàit;
• [.;allocation des changements qui seront faits par l'entreprise qui
achète le produit;
• Lentente d'entretien;
• !.:allocation des logiciels de copie pour utilisation dans les
efforts de continuité opérationnelle ct à des fins des tests;
o Un calendrier de paiement relié aux dates réelles de livraison;
• Des clauses de confidentialité;
• Des clauses de protection des données.
La gestion du contrat doit aussi inclure un niveau majeur d'effmi
pour s'assurer que les efforts de déploiement sont contrôlés,
mesurés ct améliorés lorsque nécessaire. Cet eftûti peut inclure
des exigences concernant la présentation régulière de rapports
d'étapes. De plus, l'entreprise doit s'entendre avec le fournisseur
sur les étapes clés et la métrologie en fonction desquelles on sc
rapportera.
Les auditeurs des SI participent au processus d'acquisition
du logiciel pour déterminer si Je niveau adéquat de contTôle
de sécurité a été pris en considération avant d'en arriver à une
entente. Si les contrôles de sécurité ne font pas partie du logiciel,
il peut devenir difficile de s'assurer de l'intégtité des données de
l'information qui sera traitée par le système. Les risques associés
au progiciel incluent le~ mauvaises pistes d'audit, le contrôle des
mots de passe et la sécurité en général de J'application. À cause
de ces ri;:;ques, l'auditeur des SI doit s'assurer que ces contrôles
sont intégrCs dans l'application logicielle.
Phase 3B - Conception
En se basant sur la conception préliminaire générale el' les
exigences des utilisateurs définies dans la phase de définition
des exigences, on doit eftèctucr une conception détaillée.
Généralement, une équipe de programmation et d'analystes e.st
190
e H
Certif!OO lnlormatkm
Systems Aodttor·
"'"<.0'''~'""'~""
affectée aux tâches de définir l'architecture du logiciel, qui décrit
un plan général du système, ct détailler ou décomposer ensuite
le système en ses parties constituantes comme les modules et
les composantes. Cette approche f..1vorise l'attribution elficace
des ressources pour concevoir ct pour définir la façon dont le
système répondra à toutes ses exigences d'information. Selon la
complexité du système. plusieurs itt:rations dans la definition des
niveaux de spécification des systèmes peuvent être nécessaires
pour descendre nu niveau de détail requis pour commencer des
tâches de conception comme le codage.
Les activités de la phase essentielle de conception incluenl :
• t:élaboration d'organigrammes ct de modèles entité relation
pour illustrer comment l'information circulera à travers le
système.
• La dénnition de l'utilisation des techniques structurées de
conception (qui sont des processus pour définir les npplications
par l'entremise d'une série de données ou de diagrammes des
opérations) qui montrent diverses relations de haut. niveau
jusqu'en détails.
.. La description de::. intmnts et des extrants tels que les
conceptions d'écrans et les rappo1is. Si un outil de prototypage
est utilisé, il l'est le plus souvent dans la conception d'écran
et le processus de présentation (par le biais d'installations de
programmation en ligne). el il fait partie d·un environnement
intégré de conception.
• La définition des étapes de traitement ct des règles de calculs
lors du traitement des besoins fonctionnels.
• La définition de la conception des fichiers de données ou des
fichiers des systèmes de bases de données.
• La préparation des spécifications du progmmme pour les divers
types d'exigences ou de critères d'information définis.
• Célaboration de plans de tests pour les divers niveaux de test :
--Unitaire (programme)
-Sous-système (module)
--Intégration (système)
- Interface avec les autres systèmes
· Chargement et lancement des fichiers
-Contrainte
-Sécurité
-· Sauvegarde ct récupération
• L'élaboration de plans de conversion de-s données pour converiir
les données et les procédures manuelles du vieux système au
nouveau système. Les plans de conversion détaillés diminueront
les problèmes d'implantation qui surviennent en raison des
données incompatibles, des ressources insuffisantes ou du
personnel qui ne connaît pas le fonctionnement du nouveau
système.
DIAGRAMMES ENTITÉ-RiêLATION
Un outil irnpo1tant dans la création d'une conception préliminaire
générale est 1'utilisation de diagrammes entité-relation (ERD).
Un ERD décrit les données d'un système et la façon dont ces
données sont reliées entre elles. Un ERD peut être utilisé comme
un outil d'analyse des exigences pour obtenir une compréhension
des données dont un système a besoin pour saisir et gérer.
Dans le cas présent, I'ERO représente un modèle logique de
données. Un ERD peut également être utilisé plus tard dans le
cycle de développement à titre d'outil de conception qui aide
à documenter le schéma actuel de la base de données qui sera
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
e . R
Certilied Information
Systems Al.ldilor"
~;;.::;!;:;;;,-
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
implantée. Utilisé de cette façon, l'liRD représente un modèle
physique des données.
Comme son nom l'indique, les composantes essentielles d'un
diagramme entité-relation sont les entités et les relations.
Les entités sont des regroupements d'éléments de données ou
d'instances semblables qui peuvent représenter les constructions
logiques ou les objets physiques réels. Une entité est décrite
par des attributs qui sont des propriétés ou des caractéristiques
communes à l'ensemble des instances de l'entité ou à certaines
d'entre elles. Les attributs particuliers, qu'ils soient seuls ou en
combinaison, constituent les clés d'une entité. La clé primaire
d'une entité identifie uniquement chaque instance de l'entité. Les
entités sont représentées sur le diagramme entité-relation sous la
forme de boîtes rectangulaires portant un nom d'identification.
Les relations décrivent la manière dont deux entités sont
associées (et, dans quelques cas, comment les instances de la
même entité sont associées). La manière classique de représenter
une relation est à l'aide d'un losange et de lignes qui connectent
chaque entité connexe. Le nom il l'intérieur du losange décrit la
nature de la relation. La relation peut aussi spécifier les atüibuts
de la clé étrangère qui permettent l'association entre/parmi
les entités. Une clé étrangère est formée d'un ou de plusieurs
attributs conservés dans une entité qui dirige vers la clé primaire
d'une entité connexe.
f;TABLISSEMENT D'UNE BASE ()E RÉFÉRENCE
I'OliR LE LOGICIEL
La phase de conception du logiciel représente le point optimal
pour l'établissement d'une base de rétèrcncc du logiciel.
L'expression« établissement d'une base de référence pour
le logiciel )) signifie le point critique dans la conception ct
sc fait aussi appelé blocage de la conception. Les exigences
de l'utilisateur sont révisées, point par point, et prises en
considération selon le temps et le coût. Les changements sont
entrepris après avoir pris en considémtion les types de risques
divers, et les changements ne sc produisent pas sans passer par
des procédures fOrmelles strictes pour l'approbation, b<1sécs
sur l'analyse d'impact coût-avantage. l~incapacité de gérer
adéquatement les exigences pour un système par l'établissement
d'une base de référence peut entraîner un ce1tain nombre de
risques, Le plus important parmi ces risques est la dérive des
o~jcctifs, c'est-à-dire le processus par lequel les exigences
changent pendant la conception. Des études empiriques ont
démontré qu'un projet typique peut subir des changements d'au
moins 25 % dans les exigences tout au long de la conception, ce
qui entraîne une augmentation de l'eflürt et des coüts requis pour
la conception.
Létablissement d'une base de référence pour le logiciel fait aussi
référence au point lorsque l'établissement fOrmel du procédé de
gestion de la configuration du logiciel sc produit. À cette étape,
les produits logiciels sont établis comme des bases de référence
de configuration avec des numéros de version. Par exemple, cela
pourrait inclure les exigences fbnctionnelles, les spécifications
ct les plans de test. Tous ces produits sont des éléments de
configuration et sont identifiés ct amenés sous un contrôle de
gestion du changement formeL Ce processus sera utilisé tout
au long du cycle de vie du système d'application, dans lequel
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rêservês.
Section deux : Contenu
les procédures de cycle de développement de systèmes pour
l'analyse, la conception, les tests ct le déploiement sont mises en
application sur les nouvelles exigences ou sur les changements
apportés aux exigences existantes.
I'ARTICII'ATION ()E IJlJTILISAH:lJR À LA
CONCEI'TION
Une fois que les processus opérationnels ont été documentés et
qu'on comprend comment ces procédés peuvent être exécutés
dans le nouveau système, la participation des utilisateurs lors
de la phase de conception est limitée. En raison de !a discussion
technique qui se produit habituellement lors cl' un examen de
projet, la participation de l'utilisateur final dans la révision des
produits de conception détaillée n'est pas appropriée. Toutefois,
les développeurs doivent être en mesure d'expliquer comment
l'architecture du logiciel répondra aux exigences du système et de
donner les grandes lignes des raisons pour justifier des décisions
de conception clés. Le choix de configurations particulières de
matériel ct de logiciel peuvent avoir des implication::; monétaires
que les pat1enaires doivent connaître et des implications de
contrôle qui sont d'intérêt pour l'auditeur des SL
FIN ()E LA l'HASE ()E CONCEPTION
Une fois complétée la conception détaillée, y compris
1'approbation de l'utilisateur ct l'établissement d'une base
de réfërcnce pour le logiciel, la conception est distribuée aux
développeurs de systèmes pour être codée,
I'ARTICII'ATION ()E I?AlJ()ITEl!R ()ES SI
La participation de l'auditeur des SI vise sUiiout ù vérifier qu'un
système de contrôle adéquat est intégré dans les spécifications
et les plans de test du système, et que les fonctions continues
d'audit en ligne sont intégrées au système (particulièrement
pour les applications de commerce électronique ct d'autres types
d'environnements infonnatisés). De plus, l'auditeur des SI veut
évaluer l'efficacité du processus de conception lui-même (tel
que dans l'utilisation de techniques structurées de conception, de
prototypage ct de plans de test) afin d'établir un processus formel
de demande de modification du logiciel qui bloque efficacement
l'ajout de toute modification aux exigences du système sans une
révision f-Ormelle et un processus d'approbation.
Les documents essentiels qui découlent de cette phase incluent
le système, le sous-système, le programme et les spécifications
des bases de données, les plans de test ainsi qu'un processus de
contrôle formel de demande de modification du logiciel défini et
documenté,
Phase 4A - Configuration
En ce qui concerne le cycle de développement des systèmes,
la configuration du système consiste à définir, surveiller et
contrôler les changements d'un système acheté afin de répondre
aux besoins de l'organisation, Pour les progiciels de gestion
intégrés, la tâche comprend souvent la modification des
tables de configuration ainsi qu'une pati de développement,
p1incipalement pour veiller à ce que le PlU est intégré à
l'architecture de Tl existante. La configuration du système
est appuyée par des politiques et processus de gestion des
changements, qui définissent :
• Les rôles et responsabilités;
191
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
La classification et la ptiorisation de tous les changements en
fonction du risque de l'entreprise;
L:évnluation des impacts;
Cauterisation et l'approbation de tous les changements par les
responsables des proœssus administmtifs et. les Tl;
Le suivi et le statut' des changements;
L'impact sur l'intégrité des données (p. ex., tous les
changements aux fichiers de données faits sous le contrôle du
système et de l'application plutôt que par l'intervention directe
d'un utilisateur).
Phase 48 - Développement
La phase de conception utilise la conception détaillée, élnborée à
la phase 3B -··Conception, pour commencer à coder, ce qui amène
le système un peu plus près du produit final. Les responsabilités
au cours de cette phase incombent smiout aux programmeurs
et aux analystes de système qui constntisent le système. Les
activités clés effectuées dans un environnement de test et de
conception incluent :
• Le code et la rédaction de documents reliés au programme et au
système;
• Le débogage et les tests des programmes conçus;
• La conception de programmes visant à convertir les données
du vieux système afin qu'elles puissent être utilisées dans le
nouveau système;
• La création de procédures utilisateur pour gérer la transition au
nouveau système;
• La formation d'utilisateurs sélectionnés sur le nouveau système
puisque leur patiicipntion sera nécessaire;
• Lassurance que les modifications sont documentées et
appliquées convenablement et complètement au système acquis
du fOurnisseur afin de s'assurer que les mises à jour futures du
code du fournisseur peuvent s'appliquer.
MÉTHODES ET TECHNIQUES DE PROGRAMMATION
Afin d'augmenter la qualité des activités de programmation ct des
capacités futures d'entretien, les normes de codage de programme
doivent être appliquées. Les nonnes de programmation sont
essentielles pour écrire, lire et comprendre le code de fàçon
claire et simple, sans avoir à consulter les spécifications de la
conception. Les nonnes de programmation incluent les mélhodcs
ct les techniques pour la documentation interne (niveau du
code source), les méthodes pour la déclaration de données, une
approche pour la construction des formulations et les techniques
pour !'entrée-s01tic. Les normes de programmation appliquées
représentent un contrôle essentiel puisqu'elles servent de méthode
de communication entre les membres de l'équipe de programme
et entre l'équipe et les utilisateurs au cours de la conception du
système. Les normes de programmation minimisent les retards de
conception du système qui résultent d'une rotation du personnel,
f(mrnisscnt le matériel nécessaire pour utiliser Je système de
façon efficace et sont requises pour !"entretien efficace ct les
modifications au programme.
De plus, les techniques de programmation structurées
traditionnelles doivent être appliquées à la qualité de la
conception ct maintenues facilement dans les logiciels. Elles
sont une progression naturelle de la structure descendante des
techniques de conception décrites précédemment. Comme
les spécifications de conception, les programmes structurés
192
e ' ". !fied Jnfonnatioo
Systems Autfrt«•
"'''"""'"''·'~'""'
d'application sont plus iàciles à concevoir, à comprendre
et à maintenir puisqu'ils sont divisés en sous-systèmes, en
composantes, en modules, en programmes, en sous-programmes
et en unités. Généralement, plus l'étendue dans laquelle
chaque élément du logiciel décrit exécute une seule fonction
dédiée (cohésion) et demeure indépendant des autres éléments
comparables (accouplement) est grande. plus il est facile
d'entretenir et d'améliorer un système. En eftêt, il est alors plus
facile de déterminer où et comment appliquer un changement et
réduire les risques de conséquences imprévues.
INSTALLATION DE I'ROGRAMMATION EN LIGNE
(ENVIRONNEMENT DE DÉVELOPPEMlèNT INTièGRÉ)
Pour faciliter l'utilisation efficace des méthodes et des
techniques structurées de programmation, une installation de
programmation en ligne doit 0tre disponible dans l'environnement
de dévdoppement intégré. Cela permet aux programmeurs de
coder ct de compiler les programmes de f3çon interactive avec
un ordinateur ou un serveur à distance, à partir d'un terminal ou
d'un poste de travail d'un client. Grâce à cette installation, les
programmeurs peuvent saisir, modifier et effacer des codes de
programmation ainsi que compiler, stocker ct dresser une liste des
programmes (source et objet) sur l'ordinateur de développement
Ces installations en ligne peuvent aussi être utilisées par du
personnel qui n'est pas des SI pour met1re à jour et récupérer des
données directement des fichiers informatiques.
Les installations de programmation en ligne sont utilisées sur les
postes de travail. La bibliothèque du programme se trouve sur un
serveur, par exemple un système de gestion de la bibliothèque
de 1'ordinateur central, mais la modification ou la conception
et les tests sont eilèctués sur le poste de travail. Cet1e approche
peut réduire les coüts de conception, maintenir un temps de
réponse rapide, et étendre les ressources de progmmmation
et l'aide disponible (p. ex., les outils d'édition, les langages
de programmation, les aides de débogagc). D'un point de vue
du contrôle, cet1e approche rend vulnérables à d'éventuelles
faiblesses :
• La prolifération de multiples versions des programmes;
• Une diminution de 1'intégrité du programme el du traitement
causée pnr un risque accru d'accès ct de mises à jour non
autorisés;
• La possibilité que des changements valides soient écrasés par
d'autres changements.
En général, une installation de programmation en ligne permet
une conception de programme plus rapide et contribue à
faire respecter l'utilisation de normes et de techniques de
programmation structurées. Les systèmes en ligne améliorent la
capacité du programmeur à résoudre les problèmes. Par contre,
les systèmes en ligne font augmenter les vulnérabilités résultant
d'accès non autorisés. Le logiciel de contrôle d'accès doit être
utilisé pour aider à réduire ce risque.
LANGAGES I)E I'ROGRAMMATION
Les programmes d'application doivent d'abord être codés en
instructions ou dans un langage de programmation simple à
rédiger pour le programmeur et qui peut être lu par 1'ordinateur.
Ces instructions (code source) seront ensuite tTaduites par le
traducteur ou le compilateur de langage dans un code de machine
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
binaire ou un langage machine (code o~ict) que l'ordinateur peut
exécuter.
Les langages de programmation qui sont communément uti!lsés
pour la conception de programme!' d'application sont :
• Les langages de programmation de haut niveau et polyvalents
comme COBOL ct le langage de programmation C.
• Les langages orientés objet pour utilisation commerciale
comme C+-!-, 00-Basic, Eiflèl et Java.
• Environnements de développement intégré (IDE) comme
Visual Studio ou JBuilder, qui fournissent automatiquement des
gabarits de code.
• Le langage HTM L.
• Les langages de script, comme she!l, Perl, Tel, Python,
.JavaScript et VB Script. En conception Web, les langages
de script sont utili."é.s couramment pour écrire des scripts
d'interface CG! qui sont utilisés pour élargir la fOnctionnalité du
logiciel d'application du serveur Web (p. ex., l'lntcrtace avec les
moteurs de recherche, la création de pages Web dynamiques et
la réponse aux apports des utilisateurs).
• Les langages d'assemblage conçus pour un type de processeur
spécifique, généralement utilisés pour les applications intégrées
(p. ex., machines à sous, machines distributrices, appnreils
aérospatiaux).
• Les langages de quatrième génération de programmation de
haut niveau, qui sont fonnés d'un système de gestion de bases
de données (SGBD), d'un gestionnaire de base de données
intégré et d'un mécanisme de rapport non procédural et de
génération d'écran. Les langages de quatTième génération
fournissent une itération rapide gn:ke à des conceptions
successives. Des exemples de langages de quatJième génération
incluent FOCUS, Natural et dBase.
• Les langages d'aide à la décision ou de système expert
(EXPRESS, Lisp et Pro\og).
DÉBOGAGE DE PROGRAMME
Beaucoup de bogues de programmation sont détectés lors de
la conception d'un système, après qu'un programmeur exécute
un programme (bns un environnement de test. Le but du
débogage lors de la conception est de s'assurer que toutes les fins
anormales de programmes (la fin non planifiée d'un programme
en raison d'une e!Teur de programmation) ct les failles dans
la programmation soient détectées et conigées avant que le
programme flnal soit en production. Un outil de dèbogage est
un programme qui aidera un programmeur à bien déboguer, à
corriger ou à régler le programme en cours de conception. Les
compilateurs ont la capacité de fournir de l'information à un
programmeur, mais ils ne sont pas considérés comme des outils
de débogagc. Ces outils se divisent en trois grandes catégories :
• Outil de traçages- Fait état de la séquence des événements
réalisés par un pmgramme et qui fournit ainsi au programmeur
des indices sur les erreurs logiques.
• Image mémoire- Fournit une image du contenu de la mémoire
interne à un moment dans le temps. On elfectue souvent une
image mémoire lorsque le programme est interrompu ou subit
un échec. L'image fournit alors au programmeur des indices sur
les incohérences dans la valeur des données ou des paramètres.
Une variante, appelée trace, remplit la même fonction à
différentes étapes de l'exécution du programme pour montrer
l'évolution des structures au niveau machine, comme les
compteurs ct les registres.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
.. Analyseurs de données de sort-ie- Aident ù vérifier
l'exactitude des résultnts de l'exécution du programme. Cette
vérificntion se fait en comparant les résultats prévus avec les
résultats réels.
TESTS
Les tests sont une pattie essentielle du processus de
conception. Ils vérifient qu'un programme, un sous-système
ou une application exécute les fonc.tions pour lesquelles ils
ont été conçus. Les tests déterminent aussi si les unités testées
tOnctionnent pnrfaitement ou sans eHCts défavorables sur d'autres
composantes du système.
La diversité des méthodologies de conception ct des exigences
organisationnelles fournit une vaste étendue de projets ou de
niveaux de test. Chaque ensemble de tests est effectué avec
un ensemble de données diflCrent et. sous la responsabilité de
différentes personnes ou fonctions. L'auditeur des SI peut jouer
un rôle préventif ou de détection dans le processus de test.
ÉLitMENTS D'UN PROCESSUS DE T'"ST D'liN
LOGICIEL
Afin de diriger le processus de test et d'aider à s'assurer que
toutes les tàcettcs du système fonctionnent comme prévu, les
éléments de base pour tester le logiciel ont été définis ct sont
décrits ci-dessous.
Rédigés au début du cycle de vie et peaufinés jusqu'à la phase
de test réelle, les plans de test identifient les parties spécifiques
du système qui doivent ètre testées. Les plans de tests peuvent
inclure une catégorisation des types de lacunes qui peuvent être
trouvées lors du test. Ces lacunes peuvent être des défectuosités
du systéme, des exigences incomplètes, des conceptions, des
spécifications ou des erreurs dans le test lui-même. Les pkms de
tests spécifient aussi le niveau de gravité des problèmes trouvés,
ainsi que les recommandations sur l'identification des priorités
de l'entreprise. Le testeur détermine la gravité du problème qu'il
a trouvé pendant les tests. Selon le degré de gravité, le problème
peut soit être corrigé avant 1'impl:.mtation, soit être consigné
comme nécessitant une correction après l'implantation. Souvent,
des problèmes d"ordre cosmétique de l'intcti'ace sont jugés
moins sérieux et peuvent ne pas être coJTigés si des contraintes
de temps deviennent un problème pour le directeur du projet.
ns'agit d'un exemple de problème de Üiible gravité ct priorité.
Cependant, une défectuosité dans un imp1imé d'état, par exemple
l'épellation, l'aspœt et la convivialité, ou du contenu spécifique
peuvent' aussi être considérés de faible gravité par le testeur, mais
comme une défectuosité de priorité supérieure pour l'entreprise.
Par conséquent, il serait justifié de corriger ce problème dans les
limites de temps imposées. Le promoteur du projet, la direction
de l'utilisateur final et le gestionnaire du projet décident tôt dans
la phase de lest des définitions de la gravité.
Les plans de test identifient également les approches, par exemple
les deux approches réciproques, au test du logiciel :
-Ascendante-· Commence par les tests dl.."S unités atomiques,
comme les programmes oules modules, et travaille vers le
haut jusqu'à cc que le système en entier ait été vérifié. Les
avantages de cette façon de procéder sont les suivants :
• Aucun besoin d'éléments de remplacement ou de pilotes;
193
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
• Peut être commencé avant que les programmes ne soient
complétés;
• Les erreurs dans les modules essentiels sont trouvées
rapidement.
Descendante-· Suit le chemin inverse, que ce soit en ordre de
profOndeur d'abord ou de largeur d'abord. Les avantages de
cette façon de procéder sont les suivants :
• Les tests des 1ùnctions et des traitements importants sont
elTectués rapidement;
• Les erreurs d'interface peuvent être détectées plus tôt;
• La confiance envers le système s'accroît puisque les
programmeurs elles utilisateurs voient un système qui
fonctionne.
Généralement, la plupati des tests sur de gros systèmes suivent
une approche ascendante qui implique des niveaux ascendants
d'intégration et de tests (p. ex., unitaire ou programme, sous-
division/intégration. système, etc.) :
• L'exécution des tests et la production d'un rapport des
résultats ~ Décrire les ressources comprises pour effectuer
les tests. y comp1is le personnel impliqué et les ressources
et installations d'information utilisées lors du test, ainsi que
les résultats réels en comparaison avec les résultats prévus.
Les résultats rapportés. ainsi que le plan de test, doivent être
conservés comme une partie de la documentation permanente
du système.
• Le traitement des points en litige~ Identifier les erreurs et
les irrégularités à partir des vrais tests menés. Lorsque de tels
problèmes surviennent, Je test en question doit être repensé dans
le plan de test jusqu'à ce que des conditions acceptables soient
en place lorsque les tcst5 sont ref:1its.
CLASSIFICATION DES TESTS.
Les tests suivants font référence, à divers degré, aux approches
susmentionnées qui peuvent être effectuées, en sc basant sur la
taille et la complexité du système modifié:
• Tests unitaires- Le test d'un seul programme ou module. Le
test unitaire se sert d'un ensemble de cas qui mettent l'accent
sur la stTucture de contrôle de la conception procédurale. Ces
tests assurent que le fonctionnement interne du programme
respecte la spécification.
• Tests d'intm·face ou d'intégration ---Un test de matériel ou
de logiciel qui évalue la connexion de deux composantes ou
plus qui transmettent l'information d'un domaine à un autre.
r;objectif est de prendre des modules unitaires testés et de
construire une structure intégrée dictee par la conception. Le
terme test d'intégration est aussi utilisé pour faire rétërence aux
tests qui vérifient et valident le fonctionnement de l'application
testée avec d'autres systèmes, où un ensemble de données est
transféré d'un système à un autre.
• Test de système"" Une série de tests conçus pour s'assurer que
le-s programmes. les objets, les bases de données, les schémas,
etc. qui sont modifiés et qui constituent ensemble un nouveau
système ou un système modifié fonctionnent convenablement.
Ces procédures de test sont souvent dfectuées dans un
environnement de test ou de conception hors production par les
développeurs de logiciel, appelés équipe de test. Les analyses
spécifiques suivantes peuvent être menées lors de test de
système:
--Test de récupération··- Vérifier la capacité du système à
récupérer après une anomalie du logiciel ou du maté1iel.
194
e Certif!Cd lnfonnation
Systems Audîtor'
'"~'"""'-"'''"'"'
·lest de sécurité S'assurer que le nouveau système ou le
système modifié comprend les dispositions pour les contrôles
d'accès approp1iés et ne crée pas de ülilles dans la sécurité qui
pourraient compromettre les autres systèmes.
- Tests de charge Tester une application avec une grande
quantité de données pour évaluer sa performance lors des
périodes de pointe.
--Test du volume- Vérifier l'impact sur l'application en testant
un volume incrémenticl de données pour déterminer Je volume
d'enregistrement (données) maximum qu'une application peut
traiter.
~Tests marginaux-- Vérifier l'impact sur l'application en testant
avec un nombre incn!mentiel d'utilisateurs ou de services
simultanés sur l'application pour déterminer le nombre
maximum d'utilisateurs ou de services simultanés qu'une
application peut traiter.
--·Test de perfOrmance~ Comparer la perfOrmance du système
à d'autres systèmes équivalents en se ba•mnt sur des points de
référence bien précis.
• Dernier test d'acceptation Une fois que Je personnel du
système est satisf.1it de ses tests du système, le nouveau système
ou le système modifié est prêt pour le test d'acceptation,
qui sc déroule lors de la phase d'implantation. Au cours de
cette phase de test, les !Tn~thodcs de test définies devant être
appliquées doivent être incluses dans la méthodologie (d' AQ)
de 1'organisation. Les activités d' AQ doivent encourager de
façon proactivc l'exécution de niveaux de tests appropriés
dans tous les projets de conception de logiciel. Le dernier
test d'acceptation comprend deux pa1iies impmiantes: le
test d'assurance-qualité (TAQ), qui se concentre sur les
aspects techniques de l'application, et le test d'acceptation de
l'utilisateur (TAU), qui se concentre sur l'aspect fonctionnel
de l'application. Les tests d'assurance-qualité ct les tests
d'acceptation de l'utilisateur ont des objectifS différents, et par
conséquent, ne doivent pas être combinés.
Le test d'assurance-qualité met l'accent sur les spécifications
documentées ct la technologie employée. Il vêri fic que
l'application fonctionne comme elle a été documentée en vérifiant
la conception logique et la technologie elle-même. Il s'assure
aussi que l'application respecte les spécifications techniques
documentées ct les livrables. Le test d'assurance-qualité est
effectué principalement par le service des Tl. La pa1iicipation de
l'utilisateur final est minime et sur demande. Le test d'assurance-
qualité ne se concentre pas sur des tests de fonctionnalité.
-·------- -------------------~
tarque: Le candidat au titre CISA doit connaître le
oin en nonnes de programmation et les détails sur le-S
a(.1ivités d'assurance-qualité, le plan d'assurance-qualité en
matière de lobricie1 et la fonction d'assurance-qualité en matière
d'application.
Le test d'accep1ation de l'utilisateur soutient le processus servant
à s'assurer que le système est prêt pour la production et respecte
toutes les exigences documentées. Les méthodes incluent :
• Ln définition des stratégies et des procédures de test;
• La conception de cas et de scénarios de test;
• L'exécution des tests;
• L'utilisation des résultats pour vérifier l'état de préparation du
système.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e '
." . ifaed.lnformat!oo
..., Systems
::;,~-
Auditor
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
Les critères d'acceptation sont des c1itèrcs définis qu'un
livrable doit respecter pour satisfaire aux besoins prédéfinis de
l'utilisateur. Un pkm de test d'acceptation de 1'utilisateur doit
être documenté pour que le test final du système soit complété.
Les tests sont rédigés du point de vue de l'utilisateur et doivent
évaluer le système d'une manière aussi près de la production
que possible. Par exemple, les tests peuvent ètre basés sur des
scénarios de processus opérationnels typiques et prédéfinis.
Si de nouveaux processus opérationnels ont été conçus pour
accommoder le nouveau système, ou celui qui a été modifié, ils
doivent aussi être testés à ce point. Un aspect essentiel des tests
doit aussi inclure la vérification que les procédés de soutien sont
intégrés dans l'application d'une manière acceptable. La réussite
des tests permet généralement à l'équipe de projet de remettre un
logiciel intégré d'applications ct les procédures de soutien.
Idéalement, le test d'acceptation de 1'utilisateur doit être exécuté
dans un environnement de test sécurisé ou de développement Un
environnement de test sécurisé dans lequel la source et le code
exécutable sont protégés permet d'assurer que les modifications
non autorisées ou de dernière minute ne sont pas effectuées
sans passer par le processus standard d'entretien du système. La
nature et r étendue des tests dépendent de 1'amplitude et de la
complexité de la modification appo1iée au système.
Même si les progiciels sont testés par le fournisseur avant la
distribution, ces systèmes ainsi que tout changement subséquent,
doivent être testés méthodiquement par l'utilisateur final et le
personnel d'entretien du système. Ces tests supplémentaires
aideront à assurer que le programme fonctionne tel que conçu
par le foumisseur et que les changements n'interagissent pas
défavorablement avec les systèmes existants.
Dans le cas d'un logiciel acquis, après la supervision des
modifications lors du test par le fournisseur, la version acceptée
doit être contrôlée et utilisée pour l'implantation. En l'absence de
contrôles, le risque d'introduire des rustines malveillantes ou des
programmes de cheval de Troie est très élevé.
Certaines d'organisations sc fient sur les installations de test
intégrées. Normnlcment, les données de test sont traitées dans
des systèmes semblables à ceux de production. Cela confirme
le comportement de la nouvelle application ou du nouveau
module dans des conditions réelles. Ces conditions incluent un
volume de pointe ct d"autres contraintes reliées aux ressources.
Dans cet environnement, les SI effectueront leurs tests avec un
ensemble de données fictives, alors que les représentants des
clients utilisent des extraits des données de production pour
couvrir le plus de scénmios possibles, ainsi que des données
fictives pour les scénarios qui ne seront pas testés par les données
de production. Dans certaines entreprises où un sous-ensemble
des données de production est utilisé dans un environnement de
test, de telles données de production peuvent être altérées pour
masquer les données, de sorte que le testeur ne voit pas la nature
confidentielle des données. C'est souvent le cas lorsque le test
d'acceptation est eftèctué par les membres d'une équipe qui,
dans des circonstances normales, n'auraient pas accès à de telles
données de production.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
Section deux : Contenu
Une fols le test d"acceptation terminé, l'étape finale est
habituellement le processus de certification et d'accréditation.
La certification ou l'accréditation devrait uniquement avoir lieu
une fois que le système est en place et qu'il a été en activité
pendant un certain temps, afin de produire les preuves nécessaires
aux processus de CCiii fication/.:1ccréditalion. Cc processus
inclut l'évaluation de la documentation du programme ct une
vérification de l'efficacité. Ce processus résultera en une décision
finale pour le déploiement du système d'application. Pour des
raisons de sécurité de l'information, le processus d'évaluation
comprend la révision des plans de sécurité. les évaluations des
risques effectuées et des plans de tests. Le processus d'évaluation
se transforme en une évaluation de l'efficacité des contrôles de
sécurité et des procédés qui seront déployés. Puisqu'il implique
généralement le personnel de sécurité ct les propriétaires
de l'application, ce processus donne un certain degré de
responsabilité au propriétaire de l'entreprise en ce qui concerne
l'état du système qu'il/qu'elle acceptera pour le déploiement.
,----~---~--~------·-------------·--···--·---·--·u
Remarque : Le candidat au titre Cl SA doit se familiariser
avec les détails de la certification indépendante. 11 évaluera
la confidentialité de la certification de sécurité et l'analyse
comparative.
·~--··--·-···~~--·"" ' . -"·---·--" ___ ,,_
Lorsque les tests sont complétés, l'auditeur des SI doit donner
son avis à la direction sur le respect des exigences d'affaires et
l'implantation des contrôles appropriés, et doit indiquer si le
système est prêt à aller en production. Ce rapport doit énumérer
les lacunes du système qui doivent être corrigées et doit identifier
et expliquer le risque que prend l'entreplise en implantant le
nouveau système.
AUTRES TV l'ES DE TESTS
D'autres types de tests incluent:
• Tests alpha et bêta- Une version alpha constitue une version
très hâtive du système d'application (ou du produit logiciel)
soumise aux utilisateurs à l'interne aux fins d'évaluation.
La version alpha ne contient pas nécessairement toutes les
caractéristiques prévues pour la version finale. Habituellement,
le logiciel passe par deux étapes de test avant d'être considéré
terminé. La première étape, qui se nomme test alpha, est
souvent effectuée seulement par les utilisateurs au sein de
l'entreprise qui conçoit le logiciel (c.-à-d. le test de système).
La deuxième étape, qui se nomme test bêta et qui est une sorte
de test d'acceptation de l'utilisateur, implique nonnalement un
nombre limité d'utilisateurs externes. Le test bêta est la demière
étape de test et comprend habituellement une exposition au
monde réel en envoyant la version bêta du produit à des sites
de test bêta indépendants ou en 1'offrant gratuitement à des
utilisateurs intéressés.
• Test pilote- Un test préliminaire qui se concentre sur les
aspects spécifiques et prédéterminés d'un système. Il n'est pas
conçu pour remplacer les autres méthodes de test, mais bien
pour fournir une évaluation limitée du système. Les preuves de
concept sont des tests pilotes hâtifs, généralement effectués sur
des platefonnes inté1imaires ou dotées uniquement de fonctions
de base.
• Test structurel-- Ce test évalue 1'efficacité de la logique du
progmmme informatique. Plus précisément, les données de
test sont utihsées pour définir la précision procédurale ou des
195
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systémes d'Information
conditions des chemins logiques spécifiques d'un programme
(c.-à-d. qui s'applique aux tests unitaires et d'intégration).
Cependant, le test de tous les chemins logiques possibles dans
de grands systèmes dïnformation ne peut se faire et serait
inabordable. Par conséquent, il csl uniquement utilisé de làçon
sélective.
• Test fonctionnel·- Une forme de test basée sur l'intégrité
associée avec les composantes de test de l'efficacité
«fOnctionnelle->) d'un système d'information, sans égard à
aucune structure spécifique du programme interne. JI s'applique
à l'intégration (interface) et aux procédés de test d'acceptation
de !'utilisateur.
• Test de fonction/validation -Il est semblable au test de
système, mais il est souvent utilisé pour tester la fonctionnalité
du système en comparaison avec les exigences détaillées afin
de s'assurer que le logiciel conçu répond aux exigences du
consommateur {c.-à-d. avons-nous conçu le bon produit?).
• Test de régression-·~ Le processus de refaire une partie d'un
scénario de test ou d'un plan de test pour s'assurer que les
changements ou les corrections n'ont pas entraîné de nouvelles
erreurs. Les données utilisées dans le test de régression doivent
être les mêmes données que celles utilisées dans le test original.
• Test en parallèle --Il s'agît du processus d'alimentation des
données de test à l'intérieur de deux systèmes, le système
modifié et un système de remplacement (possiblctnent le
système d'origine), et de comparaison des résultat.<;.
• Test de sociabilité Le but de ces tests est de confirmer que
le nouveau système ou le système modifié peut fonctionner
dans son environnement cible sans avoir de conséquences
défavorables pour les systèmes existants. Ce test ne doit pas
seulement couvrir la plateforme qui effectuera le traitement de
l'application de base et les interfaces avec les autres systèmes,
mais, dans un contexte client-serveur ou de conception Web,
également les changements à l'environnement du pm;te.
Plusieurs applications peuvent fonctionner sur le poste de travail
de l'utilisateur, potentiellement en même temps. C'est pourquoi
il est important de tester l'impnct de lïnstallation de nouvelles
bibliothèques de liens dynamiques, de faire un registre des
systèmes d'exploitation ou des modifications à la configuration
des fichiers, et possiblement, l'utilisation de mémoire
supplémentaire.
TEST D'API'LICATION AlJTOMATIS~;
Des techniques de test automatisé sont utilisées dans ce
processus. Par exemple, les générateurs de données Je test
peuvent être utilisés pour générer systématiquement des données
aléatoires pouvant être utilisées pour tester les programmes.
Les générateurs fonctionnent en utilisant les caractéristiques
du terrain, l'nménagement et la valeur des données. En plus de
tester les générateurs de données, ils sont des outils interactifs
de débogage et des analyseurs de code logique disponibles pour
aider dans les activités de test.
Phase 5 - Essai final et Implantation
Lors de la phnse d'implantation, le fonctionnement réel du
nouveau système d'infom1ation est établi ct testé. Les tests
finaux d'acceptation de l'utilisateur sont etlCctués dans cet
environnement. Le système peut aussi passer par un processus
de certification et d'accréditation pour évaluer l'efficacité des
applications à diminuer les risques à un niveau approprié, et
196
e . Certified fflformation
H. Sysltlms Audilor'
'"'"'"'"'~'''"''"'
rendre ln direction imputable de l'efficacité du système à atteindre
les objectifs prévus en établissant un niveau de contrôle interne
approprié.
Après la réussite du test du système en entier, le système est
prêt à migrer à l'environnement de production. Les programmes
ont été testés ct perfectionnés, les procédures de programme
ct les horaires de production sont en place, toutes les donnét:s
nécessaires ont été converties avec succès et chargées dans
Je nouveau syst0me. Enfin, les utilisateurs ont élaboré des
procédures ct ont été entièrement formés pour utiliser le nouveau
système. Une date (ou des dates) pour la migration du système
es1 déterminée et la rotation de la production a lieu. Dans le cas
de grandes entreprises et de systèmes complexes, il pourrait s'agir
d'un projet en soi et nécessiter une approche progressive.
La planification de l'implantation doit commencer longtemps
avant la date réelle de l'implanl'ltion, et un plan formel
d'implantation doit être rédigé dans la phnse de conception et
révisé à mesure que la conception progresse. Chaque étape de
la mise en place de l'environnement de production doit être-
listée, y compris qui en sera responsable, la façon dont cette
étape sera vérifiée et les procédures de sortie de force si des
problèmes surviennent. Si le nouveau système s'intertàce avec
d'autres systèmes ou qu'il est distribué sur plusieurs platefbnnes,
il serait souhaitable de procéder à quelques tests finaux de mise
en service de l'environnement de production pour prouver la
connectivité de bout en bout. Si de tels tests sont etlèctués.
il faudra s'assurer que les transactions ne restent pas dans les
fichiers ou dans les bases de données de production.
Dans le cas de l'acquisition du logiciel, le projet d'implantation
doit être coordonné par la direction de l'utilisateur avec l'aide Je
la direction des SI, si nécessaire. Le processus en entier ne doit
pas être délégué au fournisseur pour éviter des changements non
autorisés ou l'ajout de programme malveillant par les employés
ou représentants du fournisseur.
Une fois les opérations établies, la prochaine étape est d'effectuer
un test de réception sur le site, qui est un test du système en
entier mené dans l'environnement réel d'exploitation. Le lest
d'acceptation de l'utilisateur soutient Je processus servant à
s'assurer que le système est prêt pour la production ct respecte
toutes les exigences documentées.
PLANIFICATION DE IJIMPLANTATION
Une fois que le nouveau système est conçu et prêt à fonctionner,
sa mise en œuvre devra être soutenue par une structure efficace.
Il ne suffit pas d'établir des rôles pour fbrmer une structure de
soutien et de nommer du personnel pour remplir ces rôles. Le
personnel de soutien devra acquérir de nouvelles compétences.
La charge de travail doit être distribuée, pour que les personnes
approp1iées soient aHèctées aux problèmes, et de nouveaux
procédés doivent être mis en place tout en respectant les
spécifications des exigences de la division des Tl. De plus, une
infrastructure dédiée au soutien du personnel doit être rendue
disponible.
Pour ces raisons et d'autres, la mise en place d'une structure
de soutien est nonnalcment un projet en soi et exige de la
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e Certifled lnfonnation
Systems Audîtur"
.
"'"""'""~'·'•«m
.
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
planification, une méthodologie et de bonnes pratiques tirées des
expûriences passées.
L'objectif d'un tel projet est de concevoir et d'étahlir ce qui sera
la structure de soutien pour la nouvelle infrastructure tcclmiquc.
Les objectifS principaux sont de:
• Fournir les structures de soutien appropriées aux équipes du
premier, du deuxième et du troisième niveau d'assistance
• Fournir un point d'accès unique
• Fournir la définition des rôles et des compétences ainsi que les
plans de formation applicables
Souvent l'entreprise qui présente le projet dirige et soutient
une solution existante et implantera un nouvel environnement
de système basé sur une nouvelle architecture de système. Les
procédures de soutien existantes et les unités organisationnelles
devront entretenir le système futur pour fOurnir le niveau
approprié de soutien pour la nouvelle plate forme ainsi que pour
l'ancienne.
Un des grands défis, par conséquent, est de gérer les phases de
la conception à l'intégration puis à la migration, et du retrait
progressif du système existant et de la mise en place du nouveau
système.
La migration ne peut pas avoir lieu en une étape unique. Une
transition par étapes des services touchés doit avoir lieu. De
plus, les processus implantés dans un environnement patrimonial
peuvent être différents de ce qui sera implanté avec la nouvelle
plateforme, et tout changement doit être communiqué aux
utilisateurs et au personnel de soutien.
Pour mettre le personnel à jour avec succès quant aux
changements aux processus opérationnels et à J'introduction d'un
nouveau logîcîel, il est nécessaire d'aborder cc1iaines questions
importantes comme :
• Comment le personnel de soutien existant peut-il participer à
la mise en place du nouveau projcl sans négliger le système
actuellement en fonction?
• Quel est l'écmt de connaissances/habiletés qui doit être couvert
dans le plan de formation?
• Quelle est l'ampleur de la diflërence entre le fonctionnement
de l'environnement existant actuel et le fonctionnement de la
nouvelle plateformc'?
En gënéral, un projet de transition doit se conformer aux
directives suivantes :
• La transition entre la platcformc existante et la nouvelle doit
bien se faire, sans aucun effet négatif sur les utilisateurs du
système.
• Tout le personnel de soutien existant doit travailler à faire
fOnctionner le nouvel environnement de système et l'embauche
de nouveaux employés doit être réduite au minimum.
~:tape t -Concevoir des s(ructurcs qui serviront de soutien
t•étapc 1 comprend le développement de:
• I.Janalyse de l'écart: Une approche possible pour détennincr
l'écart les différences entre l'organisation de soutien actuelle
et la future- est de planifier des ateliers avec les membres du
personnel appropriés qui s'occupent actuellement des tâches
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
du système d'exploitation ou des procëdés de soutien. Cette
approche doit aussi inclure les représentants de 1'unité de
service d'assistance actuelle.
L'analyse de l'écart doit être basée sur les résultats de
ces ateliers et sur les données qui peuvent être recueillies
à partir des auto-évaluations auxquelles participent le;;;
représentants de toutes les unités de soutien actuelles. Les
sujets de l'analyse de l'écart doivent inclure les procédés,
les compétences, les outils, le nombre d'employés, les
services d'assistance et les interfaces avec les autres unités
organisationnelles.
• Définition des rôles: Les définitions des rôles requis doivent
être détaillées.
f:tapc 2- Établir des fonctions de soutien
L'étape 2 comprend le développement d'accords sur les niveaux
de service, de plans d'implantations et de plans de fOrmation :
Accord sur les niveaux de serl'ice
L;accord sur les niveaux de :;:crvicc doit au minimum tenir compte
des points clés suivants :
• TCmps d'exploitation;
• Temps de soutien;
" Délai moyen entre les défaillances;
• Délai moyen de réparation;
• Temps de réponse du soutien technique.
Tous les attributs de l'ANS doivent être mesurables avec un effort
raisonnable.
Plan d'implantation/Plan de tramfert des connaissances
Conformément aux bonnes pratiques, le transfert devrait suivre
la méthode de l'apprentissage imitatif et de la transmission
de témoin. L'apprentissage imitatif permet au personnel de
s'habituer au système par observation. Cette approche est la plus
appropriée pour le transfert des connaissances, mais aussi pour
le transfert des responsabilités d'une manière transparente. La
métaphore de la transmission de témoin exprime précisément ce
qui doit être accompli: les connaissances doivent être transférées
en petites doses.
Plans de jàrmation
Une fois que les rôles ct les responsabilités son! définis, ils
sont documentés sous forme de tableau pour obtenir une vue
d'ensemble claire et f3cile à lire.
Les plans de türmation pour le personnel doivent montrer toute la
formation requise selon :
• Le contenu
• L'infOrmation sur le calendrier
• La durée
• Les mécanismes de livraison (classe ou Web)
• Le concept de t{mnation des formateurs
Le plan doit tenir compte des définitions de rôle et des profils des
compétences pour la nouvelle structure. ainsi que les résultats de
l'analyse de l'écart. Le plan tient compte du fait que le personnel
à former doit continuer à taire fonctionner le système actuel. Par
conséquent, il faut conserver une coordination détaillée avec les
tâches quotidie1mes.
197
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
La liste suivante donne un exemple des tâches de travail définies
pour atteindre 1'objectif général du projet:
• Rassembler de la documentation sur la structure de soutien
existante.
• Réviser le modèle organisationnel des Tl existant.
• Définir la nouvelle structure organisationnelle de soutien.
• Définir les nouveaux procédés de soutien.
• Établir une correspondance entre le nouveau processus et le
modèle organisationnel.
• Exécuter le nouveau modèle organisationnel.
• l~tablir des fonctions de soutien.
• Concevoir des matériaux de communication pour le personne!
de soutien.
• Mener des séances d'information et des séances de formation.
• Réviser les progrès de la mobilisation.
• Passer à la nouvelle structure de l'organisation.
• Réviser les points susmentionnés.
FORMATION DE I?UTILISATElJR FINAL
Le but d'un plan de formation est de s'assurer que l'utilisateur
final peut devenir autonome pour faire fonctionner le système.
Un des points les plus importants de la fonnation de l'utilisateur
final est de s'assurer que la formation soit envisagée et qu'un
plan de projet de fbnnation soit créé dès le début du processus de
conception.
JI est possible d'élaborer une stratégie qui tiendrait compte du
choix du moment, de l'étendue et des mécanismes de livraison.
La f'Ormation doit être dirigée en utilisant des utilisateurs
provenant du groupe type pour déterminer qu'elle serait la
meilleure ütçon de personnaliser la fOrmation pour les différents
groupes d'utilisateurs. À la suite du projet pilote, l'approche de
formation peut être ajustée si nécessaire, en sc basant sur les
réactions reçues du groupe pilote. Des classes séparées doivent
être créées pour les personnes qui aideront au processus de
formation. Ces classes de formation du formateur favorisent aussi
des réactions utiles pour améliorer le contenu du programme
de formation. Le choix du moment de la formation est très
important. Si la formation se donne trop tôt, les utillsateurs
oublieront la p1upat1 de ce qu'ils ont appris avant que le système
ne soit réellement en production. Si elle sc donne trop tard, il n'y
aura pas assez de temps pour obtenir des réactions du groupe
pilote et effectuer les modifications nécessaires au programme
principal de formation.
Les classes de formation doivent être personnalisées pour aborder
les niveaux d'aptit11des et les besoins des utilisateurs en fOnction
de leurs rôles au sein de l'organisation.
Pour développer une stratégie de formation. l'organisation
doit nommer un administrateur de formation. Ce dernier
doit identifier !cs utilisateurs qui ont besoin d'être formés en
considérant leurs fonctions d'emploi spécifiques. Il faut tenir
compte des mécanismes de format et de livraison suivants :
• ~3tudes de cas;
• Formation basée sur le rôle;
• Conférences et ateliers;
• Modules conçus pour diffërcnts niveaux d'expérience;
• Séances pratiques sur la façon d'utiliser le système;
198
e .
' ertifled lnfonnatioo
Systems Audîtor'
""""""'""'''"'""
• Formation informatique d'appoint (si nécessaire);
• Sessions en ligne sur Internet ou sur un CD-ROM.
Il est important de posséder une bibliothèque de cas ou de tests,
y compris les erreurs d'utilisateurs et la réponse du système à ces
erreurs.
L'administrateur de la formation doit enregistTer l'informalion
sur les étudiants dans une base de données ou dans un chiffrier,
y compris les commentaires de l'étudiant, pour améliorer la
formation.
MIGRATION DES DONNÉES
Une conversion de données (également appelée portage de
données) est nécessaire si les systèmes source et cible utilisent
des formats ou des tailles de champ, des structures de fichiers
ou de bases de données ou des codes différents. Par exemple,
un chifli·e peut être stocké en tant que texte, point flottant ou
décimale en code binaire. Un autTe exemple : les couleurs rouge,
vert ct bleu sont indiquées par les codes R, V ct B dans le système
actuel et par RO, VE ct BL dans le nouveau système. Remarquez
que cette conversion aborderait également la question de la
modification de la taille du champ. Les conversions sont souvent
nécessaires lorsque les systèmes sourœ ct cible fonctionnent
sur du matériel ou des plateformes de systèmes d'exploitation
différents et lorsqu'on utilise des structures de fichiers ou de base
de données dilférentes (p. ex., base de données relationnelle,
fichiers plats, VSAM, etc.). Le recours à des schémas de
présentation de caractère diflërents sur deux systèmes (p.
ex., ASCJI vs EBCDIC) constitue un autre exemple de codes
différents qui exigent une conversion.
l?objeetif de la conversion des données est de les faire passer
au nouveau fOrmat, au nouveau code et à la nouvelle structure
exigés tout en conservant la signification et l'intégrité des
données. Le processus de conversion des données doit donner
cc11ains moyens, comme des pistes d'audit et des journaux,
gr~ke auxquels on peut vérifier l'exactitude et l'exhaustivité
des données converties. Cette vérification peut être cflèctuée
par l'entremise d'une combinaison de processus manuels, de
programmes de service, d'outils de fournisseur et d'applications
particulières à utilisation unique.
Une conversion de données à grande échelle peut devenir
un projet à 1'intérieur d'un projet puisque des analyses, une
conception et une planification considérables sont requises. Parmi
les étapes nécessaires pour une conversion des données réussie,
on trouve:
• L'identification des données devant être convetiies à l'aide de
programmes, et des données, s'il y a lieu, devant être converties
manuellement
• L'exécution de toute épuration nécessaire des données avant la
conversion.
• L'identification des méthodes qui seront utilisées pour vérifier
la conversion, par exemple les comparaisons automatisées
des fichiers, la comparaison du nombre de données et des
contrôles totaux, la comparaison de l'équilibre des comptes et la
comparaison des données individuelles dans un échantillon.
• L'établissement des patâmètres pour une conversion réussie. Par
exemple, est-ce qu'une cohérence de !00% entre l'ancien et Je
nouveau système est nécessaire, ou si quelques disparités sont
acceptables?
Manuel de Préparation CISA 26" édition
ISACA. Tous droits reservés.
e Certifled Information
Systems Audilor'
'"'"""'""~"'"'"""
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
• Le calendrier de séquence des tùches de conversion.
• La désignation des rappotis des pistes d'audit pour documenter
la conversion, incluant la correspondance ct la transfOrmation
des données.
• La conception de rapp01is d'exception qui enregistreront tous
les éléments qui ne peuvent pas être convertis automatiquement.
• La définition de la responsabilité de vérifier et d'approuver
les étapes individuelles de la conversion et d'acceptation la
conversion dans son ensemble (cette responsabilité relève
habituellement du détenteur du système).
• La conception et le test des programmes de conversion, y
compris la 1"0nctionnalité et la performance,
• La présentation d'une ou de plusieurs répétitions générales de
conversion pour familimiser les personnes avec la séquence des
événements et leurs rôles, et tester Je processus de conversion de
bout en bout avec de vraies données,
• L'externalisation du processus de conversion doit être supervisée
ù l'aide d'une entente appropriée englobant la non-divulgation,
la confidentialité des données, la destruction des données et
d'autres garanties.
• Le fonctionnement de la version avec tout le personnel
nécessaire sur le site, ou disponible sur appeL
Une migration de données réussie sc traduit par l'obtention
d'un nouveau système à temps, en respect du budget et de la
qualité exigée. Le projet de migration de données doit être
soigneusement planifié ct employer des méthodologies ainsi que
des outils adéquats afin de réduire les risques :
• d'interruption des activités habituelles;
• de violation de la sécurité et de la confidentialité des données;
• de conflits et de contention entre les activités d'origine ct celles
qui font l'objet de ln migration;
• d'incohérences relatives aux données ct de perte de l'intégrité
des données au cours du processus de migration,
Le modèle de données et celui de la nouvelle application doivent
être stockés dans le référentiel d'entreprise. Cela permet de
simuler un scénario de migration et assure la traçabilité au cours
du projet Le référentiel d'entreprise permet d'avoir une vue
d'ensemble de la reconfiguration des processus et du processus
de migration des données (p. ex., quels modules ct quelles entités
sont à quelle étape, soit en service ou déjà migrés), Ces modèles
seront modifiés au cours des processus décrits dans les sections
qui suivent.
J>errcctionnemcnt du scénario de migration
Afin de déterminer la portée du projet de mise en œuvre, il htut
entreprendre une analyse du module pour déterminer les modules
fOnctionnels et les entités de données touchés. Le plan du
projet d'implantation doit être perfectionné en fonction de celte
information ct d'une analyse des besoins fonctionnels,
La prochaine étape consiste en l'élaboration d'un scénario
de migration. Il s'agit d'une liste détaillée des tâches pour le
déploiement de la production du nouveau système. Grâce à cc
plan, les éléments de décision sont définis pour permettre la prise
de décision d'aller de l'avant ou non, Les processus qui suivent
exigent des éléments de décision:
• Processus de soutien à la migration ·- un processus de soutien
pour administrer le réfërentiel de l'entreprise doit être mis
en œuvre, Parce que ce référentiel doit être utilisé une fOis
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
le projet terminé pour gérer les composantes du logiciel de
la nouvelle architecture, ce processus doit pouvoir appuyer
les processus de développement à venir, L'administration du
réfërentiel d'entreprise ella génération de rapports soutiennent
la migration en eff"Cctuant p1incipalement des modifications de
rétro-ingénierie dans l'architecture existante et en facilitant la
création de rapports d'analyse d'impact.
• Infrastructure de migration --l'équipe de projet doit établir
!a spécification de 1' infrastructure du projet de migration. Cette
approche assure la cohérence et augmente la confiance en la
fonctionnalité du scénario de rechange, Céquîpe du projet
de migration effectue une analyse de haut nivenu du modèle
de données existant ct du nouveau modèle de données pour
établir des liens entre eux, Ces liens seront peaufinés plus tard.
L'infrastructure de la migration est le fOndement de la précision
des éléments suivants :
-·· Redirecteur de données (adaptateurs temporaires)··· Les
bonnes pratiques suggèrent un déploiement progressif des
applications pour minimiser l'impact de leur implantation
sur l'utilisateur final ct pour limiter les !isques en ayant
un scénario de rechange avec impact minimal. Pour cette
raison, une composante de l'infrastructure doit s'occuper des
données distribuées sur les différentes plateformes au sein
des applicntions distribuées, La conception d'un redirccteur
de données pour la nouvelle architecture correspond aux
architectures orientées service ct doit couvrir des fonctions
comme l'accès aux données existantes qui ne sont pas encore
migrées lors du temps d'exécution (p. ex, le code EBCDIC,
le code ASCII) la constance des données en raison de l'usage
de nonnes telles que l'interface X/Open XA et une nouvelle
architecture uniforme.
-~·Composantes de conversion de données Souvent, il existe
un besoin de concevoir un modèle de données d'entreprise
pour éliminer les données redondantes et les irrégularités.
Pour cette raison, les composantes d'infrastructure qui vont
transformer le modèle de données existantes en un nouveau
modèle de données doivent être fournies, Ces composantes
peuvent êtTe décrites comme suit :
• Décharger les composantes pour copier les données (telles
quelles ou modifiées en fonction du 1"0nnat de données du
système cible) de la base de données existante désignée pour
la migration;
• Transt"ërer les composantes, pour exécuter le transfert de
données du système existant au nouveau système;
• Charger les composantes pour exécuter le chargement des
données dans la nouvelle base de données,
Des ensembles de logiciels pouvant accueillir la migration
des données, comme des logiciels d'ERP et de gestion des
documents, devraient être acquis aussitôt que l'évaluation
logicielle est effectuée, Le plan de conversion des données doit
être en fonction des b~scs de données et des outils de migration
disponibles offerts par les fOurnisseurs choisis,
Scénario de rechange (retour en arrièr·e)
Tous les déploiements du nouveau système ne se déroulent
pas comme prévu, Pour réduire le risque de temps d'arrêt des
systèmes indispensables, les bonnes pratiques indiquent que
tous les outils et toutes les applications nécessaires à l'inversion
de la migration doivent être disponibles avant d'entamer le
199
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
renversement de la production. Une partie ou la totalité des outils
et des applications devront ètre mises au point dans le cadre du
projet.
Des composants permettant de sauvegarder tous les changements
et de restaurer les données: des applications d'origine doivent ètre
livrés dans l'éventualité d'un non-fonctionnement des nouvelles
applications. Deux types de composants doivent être pris en
considération en tant qu'élément du plan de secours::
1. Le premier consiste à : (i) décharger des composantes pour
exécuter le déchargement des données des nouvelles structures
de données, (ii) transférer les composantes pour la conversion
de données et (iii) charger les composantes afin d'exécuter
Je chargement des données dans les structures de données
existantes.
2. Le deuxième consiste ft : ( i) avoir une composante journal
pour enregistrer les modifications faites aux données au sein
du nouveau modèle de données :JU cours du temps d'exécution
dans la couche de service, (ii) transférer les composantes pour
la conversion de données et (lii) chnrger les composantes pour
exécuter le chargement des données dnns les structures de
données existantes.
Le choix de la méthode de conversion des données doit être fait
au sein du projet d'implantation et doit être basé sur les critères
suivants :
• Le volume des transactions
• Le changement de degré du modèle de donnée
En résumé, les projets de migration des données commencent
avec la planification et la prépamtion. La première étape est de
comprendre la structure des données du nouveau système. Cette
compréhension se fait en lisant les guides d'utilisation du logiciel,
en analysant les diagrarnmes relation-entité) en comprenant
les relations entre les éléments de données et en révisant les
définitions des termes clés (comme entité et enregistrement) dans
le nouveau système.
La prodminc étape dans la conversion de données est de réviser
les décisions po1iant sur la façon de mener les processus
opérationnels dans le nouveau système. Les modifications
sont identifiées, et le produit de cet exercice est un tableau de
la nouvelle terminologie de données comparée aux définitions
actuelles d'éléments de données. Au cours de cette étape,
l'équipe de projet identifie la façon dont les données actuelles
sont définies dans le nouveau système. Ensuite, on procède à
l'épuration des données pour éliminer le manque de cohérence
dans la base de données actuelle, si possible, et à la résolution
de doublons des ensembles de données, si nécessaire. Les règles
de conversion sont définies ct documentées dans le but d'assurer
que les processus opérationnels exécutés dans le nouveau
système rapportent des résultats qui maintiennent les relations et
l'intégrité des données.
Les règles de conversion des données sont programmées par
l'équipe de conception du logiciel. Les sc1ipts de conversion
des données sont créés pour convc1iir les données contenues
dans les anciennes bases de données afin de les transférer
dans les nouvelles bases de données. Les scripts de conversion
des données sont testés sur une sélection discrète de données,
200
des Systèmes d'Information
e . M
Gertlffed !nfonna
.. lion
Systems Audilor"
"''W-"'"'·"~"'"
soigneusement choisie pour inclure tous les cas. C'est ce qu"on
appelle un test de programme ou unitaire. À l'acceptation
des scripts de conversion des données par les programmeurs,
les scripts sont exécutés sur une copie de test de la base de
données de ln production. On vérifie la valeur des données en
procédant entre autres à des test..;; des processus opémtîonnels.
Les utilisateurs ct les développeurs complètent des cycles de
tests jusqu 'à ce que les scripts de conversion soient bien réglés.
Une fois les tests terminés. la prochaine étape est de transférer
la hase de données conve1tie en production. La conversion de
données peut aussi sc fhire manuellement si Ja conversion des
données exige une interprétation ou si les conditions ou les
règles de conversion des données sont trop complexes pour la
programmation.
Il fnut tenir compte des éléments essentiels dans un projet de
conversion des données pour assurer :
• L 'exhnustivité de la conversion des données (c.-à-d. que Je
nombre total d'enregistrements de la base de données source
est transtëré à la nouvelle base de données [en supposant que le
nombre de champs reste le même]).
• Cintégrité des données (c.-à·d. que les données ne sont pas
modifiées manuellement, mécaniquement ou électroniquement
par une personne, un programme, une substitution ou un
écrasement dans le nouveau système). Les problèmes d'intégrité
comprennent également les erreurs de transposition et de
transcription, et les problèmes de transtèrt de registres, de
champs, de dossiers et de bibliothèques particuliers.
• Stockage ct sécurité des données conve1iies (c.-à-d. qu'une
copie de sauvegarde des données est effectuée avant la
conversion pour références futures ou pour toute urgence qui
peut se produire lors de la gestion du programme de conversion
des données). Les copies non autorisées ou trop de copies
peuvent mener à une utilisation malveillante, à un abus ou à un
vol des données du système.
• La constance des données (c.-à-d. que le champ ou
enregistrement appelé à partir de la nouvelle application doit
être constant avec celui de l'application miginale). Cette
constance doit favoriser une constance dans la reproductibilité
des exercices de test.
• La continuité (c.-à-d. que la nouvelle application doit pouvoir
ajouter des données plus récentes {ajout] et aider à assurer une
continuité sans interruption des activités).
• La plus récente copie des données avant la conversion de
l'ancienne plateformc ainsi que la première copie des données
après la conversion à la nouvelle plate forme doivent être
conservées séparément dans les archives pour références
futures.
TECHNIQUES DE CONVERSION (LANCEMENT OU
TRANSFERT)
La conversion fait référence à l'approche permettant de faire
passer l'utilisateur de l'ancien système existant (ancien) au
système remplaçant (nouveau). Cette opération csl appropriée
seulement après que le nouveau système ait été testé par rapport
à son programme et aux données pertinentes. On appelle aussi
parfois cette technique la technique de lancement, puisqu'elle
permet de lancer le nouveau système. Cette approche est aussi
appelée la technique transfe11, puisqu'elle aide à couper les ponts
avec l'ancien système et à passer au nouveau système.
Manuel de Préparation CISA 26< édition
ISACA. Tous droits réservés.
e certifiCd lnlo~mat!oo
Systems AtKI!!o(

"'""". '"''''~"'
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section deux : Contenu

Cette technique peut s'accomplir de trois mnnières différentes. l'utihsateur prend de la confiance et de l'assurance vis-à-vis du
Voir les figures 3.15, 3.16 et 3.17. nouveau système. À ce point, on cesse l'utilisation de l'ancien
système et le nouveau système devient totalement fonctionnel.
Notez qu'à la figure 3.15, le nombre (m, n. respectivement) de
figure 3.15- Conversion en paraJièle ,

• ~ .•
modules des nouveaux ct anciens systèmes peut être dilfércnt.

• Conversion progressive
Module n

Module n-1 :
: 1:1: Dans cette approche, !"ancien système est divisé en modules
livrables. Au départ, le premier module de l'ancien système est
remplacé progressivement par Je premier module du nouveau
Module2

Module 1
: 1:1:• système. Ensuite, le deuxième module de l'ancien système est
remplacé à son tour par le deuxième module du nouveau système,
et ainsi de suite jusqu'au demi er module. De cette manière, Je
passage de J'ancien système au nouveau système sc fait d'une
• Module m manière préétablie et progressive.
Module m·l 1
Voici certains tisques ù la conversion progressive :
Module 2 • Un manque de ressources (du côté des Tl --- ëtre capable de
: Module 1
maintenir deux environnement uniques d'un point de vue
matériel, systèmes d'exploitation, bases de données et code;
• et du côté des opérations- être capable de maintenir les guides
Calendrier d'introduction
d'utilisation, les procédures, les politiques, les définitions des
termes du système, etc.).
figure 3.16- Conversion progressive • L'extension du cycle de vie du projet pour couvrir deux
Anc1en sous-syst'erne N ouveau systèmes.
(modules) sous-système " La gestion des changements pour les exigences et les
Module n 1 Modulen personnalisations afin de conserver le soutien continu de
l'ancien système.
Module n-1 1 Module n-1

Module3
Module 3
1 Conversion soudaine
Module2
1 Module 2 Dans cette approche, le nouveau système remplace l'ancien
Module 1 1 Module 1 système à une date butoir, et l'utilisation de !"ancien système
cesse dès que le passage au nouveau système est eiTectué.
Calendrier d'introduction
La conversion au nouveau système implique quatre étapes ou
figure 3.17- Conv.ersion brusque activités importantes:
1. La conversion des fichiers ou programmes; des tests sur banc
Anc"en
1 sous. N cuveau sous- d'essai
système {modules) système 2. L'installation de nouveau matériel, d'un système d'exploitation,
Modulen Modulen d'un système d'application et des données migrées
3. La formation des employés ou des utilisateurs en groupes
Module n-1 Module n-1
4. L~ calendrier des activités et des tests pour le lancement ou la
Module 3 Module 3 conversion
Module2 Module 2
Voici certains risques liés à la conversion :
Module 1 Module 1
• La sauvegarde d'actif.'i;
" • Cintégdté des données;
Calendrier d'introduction
• L'efficacité du système;
• t:efficicnce du système;
Conve1·sion en parallèle • Les problèmes de gestion des changements (selon la
Cette technique consiste à faire fonctionner l'ancien système, configuration dësirée des éléments);
ensuite à faire fOnctionner les deux systèmes, ancien et nouveau, • Des enregistrements en double ou manquants (des
en parallèle, et finalement passer complètement au nouveau enregistrements en double ou erronés peuvent exister si
système après s'être assuré de son bon fonctionnement. Avec cette l'épuration des données ne se fait pas correctement).
approche, les utilisateurs devront se servir des deux systèmes
pendant la période de chevauchement. Cette approche minimise CERTIFICATION/ACCRÉDITATION
les risques d'utilisation du nouveau système, ct en même temps La certification est un processus dans le cadre duquel une
permet d'identifier des problèmes, des questions ou toute autre organisation effectue une évaluation exhaustive, par rapport
préoccupation que 1'utilisateur peut avoir en commençant à sc à une norme, de la direction, des contrôles opérationnels et
servir du nouveau système. Après une période de chevauchement, techniques d'un système d'infOrmation. L'évaluatcur examine le

Manuel de Préparation CISA 26• édition 201

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
degré de conf()rmité à cettaines exigences comme les normes, les
règlements, les processus, les procédures, les directives de travail
ct les lignes directTices -·exigences en soutien à la certification.
I.e but est de déterminer dans quelle mesure les contrôles sont
mis en œuvre adéquatement, fonctionnent comme prévu et
produisent le résultat voulu en cc qui a trait aux exigences de
sécurité du système. Les résultats d'une certification servent à
effectuer une nouvelle évaluation du risque et à mettre à jour le
plan de sécurité du système. Ils donnent ainsi une base factuelle
à un dirigeant autorisé pour rendre une décision relativement à
! 'accréditation.
L'accréditation constitue !a décision offic.ielle de la direction
(rendue par un haut fonctionnaire) d'autoriser l'exploitation
d'un système d'information et d'accepter de manière explicite le
risque pour !es activités, les biens ou les individus qui composent
l'organisation en fonction de la mise en œuvre d'un ensemble
d'exigences ct de contrôles de sécurité convenu. L'accréditation
relative à la sécurité offre un type de contrôle de la qualité el
met les gestionnaires ainsi que le personnel technique au défi
de mettre en œuvre les contrôles de sécurité les plus efficaces
possible dans un système d'information dan~ le contexte des
exigences relatives à la mission ct des contraintes de nature
technique, opérationnelle et liées aux coûts ct au calendrier.
En accréditant un système d'information, un haut fonctionnaire
accepte de devenir responsable de la sécurité du système et
de rendre des comptes pour toute incidence défavorable pour
l'organisation si la sécurité était atteinte. Par conséquent, la
responsabilité et l'obligation de rendre des comptes sont des
principes essentiels qui définissent l'accréditation.
Remarque ; Un candidat au titre CISA doit connaître le
d'un auditeur dans le processus de certification.
Phase 6 - Révision postlmplantatlon
À la suite de l'implantation réussie d'un nouveau système ou
d'un système considérablement modifié, il est avantageux de
vérifier que le système a été bien conçu et que les contrôles
appropriés ont été incorporés dans le système. Une révision
postimplantation doit atteindre les objectifS suivants :
• l~vnluer la pertinence du système:
Vérifier si le système respecte les exigences de l'utilisateur ct
les objectifs de l'entreprise;
Vérifier si les contrôles d'accès ont été définis ct implantés
convenablement.
• f~valuer les mesures coûts-avantages et duRCI prévues.
• Rédiger des recommandations qui abordent les lacunes ct les
insuffisances du système .
.. É~laborer un plan pour l'implantation des recommandations.
• Évaluer le processus de projet de conception :
-·Est-ce que les méthodologies, les normes ct les techniques
choisies ont été suivies?
Est-ce que les techniques de gestion de projet appropriées ont
été utilisées?
Il est important de noter que, pour une révision postimplantation
efficace, l'information qui sera révisée doit être identifiée au
cours des phases de faisabilité et de conception, et recueillie à
chaque étape du projet. Par exemple, le directeur de projet peut
202
des Systèmes d'Information
e CertlfKld . lnfGrmal.;.,
Systems Auditor"
;:;;;:t;:;;--
décider de certains points de contrôle pour mesurer l'efficacité
des processus de développement du logiciel et la justesse de
l'évaluation des logiciels pendant l'exécution du projet. Les
mesures d'affaires doivent aussi être établies dès le départ, ct
recueillies avant le démarrage du projet et une fois que Je projet
est implanté (pour des exemples de facteurs critiques de succès,
consultez le tableau 3.13).
Il est aussi important de permettre à un nombre suffisant de
cycles d'aftàires d'être exécutés dans le nouveau système pour
connaître le retour réel de l'investissement.
Une révision d'après projet. doit être effectuée conjointement
par J'équipe de conception du projet et les utilisateurs finaux
appropriés. Habituellement, l'objectif de cc type de révision
interne est d'évaluer et de critiquer le processus de projet,
tandis qu'une revue postimplantation a pour but d'évaluer ct de
mesurer la valeur que le projet a pour J'entreprise (réalisation des
bénéfices).
Un groupe indépendant qui n'est pas associé au projet
d'implantation (un audit interne ou externe) peut également
procéder à la révision postimplantatîon. Les auditeurs des SI qui
effectuent cette révision doivent être indépendants du processus
de déploiement de système. Par conséquent, les auditeurs des
SI qui ont partagé leur expertise avec l'équipe de projet. pour la
conception du système ne doivent pas effectuer cette révision.
Contrairement aux révisions internes faites par l'équipe de projet~
les révisions postîmplanta1ion effectuées p<!r les auditeurs des
SI ont tendance à se concentrer sur les aspects du contrôle de la
conception du système et des procédés d'implantation.
li est impmiant que toute participation d'audit à la conceplion du
prqjet soit documentée en détail dans les documents de travail de
l'audit afin de soutenir les conclusions et les recommandations
de l'auditeur des SI. Cc rapport d'audit et la documentation
doivent être réutilisés au moment de procéder à l'entretien ou à
des modifications afin de valider, de vérifier et de tester l'impact
de tout changement fait au système. Le système doit être révisé
de façon périodique pour s'assurer qu'il continue de répondre aux
objectifS d'une manière rent..ïble et que le contrôle de l'intégrité
est toujours présent.
Remarque : Le candldat au titre CISA doit cOJmaître les
problèmes reliés au double contTôle lié à J'autorisation dans la
révision postimplantation et avec ceux chargés de vérifier les
tésu1tats du traitement en temp_~ réel.
3.5.3 SYSTÈMES DE GESTION INTÉGRÉE DES
RESSOURCES
Un nombre croissant d'entreprises publiques et privées passent
de groupes séparés d'applications interreliées à une solution
d'entreprise entièrement întégrée. De telles solutions sont souvent
commercialisées comme des solutions de gestion intégrée (ERP).
Beaucoup de fournisseurs, particulièrement d'Europe et des
É~tats-Unis, se concentrent sur ce marché et offrent des progiciels
portant des noms commerciaux tels que SAPJD, Oracle·)\' Financials
ou SSG (Baan).
Manuel de Préparation CISA 26' édition
ISACA. Tous droits reservés-
 Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
L:implantation de solutions intégrées représente un très grand
projet d'acquisition de logiciel. L'acquisition et l'implantation
d'un système de planification des ressources a des conséquences
sur la façon de fonctionner de l'entreprise, sur tout son
environnement de contrôle, sur l'orientation technologique
et sur les ressources internes. En général, une entreprise qui
adopte une solution intégrée doit remplacer ses philosophies,
politiques et pratiques de gestion par celles des fournisseurs de
la solution logicielle intégrée, quoique de nombreuses options
de personnalisation puissent exister. À cet égard, une telle
solution diminuera ou <.wgmentera la capacité de la technologie
de l'information à soutenir les buts et la mission de J'entreprise.
Lorsqu'une entreprise considère un changement de cette ampleur,
il est impératif qu'elle cfrectue une évaluation approfOndie de
l'impact et des risques.
Lors de l'implantation d'une solution de gestion intégrée ou de
tout autre logiciel prêt à utiliser, l'unité fonctionnelle a le choix
d'implanter et de configurer le nouveau système de la façon
la plus élémentaire possible: tel quel, prêt à être utilisé, sans
développer de fonctions supplémentaires ou personnalisées
pour combler les lacunes des processus opérationnels propres à
l'entreprise. L'entreprise choisit plutôt de modifier les processus
opérationnels pour répondre aux normes de lïndustrie, tel
que dicté par la solution logicielle. Même si cette décision
nécessite moins de conception et de tests de logiciel que la
personnalisation, elle requiert des modifications plus importantes
aux unités fonctionnelles pour travailler ditlëremment. En
raison des coùts élevés de personnalisation du logiciel pour
la conception, 1'entretien, la mise à jour et les corrections
continuelles, cette façon n'est habituellement pas recommandée
par les fournisseurs.
En raison de l'importance des risques associés, il est essentiel
que les cadres supérieurs évaluent ct approuvent tous les plans et
toutes les modifications à l'architecture du système, à la direction
technologique, aux stratégies de migration ct aux budgets des Sl.
3.5.4 RISQUE ASSOCIÉ AU DÉVELOPPEMENT DE
LOGICIELS
La conception et le développement de systèmes logiciels
comportent un bon nombre de types de risques.
Un type de risque est le risque commercial (ou risque
d'avantages) lié à J'éventualité que le nouveau système ne
réponde pas aux besoins commerciaux, aux exigences ct aux
attentes des utilisateurs. Par exemple, les besoins fonctionnels
auxquels le nouveau système aurait dû répondre sont toujours là
ct le processus s'est avéré un gaspillage de ressources. Dans un
tel cas. même si le système est implanté, il sera probablement
sous-utilisé ct non entretenu, ce qui le rendra rapidement désuet.
Un autre risque est celui associé au projet (ou risque de livraison),
lorsque les activités du projet pour la conception et la création
du système dépassent les limites fixées pour les ressources
financières dans le cadre du projet Le projet pourrait alors
être complété plus tard ou ne jamais l'être. La conception ct
le développement de systèmes logiciels comportent un bon
nombre de types de risques. Les risques rattachés à ces projets se
retrouvent dans difTércnts aspects du projet:
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
• À 1'intérieur du projet (p. ex., les risques associés li une
mauvaise identification des exigences pour répondre au
problème ou à l'occasion commerciale pour lesquels Je système
est conçu et une mauvaise gestion du projet causant des retards
et des dépassements de coûts).
• Avec les fburnîsseurs (p. ex., les risques associés à l'incapacité
de communiquer clairement les besoins et les attentes, ce qui
entraîne un retard dans la livraison de la part des fournisseurs,
un dépassement de coûts et une qualité moindre).
• Au sein de J'entreprise (p. ex., les risques associés à des
intervenants qui ne fOurnissent pas les apports ou les ressources
nécessaires au projet et modifient les priorités et les politiques
de J'entreprise).
e À l'extérieur de l'entreprise (p. ex., les risques associés à des
conséquences sur le projet provoquées par les actions et la
modification des préférences des clients, des compétiteurs, des
autorités gouvernementales/organismes de réglementation et
des conditions économiques).
• Dans le cadre de la technologie choisie (p. ex., remplacement
soudain de la technologie choisie par une autre plus rentable;
manque de compatibilité dans le marché résultant en des
obstacles à l'utilisation du nouveau système par les clients
potentiels).
La principale cause de ces problèmes est le manque de discipline
dans la gestion du processus de conception du logiciel, ou
l'utilisation d'une méthodologie inappropriée en cours de
conception. Dans de tels cas, les entrep1ises ne fournissent pas
l'infrastructure et le soutien nécessaires pour prévenir de tels
problèmes. lei, la réussite des projets, s'il y a lieu, ne peut être
répétée et les activités de SDLC ne sont pas définies ni suivies
convenablement (c.-à-d. maturité insuffisante). Cependant,
avec une gestion eflïcacc, les activités de gestion du cycle de
développement peuvent être contrôlées, mesurées et améliorées.
t:auditeur des SI doit être conscient que le simple tltit de suivre
une approche de gcslion du cycle de développement des systèmes
ne garantit pas le succès d'un projet de conception. L'auditeur des
SI doit également revoir la gestion d'un prqjet par rapport aux
éléments suivants :
• L'atteinte des objectif.c; du projet;
• La planification du projet, incluant une estimation juste des
ressources, du budget ct du temps;
• Le contrôle du glissement de la portée et la présence d'un plan
préliminaire du logiciel pour empècher l'ajout d'exigences à la
conception du logiciel ou J'absence de contrôle du processus de
développement;
• Le suivi de la conception du logiciel et des activités de
développement par la gestion;
• L'appui des gestionnaires supérieurs à la conception du projet
logiciel et aux efforts de conception;
• La révision périodique et l'analyse des risques à chaque phase
du projet.
(Pour de plus amples renseignements, consultez la section 3.12
Pratiques d'amélioration des processus.)
203
 Chapitre 3 - Acquisition, Développement et Implantation
Section deux : Contenu
3.6 VIRTUALISATION ET ENVIRONNEMENTS
D'INFONUAGIQUE
La nécessité d'une plus grande extensibilité et une plus grande
agilité dans le marché ainsi que !es efforts pour baisser les
coùts d'exploitation ont dirigé la croissance, à la fois vers la
virtualisation des systèmes et vers son utilisation avec des
prestataires de services en nuage (CSP). Pour développer des
programmes d'audit efficaces, l'auditeur des SI doit avoir
une compréhension nette à la fois de la virtua!isation ct des
architectures des CSP en soutien aux applications et processus
d'affaires de l'entreprise.
3.6.1 VIRTUALISATION
Au fur ct à mesure que croissent la sophistication ct la complexité
des processus d'affaires, le réseau de soutien et les infrastructures
informatiques en font autant. On pense gén~ralement que le
concept de virtualisation aurait ses origines à la fîn des années
1960 ct au début des années 1970 alors que les rigoureux
environnements avec option de temps parLagé (TSO) d'un
ordinateur central avec plusieurs utilisateurs ayant un accès
simultané au système d'exploitation, sans impact sur les autTes,
qui accèdent également au même système d'exploitation- avec
pour conséquence une utilisation plus efficace de l'unité centrale
{CPU), de la mémoire vive et de l'espace de stockage. ToutefOis,
à ce moment-là, le coüt élevé de ces ressources n'a pas filvorisé
la possibilité de déployer ces capacités à l'échelle du modèle de
vÎiiuali&'ltion actuel. Aujourd'hui, le même raisonnement pour
le modèle de l'option en temps partagé (TSO) est appliqué par
la virtualisation parce que la plupart des technologies de serveur
actuelles sont sous-utilisées et capables de soutenir beaucoup plus
qu'une ou deux fonctions de serveur.
Des centres de données et plusieurs autres organisations utilisent
les techniques de virtualisatîon pour créer une abstraction
du matétiel physique et mettre en place de grands bassins de
ressources logiques comprenant unités centrales, mémoire vive,
disques durs, stockage de fichiers, applications ct réseau. Cette
figure 3.18 -Atchileêtüres î(e Vli'!Uallsalion complèlê
[ Applicatio~J
1
Application
Il Application
1
1 Application
1
SE invité
JI SE invité
1
1 Application
~- Hyperviseur
1 1
L __ _ _ _ _ _ _ M
__at_é_r_ie_l______~ll~
Bare Metal
Reproduit avec la permission du Nationallnstitute of Standards and Technology, U.S. Oepartment of Commerce. Non reproductible aux États-Unis.
204
des Systèmes d'Information
approche permet une plus grande disponibilité de ces restmurces
pour la base des utilisateurs. Le but premier de la virtualîsation
est de permettre ù un environnement informatique physique
unique de l11ire fOnctionner de multiples systèmes logiques, bien
qu'indépendants, en même temps.
l:usage le plus répandu de la virtur~lisation est l'efficacité
opérationnelle, laquelle utilise le matériel informatique existant
de manière plus efficiente en plaçant de plus grandes charges
sur chaque ordinateur. Deuxièmement, l'utilisation de la
virtualisation complète pour les postes de travail permet aux
utilisateurs d'héberger sur un même ordinateur de nombreux
systèmes d'exploitation, si cela est requis pour soutenir diverses
applications dépendantes d'un système d'exploitation. De plus,
les organisations de Tl peuvent mieux contrôler les systèmes
d'exploitation déployés pour s'assurer qu'ils satîsf<.mt les
exigences de sécutité de l'entreprise; les menaces à la sécurité
et les exigences respectives de contrôle sont dynamiques et les
images du bureau virtuel peuvent être changées pour répondre
aux nouvelles menaces.
L.es éléments d'un environnement infOrmatique virtualisé
comprennent normalement cc qui suit :
Un serveur et aut:re matériel informatique.
Un hyperviseur de virtualisation : une pièce de logiciel,
micro logiciel ou matéJiel informatique qui crée et fait
fonctionner l'environnement virtuel de l'équipement-
normalement appelé << hôte 1>-.
Équipement (( invité ~' : les éléments de r environnement
virtuel (p. ex., système d'exploitation, interrupteurs, routeurs,
coupe-feu, etc.) présents dans l'ordinateur sur lequel un
équipement hyperviseur hôte a été installé.
Il existe deux méthodes de déploiement d'un environnement
entièrement virtualisé. La figure 3.18 compare ces architectures.
La virtualisaHon en mode natif Bare Metal sc produit
quand l'hyperviseur fonctionne directement sur le matériel
informatique sous-jacent, sans système d'exploitation hôte.
La virtualisation hébergée se produit quand 1'hyperviscur
r
1 Application 1
1
Application
1
Il SE invité
Il SE invité -l
---
Il Hyperviseur
·--
1
SE hôte
1
______________ M
__at_é_r_ie_l____________~
Hébergé
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
e . H.
Ccrtif!OO !nformatioo
Systems Allditor"
"""""""""''""''""
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
fonctionne au-dessus du système d'exploitation hôte
(Windows, Linux ou MacOS). Les architectures hébergées de
vÎ!tualisation ont habituellement un niveau supplémentaire de
logiciels (l'application de vîrtualisation) qui fonctionne dans
le système d'exploitation invité, lequel fournit les utilitaires
pour t.:ontrôler la virtualisation alors présente dans le sy:.-:tèmc
d'exploitation invité, comme la capacité de partager des
fichiers avec le système d'exploitation hôte.
Secteurs clés de risque
De façon générale, la migration de ressources informatiques à
un environnement viliualisé ne change pm:: le niveau de menace
pour la plupm1 des vulnérabilités et menaces des systèmes. Si un
service a des vulnérabilités inhérentes sur un serveur physique
ou un produit du réseau ct qu'il migre vers un serveur virtualisé,
le service demeure vulnérable à l'exploitation. Cependant. le
recours à la virtualisation peut également apporter des vecteurs
d'attaque de l'environnement vitiualisé supplémentaires (p. ex.,
mauvaise configuration ou failles de sécurité, fuites de mémoire,
etc.), augmentant alors la probabilité d'attaques réussies. Les
types suivants de risques de haut niveau sont représentatifs de la
majo1ité des systèmes virtualisés en usage :
Des malicicls furtifs (Rootkits) sur le système hôte s'installant
comme hyperviseur sous le système d'exploitation ct
permettant l'interception de toutes opérations du système
d'exploitation invité (c.-à-d. entrée du mot de passe de
connexion, etc.): le logiciel antivirus peut ne pas détecter ceci
parce que Je logiciel malveillant fOnctionne sous le système
d'exploitation entier.
La configuration par délàut et/ou inexacte des ressources de
partitionnement de 1'hyperviscur (unité centrale, mémoire
vive, espnce du disque dur et stockage) : ceci peut mener à un
accès non autorisé aux ressources, un système d'exploitation
invité injectant un logiciel malveillant' dans un autre ou plaçant
le code d'un logiciel malveillunt dans la mémoire d'un autre
système d'exploitation invité.
Pour les virtualisatîons hébergées, des mécanismes appelés
outils invités permettent un système d'exploitation invité
d'accéder à des fichiers, des répertoires, au tampon couper/
coller et .ù d'autres ressources sur le système d'exploitation
hôte ou sur un autre système d'exploitation invité: cette
fonctionnalité peut, par inadvertance, fournir un vecteur
d'at1nque pour un logiciel malveillant ou permettre à un
attaquant d'avoir accès ù des ressources pnrticulières.
Des instantanés/images d'environnements invités contiennent
des données confidentielles (comme mots de passe,
informations personnelles, etc.) tout comme un disque dur
physique : ces instantanés représentent un plus grand risque
que des images parce que des instantanés contiennent les
contenus de la mémoire vive au moment où les instantanés ont
été plis: ccci peut inclure de l'infOnnation confidentielle qui
n'a pas été sauvegardée sur Je disque dur lui-même.
Contrairement aux inst~11lntions Bme Metal, les produits de
virtualisation hébergée contiennent rarement des contrôles
d'accès à l'hyperviseur: par conséquent, n'impolie qui lançant
une application sur un système d'exploitation hôte peut faire
fonctionner l'hyperviseur. Le seul contrôle d'accès est si
quclqu 'un peut se connecter au système d'exploitation hôte.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
Contrôles typiques
L'auditeur des SI devra comprendre les concepts suivants:
Les hyperviseurs et les images invitées (système d'exploitation
cl réseaux) sont configurés de manière sécuritairc
conformément aux standards de l'industrie. Appliquer des
mesures de renforcement ù ces composants vi1tuels d'aussi
près qu'on le ferait pour un serveur physique, un intctTupteur,
un routcur, un coupe-feu ou tout autre dispositif infOnnatique.
Les communications sur la gestion de l"hyperviseur
doivent être protégées sur un réseau de gestion dédié. Les
communications de gestion menées sur des réseaux non
sécurisés doivent être cryptées et le cryptage doit encapsuler le
trafic de gestion.
L'hyperviseur doit étre mis à jour lorsque le revendeur libère
les corrections de sécurité.
Les infrastructures vi1iualisées doivent être synchronisées à un
serveur de gestion du temps fiable et nutorisé.
Le matériel informatique physique non utilisé doit être
déconnecté du système hôte.
Tous les services de l'hyperviseur, comme le bloc-notes-- ou
partage de fichiers entre le système d'exploitation invité et le
système d'exploitation hôtt:, doivent être désactivés ù moins
qu'ils ne soient requis.
Les capacités d'inspection hôtes doivent être en mesure de
contrôler la sécurité de chaque système d'exploitation invité.
Les services de sécurité de l'hyperviscur peuvent permettre
un contrôle de sécurité même quand le système d'exploitation
invité est compromis.
Les capacités d'inspection hôtes doivent être en mesure de
contrôler la sécurité des activités ayant lieu entre les systèmes
d'exploitation invités. Une attention pmticulièrc est appottée
aux communications dans un environnement non virtualisé qui
sont menées et contrôlées nu-delà des réseaux par des contrôles
de sécurité de réseau (comme coupe-feu de réseau, dispositifS
de sécurité et senseurs pour la détection et la prévention
d'intrusion des réseaux [IDPS]).
Le contrôle de l'intégrité des fichiers de l'hyperviseur doit être
utilisé pour contrôler tout signe de compromission.
Voir les sections 5.4.1 Sécurité des réseaux locaux et 5.13
lnfonuagiquc pour plus de détails au sujet du risque et des
contrôles des environnements informatiques virtuels.
3.7 SYSTÈMES D'APPLICATIONS D'AFFAIRES
Afin de concevoir des programmes d'audit efficaces, l'auditeur
des SI doit avoir une compréhension claire du système
d'application qui est véritié. Quelques types de systèmes
d'application et leurs procédés connexes sont décriLo; dans les
sections suivantes.
Un gmnd nombre de fonctions financières ct opérationnelles sont
informntisées dans le but d'améliorer l'ctricacité et d'augmenter
la fiabilité: des informations. Ces applications peuvent être
classiques (comme le grand livre général, les comptes créditeurs
et la paie) ou spécifiques à l'industrie (comme les prêts bancaires,
les compensations de commerce ct la planification des exigences
matétielles). Étant donné leurs caractéristiques uniques, les
systèmes d'application infOrmatiques ajoutent de la complexité
aux effmis d'audit. Ces caractéristiques peuvent inclure des pistes
205
 Chapitre 3 - Acquisition, Développement et Implantation
Section deux : Contenu des Systèmes d'Information
d'audit limitées, des mises à jour instantanées ct une surcharge
d'information. Les systèmes d'application peuvent résider dans
divers environnements énumérés plus loin.
3.7.1 COMMERCE ÉLECTRONIQUE
Le commerce électronique (CE) concerne l'achat et de la vente de
biens en ligne, normalement au moyen d'lntemet. Typiquemenl,
un site Web fera de la publicité pour des biens et des services,
et l'acheteur remplira un fOrmulaire sur le site Web pour choisir
les articles qu'il veut acheter et fournim les détails concernant
la livraison et le paiement ou les services bancaires, comme les
ordres de virement et de paiement. Le site Web peut rassembler
des détails sur les consommateurs et leur offi·ir d'autres articles
qui peuvent les intéresser. Le coût d'un magasin physique
est évité ct les économies réalisées sont souvent à l'avantage
des consommateurs, ce qui entraîne parfois une croissance
spectaculaire. Le tennc commerce électronique comprend les
achats et les ventes en ligne tout comme d'autres aspects d'affaires
en ligne, par exemple l'assistance à la clientèle ou les relations
entre les entreprises.
Le commerce électronique, en tant que modèle général, utilise
la technologie pour améliorer les procédés des transactions
commerciales entre une entreprise, ses consommateurs et ses
patienaircs d'am1ires. La technologie utilisée peut inclure Internet,
le multimédia, le navigateur Web, les réseaux propriétaires, les
guichets automatiques bancaires ainsi que les services bancaires
à domicile, et l'approche traditionnelle à l'échange de documents
infOrmatisés (EDI). Toutefois, le volet de base de la croissance
dans le commerce électronique passe par J'utilisation d'Internet en
tant que technologie habilitantc.
Modèles de commerce électronique
Les modèles de commerce électronique incluent :
• Uelations entreprise à client -- Le plus gros avantage du
commerce électronique vient de son habilité à redéfinir la
relation avec les clients en créant un nouveau canal commode
ct à faibles coûts pour transiger. Les entreprises peuvent adapter
leurs stratégies de marketing aux besoins et aux désirs d'un
client individuel. À mesure qu'une bonne partie de ses affaires
deviennent en ligne, une entreprise aura une capacité accrue de
voir comment ses clients interagissent avec elle.
• Relat'ions entreprise à entreprise·-· La relation entre deux
entreprises ou plus qui vendent des services oftl:e la possibilité
de reconfigurer les processus au-delà des frontières qui ont
traditionnellement séparé les entités externes l'une de l'autre.
À cause de la facilité d'accès et de l'ubiquité d'Internet, par
exemple. les entreprises peuvent établir des procédés d'affaires
(le traitement des commandes, les paiements, le service
après-vente) qui combinent des activités qui étaient auparavant
séparé-es. li en résulte un ensemble de transactions plus rapide, infrastructure d'intergiciel basée sur un serveur d'applications.
de meilleure qualité et plus économique. Le marché a même créé Ccci est conforme aux tendances actuelles quant à l'évolution
une sous-division au commerce entreprise à entreprise appelée
relation de commerce entre entreprises et petites entreprises.
• Relations intra~entreprise -··· Les technologies Web aident aussi construit le matériel informatique. Bien que ccci reste à être
à diffuser de l'information aux employés d'une entreprise.
• Relations entreprises-gouvernement- Elles couvrent toutes
les transactions entre les entreprises et les organisations
gouvernementales. Actuellement, cette catégorie en est à
ses premiers balbutiements, mais elle pourrait prendre de
206
l'ampleur très rapidement puisque les gouvernements utilisent
leurs propres activités pour promouvoir la sensibilisation
et la croissance du commerce électronique. En plus de
l'approvisionnement public, !es administrations peuvent aussi
offrir l'option d'échange électronique pour des transactions
comme les retours sur la taxe sur la valeur ajoutée et le paiement
des taxes d'entreprise.
ARCHITECTURES DU COMMERCE ÉLECTRONIQUE
Un grand nombre de choix doivent èlrc faits pour déterminer une
architecture appropriée de commerce électronique. Au dépmi,
les architectures de commerce élcclronique étaient soit à deux
vitesses (c.-à-d. le navigateur du client et le serveur Web), ou
à trois vitesses (c.-à-d. le navigateur du client, !c serveur Web
et le serveur de base de données). Alors que l'on se concentre
de plus en plus sur l'intégration du canal Web à un système
interne existant et au système de ses partenaires d'affaires, les
systèmes d'entreprise fonctionneront désormais typiquement
sur différentes plateformes, en faisant fonctionner ditfércnts
logiciels avec difl'érentes bases de données. l~galcmcnt, en plus
de supporter des connexions à un navigateur, les entreprises
pourront éwntucllemenl supporter des connexions de clients de
contenu actif, des téléphones cellulaires ou d'autres appareils
sans-fil ct des connexions hôte à hôte. Les systèmes basés sur des
platef'Ormes informatiques multiples sont décrits comme étant ii
« n-tiers >>ct sont référées en tant qu'architectures multinivcaux.
Les architectures \( n-tiers >! séparent les JOnctions présentation,
traitement des applications et gestion des données, perrnct1ant
ainsi de faire des modifications à n'importe laquelle de ces
fonctions plutôt que de les retravailler toutes comme si elles ne
fà.isaient qu'une application. Les types d'architecture incluent:
Les architectures d'un seul niveau est une application axée sur
Je client s'exécutant sur un ordinateur unique.
Les architectures de deux niveaux sont composes du client et du
serveur.
Les architectures de trois niveaux sont composées de ce qui suit:
Le niveau de présentation affiche 1'information à laquelle
les utilisateurs peuvent accéder directement telles que des
pages Web ou une interface utilisateur graphique du système
d'exploitation.
Le niveau des applications (logique d'affaires/applications)
contrôle la fonctionnalité d'une application en exècutant un
traitement détaillé.
Le niveau des données est habituellement composé des
serveurs de base de données (partage des fichiers, etc.) et de
la couche d'accès aux données qui cncapsule les mécanismes
de persistance ct expose les données.
Le défi d'intégrer diverses technologies dans J'entreprise
et au-delà a mené les entreprises à adopter de plus en plus
des systèmes basés sur des composantes et utilisant une
du développement de logiciels : bâtir des systèmes à pmtir de
composants catalogués ct de qualité éprouvée, tout comme on
complètement réalisé, les modèles de composants ·-notamment
MicrosoH: Campement Objcct Mode! (COM) et Oracle Enterprise
JavaBcans (EJB) --sont largement utilisés et entrent dans la
définition de« code mobile>>. Code mobile est un logiciel
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d~lnformation
transféré entre systèmes (c.-à-d. transi'ërés par un réseau) et
exécuté sur un système local en utilisant un code multiplateforme
sans une installation explicite de l'ordinateur récepteur (p. ex.,
Adobe''!-' Flash'll-·, Shockwave·~, .lava applcts, VBScripts, ActiveX,
etc.). L'adoption continue de codes mobiles apporte un autre
vecteur de dilTusion de logiciels malveillants via des vecteurs
distributeurs en constante mutation allant des courriels, des sites
Web malicieux aux applications d'appareils mobiles.
Les composantes électroniques souvent présentes dans un système
de commerce électronique de détail incluent les composantes
du marketing, des ventes et du service à la clientèle (p. ex., la
personnalisation, l'abonnement, le catalogue de produits, les
commandes des clients, la facturation, les envois, le remplacement
d'inventaire, la formation en ligne et la signalisation de
problèmes).
Les serveurs d'application suppmteront un modèle particulier
de composantes logicielles et fourniront des services (comme la
gestion des données, la gestion de la sécurité ct des transactions),
que ce soit directement ou par la connexion à un autre service ou
à un autre produit intergicid (middleware) comme MQSerîes.
Un bon nombre de distributeurs de logiciels majeurs offrent des
serveurs d'applications.
Les serveurs d'application, conjointement avec d'autres produits
intcrgiciels, entretiennent les systèmes multiniveaux ( c.-ù-d.
qu'une transaction d'atlhircs peut s'étendre sur plusieurs
plateformcs et couches logicielles). Par exemple, une couche
de présentation d'un système sera typiquement composée d'un
navigateur ou d'une autre application client. Un serveur Web sera
utilisé pour gérer Je contenu du Web et les connexions; la logique
d'affaires et les autres services seront fournis par le serveur
d'applications; une ou plusieurs bases de données seront utilisées
pour le stockage.
Les bases de données jouent un rôle essentiel dans la plupart
des systèmes de commerce électronique, en entretenant les
données des pages de sites Web, en accumulant les informations
des consommateurs et en stockant les données de parcours
pour l'analyse de l'utilisation du site Web. Alïn de fournir une
fOnctionnalité complète et atteindre des efficacités dorsales, un
système de commerce électronique peut impliquer des connexions
aux systèmes intemes existants- la comptabilité, la gestion de
l'inventaire ou un système de progiciel de gestion intégré-- ou des
systèmes de partenaires d'affaires. Donc, on ajoute plus de logique
applicativc ct des persistances multiniveaux des données.
Pour des raisons de sécurité, les données persistantes des
consommateurs ne doivent pas être stockées dans les serveurs
Web qui son! directement exposés à Internet. Le langage XML est
aussi susceptible de fOrmer une partie importante de l'architecture
générale du commerce électronique de l'orgnnisation. Bien qu'il
ait été conçu à l'origine comme une technique pour faciliter
la publication électronique, le langage XML esl vite devenu
un moyen pour stocker et encercler n'importe quelle sorte
d'infOrmation structurée pour qu'elle puisse être partagée entre
différents systèmes informatiques. Le langage XML a émergé
comme un moyen e!lsentiel d'échanger une grande variété de
données sur le Web ct ailleurs. En plus du langage XML de base,
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
une vmiété de normes associées ont été élaborées et continuent de
l'être. En voici quelques exemples:
• Langage XSL Déi"init comment un document écrit en XML
doit être présenté (p. ex., sur une page Web).
• Requête XML-- Porte sur les requêtes des données en XML.
• Chiffrement XML- Porte sur le chiffrement, le déchiffrement
et la signature numérique des documents XML.
Une idéologie particullèrement importante issue du XML est
les services Web. Les services Web représentent une manière
d'utiliser le fOrmat d'information XML pour effectuer le
traitement à distance. Puisque les messages des services Web
peuvent contenir aussi bien un document XML qu'un schéma
correspondant qui définlt le document, ils sont, en théorie,
autodcscriptifs et aident à atteindre le but de« couplage lâche)).
Si le format d'un message de service Web change, les services
Web destinataires vont continuer de fonctionner, à condition que
le schéma accompagnateur soit mis ù jour. Cet avantage, combiné
au soutien des services Web créés par les principaux joueurs de
l'industrie du logiciel, par exemple IBM et Microsoft, signifie
que les services Web émergent comme l'intergiciel essentiel pour
connecter les systèmes Web distribués.
La collaboration entre les di-fférents distributeurs de logiciels
signifie que les services Web peuvent intcropérer, sans tenir
compte de l'équipement, du système d'exploitation ct du langage
de programmation.
Il fimt en arriver à une sorte d'accord sur les définitions
des métadonnées pour les services Web en tant que moyen
permettant un traitement collaboratiftransorganisationnel. (Les
métadonnées sont des données à propos des données, ct sont
appelées ontologies dans les normes des services Web). Les
services Web peuvent être appelés avec succès ct les données
résultantes du XML peuvent être analysées par le programme
appelant, mais afin d'utiliser ces données eftlcacement, il est
nécessaire de comprendre la signification d'affaires des données.
Cela est semblable aux tental"ives précédentes d'inf"Onnatique
intcrorganisationnelle (comme I'EDI), dans laquelle il était
nécessaire de s'entendre à l'avance sur le fOrmat électronique
du document et ses significations. L'Object Management Group
(OMG) et la norme /SOI!EC 19510:2013: Technologies de
1'iJ!fhrmation -· /t..Jodè/e de pmcédé d 'ajfùire et notation de 1'OMG
ont établi une norme reconnue par l'industrie pour les documents
XML et les définitions des procédés d'affaire standard qui
peuvent être représentés en XML.
IHSQUES DU COMMI<:RO~ l(Ll(CTRONIQlJE
Le commerce électronique, comme toute autre forme de
commerce, dépend de l'existence d'un niveau de confiance
entre deux parties. Par exemple, Internet présente un défi entre
l'acheteur et le vendeur, semblable à celui auquel un détaillant
par catalogue ou un dêtaillant de publipostage fait face. Les défis
prouvent à l'acheteur que le vendeur est bien celui qu'il prêtcnd
être, prouvent à l'acheteur que ses renseignements personnels
comme son numéro de carte de crédit (et autres renseignements
d'identification personnelle) demeurent confidentiels ct
que le vendeur ne peut pas contester une transaction valide.
Par conséquent, quelques-uns des éléments à risque les plus
importants sont:
207
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
• Confidentialité Les cli~nts potentiels hésitent à fournir
des renseignements personnels (padOis de nature sensible) à
des fournisseurs inconnus pour un grand nombre de raisons
dont le vol possible d'information sur la carte de crédit par
le fournisseur à la suite d'un achat. La connexion ù Internet
par le biais d'un navigateur requiert que le logiciel f'Ünctionne
sur l'ordinateur qui a été conçu pm· quelqu'un d'inconnu
à l'entreprise. De plus, Je média Internet est un réseau de
diffusion générale, ce qui signifie que peu importe ce qui s'y
trouve, on le diffuse sur des chemins de grande étendue et qui
sont essentiellement non contrôlés. La tendance actuelle quant
à l'externalisation et à l'hébergement de services dans !e nuage
augmente le périmètre de risque au-delà des limites de l'entité
transigeante.
• Intégrité Les données, tant en transit que stockées. sont
susceptibles d'être modifiées ou supprimées de façon non
autorisée (c.-à-d. un piratage inf(xmatique pourrait survenir ou
encore le système de commerce électronique lui-même pourrait
éprouver des problèmes de conception ou de configuration).
• Disponibilité·-· Internet permet de faire des affaires 24
heures pm· jour. sept jours par semaine. Du même coup, il est
primordial que notre site possède un haut degré de disponibilité.
puisque toute défaillance du système devient immédiatement
visible pour les clients ou les pmicnaires commerciaux.
• Authentificat-ion et non-répudiation-- Les parties impliquées
dans une transaction électronique doivent avoir une relation
commerciale connue et à laquelle ils font confiance, qui exige
qu 1ils prouvent leur identité respective avant d'exécuter la
transaction afin de prévenir des attaques provenant du centre
(c.-à-d. prévenir que le vendeur soit un imposteur). Une fois
l'identité vérifiée, il fllut définir une façon de s'assurer que les
parties qui transigent ne peuvent pas nier que la transaction a été
contractée, ni les termes sous lesquels elle a été complétée.
• Transfert du pouvoir aux clients --Internet offre aux
clients un accès inégalé à l'information du marché et fàcilite
généralement le changement de fournisseurs. Les entreprises
qui font du commerce électronique doivent rendre cc qu'elles
offrent attrayant et simple sur le plan de la livraison de services.
Cela implique non seulement la conception du système. mais
aussi la reconfiguration des procédés d'affaires. Les procédés
de soutien dorsal doivent être aussi efficaces que possible, car
dans plusieurs cas, faire des affaires sur Internet fi1it baisser les
prix (p. ex., l'achat d'actions en ligne). Pour éviter de perdre
leur avantage concurrentiel de tàire des affaires en ligne, les
entreprises doivent améliorer leurs services, se diffCrencier
de la compétition el' bâtir une valeur ajoutée. C'est pourquoi
on voit une volonté de personnaliser les sites Web en ciblant
le contenu basé sur le comportement du client analysé et en
permettant le contact direct avec le personnel par la technologie
de messagerie instantanée et d'autres moyens.
Il est important de prendre en considération l'impo1tance des
questions de sécurité qui s'étendent au-delà des objectifs de
confidentialité.
EXIGENCES DU COMMERCE l'LECTRONIQlŒ
Voici quelques exigences du commerce électronique :
• Construire un dossier d'affaires (les TI en tant qu'aide
indispensable).
• Développer un but d'affaires clair.
208
des Systèmes d'Information
e . Ccrti1i00 Information
H. Systems Auditor"
..,,..,,..,
~'"''"·t
• Utiliser la technologie pour tout d'abord améliorer les coûts.
• ConstTuire un dossier d'affaires à pmi· ir des quatre C :clients,
coüts. concurrents et cnpacités.
Voici d'autres exigences pour le commerce électronique :
• Engagement de premier niveau-- En raison de l'ampleur
des changements exigés (c.-à-d les procédés d'affaires, la
culture d'entreprise, la technologie et les frontières du client),
le commerce électronique ne peut pas réussir sans une vision
claire et un engagement fCnne de la direction de l'entTeprise.
• Reconlïguration des procédés d'affaires - La technologie
n'est pas 1' innovation essentielle nécessaire pour que le
commerce électronique fonctionne, mais elle représente
l'ingéniosité nécessaire pour imaginer comment la technologie
peut permettre à 1·entreprise de reconfigurer fondamentalement
quelques-uns de ses procédés d'affaires de base. Cela exige de
penser hors des sentiers battus (c.-à-d. regarder à l'exté1ieur de
1'entreprise et comprendre ce que les clients font et comment
les changements dans le processus général peuvent créer une
nouvelle valeur pour eux).
• Liens aux systèmes existants- Les entreprises doivent prendre
nu sé1ieux les exigences pour accélérer les délais d'exécution,
fournir les vraies interactions et personnaliser les réponses
à chaque client. Spécifiquement, en appliquant l'intégration
d'applications d'entreptise (EAI), les entreprises doivent
créer des. interfaces en ligne et s'assurer que ces interfaces
communiquent avec les bases de données existantes et les
systèmes pour le service à la clientèle et le tmitement des
commandes. Un terme auquel on fait souvent référence dans
l'établissement de cette communication est întergicicl, défini
comme un logiciel indépendant et les services distribués aux
applications d'aftàires utillsées pour partager les ressources
informatiques pa1111i les technologies hétérogènes. Une étendue
de technologies dïntcrgicie! (courtiers de messages, passerelles,
gestionnaires de processus, de logiciel de transformation
de données ct de transfert de fichiers) seront probablement
déployées pour créer une infrast-ructure d'intégration. De
plus en plus, l'intégration sera considérée non pas comme la
responsabilité d'une équipe de conception d'une application
individuelle, mais comme quelque chose à gérer dans une
cntrcptise qui utilise une approche et des technologies standard.
AUDIT DlJ COMMERCE ItLECTRONIQUE ET
PROBLÈMES DE CONTRÔLE (BONNES PRATIQUES)
Lors de la révision de l'exactitude des contrats dans les
applications de commerce électronique, l'audit ct les
professionnels de contrôle doivent évaluer l'utilisation applicable
des points suivants :
• Pour le commerce d'entreprise à client, d'entreprise à
entreprise, intra-entreprîse et d'entreprise à gouvernement, les
ententes d'interconnexion doivent être établies et documentées
avant de s'engager dans une entente de commerce électronique.
Ccci peut être aussi simple que d'accepter les conditions
pour le commerce d'entreprise à client ct intra-entrepiise vers
des systèmes en ligne jusqu 'à des modalités et conditions à
mettre en place avant que les interconnexions de commerce
électronique puissent être établies.
• Des mécanismes et procédures de sécuiité qui, mis ensemble,
constituent une architecture de sécurité pour le commerce
électronique (p. ex., coupe-feu d'Internet, infrastructure à clé
Manuel de Préparation CISA 26" édition
ISACA. Tous droits r-éservés.
e Certtfied Information
Systems Auditor"
"''""''""'''"'"'
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
publique (ICP), chiffrement, gestion des certificats et des mots
de passe).
• Les mécanismes de coupe-fèu en place pour jouer le rôle de
médiateur entre le réseau public (Internet) ct le réseau privé
d'une entreprise.
• Un processus par lequel les pm1icipants d'une tnmsaction de
commerce électronique peuvent être identifiés uniquement et
positivement (p. ex., le processus d'utlliscr une combinaison
de clé principale de chiffrement et de paires de clés de
certification).
• Signatures numériques, pour que 1'initiateur d'une transaction
de commerce électronique puisse être uniquement associé à
cette transaction. Voici les attributs de la signature numérique :
--La signature numérique est unique à la personne qui l'utilise.
-Elle peut être vérifiée.
-· Le mécanisme pour générer et apposer la signature est sous le
seul contrôle de la personne qui l'utilise.
-Elle est reliée aux données de sorte que si les données sont
modifiées, la signature numéliquc devient invalide.
• Une infrastructure pour gérer et contrôler les paires de clé
publiques et leurs certificats correspondants inclut:
Autorité de certitication (AC)- Atteste, en tant que
fournisseur de confiance des paires de clés publique/privée,
l'authenticité du propriétaire (entité ou individu) à qui une
paire de clés a été donnée. J.:AC prend la décision d'émettTe
un certificat. en fonction de la preuve ou de la connaissance
obtenue lors de la vè1ifîcation de l'identité du destinataire.
À la vérification de l'identité du destinataire, l'AC signe le
certilïcat avec sa clé privée pour la distribution à !"utilisateur.
À la réception, l'utilisateur décryptera le certificat avec
la clé publique de 1'AC (p. ex., les AC commerciaux
comme Verisign fournissent des clés publiques sur les
navigateurs Web). CAC idéale est reconnue (quelqu'un en
qui l'utilisateur a confiance) pour Je nom ou la place qu"ellc
représente.
···Autorité d'enregistrement (AE) Entité optionnelle séparée
d'une AC ct utilisée par une AC ayant une base de clients très
importante. Les AC utilisent des AE pour déléguer certaines
des fOnctions administratives associées à l'enregistrement ou
à la vérification de certaines ou de la totalité des informations
exigées par un AC pour émettre des certificats ou des listès
de certification de révocation (CRL) et pour remplir d'autre!'
fonctions de gestion des certificats. Cependant, avec cet
accord l'AC conserve toujours 1'unique responsabilité de
signature des cet1ificats numériques et des CRL. Si une AE
n'est pas présente dans la structure !CP établie, on suppose
que l'AC possède les mêmes capacités que celles définies
pour une AE.
·"Liste de CCI1ifîcation de révocation--- Instrument permettant
de vérifier la validité continue des certificats. Si un cet1ificat
est compromis) si le détenteur ne possède plus l'autorisation
d'utiliser le ce1iificat ou si on trouve une erreur dans 1'envoi
du certificat au détenteur. le certificat doit être révoqué
ct retiré de la circulation aussi rapidement que possible ct
toutes les parties dans la relation de confiance doivent en ètrc
infOrmées. La CRL est normalement une base de données
en ligne hautement contrôlée par laquelle les abonnés et les
administrateurs peuvent déterminer l'élat du certificat d'un
partenaire cible.
-·Énoncé de pratiques de certification (EPC)- Ensemble
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
détaillé de règles qui régissent les activités des autorités de
ce11ification. L; EPC fournit une compréhension de la valeur
et de la fiabilité des certificats émis par une certaine AC, les
termes des contrôles observés par une entreprise, la méthode
utilisée afin de valider l'authenticité des demandeurs de
cc11ificat ainsi que les ;:lttentes de l'AC quant ù l'utilisation
des certificats.
• Les procédures en place pour contrôler les changements de
présence d'un commerce électronique.
• Les journaux d'applications de commerce électronique, qui sont
contrôlés par le personnel responsable. Cela inclut les journaux
de système d'exploitation ct les messages de console, les
mess..1.ges de gestion du réseau, les journaux et alc11cs du coupe-
feu, ct les vérifications de l'intég1ité du système.
• Les méthodes et les procédures pour reconnaître les brèches de
sécurité lorsqu'elles se produisent (le réseau et les systèmes de
détection des intrusions basées sur l'hôte).
• Les caractéJistiques dans les applications du commerce
électronique pour reconstruire l'activité eflèctuée par
l'application.
• La protection en place pour assurer que les données recueillies
sur les individus ne soient pas révélées sans leur consentement
ni utilisées à des fins autres que ce pourquoi elles sont
recueillies.
• Les moyens pour assurer la confidentialité des données
conununiquées entre les clients ct les distributeurs (ressources
sauvegardées par exemple par des protocoles SSL. chiffrés).
• Les mécanismes pour protéger la présence de commerces
électroniques et les niveaux privés complémcn1aires des vi ms
inf()rmatiques et pour les empêcher de propager les virus aux
clients ct aux distributeurs.
• Les caractéristiques au sein de l'architecture du commerce
électronique pour empêcher toutes les composantes d'échouer et
leur permettre de se réparer elles-mêmes, si elles échouaient.
"Un plan ct une procédure pour poursuivre les activités du
commerce électronique advenant une intcrruplion de service
prolongée des ressources requises pour le traitement normaL
• Un ensemble de pratiques et de procédures fl·équcmrncnt
comprises pour définir les intentions de la direclion concernant
la sécurité du commerce électronique.
• Une responsabilité partagée au sein de l'organisation pour la
sécurité du commerce électronique.
• La communication entre les distributeurs ct les clients
concernant le niveau de sécurité dans une architecture de
commerce électronique.
• Un programme régulier d'audit et une évaluation de la
sécurité des environnements de commerce électronique et des
applications pour fOurnir l'assurance que les contrôles sont
présents et efficaces.
3. 7.2 ÉCHANGE DE DOCUMENTS INFORMATISÉS
L'EDf remplace l'échange de documents papier traditionnels,
comme les réclamations ou dossiers médicaux. les bons d'achat,
!es factures ou les calendriers de mise en production du maté1ieL
Par conséquent, les contrôles et le montage appropriés doivent
être intégrés au sein de chaque système d'application d'une
entreprise pour permettre à cette communication d'avoir lieu.
209
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
Exigences générales
Un système d'EDJ demande des logiciels de communication,
des logiciels de traduction ainsi que l'accès aux normes. Le
logiciel de communication déplace les données d'un point à
un autre, signale le début et ta fin d'une transmission d'EDI, et
détermine comment les reconnaissances sont transmises et mises
en harmonie. Le logiciel de traduction aide à construire une
carte et montre comment les champs de données de l'application
correspondent aux éléments d'utl EDL Plus tarcl il utilise
cette carte pour convertir les données qui font la navette entre
J'application ct les fom1ats d'EDI.
Pour construire une carte, une norme d' ED! appropriée pour la
sotie de données d'EDI est sélectionnée. Par exemple, il y a des
normes spécifiques pour les factures, les bons d'achat, les bons
d'envol en avance, etc.
Cétape finale est d'écrire un profil de pmienaire qui dit au
système où envoyer chaque transaction ct comment traiter les
cneurs et les exceptions.
En résumé, les composantes d'un processus d'EDI incluent le
logiciel de base ct les systèmes d'application. Le logiciel de base
d'un EDI comprend la transmission, la traduction et le stockage
des transactions entreprises par le traitement d'application,
ou destinées pour ce dernier. L'EDf est aussi un système
d'application dans lequel les -fOnctions qu'il exécute sont basées
sur les besoins et les activités de l'organisation. L.es applications,
les tTansactions et les partenaires commerciaux supportés
changeront avec le temps, et le mélange des transactions, bons
d'achat, bons d'envoi, factures et paiements dans le processus
d'EDI rendent nécessaire d'inclure des procédures de traitement
des applications et des contrôles dans le processus d'EDf.
En révisant un EDI, un auditeur des SI doit êtTe conscient
des deux approches reliées aux EDI : la version propriétaire
traditionnelle des EDl utilisée par les grosses compagnies ainsi
que le gouvernement, et le développement d'un EDJ en passant
par la publicité disponible pour l'infrastructure commerciale
offerte par le biais d'Internet. La ditTérence entre les approches
fait référence au coût, alors que l'utilisation d'une infrastructure
commerciale publique comme Intemet fournit une imp01iante
réduction des coûts comparativement à l'élaboration d'une
approche exclusive personnalisée. Du point de vue de la sécurité,
les risques associés avec le fait de ne pas avoir une relation
entièrement digne de confiance augmentent en abordant la
sécurité d'Internet et les risques.
EDI traditionnel
Le déplacement des données par le biais d'un processus
de transmission par lots en passant par le processus d'EDI
traditionnel implique généralement trois fonctions dans chaque
système infonnatiquc des partenaires commerciaux:
1. Gestionnaire de télécommunications Le processus de
transmettre et de recevoir des documents électroniques entre les
partenaires commerciaux par le biais de lignes commutées, de
réseau public à commutation, de lignes spécialisées multiples
ou un réseau à valeur ajoutée (RVA). Les RVA utilisent la
commutation informatisée de messages et des capacités
de stockage pour fournir des services de boîte aux lettres
électronique semblable à un bureau de poste. Le RVA reçoit
toutes les transactions sortantes d'une entreprise, les classes par
210
des Systèmes d'Information
e . H
Certffied Information
S}'stems AIJ.ditor"
t•IWJ.'C~"'"'"''
destination ct les envoie aux destinataires lorsqu'il se connecte
pour vérifier leur boîte aux lettres et recevoir les transmissions.
Les RVA peuvent aussi exécuter des services de traduction
et de vérification. Les RVA qui sc spécialisent dans les
applications d'EDJ fOurnissent aussi de l'assistance technique,
un service d'assistance et de l'assistance pour le dépannage
pour les problèmes d'EDf ct de télécommunications. Les
RVA aident à configurer le logiciel, font des mises à jour de la
connectivitê des télêcommunications, fournissent la sécurité
informatique ct des données, vérifient et suivent la trace des
transactions, recouvrent les données perdues et confirment la
fiabilité ct la disponibilite du service.
2. Interface de délimiteur de fin de trame-- Une fonction
d'interbcc qui manipule et dirige le:. données entre le
syst-ème d'application et le ge&iionnairc des communicatîons.
L'interface est formée de deux composantes:
---Traducteur de délimiteur de fin de trame--- Cet appareil
traduit les données entre le format standard (ANSI X 12) et le
format propriétaire d'un pmicnairc commercial.
-lntctface d'application Cette interface déplace les
transactions électroniques vers un système d'application, ou
à partir de ce système. et effectue la mise en correspondance.
La mise en correspondance est le processus par lequel les
données sont extraites du processus de traduction d'EDI
et intégrées aux données ou aux procédés de l'entreprise
destinataire. L'interfàcc d'EDf peut générer el envoyer des
accusés de réception fonctionnels, vérifier l'identité des
partenaires et vérifier ln validité des transactions en vérifiant
les informations de transmission en comparaison avec le
fichier principal d'un partenaire commercial. Les accusés de
réception fonctionnels sont des transactions normales d'EDI
qui disent aux partenaires commerciaux que leurs documents
électroniques ont été reçus. Différents types d'accusés de
réception JOnclionnels roumissent divers niveaux de détail et
peuvent, par conséquent, agir comme une piste d'audit pour
les transactions d'EDL
3. Système d'application- Les programmes qui traitent les
données envoyées au partenaire commercial, ou reçues
de ce partenaire. Même si de nouveaux contrôles doivent
être élaborés pour l'interfhce d'EDL les contrôles pour les
applications existantes, s'ils ne sont pas modifiés, ne sont
généralement pas touchés.
Les transactions initiées par J'application {comme les bons
d'achat à pmiir des systèmes d'achat) sont passées ù une interface
d'application commune pour le stockage et l'interprétation.
Toutes les transactions sortantes sont formatées selon une norme
externe définie et classées en fonction de la destination et du type
de transaction par le traducteur. Les lots de transactions, comme
les groupes fonctionnels, sont acheminés vers le contrôleur
de communication pour la transmission. Tout cc processus est
inversé pour les transactions entrantes, y compris les factures
destinées aux systèmes d'achnts ct de comptes créditeurs. Les
contrôles doivent reconnaître ct s'occuper des conditions d'erreur
ct fournir des réactions sur le processus pour le système d'EDI,
pour qu'il soit considéré bien géré.
EDf sur le Web
L'EDI sur le Web s'est retrouvé au centre de 1'attention .i cause
des st~jets suivants :
• Les fournisseurs de service Internet (FSJ) offrent un accès au
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . M
Certified Information
SystamsAOOitor'
""~ .... '~"'"''""·
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
r~seau général (c.-à-d. non spécifique à l'EDJ) pour tous les
ordinateurs branchés ù Internet, alors que les services RVA ont
typiquement utilisê une passerelle réseau ou un réseau exclusif
relié à un ensemble de réseaux exclusifs. JI en résulte une
réduction significative des coüts des applications d'EDI.
• Sa capacité d'attirer de nouveaux partenaires par des sites sur k
Web pour échanger de l'inlürmation, prendre les commandes et
relier le site Web au traitement des commandes de sortie ct aux
systèmes financiers par l'EDI.
• De nouveaux produits de sécurité sont disponibles pour ahordcr
les problèmes de la confidentialité, de l'authentification, de
l'intégrité des données et de la non-répudiation de l'origine et du
retour.
• Des améliorations à la norme de fOrmatage d'EDI Xl2,
Les techniques d'échanges commerciaux d'EDI sur Internet
visent à améliorer l'échange entre les partenaires commerciaux,
les fournisseurs et les clients en réduisant les frontières qui
limitent la façon dont ils interagissent et font des affaires entre
eux. Par exemple, !'utilisation des services rclïés à un fournisseur
de services Internet (FSI) peut fournir des fOnctions similaires
à celles des RVA les plus traditionnels, mais avec un ensemble
beaucoup plus large de services disponibles (c.-à-d le traitement
de transactions de tout type sur internet). Ccci est p::uiiculièremcnt
avantageux pour les petites entreprises qui veulent pénétrer
le marché du con1merce électronique d'EDI, puisque les FSI
possèdent déjà une infrastructure réseau de serveurs qui ofl'rent le
courrie!, les services Web et le réseau de routeurs, et les modems
branchés ù une connexion Internet permanente, de haute vitesse et
de réseau fédérateur.
3.7.3 RISQUES ET CONTRÔLES D'EDf
La nature hybride d'EDl ajoute une nouvelle dimension à la
conception et à l'audit du processus d'EDI. Les procédures
traditionnelles pour l'implantation gérée et contrôlée de logiciel
de base comme la défmition des exigences, la version et
l'identification de mise en production, les tests et l'implantation
limitée avec une stratégie de poursuite des opérations s'applique
au logiciel utilisé pour l'EDI. De plus, il y a des problèmes et des
risques propres à l'EDI.
L'autorisation de transaction est le plus grand risque lié à I'EDI.
Puisque l'interaction entre les parties est électronique, aucune
authentification n'est faite. Les données infOrmatiques peuvent
paraître semblables, peu impmtc la source, et ne comprennent pas
de tàcteur humain distinctif ou de signature humaine.
Lorsque les responsabilités des pa1ienaircs commerciaux ne
sont pas définies clairement, il pourrait y avoir une incertitude
reliée à la responsabilité civile spécifique. Par conséquent, il est
important qu'un accord pour protéger les deux parties soit codifié
légalement dans ce qui est connu comme J'accord des partenaires
commerciaux. Un autre risque est: la perte de la continuité des
affaires. La corruption des applications d'EDI, qu'elle soit faite
en toute innocence ou délibérément, pourrait aflècter chaque
transaction d'EDI effectuée par une entreprise. Cela aurait un
impact négatif sur les relations des clients et des dist1ibuteurs.
Dans une situation extrême, cela pourrait finir par miner la
capacité d'une entreprise à demeurer en affaires.
Manuel de Préparation C/SA 26' édition
ISACA. Tous droits reservés.
Section deux : Contenu
Voici certains types de risques de sécurité supplémentaires;
., L'accès non nutorisé aux transactions électroniques;
" La suppression ou la manipulation des transactions avant ou
après la mise en place de contrôles d'application;
• La perte ou la duplication des transmissions d'EDI;
" La perte de la confidentialité et la mauvaise distribution des
transactions d' EDI au moment où elles sont détenues par des
tierces parties.
3.7.4 CONTRÔLES DANS UN ENVIRONNEMENT D'EDI
Il est possible de traiter le risque de sécurité en mettant en pratique
des contrôles généraux et en établissant une couche ajoutée de
procédures de contrôle d'applicntion sur le processus d'EDf qui
peut prendre la relève là où les contrôles d'application ont quitté.
Ces contrôles doivent sécuriser l'activité actuelle d'EDI tout
comme les activités historiques qui peuvent être utilisées pour
remplacer les transactions commerciales advenant qu'un conflit se
produise.
Afin de protéger les transmissions d'EDI, le processus d'EDf doit
inclure les mesures électroniques suivantes :
• Des normes doivent être établies pour indiquer que le format du
message et le contenu sont valides afin d'éviter des erreurs de
transmission.
• Des contrôles doivent être en place pour assurer que les
transmissions nonnnlcs soient converties convenablement. pour
le logiciel d'application par les applications de traduction.
• L'entrcp1ise destinataire doit avoir des contrôles en place pour
tester la vraisemblance des messages reçus. Ces contrôles
doivent se baser sur l'historique des transactions des partenaires
commerciaux ou sur la documentation reçue qui atteste de
situations spéciales.
" Des contrôles doivent être établis pour prévenir la manipulation
des données dans les transactions, les fichiers ct les archives
actifs. Les tentatives pour changer les enregistrements doivent
être enregistrées par le système pour être portées à l'attention de
la direction, qui en cftèc1uera la révision.
• Des procédures doivcn1 être établies pour déterminer que les
messages proviennent seulement des parties autorisées ct que les
transmissions sont autorisées convenablement
• 111-b.ut des canaux de transmission directs ou spécialisés parmi
les parties pour réduire le risque de branchement clandestin dans
les lignes de transmission.
• Les données doivent être chiffrées en utilisant des algorithmes
sur lcsquel~ les parties impliquées se sont entendues.
• Les signatures électroniques doivent être dans les transmissions
pour identifier la source ct la destination.
• Il f.:1ut des codes d'authentification des messages pour assurer
que ce qui est envoyé est reçu.
Le processus d'EDI doit pouvoir détecter et traiter les transactions
qui ne se conforment pas au format standard ou qui proviennent
des pat1ies non autorisées ou qui vont à ces parties, Des options
pour traiter les en·eurs détectées incluent la demande des
retransmissions ou Je changement des données manuellement.
La nature essentielle de beaucoup de transactions d'EDI, comme
les commandes et les paiements, exige qu'il y ait une assurance
positive que les transmissions sont complétées. Les transactions
doivent être transférées avec succès de l'application d'odgine à
211
Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
1'entreprise destinataire. Panni les méthodes pour fOurnir cette
assurance, notons la vérification totale par lots internes. des
intermédiaires, l'ordre séquentiel et la mise en concordance des
enregistrements de transmissions et l'utilisation d'accusés de
réception spéciaux de transaction pour des accusés de réception
fonctionnels.
Les entreprises qui désirent échanger des transactions en
utilisant I'EDI établissent une nouvelle relation d'affaires. Cette
relation d'affaire-s doit être définie pour que les deux parties
puissent mener leurs nffaires d'une manière cohérente et digne
de confiance. Cette relation est normalement définie dans un
document légal nommé accord de partenaire commercial. Le
document doit définir les transactions qui seront utilisées, les
responsabilités des deux parties dans la gestion ct le traitement
des transactions, tout comme les termes d'aflàires écrits et les
conditions associées aux transactions.
La nature évolutive d'EDf signifie que les normes de
transaction évoluent aussi, partkulièrcment avec l'utîlisation
d'Internet comme système de livraison de base des transactions
commerciales disponible et peu coûteux. Spécifiquement. ce
n'est pas tous les partenaires commerciaux qui désirent ou qui
ont besoin d'utiliser les normes actuelles. Le processus d'EDl
doit ensuite s'adapter aux changements dans les normes ct être
capable de soutenir de multiples versions de normes, puisque les
FSI offrent plus de services reliés à l'EDI (comparativement aux
RVA).
D'autres problèmes sont patiiculiers à un grand nombre
d'entreprises ayant une grande base établlc d'applications qui
a besoin de rattmpage pour accommoder l'EDI. De plus, ce
n'est pas toutes les transactions qui seront lraitées dans l'EDL
Quelques transactions conlinucront d'être traitées de manière
traditionnelle. L'application des procédures de contrôle de
traitement doit être modifiée pour inclure le traitement de la
transaction d'EDI et les sources ct destinations doubles.
Réception d'une transaction entrante
Les contrôles doivent assurer que toutes les transactions d' EDI
entnmtes sont reçues avec précision et entièrement (phase de
communication), traduites (phase de traduction) et transmises à
une application (phase d'application d'interface) ainsi que traitées
une seule fois.
Les considérations de contrôle pour la réception de transactions
entrantes sont les points suivants:
• Utiliser les techniques appropriées de chiffrement lors de
l'utilisation d'infrastructures publiques d'Internet pour la
communication en assurant la confidentialité. l'authenticité ct
l'intégrité des transactions.
• Effectuer des vérifications de la présentation pour identifier les
transactions erronées, inhabituelles ou invalides avant la mise à
jour d'une application.
• Effectuer des vérifications inf()rmatiques supplémentaires
pour évaluer la vraisemblance de la transaction, sa validité, etc.
(Considérez le système expert frontal pour des comparaisons
complexes).
• Journaliser chaque transaction entrante dès la réception.
• Utiliser des contrôles totaux sur la réception des transactions
212
e Certified ~1fonnati0fl
Systems Auditor"
"'"'=""''''"""'"
pour véiifier le nombre et la valeur des transactions qui seront
transmises à chaque application: concilier les totaux entre les
applications ct avec les partenaires commerciaux.
• I.e nombre total de segments incorporés dans l'ensemble de
transactions de queue de bande par l'envoyeur.
• Les techniques de contrôle dans le traitement des transactions
individuelles, comme les chi1fres de contrôle sur les champs de
commande, la boucle ou les comptes répétés.
• Assurer l'échange des contrôles tolaux des transactions
envoyées et reçues entre les partenaires commerciaux à des
intervalles prédéfinis.
• Conserver un enregistrement du nombre de messages reçus/
envoyés et le valider avec les partenaires commerciaux
périodiquement.
• Assmcr la sécurité sur les tïchiers temporaires et le lranstèrt de
données pour s'assurer que les transactions entrantes ne sont pas
altérées ou effacées entre le temps de réception de la transaction
et des mises à jour des <:lpplications.
Transactions sortantes
Des contrôles doivent assurer que seules les transactions sortantes
proprement autorisées sont traitées. Cela inclut l'objectif que les
messages d'EDI sortants sont amorcés sur autorisation, qu'ils
contiennent seulement les types de transactions préautorisées
et qu'ils sont seulement emioyés aux partenaires commerciaux
valides.
Les attentions de contrôle pour les tTansactions sortantes sont les
suivantes:
.. Le contrôle du réglage cl des changements aux détails sur les
partenaires commerciaux;
• La comparaison des transactions avec les profils de transaction
des pmi·enaires commerciaux;
• La correspondance du nombre de partenaires commerciaux au
fichier principal d'échnnge commercial (avant la transmission);
• La limite de l'autorité des utilisateurs au sein de l'organisai ion
pour initier des transactions d'EDI spécifiques:
• La séparation des responsabilités de lancement et de
transmission pour les transactions à risque élevé;
.. La documentation des procédures de déconnexion de la
direction et les changements subséquents;
.. La journalisatîon de toutes les tmnsactions de paiement dans
un fichier séparé, qui est révisé pour l'autorisation avant la
transmission;
• La séparation des tâches à l'intérieur du cycle de transaction,
pa1ticulièrement lorsque les transactions sont générées
automatiquement par le système;
• La séparation de l'accès en différents procédés d'autorisation
dans le cycle de transaction:
• Le rapport de grosses transactions (valeur) ou inhabituelles pour
révision avant ou après la transmission;
• Lajournalisation des transactions smtantes dans un fichier
temporaire sécurisé jusqu';;\ ce qu'elles soient autorisées et
prêtes pour la transmission;
• L'exigence d'aut01isation électronique qui établirait l'accès
spécial aux champs d'autoJisation (probablement deux niveaux,
exigeant l'intervention d'utilisateurs différents) au sein du
système informatique.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . M
CerUfllld lnfonnalion
Systems Autfrtor'
~'"'"'"'"'"''''"'~
Chapitre 3 - Acquisition~ Développement et Implantation
des Systèmes d'Information
Audit d'EDf
L'auditeur des SI doit évaluer l' EDI pour s'assurer que toutes
les transactions entrantes d' EDJ sont reçues et traduites avec
précision, transmises à une application et traitées seulement une
fOis.
Afin d'accomplir ce but, rauditeur des SI doit réviser les points
suivants :
.. Les procédés de chitlfcmcnt pour Internet mis en place pour
assurer l'authenticité, l'intégrité, la confidentialité et la non-
répudiation des transactions;
• Adapter des vérifications pour vérifier des transactions erronées,
inhabituelles ou invalides avant la mise à jour de 1'application;
• Des vérilïcations informatiques supplémentaires pour évaluer la
nature raisonnable et hl validité de la hânsaction;
• Chaque transaction entrante pour assurer qu'elle est journaliséc
sur réception;
• I.;utilisation des contrôles totaux sur réception des transactions,
pour vérifier le nombre et la valeur des transactions qui seront
transmises à chaque application et concilier les totaux entre les
applications ct les pmicnaires commerciaux;
• Le compte total de segment intégré dans les ensembles de
transactions queue de bande par l'envoyeur;
• L:ensemble de transactions des comptes totaux incorporés dans
les gestionnaires du groupe fonctionnel par l'envoyeur;
• Les contrôles totaux par lots incorporés dans les gestionnaires du
groupe fonctionnel par le vendeur;
• La validité de l'envoyeur en comparaison avec les détails du
patienaire commercial en :
··-Utilisant des champs de contTôle au sein d'un message d'EDI
que cc soit au niveau de la transaction, de la fonction, du
groupe ou de l'échange (souvent au sein du gestionnaire
d'EDI, de queue de bande ou Je contrôle d'enregistrement).
·~ Utilisant des nombres séquentiels de contrôles ou des rapports
(si applicoble).
·- Envoyant un accusé de réception d'une transaction pour
informer l'expéditeur de la réception du message. l:envoyeur
doit ensuite comparer ceci avec un fichier ou un journal des
messages d'EDJ envoyés.
Les audits d'ED[ doivent aussi inclure:
• Ues contrôles de raudit -··Des appareils peuvent être installés
aux postes de travail d' EDI pour snisir les transactions comme
elles sont reçues. De telles transactions peuvent être stockées
dans un fichier protégé dont l'auditeur pourra sc servir. Il faut
pmi cr attention aux exigences de stockage pour des volumes
importants de données.
• Systèmes expert-·· À l'intérieur du contexte d'utilisation d'un
sYstème informatique pour les vérifications des contrôles
internes, il serait bon d'avoir un contrôle d'audit qui évalue les
transactions reçues. En se basant sur des règles de jugement,
le système peut déterminer la signification de l'audit de telles
transactions et fournir un rapport dont l'nuditeur pourra se servir.
Puisque l'utilisation d'EDI devient de plus en plus répandue,
des méthodes supplémentaires pour les transactions d'nuclit
seront elaborées. Il est impo1iant' de rester au courant de ces
développements.
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits rêservês.
Section deux : Contenu
3.7.5 COURRIER ÉlECTRONIQUE
Le courrier électronique (courriel), peut être la camctéristique la
plus utilisée d'Internet ou des réseaux locaux (RL) au sein d'une
entreprise. Au niveau le plus primaire, le processus de courriel
peut être divisé en deux composantes principales :
• Les serveurs de courrier élec-tronique: les hôtes qui livrent,
font suivre et stockent le coLmier.
• Les clients interagissent avec les utilisnteurs ct permettent aux
utilisateurs de lire. composer, envoyer ct stocker des courrlels.
Les couniels sont envoyés de la même manière que la plupart des
autres données Internet. Lorsqu'un utilisateur envoie un courriel,
il est premièrement décomposé par le protocole TCP dans les
paquets du protocole fP. Ces paquets sont envoyés à un routeur
interne (un routeur qui est à l'intérieur du réseau de 1'utilisateur)
qui examine l'adresse. En se basant sur cette adresse, le route ur
décide si le counie! doit être livré à quelqu'un du même réseau ou
à quelqu'un à l'extérieur du réseau. Si le courricl va à quelqu'un
du même réseau, il lui est livré. Si le couJTicl est adressé à
quelqu'un à l'extérieur du réseau, il peut passer par un coupe-feu,
qui est un ordinateur qui protège le réseau générique d'Internet,
pour que les intrus ne puis:>ent pas entrer dans le réseau. Le
coupe-feu surveille les messages et les données qui entrent et qui
sortent du réseau, à pmtir ou à destination d'Internet II peut aussi
empêcher certains paquets de passer ù travers lui.
Une fOis sur Internet, le message est lancé à un rouleur Internet
Le routeur examine l'ndresse, détermine si le message doit être
envoyé ct envoie le message en cours. Une passerelle au réseau
récepteur reçoit le courriel. Cette passerelle utilise le protocole
TCP pour reconstruire les paquets IP en des messages entiers.
La passerelle traduit ensuite le message dans le protocole que
le réseau cible utilise ct l'envoie sur son chemin. Le message
peut également devoir passer à travers un coupe-feu du réseau
récepteur. Le réseau récepteur examine l'adresse courricl et envoie
le message à la boîte aux Jeures spécifique.
Un utilisateur peut aussi joindre des fichiers binaires, comme des
photos. des vidéos, des sons et des fichiers exécutables au courriel.
Pour ce t-'aire, 1'utilisateur doit chiffrer le fichier d'une manière
qui lui permettra d'être envoyé à travers le réseau. Le destinataire
devra décoder le fichier une fois qu'ill' aura reçu. Plusieurs
systèmes de chiffrement différents peuvent être utilisés. Quelques
logiciels de couniel chiffrent automatiquement pour l'utilisateur et
décodent pour le destinataire.
Lorsqu 'un utilisateur envoie un cowTiel à quelqu'un sur Internet
ou à quelqu'un à l'intérieur d'un réseau fermé, ce message doit
souvent voyager par une série de rêseaux avant d'atteindre le
destinataire. Ces réseaux peuvent utiliser des formats de courricl
différent'\. Les passerelles exécutent la tâche de traduire les
formats de courrîel d'un réseau à l'autre pour que le message
puisse faire son chemin à travers tous les réseaux. Un courriel
est composé de données binaires, non11alcment dans le format de
texte de code ASCII. Le code ASCII est une norme qui permet
à n'importe quel ordinateur, sans tenir compte de son système
d'exploitation ou de son équipement, de lire le texte. Le code
ASCI 1 décrit les caractères que les utilisateurs voient: sur leur
écran d'ordinateur.
213
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
Il y a plusieurs protocoles de courrier électronique en usage. Les
protocoles suivants sont les principaux protocoles avec lesquels
l'auditeur des SI devra se familimiser durant la revue des services
de courrier électronique :
• Courrier électronique sortant
Le protocole SMTP (protocole de transfert de cmrnicr
simple): ne peut être utilisé que pour envoyer des courrîels,
pas pour en recevOir.
• Courrier électronique intrant
Protocole de bureau de poste (POP)
Protocole d'accès message Internet (lMAP)
Protocole de transfèti hypertexte (HTTP) -également appelé
messagerie en ligne
I;interface de programmation d'applications de messagerie
(MAPI) ·utilisée avec Outlook conjointement avec un
serveur de messagerie Microsoft Exchange; très près du
IMAP, mais possède des caractéristiques étendues pour
interagir avec d'autres applications.
De plus en plus d'organisations transfèrent leur système de
courriel dans le nuage. Cela a essentiellement pour effet"
d'externaliscr beaucoup d'enjeux de maintenance ct de gestion
de la sécurité associés à la présence de serveurs coutTiel et
de transférer les dépenses en immobilisations aux dépenses
d'exploitation. Cela fournit également une adaptabilité ct une
disponibilité qui seraient difficiles à obtenir dans les petites
exploitations de Tl. ToutefOis, rauditeur des SI doit être conscient
des exigences réglementaires pour son entreprise. Par exemple,
pour les agences gouvernementales, si un ressortissant étranger
utilise un ce1iain type de messagerie électronique contenant des
données restreintes, ceci pourrait être en violation de la loi ou la
régulation.
Problèmes de sécurité liés au courrlel
Selon J. Klensin et le Nctwork Working Group, à la lecture des
standards d'ingénielie établis pour le courrier électronique, ces
documents indiquent clairement ce qui suit :
• La messagerie SMTP est intrinsèquement non sécuritaire; un
bas niveau de complexité et d"habileté est requis pour exécuter
une attaque de type« l'homme du milieu}) entre les serveurs
SMTP de réception et de relnis pour ensuite parodier le trafic de
courrier électronique légitime.
• La véritable sécurité pour le courrier électronique réside
uniquement dans des méthodes de bout en bout qui utilisent des
signatures numériques ou des contrôles de sécurité. intégrés, au
niveau du relais.
Voici quelques autres problèmes de sécurité associés aux
courricls:
• L?hameçonnage et le harponnage sont des attaques électroniques
de type ingénierie sociale qui sont devenues extrêmement
évoluées et peuvent uniquement être contrées par une formation
de sécurité.
• Des failles dans la configuration de l'application du serveur
de courrîel peuvent être utilisées pour compromettre le réseau
sous-jacent et le réseau lié.
• Les attaques de dénis de service (DoS) peuvent être dirigées au
serveur de co unie!, en refusant ou en empêchant les utilisateurs
valides d'utiliser le serveur de courriel.
• Les informations sensibles transmises sans ëtrc chiffrées entre
214
e. M
Certified . lof.onnation
Systems
;:,~~;-
Auditor·
le serveur de courriel et le courriel du client peuvent être
interceptées.
• L'information ù l'intérieur du couniel peut être altérée ù un
moment entre l'expéditeur ct le destinataire.
• J....es virus ct d'autres types de codes malveillants peuvent être
dist1ibués dans toute une entreplise par le courriel.
• Les utilisateurs peuvent envoyer des informations inappropriées,
de nature exclusive ou sensible par le courriel pouvant mener ù
une exposition légale.
Normes pour la sécurité du courrlel
Afin d'améliorer la sécmité du courriel, les entreprises doivent:
• Aborder les a:-;pccts de sécurité pour le déploiement d'un
serveur de couniel par le biais de normes d'entretien et
d'administration.
• S'assurer que !'application du serveur de courricl est déployée,
configurée et gérée pour respecter la politique de sécurité ct les
recommandations établies par la direction.
• Considérer l'implantation des technologies de chiffrement pour
protéger l'authentification de l'utilisateur et les données de
courriel.
Comme dans plusieurs en\Teprises les signataires autorisés
utilisent le courrier électronique pour communiquer les
approbations de transactions d'atl3ircs (p. ex., exécution de la
paie, écriture d'une ent1·ée comptable, autorisation de paiement),
il est important d"adopter une approche calibrée pour assurer
l'authenticité des courrîels en fOnction d'une évaluation éclairée
du risque. Par exemple, les entreprises peuvent exiger que les
autorisations pour la communication de courriels portent !a
signature numérique de l'émetteur avant qu'ils puissent générer
une action. Dans la sécutité de courriel, une signature numérique
authentifie la transmission d'un utilisateur dans un environnement
réseau non fiable. Une signature numérique est une séquence de
bits adjointe à un document num~rique. Comme une signature
écrite à !a main, son authenticité peut être vérifiée. Contrairement
à une signature écrite à la main, elle est propre au document qui
est signé. Les signatures numériques sont une autre application
de cryptographie asymétrique. Les signatures numériques sont
une bonne méthode pour sécuriser les transmissions de courriel
pUISqUe:
• La .signature ne peut pas être faussée.
• La signature est authentique et chi"!frée.
• La signature ne peut pas être réutilisée (une signature sur un
document ne peut pas être transférée à un autre documem).
• Le document signé ne peut pas être altéré; toute altémtion au
document (qu'il ait été chiflTé ou non) invalide la signature.
Deux types de techniques de chiffrement différents sont utilisés
pour assurer la sécurité. Les messages peuvent être sécurisés à
l'aide d'un système de clé symétrique secrète bidirectionnelle
(chiffrement/déchiffrement) unique qui utilise la norme de
chiffi·age des donnees (DES), ou à l'aide d'un système de clé
asymétrique qui utilise des paires de clés complémentaires
unidirectionnelles (chiifrement ou déchiffrement seulement),
comme le système de gestion de clés publiques. Le système RSA
(un crypte-système à clé publique) a été élaboré parR. Rivest, A.
Shamir et L. Adleman et est fréquemment utilisé (voir la section
5.4.5 Chiffrement).
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certffied lnfonnation
Systems Audifor"
--·----r---
"'""'"""''''"""""'
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d"lnformation
Si la transmission par couniel est sécurisée à l'aide d'une clé
symétrique du côté du destinataire, 1'utilisateur doit connaître la
clé secrète unique pour déchiffrer le message. Si la transmission
est sécurisée à l'aide d'un système de clé asymétrique utilisant
une clé publique, le destinataire doit utiliser la clé privée pour
déchiffrer le message ainsi qu'un programme de vérification de
signature numérique pour contrôler la signature. Les signatures
numériques sont basées sur une procédure appelée empreinte
numérique, qui traite un petit nombre à valeur fixe appelé
empreinte pour tous les messages de toutes les longueurs.
Plusieurs messages diftërents peuvent avoir la même empreinte,
mais il est extrêmement difficile d'en produire une à partir
de J'empreinte. L'empreinte d'un message est une fonction de
hachage gui est fortement chilfréc d'un seul côté du message.
C'est semblable à une somme de contTôlc par le fhit qu'elle
représente, d'une manière concise, le message et est utîlisée
pour détecter les changements dans le message. L'empreinte
du message authentifie le message de l'utilisateur d'une
telle manière que s'il était altéré, le message serait considéré
corrompu.
Les entreprises doivent employer leur infrastTucture de
réseau pour protéger leurs serveurs de courriel en passant par
l'utilisation adéquate des coupe-feu, des routeurs et des systèmes
de détection des intrusions. (Voir le chapitre 5, Protection des
actifs informationnels, pour de plus amples informations.)
3.7.6 SYSTÈMES DE TERMINAUX DE POINT DEVENTE
Les systèmes de terminaux de point de vente (STPV) permettent
la saisie de données au moment ct à l'endroit de la tmnsaction.
Les méthodes de paiement les plus communes pour l'hire
fonctionner un STPV sont les cartes de crédit et de débit, qui sont
associés à des comptes bancaires. Les terminaux STPV peuvent
avoir des périphériques comme des lecteurs optiques pour lire
les codes à barres ct des lecteurs de cmies magnétiques pour les
cartes de crédit ou de débit ou des lecteurs électroniques pour
les cartes à puces intelligentes pour améliorer l'efficience cl' la
justesse du processus d'enregistrement de la tnmsaction.
Les STPV peuvent être en ligne à un ordina!eur central qui est ln
propriété d'une institution financière ou d'un administrateur tiers,
ou peuvent utiliser des processeurs/micro-ordinateurs JocalL'I. qui
sont la propriété d'une erltTeprise pour conserver les transactions
pendant une période spécifique après laquelle elles sont envoyées
à !'ordinateur principal pour le traitement par lots.
!1 est très important pour l'auditeur des SI de déterminer si de
l'information sur le- détenteur d'une carte est stockée dans le
système local de STPV comme les numéros de carte de crédit,
les numéros d'identification personnelle (NlP), etc. N'importe
laquelle de ces informations, si elles sont stockées dans le STPV,
doit être chiffrée en utilisant des méthodes de chiffrement fermes.
Certaines données, comme le code de sécurité d'une carte
(CVV), ne doivent jamais être stockées dans ces systèmes.
Vous trouverez davantage de renseignement.:; sur les normes
pour les STPV au www.pcisecurityslandanl.s·.org, qui aborde
l'information sur les normes de sécurité des données (DSS) de
l'industrie des cartes de paiement (PCJ ), et au ww1v.emvco.com,
qui aborde les normes pour les cartes intelligentes munies de
puces microprocesseurs intégrées.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
3.7.7 BANQUE ÉLECTRONIQUE
Les organisations bancaires offrent des services éleclroniques
à distance aux clients et aux entreprises depuis des années. Le
transfe1t électronique de fonds (fEF) (incluant les systèmes
de petits paiements et de gestion de l'argent des entreprises),
les guichets automatiques bancaires disponibles au public pour
le retrait d"argent et la gestion de compte de détail sont des
agencements globaux:
L'innovation technologique continue et la concurrence entre
les organisations bancaires existantes et les nouveaux marchés
candidats ont permis un ensemble beaucoup plus large de
produits et de services bancaires pour les clients de banque de
détail et de gros. Cependant, la réception mondiale grandissante
d'Internet comme canal de livraison pour les produits elles
services bancaires f-bumit de nouvelle-s occasions d'affaires tout
comme de nouveaux risques.
Les risques majeurs associés aux activites bancaires incluent ceux
liés à la stratégie, à la réputation, aux opérations (y compris le
risque de sécurité, parfois qualifié de transactionnel, et juridique),
au crédit, aux prix, aux taux de change, aux taux d'intérêt et aux
liquidités. Les transactions bancaires électroniques ne présentent
pas de risques qui n'ont pas déjà été cernés pour les activités
bancaires classiques, mais en augmentent et modifient certains.
Comme le.s activités essentielles ct l'environnement de Tl sont
étroitement liés, cela influence le profil de risque global des
activités bancaires électroniques.
En particulier, d'un point de vue de l'auditeur des SI, les
problèmes principaux incluent des risques stratégiques,
opérationnels et qui touchent à la réputation, puisqu'ils
concernent directement les menaces au flux de données fiables
et aux risques opérationnels, et sont certainement rehaussés
par l'introduction rapide et sous-jacente de la complexité
technologique de la banque électronique.
Défis de gestion des risques dans la banque
électronique (E-banque)
La banque électronique présente un certain nombre de défis de
gestion des risques :
• La vitesse du changement en ce qui a trait aux innovations
technologiques et de service dans la banque électronique
est sans précédent. Actuellement, les banques doivent 'fàire
face à une pression de leurs concurrents pour déployer de
nouvelles applications d'affaires dans des blocs de temps
comprimés. Cette concurrence intensifie le défi de gestion pour
s'assurer que l'évaluation stratégique. l'analyse des risques
et les révisions de la sécurité adéquates sont ctrectuées avant
l'implantation de nouvelles applications de banque électronique.
• Les sites Web transactionnels de banque électronique ct associés
aux applications d'affaires de détail et en gros sont typiquement
intégrés, autant que possible, aux systèmes infOrmatiques
patrimoniaux pour permettre plus de traitement direct des
transactions électroniques. De tels traitements automatisés
directs réduisent les risques que des erreurs humaines et des
tfaudes spécifiques dans les procédés manuels surviennent,
mais ils augmentent la dépendance envers une conception
et une architecture minutieuses du système, ainsi qu'envers
l'interopérabilité du système et son extensibilité.
• La banque électTonique augmente la dépendance des banques
215
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
aux technologies d'information. De cette façon, elle augmente
la complexité technologique de beaucoup de problèmes
opérationnels et de sécurité et sert une tendance vers plus
de partenariats, d'alliances ct d'accords d'externalisation
avec les tierces patiies, comme les FSI, les compagnies de
télécommunication et d'autres firmes de technologie.
• Internet est omniprésent et de nature mondiale. Il s'agit
d'un réseau ouvert accessible de partout dans le monde par
des pm1ies inconnues. Les messages sont dispersés dans
des endroits inconnus par le biais d'appareils sans fil qui
évoluent rapidement. Par conséquent, Internet amplifie de
J·açon significative l'importance des contrôles de sécwité,
des techniques d'authentification des clients, de protection
des données, des procédures de pistes d'audit et des normes
d'intimité du client.
Contrôle de la gestion des risques pour la banque
électronique
Les contrôles pour la gestion efficace des risques pour la banque
virtuelle Îllcluent les 14 contrôles suivants qui sont divisés en
trois catégories :
• La surveillance du conseil ct de la direction :
1. La supervision etTicace de la direction des activités de
banque électronique;
2. La mise en place d'un processus exhaustif de contrôle de la
sécurité~
3. La vélification exhaustive au préalable et le processus
de la surveillance de la direction pour les relations
d'extcrnalisation et les autres dépendances des tierces
parties.
• Contrôles de sécurité :
4. Lauthentification des clients de !a banque électronique;
5. La non-répudiation et l'imputabilité des transactions de la
banque électronique;
6. Les mesures approp1iécs pour assurer la séparation des
tâches;
7. Les contrôles convenables d'autorisation au sein des
systèmes de banque électronique, des bases de données et
des applications;
8. L'intégrité des données des transactions de la banque
électronique, des enregistrements et de l'information;
9. La mise en place de pistes d'audit claires pour les
transactions de banque électronique;
10. La confidentialité des informations essentielles de la banque
• La gestion des risques légaux et qui touchent à la
réputation :
11. Les divulgations appropriées pour les services de banque
virtuelle;
12. La confidentialité des informations des clients;
13. La capacité, la continuité des affaires et le plan de secours
pour assurer la disponibilité des systèmes et des services de
banque électronique;
14. Le plan de réponse aux incidents.
15. ContOrmité aux directives du domaine bancaire (p. ex.,
accords Base!).
3.7.8 FINANCE ÉLECTRONIQUE
La finance électronique fait partie intégrante des services
financiers et permet aux fournisseurs d'émerger à l'intérieur des
pays, et à travers ces derniers, incluant la banque électronique,
les commissions et les entreprises qui permettent aux clients de
216
des Systèmes d'Information
e . H
Certifllld lllformation
Systems Audllor'
""''"''"""'""""
comparer les services financiers, comme les prêts hypothécaires
et les politiques d'assurance. Les entités non financières
entrent aussi dans le marché, y compris les entreprises de
télécommunication ct les enlrepriscs de services colle-cti[.:;, qui
offrent les services de paiement et d'autres services.
Les avantages de cette approche pour les clients sont :
• Des coûts moins élevés
• L'ampleur ct la qualité améliorées
• !:élargissement de J'accès aux services financiers
• L'asynchronie (découplée par Je temps)
• J:atopie (découplée par !'endroit)
En utilisant la cote de crédit et d'autres techniques d'exploration
de données. les fournisseurs peuvent créer et faire des produits
sur mesure sur Internet sans grande particîpation humaine et à
un coùt très bas. Ils peuvent mieux stratifier leur base de clients
par l'analyse des données recueillies sur Internet ct pennettrc aux
clients de construire des profils de préférences en ligne. Cela ne
permet pas seulement la personnalisation de 1'information ct des
services, mais egalement une personnalisation plus impotiante
des prix des services financiers et une identification du risque
plus efficace. En même temps, Internet permet aux nouveaux
fournisseurs de service financier de se faire une concurrence
plus efficace du point de vue des clients, puisqu'il ne fait pas de
distinction pas entre les fournisseurs physiques traditionnels de
services financiers et ceux vi1iuels. Toutes ces forces procurent
de gros avantages aux clients au niveau du détail et commercial.
Ces mécanismes doivent être utilisés au sein des formulations de
lois sur la confidentialité (en ce qui concerne la confidentialité
ct l'autorisation) pour rassembler diverses informations sur
l'utilîs<1teur ct mettre en place des profils.
3.7.9 SYSTÈMES DE PAIEMENT
Deux types de pm1ies sont impliqués dans les systèmes de
paiement : les émetteurs ct les utilisateurs. Un émetteur est une
entité qui opère un service de paiement. Un émetteur conserve les
articles que le paiement représente (p. ex., de l'argent conservé
dans des comptes bancaires réguliers). Les utilisateurs du service
de paiement exécutent deux fonctions principales-· faire et
recevoir les paiements- et, par conséquent, peuvent être décrits
respectivement comme payeur ou prestataire.
Modèle d'argent électronique
l:o~jectif des systèmes d'argent électronique est de simuler
l'argent physique. Un émetteur tente de le faire en créant des
cerlificats numériques qui sont ensuite achetés (ou retirés) par
les utilisateurs, qui les rachètent (déposent) avec l'émeticur à
une date ultérieure. Entre-temps, les certificats peuvent être
transférés entre les utilisateurs pour échanger pour des biens ou
des services.
Pour que les certificats aient certains des attributs de l'argent
physique, ce1iaines techniques sont utilisées pour que, lorsqu'un
certificat est déposé, l'émcu·eur ne puisse pas déterminer la
personne qui retire le cettifîcat à l'origine. Cela fOurnit aux
certificats électroniques une intraçabilité inconditionnelle.
Les systèmes d'argent électronique peuvent être ditlïciles à
implanter en pratique en raison des temps systèmes pour résoudre
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certificd Information
Systems Audilor"
"'"""'""'''""'"'
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
le problème de« dépense en double» (c.-à-d. empêcher qu'un
utilisateur dépose Je même montant d'argent deux fOis).
Quelques avantages des systèmes d'argent électroniques sont:
"Le payeur n'a pas besoin d'être en ligne (généralement) au
moment de l'achat (puisque l'argent électronique peut être
stocké sur J'ordinateur du payeur).
• Le payeur peut avoir une intraçabilité inconditionnelle (qui
pourrait être aux dépens de pertes d'intérêts sur les dépôts).
Modèle de chèques électroniques
Les systèmes de chèques électroniques imitent vraiment bien les
chèques réels ct sont donc relativement simples à comprendre et
à implanter. Un utilisateur écrit un chèque électronique, qui est
une instruction signée numériquement pour payer. Ce chèque
est transt-ëré (dans le processus de fhire un achat) à un autre
utilisateur, qui le dépose ensuite avec l'émetteur. [;émetteur
vérifiera la signature du payeur sur le paiement, et transférera les
fbnds à partir du compte du payeur au compte du prestataire.
Voici quelques avantages des systèmes de chèque électronique :
• Facile acomprendre ct à implanter
• La disponibilité de reçus électroniques, permettant aux
utilisateurs de résoudre des conflits sans impliquer J'émetteur
• Pas besoin que le payeur soit enligne pour créer un paiement
Ces systèmes sont normalement complètement traçables, ce
qui est un avantage pour ce1iains buts d'application de la loi, de
perception et de marketing, mais un désavantage pour ceux qui
sont préoccupés par la confidentialité.
Modèle de transfert électronique
Les systèmes de transfèrt électronique fOm1ent le plus simple
des trois modes de paiement. Le payeur crée simplement une
instruction de transfert de paiement, la signe numériquement et
l'envoie à l'émetteur. L'émetteur vérifie ensuite la signature sur
la requête et exécute le transfert. Cc type de système exige que le
payeur soit en ligne, mais pas le prestataire.
Voici quelques avantages des systèmes de transf"èrt électronique :
• Facile à comprendre et à implanter
• Le prestataire n'a pas besoin d'être en ligne, ce qui est un
avantage considérable dans quelques circonstances (p. ex., payer
la paie des employés)
3.7.10 SYSTÈMES INTÉGRÉS DE FABRICATION
Les systèmes intégrés de f..1brication (!MS) ont une longue
histoire, et en conséquence, un groupe très diversifié de modèles
ct d'approches.
Quelques-uns des systèmes de t'abrication intégrée incluent la
nomenclature, le traitement de la nomenclature, la planification
des besoins matières (PBM ), la conception assistée par ordinateur
(CAO), la productique (PlO), la production et la comptabilité
pour la fabrication.
À l'origine, les systèmes intégrés de fàbrication étaient basés
sur la nomenclature et sur le traitement de la nomenclature,
normalement soutenus par un système de gestion de base de
données hiérarchique.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
L:évolution vers une plus grande intégration avec d'autres
fOnctions d'aftàircs (p. ex., l'enregistrement de matière première,
de tmvaux en cours et de transactions de biens terminés, des
ajustements dlnventaire, de la gestion des fOurnisseurs, des
comptes créditeurs, des biens reçus, de l'inspection, de la
compatibilité analytique d'exploitation, de l'entretien, etc.) a
mené vers la PBM (qui désignait au départ le traitement des
exigences matérielles, et qui signifie maintenant la planification
des besoins m::ttières), une famille de normes et de paquets basés
sur les normes largement utilisées.
La PBM est un module typique de la plupart des progiciels
de gestion intégrée, comme SAP ou Oracle Financials, et est
normalement intégré dans l0s systèmes modernes de gestion
des relations avec la clientèle (CRM) et de gestion de la chaîne
logistique.
La CAO, l'ingénierie assistée par ordinateur (lAO) et la
fabrication assistée par ordinateur (FJ\0) ·-·cette dernière
comprend la commande numérique par calculateur (CNC) ont
mené à la productique. qui fait fréquemment fonctionner des
usines immenses. Une portion significative de biens des clients
sont fabriqués Jans ces environnements.
L'importance pour 1'auditeur des SI repose sur un nombre élevé
de systèmes ct d'applications qui utilisent ces technologies. Plus
l'échelle d'intégration est grande, plus l'attention de l'auditeur est
requise.
Les projets de productique hautement intégrés exigent la même
attention de la part de l'auditeur que les progiciels de gestion
intégrés mentionnés dans ce chapitre. Ils sont des engagements
majeurs qui doivent être basés sur les études de faisabilité
exhaustives et sujets à l'approbation de cadres supérieurs et
devant être suivis de près.
Les plans de continuite sont aussi un volet de base qui doit être
révisé par l'auditeur des SL
3.7.11 TRANSFERT ÉLECTRONIQUE DE FONDS
La méthode de paiement joue un rôle important dans la
relation entre le vendeur et l'acheteur. Le but sous-jacent de
1'environnement automatisé est de soutirer les coût.s propres
dans les procédés d'affaires. Le TEF est l'échange d'argent par
le biais des télécommunications sans que la monnaie change
rétdlemcnt de mains. En d'autres mots, le TEF est un translèrt
électronique de fonds entre un acheteur, un vendeur ct son
institution financière respective. Le TEF fait réfërencc à toutes
transactions qui translèrcnt une somme d'argent d'un compte
à un autre électroniquement. Le TEF permet aux parties de
déplacer de l'argent d'un compte à un autre, en replaçant le
triage de chèque traditionnel et les procédures de rassemblement
d'argent. Les services de TEF sont otferts depuis deux décennies.
Avec l'intérêt grandissant dans les affaires sur lntemet, de plus
en plus de clients et d'entreprises ont commencé à les utiliser.
Dans le règlement entre les pmiies, les transactions de TEF
f'onctionnent normalement par le biais d'un transfert bancaire
interne du compte d'une partie à un autre par un réseau de centre
d'infOrmation. Normalement, les transactions proviennent d'un
ordinateur dans une institution (emplacement) et sont transmises
217
 Chapitre 3 - Acquisition, Développement et Implantation
Section deux : Contenu
à un ordinateur dans une autre institution (emplacement) avec
le montant d'argent enregistré dans les comptes respectifs des
cntTeprises. À cause du volume potentiellement élevé d'argent
qui est échangé, ces systèmes peuvent être dans une catégorie
extrêmement à risque. Par conséquent, l'évaluation de la sécurité
de l'autorisation de traitement est un contrôle imp01iant. En ce
qui concerne les transactions de TEF, les exigences de la banque
cent-rale doivent être révisées pour la conformité à ces procédés.
Contrôles dans un environnement de TEF
À cause du volume potentiellement élcvt! d'argent qui est
échangé, ces systèmes peuvent être dans une catégmie
extrêmement à risque ct la sécurité d'un environnement de TEF
devient extrêmement essentielle.
La sécurité comprend les méthodes utilisées par le client pour
avoir accès au système, au réseau de télécommunications et au
site de l'hôte ou de traitement de l'application. L'accès individuel
des clients au système de TEF peut être contrôlé par une cmte
de plastique et un NIP ou par d'autres moyens qui ne requièrent
pas l'utilisation d'une ca1te. l~auditeur des SI doit réviser
la sécurité physique des cartes de plastique non émises, des
procédures utilisées pour générer les NlP, les procédures utilisées
pour émettre les cartes et les NIP ainsi que les conditions sous
lesquelles Je client utilise les dispositif" d'accès.
La sécurité dans llll environnement de TEF assure que :
• Tout l'équipement et les liens de communication sont testés
pour transmettre el' recevoir les données de manière efficace et
fiable.
• Chaque partie utilise les procédures de sécurité qui sont
raisonnablement suffisantes pour affecter la transmission
autorisée de données et pour protéger les enregistrements
d'affaires et les données contre des accès non autorisés.
• Des recommandations sont établies pour la réception des
données et pour s'assurer que la date ct l'heure de réception des
données lTansrnises sont les mèmes que celles des données qui
ont été reçues.
" Sur la réception des données, la partie destinataire transmettra
immédiatement un accusé de réception ou un avertissement
pour communiquer à 1'envoyeur que la transmission a été
réuss1e.
• Des normes de chifli·ement des données sont établies.
• Des normes pour les transmissions inintelligibles sont établies.
• Des exigences rêglcmentaires pour la mise en application des
données électroniques transmises et reçues sont expliquëcs en
détail.
L'auditeur des SI doit s'assurer que des méthodes
d'authentification raisonnables sont exigées pour accéder au
système de TEE Les réseaux de télécommunications doivent être
désignés afin de fournir une sécurité maximale. Le chiffrement
des données est recommandé pour toutes les transactions.
Cependant, l'auditeur des SI doit déterminer toutes les conditions
sous lesquelles le NIP peut être accessible dans un mode clair.
Un commutateur de TEF impliqué dans le réseau est aussi une
préoccupation d'audit. Un commutateurTEF est une installation
qui fournit les liens de communication pour tous les équipements
dans le réseau. L'auditeur des SI doit réviser le contact avec le
218
des Systèmes d'Information
commutateur et l'audit de la tierce pmiic pour les opérations
du commutateur. Si un audit d'une tierce partie n'a pas été
exécuté, l'auditeur doit envisager de visiter l'emplacement du
commutateur.
Au niveau du traitement de l'application, l'auditeur des SI
doit réviser l'interface entre le système de TEF et les systèmes
d'application qui traitent les comptes desquels les fonds sont
transférés. La disponibilité des fonds ou la justesse des limites
de crédit doivent être vérifiées avant que les fonds ne soient
transférés. Cela n'est malheureusement pas toujours le cas.
En raison des pénalités advenant l'impossibilité d'ellCctuer 1111
transfert rapide, l'auditeur des SI doit réviser les arrangements
de sauvegarde ou des autres méthodes utilisées pour assurer la
continuité des activités. Puisque le TEF réduit la circulation de
papier et, par conséquent, réduit les pistes d'audit normales,
1'auditeur des SI doit déterminer que des pistes d'audits
alternatives sont disponibles.
3.7.12 GUICHET AUTOMATIQUE BANCAIRE
Un guichet automatique bancaire est une 1brmc spécialisée
de terminal de STPV qui est conçu pour l'utilisation sans
surveillance par un client ou une institution financière. Ces
machines permettent habituellement une étendue d'opérations
bancaires ct de débit, spécialement des dépôts financiers et
des retraits d'argent Les guichets automatiques bancaires
sont normalement situés dans des endroits non contrôlés pour
faciliter l'accès facile aux clients après les heures d'ouverture.
Cette installation peut être dans une banque, à travers les
banques locales ou dans des banques à 1'extérieur de la région.
Ils deviennent connus comme des réseaux de détail de TEF,
en transférant l'information et l'argent par des lignes de
communication. Par conséquent, la machine doit fournir des
hauts niveaux de sécmité logique ct physique tant pour le client
que pour la machinerie. L'architecture du guichet automatique
bancaire possède une couche réseau physique, un commutateur et
une couche de communication qui connecte les divers terminaux
de STPV de guichets automatiques bancaires.
Les recommandations de contrôle interne suggérées pour les
guichets automatiques bancaires, mis à part ce qui a été fi)urni
pour tout TEP, incluent les suivantes:
• Les politiques et les procédures écrites qui couvrent le
personnel, les contrôles de sécurité, les opérations, l'autorisation
du recouvrement de crédit et de chèques après sinistre, les
limites de plancher, la commission indirecte, les arrangements
et l'équilibrage.
• La réconciliation de tous les comptes généraux du grand livre
connexes aux TEF de détail et la révision des items d'exception
et des comptes d'attente.
• Les procédures pour !"émission des NJP et la protection lors du
stockage.
• Les procédures pour la sécurité des NIP lors de la livraison et
la restriction de l'accès au compte d'un client après un petit
nombre d'essais infructueux.
• Les systèmes doivent être conçus et contrôlés pour prévenir la
récupération des NIP stockés dans toute forme non chifhée. Les
programmes d'application et autres logiciels qui contiennent
des formules, des algorithmes et des données pour calculer les
N 1P doivent être sujets au plus haut niveau d'accès pour des
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e . H
Gertffled IR!ormatkln
Systems Audit«
~''""""'""'''"''""

• Une productivité accrue;
• Le contrOle amélioré sur les dossiers sur papier;
• La détérioration réduite en raison de la manipulation;
• Des procédures améliorées de reprise après sinistre.
Les systèmes imageurs forment le volet qui croît le plus vite
dans l'industrie de la micrographie. Ils sont une excroissance
du microfilm et de la microfiche, qui ont, par le passé, été
utilisés à profusion dans les domaines générant beaucoup de
documents papier comme les assurances et les banques. C'est
sans surprise que ces mêmes champs ont été les premiers à
incorporer les systèmes imageurs dans leurs opérations normales.
Le remplacement des documents papier avec les images
électroniques peut avoir un impact significatif sur la manière dont
une institution fait des aflàires. Nombre d'audiLo:; traditionnels
ct de contrôles de sécurité pour les systèmes basés sur le papier
peuvent être réduits ou absents dans le tlux de travail de la
documentation électronique. Des nouveaux contrôles doivent être
élaborés et conçus dans le processus automatisé pour s'assurer
que les fichiers images d'infOimation ne peuvent pas être altérés,
effacés ou perdus.
Les volets à risques que la direction doit aborder lors de
lïnstallation de systèmes imageurs et dont les auditeurs des SI
doivent être conscients lorsqu'ils révisent les contrôles d'une
institution sur les systèmes imageurs incluent:
• La planification -- Le manque de plnnification attentive dans
la sélection ct la conversion de systèmes sur papier en des
systèmes îmageurs de documents et l'impossibilité d'obtenir
les avantages escomptés. Des problèmes essentiels incluent
la conversion des fichiers existants de stockage de papier et
1' intégration du système imageur dans le déroulement de travail
de l'orgunisation et le stockage de média électronique pour
atteindre les exigences de rétention légales de l'audit et de
document.
• Audit·- Les systèmes imageurs peuvent changer ou éliminer les
contrôles traditionnels tout comme les vérifications et les soldes
propres dans les systèmes basés sur le papier. Les procédures
d'audit peuvent devoir être repensées et les nouveaux contrôles
conçus dans le processus automatisé.
sont pas détruits avant d'avoir déterminé qu'une bonne image a
été saisie.
• Protection par Je logiciel-- Les contrôles de sécurité sur les
documents du système image sont essentiels pour protéger les
infOrmations des institutions et des clients contre des accès non
autorisés et des modifications. L'intégrité et la fiabilité de la
base de données du système image ur sont reliées directement
aux contrôles de qualité sur l'accès au système.
• Formation - La formation inadéquate du personnel qui balaie
les documents peut résulter en une faible qualité des images du
document et des index et en la destruction hâtive des documents
originaux. L'installation et l'utilisation de systèmes îmageurs
peuvent constituer un changement majeur pour le personnel de
la division. Ils doivent être fOrmés adéquatement pour s'assurer
que le contTôle de la qualité sur le balayage et le stockage des
documents imageurs. tout comme l'utilisation du système pour
optimiser les avantages de sc convertir aux systèmes imageurs.
3.7.16 SYSTÈMES DE CONTRÔLE INDUSTRIELS
Système de contrôle industriel (SC\) est un terme général
qui inclut plusieurs types de systèmes de contrôle, y compris
les systèmes SCADA (système de contrôle de supervision ct
d'acquisition de données), les systèmes distribués de contrôle
(DCS) et autres configurations de systèmes de contrôle comme
les contrôleurs de logiques programmables (CLP) que l'on
retrouve souvent dans les secteurs industriels ct les infrastructures
critiques.
La figure 3.19 donne un aperçu général des flux des processus
SC! typiques.
Figure 3.19- Processus SCI
1 hu~~~~~~~"''' 1 [mam;~;~~~'rctt~~n~e]
Points de consigne. algorilllmes 1
de contrôle, contraintes de 1 :
paramètres, données de traitement 1 1
Vanables -c~ltrô~ur~----
__ ~ Vanables 1
1

• Reconcevoir le déroulement du travail Les institutions mampulees contrôlees :

reconçoivent généralement ou font une réingénîcrlc des
procédés de déroulement du travail pour profiter de la
technologie d'imagerie.
• Appareils de balayage·- Les appareils de balayage sont le
point d'entrée pour les documents image et un volet à risque
,..,,._,mm:- "T. __,
r.; · ·~].
J
r----
' r
L
-----~

· }-
'

important dans les systèmes imageurs. Les opérations de

balayage peuvent interrompre le déroulement du travail si
r;~~~~,~~ :[ Processfcontrôlé E:r~~~~s~:
l'équipement de balayage n'est pas conçu pour manipuler Perturbations
le volume de documents ou qu'un b1is d'équipement
survient. Cabsencc des contrôles dans le processus de Source : NIST; NIST SP 800·82: Guide to /ndustrial Control Systems (/CS) Security,
balayage peut résulter en une faible qualité d'image, une Ë.·U., 2011
indexation inappropriée, ct l'introduction de pièces fausses
ou incomplètes da!JS le système. Les facteurs qui doivent être Facteurs de risque
pris en considération dans un système imageur sont le contrôle Bnsé sur l'importance que les SC! ont sur les processus
de la qualité sur Je processus de balayage ct d'indexation, la manufacturiers, chimiques ct, plus encore, les infrastructures
fi:équence de balayage de Jléquipement, le stockage des images, critiques (production, transmission et contrôle de l'énergie,
les sauvegardes de 1\:quipement ct le niveau d'expérience du traitement des caux, etc.),l'auditeur des SI doit considérer des
personnel qui balaye le document Des procédures doivent être facteurs de 1isquc clés.
mises en place pour assurer que les documents originaux ne • Un flux d'infOrmation bloqué ou retardé dans les réseaux SCL

220 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réserves.
e Certffied lnform. a1ioo
Systems Audftor'
""'"''"'''""'''""'"''
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
questions de sécurité.
• Des contrôles sur l'approvisionnement en cartes de plastiques
doivent être conformes avec un accord éc1it entre Je fabricant de
cartes et la banque qui détaille les procédures de contrôle et les
méthodes de résolution à suivre si un problème survient.
.. Les contrôles et les pistes d'audits des transactions qui ont été
faites avec le guichet automatique bancaire. Cela doit inclure
l'inscription interne dans le guichet automatique bancaire, que
ce soit avec un papier interne ou un média numérique, selon la
réglementation ou les lois en vigueur dans chaque pays et les
hôtes impliqués dans la h·ansaction.
Audit d'un guichet automatique bancaire
Pour effectuer un audit des guichets automatiques bancaires,
l'auditeur des SI doit:
• Réviser la sécurité physique pour prévenir l'introduction de
programmes malveillants (comme Tyupkins);
.. Réviser les mesures pour établir l'identification adéquate du
client et le maintien de la confidentialité;
.. Réviser l'entretien du fichier et du système de rétention pour
faire un suivi des transactions;
• Réviser les rapports d'exception pour fournir une piste d'audit;
• Réviser la conciliation quotidienne des transactions du guichet
automatique bancaire incluant :
-Réviser la séparation des tâches dans l'ouverture du guichet
automatique bancaire et recompter le dépôt.
-· Réviser les procédures faîtes pour les cartes retenues,
• Réviser les procédures de gestion de changement de clé de
chiffrement.
~· Mesures de sécurité physique pour assurer la sécurité du
guichet cl de l'argent qu'il contient.
- Examen de la tCnte pour carte du guichet, du clavier ct du
cabinet pour empêcher le prélèvement des données de la carle
et du N 1P durant la saisie.
3.7.13 RÉPONSE VOCALE INTERACTIVE
En téléphonie. la réponse vocale interactive est une technologie
liée aux téléphones qui permet ù un ordinateur de détecter la
voix ct les tonalités du clavier ù l'aide d'un appel téléphonique
normal. L'appelant utilise le clavier du téléphone pour prérégler
les choix de menu offerts par la réponse vocale interactive.
Le système répond ensuite par un message prècnrcgistré ou
produit automatiquement pour diriger davantage les appelants
oules acheminer à un représentant du service ù la clientèle. Les
systèmes de réponse vocale interactive peuvent servir au contrôle
de presque toutes les fonctions où l'intcdàcc peul être divisée en
une série de choix de menu simples. Généralement, ces systèmes
s'adaptent bien pour gérer des volumes d'appel importants. Les
contrôles de tels systèmes doivent être mis en place pour éviter
que des individus non autorisés n'accèdent aux commandes au
niveau du système qui permettent de modifier ou de réenregistrer
les options de menu.
3.7.14 SYSTÈME DE COMPTABILITÉ DES ACHATS
Les transactions financières passent fréquemment par plus d'un
système lors de leur traitement. Dans un grand magasin, une
vente est d'abord traitée dans le système de comptabilité des
ventes, ensuite traitée par le système de compte débiteur (si
1'achat n été fait par carte de crédit) ct, pour les ventes soit en
Manuel de Préparation C/SA 26' édition
ISACA. Tous droits réservés.
Section deux : Contenu
argent ou pm· crédit, par le système d'inventaire (lorsqu'ils sont
reliés). La même vente peut amener le système de comptabilité
des achats à remplacer l'inventaire épuisé. l~ventuellement,
les transactions deviennent une partie du système de compte
du gn:md livre puisque toutes les transactions sont enregistrées
quelque part dans ce système. Pour que l'intégration des systèmes
soit elficace, le traitement des transactions doit être complet,
juste et rapide. S'il ne l'est pas, un effet d'entraînement diminue
l'intégrité des données.
Le système de comptabilité des achats traite les données d'achats
ct de paiements. Puisque les achats entraînent automatiquement
les paiements, si les achats sont contractés convenablement,
un contrôle pmiiel sur les paiements existe. Des contrôles
supplémentaires sur les paiements sont encore nécessaires pour
assurer que chaque paiement a été fàit pour les biens et les
services reçus, que les mêmes achats n'ont pas été payés deux
fois, et qu'ils ont en t-i:tit été payés. La plupart des systèmes de
comptabilité des achats effectuent trois fonctions de comptabilité
de base:
1. Le traitement des comptes créditeurs-- L:enregistrement des
transactions dans les enregistrements des comptes créditeurs
2. Le traitement des biens reçus- !;enregistrement des détails
concernant les biens reçus, mais qui ne sont pas encore facturés
J. Le traitement de la commande- L'enregistrement des biens
commandés, mais qui n'ont pas encore été reçus
L'ordinateur peut être impliqué dans chacune de ces activités,
et l'étendue dans laquelle elles sont informatisées détermine la
complexité du système de comptabilité des achats.
3.7.15 TRAITEMENT D'IMAGE
Quelques-uns des algorithmes multiples utilisés dans le traitement
incluent la convolution (sur laquelle se basent plusieurs autres),
la transformation de Fmnier rapide, la transfOrmation en cosinus
discrète, l'amincissement (la squelcttisation), b détection des
contours et l'accentuation de contraste. Ils sont habituellement
implantés dans le logiciel, mais ne possèdent pas d'équipement
spécialisé pour la vitesse.
Un système imageur stocke, retrouve et traite les données
graphiques, comme les photos, les tableaux, les graphiques, au
lieu, ou en plus, de les ajouter aux données textes. La capacité
de stockage doit être énorme ct la plupart des systèmes imagcurs
incluent une unité interactive de disques optiques. En plus des
disques optiques, le système inclut le balayage haute vil"esse,
les affichages en haute résolution, la compression rapide ct
puissante, les fonctions de communication et 1'impression au
laser. Les systèmes incluent des techniques qui identifient les
niveaux d'ombre ct de couleurs qui ne peuvent pas être distingués
par l'œil humain. Ce.s systèmes sont coûteux et les compagnies
n'investissent pas dans ces deniers à la légère.
La plupart des entreprises qui exécutent le traitement d'image
obtiennent des avantages de l'utilisation d'un système ilnagcur.
Des exemples d'avantages potentiels sont:
• Le traitement des atiicles (p. ex., le stockage et l'extraction de
signatures);
• L'extraction immédiate par le biais d'un média sécurisé de
stockage optique;
219
e Certifled lnfunna·t""
Sysmms Auditer"
"''""""'·~'''"''~·
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
ce qui pourrait perturber les activités SC!.
• Des changements non autorisés aux instructions, commandes
ou seuils d" alarme, cc qui pourrait endommager, désactiver ou
arrêter l'équipement, créer des impacts environnementaux et/ou
mcttTc en danger des vies humaines.
• Cenvoi d'une information inexacte;] des opérateurs de système.
que cc soit pour déguiser des changements non autorisés ou
entraîner les opérateurs ù prendre des actions inappropriées, cc
qui pourrait' avoir divers effets négatifs.
• Des modifications aux paramètres de configuration ou des
logiciels infectés par un maliciel, ce qui pourrait avoir divers
effets négatifs<
• Des interférences avec les systèmes de sùreté, ce qui pourrait
mettre en danger des vies humaines.
Contrôles typiques
Pour diminuer le risque, on doit considérer des contrôles de
prévention, de détection et de correction durant J'implantation
administrative, opérationnelle et technique du SCI :
• Restreindre l'accès logique au réseau SCI ct à l'activité sur le
réseau. Ceci inclut l'utilisation d'une architecture de réseau
de type zone démilitarisée (DMZ) avec des coupe-feu pour
empêcher le trafic du réseau de passer directement entre les
réseaux de l'entreprise et les réseaux SC!; ccci inclut également
d'avoir des mécanismes d'authentification et de référence
séparés pour les utilisateurs des réseaux de l'entreprise ct
des réseaux SCI. Le système SCI doit également utiliser une
topologie de réseau à plusieurs niveaux, celui le plus critique
des communications étant placé au niveau le plus sécuritaire et
le plus fiable.
• Restreindre l'accès physique au réseau SCI et ù ses dispositifs.
Un accès physique non autorisé aux composants pourrait
engendrer une rupture sérieuse de la fonctionnalité du SCL Une
combinaison de contrôles pour les accès physiques doit être
utilisée, comme des serrures, des lecteurs de cartes et/ou des
gardiens de sécmité.
• Protéger les composants individuels SCI contre l'exploitation.
Ceci inclut déployer les correctifs de sécurité aussi rapidement
que possible, après qu'ils aient été testés sur le terrain;
désactiver tous les ports ct services non utilisés; restreindre les
privilèges des utilisateurs scr à seulement ceux requis pour
Je rôle de chacun; dépister et contrôler les pistes d'audit; et,
utiliser les contrôles de sécurité comme les logiciels antivirus et
les logiciels de vérification de J'intégrité des fichiers. lorsque
lcchniguement possible, afin de prévenir, dissuader, détecter et
atténuer les logiciels malveillants.
• Maintenir la fonctionnalité durant des conditions adverses.
Ceci veut dire concevoir le SCI de sorte que chaque composant
critique ait une contrepartie homologue. De plus, si un
composant fllit détàut, cette défaillance ne doit pas engendrer
un trafic inutile sur les réseaux, SC! ou autres, ni causer de
problèmes ailleurs, comme un événement en cascade.
• Restaurer le système après un incident. Les incidents sont
inévitables et un plan de réaction aux incidents est essential.
Une des principales caractéristiques d'un bon progmmmc de
sécurité est ln vitesse ù laquelle un système peut être rétabli
après qu'un incident soit survenu.
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
3.7.171NTELLIGENCEARTIFICIELLE ET SYSTÈMES
EXPERTS
L'intelligence miificielle est l'étude et l'application des principes
par lesquels :
• la connaissance est acquise et exploitée;
• les buts sont déterminés ct atteints;
• l'information est communiquée;
• la collaboration est fournie;
• les concepts sont formés;
• les langages sont développés.
Les domaines de l'intelligence artificielle incluent, entre autres:
• les systèmes ex pelis;
• les langages naturels ct miificîels (tels que la programmation};
• les réseaux des neurones;
• la gestion du texte intelligent;
• la démonstration de théorCmes;
• le raisonnement abstrait;
• la reconnaissance des formes;
• la reconnaîssance de la voix;
• la résolution de problèmes:
• la traduction automatique de langues étrangères.
Les deux principaux langages de programmation qui ont été créés
pour l'întelligcncc artificielle sont le Lisp ct le Prolog.
Les systèmes expe1ts sont une branche de l'intelligence
artificielle ct exécutent une tâche spécifique ou sont couramment
utilisés dans certaines industries. Le système expert pennet à
l'utilisateur de spécifier certaines hypoth0ses ou formules de base
pour analyser des événements arbitraires. Une conclusion est
tirée, à partir de l'information utilisée comme donnée d'entrée.
L'utilisation de systèmes experts dans une organisation comporte
plusieurs avantages :
• la collecte du savoir et de l'expérience des individus~
• le pmiage du savoir et de l'expérience;
.. l'amélioration de la productivité et du rendement du personnel;
• l'automatisation des tùchcs hautement (statistiquement)
répétitives (service d'assistance, crédits de pondération, etc.);
• le fonctionnement dans des environnements où un expert
humain n'est pas disponible (p. ex., l'assistance médicale à bord
d'un navire, les satellites, etc.).
Les systèmes expc1ts sont composés des principaux éléments
présentés dans la figure 3.20, appeles coquilles, lorsqu'ils ne sont
pus alimentés par des données spécifiques, et les coquilles sont
conçues pour accueillir les nouveaux systèmes experts.
221
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d~lnformation
Figure 3,20- Systèmes expertS d'intélligence ai'lificielle
Base de données
lnteriace ...... Moteur
d'inférence
Base de connaissances
• Arbres de décision Interface
eo Notes sémantiques utilisateur
lntertace . . , ,.
Module d'explication
La clé du système est la base de connaissances qui contient des
renseignements spécifiques ou des contextes associés à une
matière précise ainsi que les règles pour !cs interpréter. La base
de connaissances est communiquée par interface à une base de
données dans le but d'acquérir des données et d'analyser un
problème spécifique qui se soldera par la conclusion appropriée
de l'expert. Les données dans hl base de connaissances peuvent
ê1re exprimées de diifércnles h1çons:
• Arbres de décision-·- Utilisation de questionnaires pour guider
l'utilisateur panni une série de choix jusqu 'à ce qu'il arrive
:1 une conclusion. La souplesse est compromise pm·ce que
l'utilisateur doit répondre aux questions dans un ordre précis.
• Règles -· Expression de la connaissance déclarative par
l'utilisation de règles<< si ... alors >>. Par exemple, si la
température corporelle d'un patient dépasse 39 "C (102,2 °F)
ct que son pouls est de 60 pulsations ou moins, il est probable
qu'il souffre d'une maladie.
• Réseaux sémantiques- Graphique dans lequel les nœuds
représentent des objets conceptuels ou physiques où les
branches décrivent la relation entre les nœuds. Les réseaux
sémantiques ressemblent à un diagramme de flux de données et
utilisent un mécanisme d'héritage pour empêcher la duplication
des données.
De plus, le moteur d'inférence présenté est un programme qui
utilise la base de connaissances pour détenniner les résultats les
plus appropriés à pmi ir de données fournies par !"utilisateur. En
outre, un système expert comprend les composants suivant'> :
• Interface de connaissance- Permet à l'expert d'entrer les
connaissances dans le système sans l'intervention de l'ingénieur
en logiciel;
• Interface de données-- Permet au système expert de recueillir
les données provenant de sources non humaines, telles que les
instruments de mesure dans une centrale électrique.
On analyse un module d'explication orienté utilisateur pour traiter
Je problème, et la conclusion à laquelle parvient r expert est
également fournie.
Les systèmes expctts gagnent en popularité comme outils
d'aid~ à l'audit Spécifiquement reliés à l'audit informatique,
les systèmes experts ont été élaborés pour faciliter le travail de
l'auditeur des Si lors de la vérification de zones telles que les
systèmes d'exploitation, les environnements de logiciels en ligne,
les produits pour le contrôle des accès ct les environnements
micro-infOrmatiques. Ces outils peuvent prendre la fonne d'une
222
e . Certifled Informa. lion
Systems Audllnr'
"''"""''~'·""""
série de questionnaires bien conçus ou d'un logiciel qui intègre
les paramètres du système et les ensembles de données et crée des
rappotis. D'autres applications pour les systèmes expetis liées
à l'audit ct à la comptabilité incluent la planification de !'audit,
l'analyse des contrôles internes, l'analyse des attributs de compte,
le contrôle de la qualité, les décisions concernant la comptabilité,
la planification fiscale et la fom1ation des utilisateurs.
En confom1ité avec les méthodologies normalisées de
développement de systèmes. des procédures de contrôle du
changement rigoureuses doivent être suivies, car les hypothèses
et les formules de base peuvent nécessiter des modifications à
mesure que l'expertise est confi1mée. Comme pour les autres
systèmes, l'accès peut se faire selon un principe d'accès sélectif.
l:audltcur des SI doit connaître les différents systèmes
d'intelligence artificielle et d'applications de système expert
utilisés dans l'organisation.
Cauditeur des SI doit connaître les mesures de contrôle
pertinentes pour ces systèmes lorsqu'elles sont parties intégrantes
du processus administratif d'une organisation ou des tâches
essentielles à une mission ainsi que le degré d'expérience ou
d'intelligence utilisé comme base de développement du logiciel.
Cela est essentiel, puisque les erreurs produites par les systèmes
d'intelligence mtificielle peuvent avoir des conséquences plus
graves que celles qui sont produites par les systèmes traditionnels.
Cela est particulièrement vrai pour les systèmes intelligents qui
aident les professionnels de la santé à poser un diagnostic ct à
décider du traitement. Les boucles/routines d'erreurs doivent êtTc
conçues dans ces systèmes.
Plus précisément, l'auditeur des SI doit:
• comprendrt: le but et la fonctionnalité du système;
• évaluer la potiéc du système dans l'organisation et les processus
de gestion qui y sont rattachés ainsi que les risques potentiels;
• revoir la conformité du système par rapport aux politiques cl
~lUX procédures de l'entreprise;
• revoir la logique de décision intégrée dans le système pour
s'assurer que la connaissance ou l'intelligence experte est
bien conçue. Cauditeur des SI doit s'assurer qu'un niveau
d'expertise suffisant a été utilisé pour élaborer les fornmles et
les hypothèses de base;
• revoir les procédures de mise à jour des informations dans ln
base de connaissances;
• revoir le contrôle de l'accès dans le système, plus
particulièrement la base de connaissances;
• revoir les procédures pour s'assurer que les ressources
qualifiées sont disponibles pour l'entretien et la mise à niveau.
3.7.18 INTELLIGENCE D'AFFAIRES
L'intelligence d'affaires est un vaste champ des Tl qui permet de
recueillir et d'analyser les données d'une entreprise en vue de
fournir une aide à la décision ct à l'évaluation de la performance
organisationnelle.
L;intelligence d'affaires permet d'avoir une vue d'ensemble de
l'activité traitée. Voici quelques domaines types où l'intelligence
d'affaires est utilisée pour évaluer ct analyser des objectifs:
• le coüt, l'efficacité et la qualité des processus;
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . .M.
Certified Information
Systems Auértor"
"'"'"""'"'''"'''"
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
• la satisfaction du clîent par rapport aux olfrcs de produits et de
serv1ces;
• les bénéfices du client, incluant tc choix de~ JOnctions qui sont
les plus utiles pour y parvenir;
• la réalisation par le personnel ct les unités administratives des
indicateurs clés de perform~mcc;
• la gestion du risque (p. ex., l'identification des transactions
inhabituelles et l'accumulation des incidents et des statistiques
perdues).
Lintérêt dans J'intelligence d'affaires comme champ d'une
activité en Tl est motivé par un ensemble de facteurs :
• La taille et la complexité grandissantes des organisations
modernes --Il en résulte que même des questions d'aifaires
f-Ondamentales ne trouvent pas de réponses adéquates si la
capacité de l'intelligence d'atTaircs n'est pa.'> établie.
• La recherche de l'avantage concurrentiel-·· La plupart
des organisations ont, depuis plusieurs années, automatisé
leurs activités de base à haut volume. Les investissements
considérables dans les Tl, comme les systèmes ERI~ sont
maintenant courants. De nombreuses entreprises ont investi ou
investissent dans la technologie lntemet pour distribuer leurs
produits ou services et la chaine d'approvisionnement intégrée.
Néanmoins, l'utilisation des Tl pour conserver et étendre le
capital de connaissances d'une firme représente une occasion
nouvelle d'utiliser la technologie pour obtenir un avantage
concurrentiel.
• Les prescriptions juridiques-· Les lois, telles que le US
Sarbanes-Oxley Act ct le US Pat riot Act, font ressortir la
nécessité pour les entreprises de comprendre Je monde
commerciaL Les institutions financières doivent êtTe en mesure
de créer des rapports sur tous les comptes/instruments de
leurs clients et sur toutes les tnmsactions en rapport nvec ces
comptes/instTuments, incluant les transactions suspectes.
Pour offrir un système intelligence d'aHaircs ctTicace,
les organisations doivent concevoir et mettre en œuvre
(progressivement, dans la majorité des cas) une architecture de
données. lJ ne architecture de donnees complète se compose de
deux éléments :
• l'architecture des flux de données de l'entreprise;
• J'architecture de données logique.
La figure 3.21 donne un exemple d'architecture à circulation de
données d'entreprise optimale. Des explications concernant les
différents composants d couches de ce11e architecture suivent:
• Couche accès au bureau/présentation Endroit où les
utilisateurs finaux traitent directement les informations. Cette
couche inclut les outils de bureau tels que les feuilles de calcul,
les outils d'interrogation directe, les suites logiclclles pour
1'analyse ct la création de rapports offertes par des fournisseurs
comme Cognos et Business Objects et les applications sur
mesure telles que les tableaux de bord équilibrés et numériques.
Les grands utilisateurs auront la possibilité de créer leurs
propres interrogations et rapports, alors que d'autres utilisateurs
devront interagir avec les données selon des méthodes
prédéfinies. De plus en plus, on offre aux utilisateurs des
fonctions de production de rapports statiques, notamment des
fonctions de paramétrage et de recherche descendante ainsi que
la possibilité de présenter les données dans des formats visuels
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
en complément ou en remplacement de la présentation des
données textuelles/tabulaires.
• Couche source de données- L'information d'entreprise
provient d'un certain nombre de sources:
-Données opéra1ionnellcs -·Données recueillies et conservées
par les systèmes existants d'une organisation; les données sont
habituellement stockées dans des bases propres à un système
ou dans des fichiers plats.
--Données extemcs --Données fournies fi rorganisatîon
par des sources cxtemcs : peuvent inclure les données
démographiques d'un client et les renseignements sur les part.;;
de marché.
Données non opérationnelles- Information requise par les
utilisateurs finaux qui n'est pas cons~rvéc dans un format
informatique.
• Entrepôt de données central L'entrepôt de données centrales
et l'endroit où toutes les données importantes (ou du moins
la majorité) d'une organisation sont conservées et structurées
aux fins d'analyse et de production de rappmis. Les entrepôts
de données sont habituellement présentés sous forme de bases
de données relalionnelles d'envergure. Bien qu'il n'y ait pas
consensus, plusieurs grands patrons suggèrent que l'entrepôt de
données conserve des données entièrement nom1alisées pour
donner la souplesse nécessaire pour traiter avec les structures
commerciales complexes et changeantes. Un entrepôt de
données adéquatement constitué doit prendre en charge trois
formes de base d'interrogations:
Recherche ascendante ou descendante·- En utilisant des
dimensions qui sont importantes pour l'entreprise, on pourrait
regrouper des données {p. ex., totaliser les ventes en magasin
pour obtenir le montant des ventes régionales, puis le montant
des ventes nationales) et les fractionner (p. ex., découper les
ventes en magasin jusqu'à obtenir les ventes au comptoir). Il
est possible d'utiliser les atüibuts dans les niveaux les plus
granulaires de l'entrepôt de données pour préciser davantage
l'analyse (p. ex., l'analyse des ventes par produits).
--Recherche latérale--- Utilisation d'attTibuts communs pour
accéder à une section d'informations transversale dans
l'entrepôt de données {p. ex., totaliser les ventes des gammes
complètes de produits par clients et groupes de clients en
fOnction de la durée de leur association avec l'entreprise ou en
fonction d'autres critères).
·-Analyse historique-- L'entrepôt de données prend en charge
l'nnalyse historique en utilisant des données chronologiques.
Comme exemple d'analyse historique, mentionnons le fnit
de produire des rapports mensuels sur les ventes en magasin,
puis de recommencer ensuite l'analyse uniquement pour les
clients qui existaient au début de J'année, ceci afin de mesurer
l'impact sur les ventes par les nouveaux clients par rapport aux
ventes générées par les clients existants.
• Couche mini-entrepôts de données- Les mini-enJrepôts
représentent des sous-ensembles d'informations provenant
de l'entrepôt de données central, sélectionnées et organisées
de manière à répondre aux besoins d'une unité administrative
spécifique ou d'un domaine d'activité. Les mini-entrepôts
peuvent être des bases de données relationnelles ou une forme
de structure de données de traitement analytique en ligne
(OLAP), également connue sous le nom de cubes de données.
Les technologies OLAP et certaines de leurs variantes, par
exemple l'OLAP relationnel (ROLAP), permettent aux
223
Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes drlnformation
e Cert!Hed lnformatkm
Systems Auditor•

"''"""""""'"""'

utilisateurs de« trancher et couper en dés 1) (analyse par
permutation d'axes) les données présentées en mesures
normalisées (c.~à~d. les faits numériques et de dimensions lsoit
les hiérarchies d'entreprise}). Les mini-entrepôts possèdent une
structure simplifiée comparativement à l'entrepôt de données
nmmalisé.
• Couche act'ivation des données et qualité -Celte couche est
responsable de la copie des données, de la transformation en
format d'entrepôt de données et du contrôle de la qualité. Il est
essentiel que seules les données fiables soient chargées dans
l'entrepôt de données central. Cette couche doit pouvoir traiter
les problèmes que les systèmes opérationnels font resso1iir
périodiquement. Voici quelques exemples : les changements
aux formats des numéros de compte, la réutilisation d'anciens
numéros de clients et de comptes (lorsque l'entrepôt de données
contient toujours de l'information sur l'entité initiale).
• Couche accès aux données- Cette couche perruel de relier
la couche stockage des données et qualité aux entrepôts de
données de la couche source de données ct supprime le besoin
de connaître la façon exacte dont ces entrepôts de données sont

Figure 3.21 -EXemple d'archireclûre à circulation de données

:: Présentation/couche d'accès au poste

F

a a ...
S" :"ï
a;-
::-
p
Couche de mini-entrepôt de données a a"'
<0 <0

l" ê:
0
ê:
0
""' ""'
o.
~ @"
Couche d'indexation ""
0
0
0
0
.
~
Alimentation/exploration de données
0
0
~
"'"'
c c 0
0
"" "'"" 0
c 0
"'o. "'o. 0

"'
0
IY c
"'3 "' ""
"'o. "
"'""
<0

"'"' "'ê: o. ::: -

"'"'
<0
0
"o. "''
"0 • Couche d'entrepôt de données ~
"'
"";;; "' "'"'
o. ""'s;
"'0"
"0

.a
"'-
3
<il
"0
3
"''
or
o. " " 3
;;;
""'
~

"' <lill
0
o.
,- o. "" Couche d'activation des
"0 "'0
o.
"' : données et qualité
"Q_
ëi" "' •
""
ê:
0 "''
"'"' ••
"
...::- Couche d'accès aux données

• •
" v
. Couche de source de données
Données non opérationnelles, externes et opérationnelles

Fournisseurs Fournisseurs de Fournisseurs de don-

de données non données externes nées opérationnelles
opérationnelles

224 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e Certifled Information
t~:.:,:~:ilof
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
organisés. La technologie permet maintenant l'accès SQL aux
données, même si ces demi ères ne sont pas stockées dans une
base de données relationnelle.
• Couche préparation des données ·-Cette couche concerne
l'assemblage et la préparation des données pour l'intégration
dans les mini-entrepôts de données. Habituellement, on
calcule à l'avance les valeurs qui sont intégrées dans les dépôts
de données OLAP pmu· augmenter la vitesse d'accès. Les
spécialistes de l'exploration de données exigent également
la prépamtion de données. l~exploration de données louche
l'exploration d'importants vo!uJnes de données pour déterminer
les modèles et les tendances en matière d'infOrmation. Elle
permet souvent de déterminer des modèles qui sont contre-
intuitifs, étant donné le nombre de relations entre les données
et leur complexîté. La qualité des données doit être très élevée
pour que les résultats ne soient pas altérés.
• Couche dépôt de métadonnécs Les métadonnées sont des
données traitant. des données. Les informations contenues
dans la couche métadonnées doivent s'étendre jusqu'aux
noms et formats de la structure de données pour fournir des
détails sur le contexte et l'objcctifde l'entreprise. La couche
métadonnécs doit être de portée élargie et couvrir les données
qui se promènent entre les diflèrentes couches. notamment
documenter la transfOrmation et les règles de validation.
Idéalement, les informations contenues dans la couche
métadonnées peuvent être obtenues directement du logiciel en
fonctionnement dans les autres couches.
• Couche gestion de l'entrepôt de données Cette couche a
pour fonction de planifier les tâches nécessaires pour créer
et mettre à jour l'entrepôt de données et alimenter les mini-
entrepôts. Elle joue aussi un rôle dans la gestion de la sécurité.
• Couche messagerie d'application--- Cette couche est liée au
transport de l'infonnation entre les différentes couches. En
plus de contenir les înfommtions sur J'çntreprise, elle traite la
création, le stockage et la communication ciblée des messages
de contrôle.
• Couche Internet/intranet- Cette couche touche la
communication des données de base. Les inte1faces utilisateurs
qui partent d'un navigateur et Je réseautage TCP/IP y sont
incluses.
Le développement de l'architecture de données logique pour
une entreprise est une activité majeure qui serait normalement
effectuée par étapes. Cune des raisons pour laquelle les modèles
de données logiques sont créés par domaine commercial est que
les différents domaines des grandes entreprises utilisent souvent
difiërcnts ensembles de transactions, de clients et de produits.
Tout compte fait, l'architecture de données a besoin d'être
structurée pour répondre aux besoins de l'organisation le plus
efficacement possible. Les f:1cteurs à prendre en compte incluent
les types de transactions traitées par l'entreprise, les entités
touchées par ces transactions (p. ex., les clients, les produits, le
personnel et les réseaux de communication) et les dimensions
(hiérarchies) qui sont importantes pour l'entreprise (p. ex., la
hiérarchie liée aux produits et à l'organisation).
Avec les entrepôts de données modernes, la capacité de stockage
ne pose pas vraiment problème. Pour œtte raison, on doit
atteindre le niveau le plus granulaire ou atomique possible pour
Manuel de Préparation CISA 26• édition
ISACA. Tous droits ritservês,
Section deux : Contenu
les données. Le niveau de données le plus bas est plus susceptible
de présenter des caractéristiques qui peuvent être utilisées aux
fins d'analyse et qui seraient perdues si les données sommaires
étaient chargées.
Voici diftCrents modèles d'analyse utilisés par les architectes/
analystes:
• Diagramme cont'extuel ~Donne un aperçu des principaux
processus d'une organisation et des parties extemes avec
lesquelles elle travaille.
• Diagramme d'activité ou de couloir d'activité- Déconstruit
les processus de gestion.
• Diagramme d'entités-relations- Décrit les entités de données
et leur lien. Ces méthodes d'nnalyse de données jouent un
rôle imp01tant dans la création d'un modèle de données
d'entreprise. Cependant, il est essentiel que le personnel experi
de l'entreprise participe de près au processus. De cette façon,
on s'assure que l'objectif de l'entrep1ise et que le contexte
des données sont bien compris. En procédant ainsi, on att(:nue
également le risque de reproduction des configurations de
données sous-optimales provenant de systèmes el de bases de
données existants dans l'entrepôt de données.
Gouvernance de l'Intelligence d'affaires
Pour maximiser la valeur des initiatives liées à 1'intelligence
d'affaires, l'organisation doit mettre en place un processus de
gouvemancc efficace.
L'une des parties importantes de cc processus de gouvernance
consiste à détenniner les initiatives à financer, les priorités à
accorder aux initiatives et le rendement des investissements
à évaluer. Cela est patiiculièrcmcnt important, puisque
l'investissement nécessaire pour élaborer une infrastructure
d'intelligence d'affaires, telle qu'un entrepôt de données, est
considérable. De plus, en raison de la portée ct de la complexüé
d\m entrepôt de donnée établi à l'échelle de l'organisation,
l'infrastructure doit être réalisée en étapes.
Comme pratique de gestion du financement de l'intelligence
d'affaires, il est recommandé de créer une équipe consultative
au niveau de l'entreprise ou des Tl où sont présentées différentes
perspectives fonctionnelles, qui déterminent les priorités
d'investissements et qui mettent en place des mesures relatives
aux avantages transorganisationnels. Les décisions finales liées
au financement doivent être assurées par un comité directeur de
la technologie qui se compose de cadres supérieurs.
Comme autre partie importante de 1'ensemble de la gouvemance
de l'lE, citons la gouvernance des données. Les aspects à
considérer incluent la création de définitions normalisées pour
les données, la définition de règles et de mesures administratives,
la détermination des sources de données approuvées ct
l'établissement de normes pour le rapprochement et la mise en
concordance des données.
3.7.19 SYSTÈME D'AIDE À LA DÉCISION (SAD)
Il s'agit d'un système interactif qui donne à 1'utilisateur un
accès à des modèles décisionnels et à des données provenant de
plusieurs sources dans le but de raider dans les tâches liées au
processus décisionnel semi-structuré. Il s'agit d'une application
225
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
informationnelle qui est conçue pour aider l'organisation à
prendre des décisions à !'aide des données fournies par les
outils d'intelligence d'amlires {contrairement à une application
opérationnelle qui recueille !es données pendant les opérations
de l'entreprise). Voici des l.:!xemples de données types qu'une
application d'aide ù la décision peut recueillir ct présenter:
• chi t'l'res de ventes comparatifs d'une semaine spécifique ct de la
suivante;
• bénéfices prévus en fonction d'hypothèses de vente pour un
nouveau produit;
• conséquences des différentes solutions envisagées, en tenant
compte des expériences passées dans le contexte décrit.
Un système d'aide à la décision peut présenter l'infOrmation
sous forme graphique et peut inclure un système expert ou une
intelligence artificielle. De plus, il peut être destiné aux cadres
supérieurs de l'entreprise ou à un autre groupe de spécialistes de
l'information.
Voici les caractéristiques d'un système d'aide à la décision:
• vise à résoudre des problèmes moins structurés et moins bien
définis auxquels sont confrontés les cadres supérieurs;
• combine l'utilisation de modèles ou de techniques d'analyse aux
fondions d'accès et d'extraction conventionnelles des données;
• met l'accent sur la souplesse ct l'adaptabilité pour composer
avec les changements dans l'environnement et l'approche pour
la prise de décision des utilisateurs.
Efficience et efficacité
Les systèmes d'aide à la décision sont conçus pour se concentrer
moins sur l'efficience (c.-à-d. sur l'exécution plus rapide des
tâches à coûts réduits) et davantage sur l'efficacité ( c.-à-d. sur
l'exécution de la tâche approp1iée). C'est pourquoi ils sont
souvent élaborés à l'aide d'outils de langage de quatrième
génération qui sont moins efficients, mais qui permettent une plus
grande souplesse dans les systèmes et qui permettent d'effectuer
des modifications plus facilement.
Les décisions comme point de mire
Un système d'aide à lt:~ décision est souvent conçu pour offrir
des solutions à des problèmes bien définis. Il làut donc savoir
que certains progiciels commerciaux qui sont présentés comme
des systèmes d'aide à la décision ne sont rien d'autre que des
générateurs de systèmes d'aide à la décision (outils de création
d'un système d'aide ù la décision).
Structures de systèmes d'alde à la décision
Les structures sont des descriptions conceptuelles d'un domaine
qui aident à meUre en perspective plusieurs cas et idées
spécifiques. La structure de G. Gorry-M.S. Morton représente
le modèle de contrôle de la connaissance ct des systèmes le
plus complet dans le domaine informatique. Il sc tOnde sur la
classification des problèmes en types structurés ct non structurés
ainsi que sur l'horizon temporel de décisions. Cette structure
caractérise les activités du système d'aide à la dCcision selon deux
dimensions :
1. Le degré de structure dans le processus de prise de décision qui
est soutenu.
2. Le niveau de gestion qui prend les décisions.
226
des Systèmes dllnformation
e . H
Certified.lnformatkm
Systems Auditor"
~;·;;::t:;:;--
Cette structure reprCsenk tout le travail effectué par les SI pour
traiter les dif-lërents types de problèmes, selon les deux facteurs
précités.
La dimension du niveau de gestion est divisée en trois parties :
1. Contrôle opérationnel;
2. Contrôle de la gestion;
3. Planification stmtégique.
La dimension de la structure décisionnelle est également divisée
en trois parties :
1. Structurée;
2. Scmistructurée;
3. Non structurée.
Le degré selon lequel un problème ou une décision est structuré
correspond plus ou moins à son degré maximal d'automatisation
ou de programmation.
Comme autre structure de système d'aide à la décision utilisée:
mentionnons la structure Sprague-Carson qui a été créée pour
élaborer des arbres généalogiques et qui est une généralisation
conceptuelle de la structure d'un système d'aide à la décision.
Selon cette structure, tout système d'aide ilia décision comprend
des données, un modèle et un sous-système générateur de
dialogues. Elle traite principalement de l'importance de la gestion
des données dans le travail d'un système d'aide à la décision.
Elle souligne également l'irnp01tance des interfaces utilisateurs
interactives dans un système d'aide à la décision. Pour créer et
gérer ces interfaces, il faut des logiciels et du matériel appropriés.
soit un système de gestion des dialogues. De manière générale,
un système doit offrir plusieurs interfaces ct même des interfhces
personnalisées pour chaque utilisateur.
Conception et développement
Le prototypage est l'approche la plus populaire pour la
conception et le développement d'un système d'aide à la
décü;ion. Cette technique passe habituellement outre la définition
habituelle des besoins. Les exigences du système sont élaborées
tout au long du processus d'apprentissage de l'utilisateur. Le
prototypage comporte plusieurs av;:mtages :
• l'apprentissage est intégré dans le processus de conception,
étant donné la nature itérative de conception du système;
• le retour sur les itérations liées à la conception est rapide, ce
qui permet d'ofti·ir un processus d'apprentissage eiTicace à
l'utilisateur;
• l'expettise de 1'utilisateur en lien avec le problème aide
l'utilisateur à suggérer des améliorations pour Je système:
• le prototype initial doit être peu coûteux à élaborer.
Mise en œuvre et utilisation
ri est difficile d'implanter un système d'aide à la décision
en raison de sa nature discrétionnaire. L'utilisation d'un tel
système pour résoudre des problèmes requiert un changement de
comportement de la part de l'utilisateur. Pour mettre en œuvre un
système d'aide à la décision, il fhut modifier le fonctionnement
de l'organisation. Le plus grand défi consiste à fhire accepter le
logiciel par l'utilisateur. Voici les étapes relatives à l'intégration
du changement chez l'individu :
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
e '. H.
ertifl(!(j Information
Systems Audilllf"
..
'-"""<-"'~'·'""'""
.
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
• Uécristallisation - Cü!Tcspond à la période pendant laquelle on
remet en question ccJi;:tines pratiques dans une organisation pour
envisager l'adoption de nouvelles pratiques. La décristallîsation
est effectuée en augmentant la pression pour lUvoriser les
changements ou en diminuant la résistance au changement
• lmplantaüon du changement Correspond à la direction que
prend le changement et au processus actuel d'apprentissage des
nouveaux comportements.
• Recristallisation -Correspond ù la période au cours de
laquelle les nouvelles pratiques deviennent plus naturelles pour
l'individu.
Facteurs de risque
Les développeurs doivent connaître les huit facteurs de risque liés
à la mise en œuvre :
1. Les utilisateurs inexistants ou réticents.
2. Les multiples réalisateurs ou utilisateurs.
3. La disparition d'utilisateurs. de réalisateurs ou de spécialistes
de l'entretien.
4. L'incapacité de déterminer à l'avance l'objectif ou les modèles
d'utilisations.
5. L'incapacité à prédire ct à amo11ir l'impact sur toutes les
parties.
6. Le manque et la perte de soutien.
7. Le manque d'expérience avec des systèmes similaires.
8. Des problèmes techniques ct des questions de rentabilité.
Stratégies de mise en œuvre
Planifier le risque et Je prévenir:
• diviser le projet en parties administrables;
• proposer une solution simple;
• concevoir une base de soutien acceptable~
• répondre aux besoins de l'utilisateur ct institutionnaliser le
système.
Examen et évaluation
Le véritable critère sur lequel est jugé un système d'aide à la
décision est de savoir s'il améliore la p1ise de décision d'un
gestionnaire, ce qui n'est pas toujours facile à évaluer. En
outre, ce système résulte rarement en report de coùts, comme la
réduction du personnel ou d'autres dépenses. De plus, en raison
de sa nature évolutive, le système d'aide à la décision ne peut pas
donner avec certitude des dates d'achèvement.
En préconisant une approche progressive pour élaborer le système
d'aide à la décision, on réduit Je besoin d'évaluation. En y allant
étape par étape et en obtenant des résultats tangibles ù la fin
de chacune des étapes, 1'utilisateur n'est pas tenu d'effectuer
des validations détaillées du temps et des sommes au début du
processus de développement.
Le concepteur et l'utilisateur du système d'aide à la décision
doivent utiliser des critères d'évaluation générnux. Ces critères
doivent inclure :
• l'analyse traditionnelle coûts-bénéfices:
• les modifications à la procédure, plusieurs solutions de rechange
étudiées et moins de temps consacré ù la prise de décision;
• la preuve d'amélioration du processus de prise de décision;
• des modifications dans le processus de décision.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
Voici certaines tendances communes dans l'utilisation des
systèmes d'aide à la décision :
• le besoin d'obtenir des données plus à jour provenant des
gestionnaires est une importante source de motivation pour le
développement de systèmes d'aide à la décision;
• pour évaluer les systèmes d'aide à la décision, l'analyse
traditionnelle coûts~bénéfices n'est pas prise en compte assez
souvent;
• les utilisateurs finaux servent d'éléments de motivation dans le
développement de systèmes d'aide à la décision;
• les membres de l'équipe de développement proviennent
en grande partie du domaine fonctionnel ou du service de
planî fi cation et non du service informatique;
• pour les utilisateurs, c'est la souplesse qui constitue la principale
qualité du système;
• peu de projets de systèmes d'aide à la décision sont conçus
aujourd'hui pour les installations logicielles de troisième
génération. Ce sont les langages de quatrième génération
orientés utilisateurs et la planification des langages qui
prédominent;
• la planification, l'évaluation et la formation relatives aux prqjets
de systèmes d'aide à la décision ont toujours été mal as3urées.
Caractéristiques communes des systèmes d'alde à la
décision
Voicî quelques caractéristiques que patiagent les systèmes d'aide
à la décision :
• orientés vers la prise de décision;
• habituellement fondés Sllr des langages de quatrième génération;
• surfable;
• cnchaînables;
• conçus pour effectuer des recherches descendantes;
• sémaphores (signaux d'alerte automatique lorsqu'une décision
doit être prise);
• analyse des séries chronologiques;
• analyse par simulation (rétère à la modélisation d'un scénario,
c'est-à-dire déterminer le résultat final découlant d'un
changement de variable);
• analyse de la sensibilité;
• recherche des buts;
• excellentes présentations graphiques~
• graphique dynamique ct mise en forme des données;
• simulation.
Tendances dans les systèmes d'aide à la décision
Les tendances liées aux systèmes d'aide à la décision induent les
éléments suivnnts :
• amélioration progressive des aptitudes en développement et en
mise en œuvre d'un système conventionnel d'aide à la décision;
• amélioration des capacités de la base de données et des éléments
graphiques pour les micro-ordinateurs;
• travaux de recherche dans des domaines touchant les systèmes
experts, un système d'aide à la décision qui soutient la prise de
dCcision en groupe et la modélisation interactive visuelle.
3. 7.20 GESTION DES RELATIONS AVEC LA CLIENTÈLE
(CRM)
La tendance du commerce centré sur la clientèle met l'accent sur
les besoins des clients. Comme les attentes des clients augmentent
sans cesse, cet objectif devient de plus en plus difficile à atteindre.
227
Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
D'où l'importance de sc concentrer sur l'infOrmation relative aux
données transactionnelles, les prét-ërences, les modèles d'achat,
1'historique des contacts, les renseignements démographiques ct
les courants en matière de service à la clientèle plutôt que sur les
produits.
Tous ces tàcteurs mènent à une gestion des relations avec la
clientèle qui représente une combinaison optimale des stratégies,
des processus, des tactiques, des compétences ct des technologies.
La gestion des relations avec la clientèle est devenue un facteur
stratégique de réussite pour tous les types d'entreprises, et son
succès a des répercussions importantes sur la protïtabilité des
entreprises.
Les attentes des clients nugmentcnt considérablement et cela,
en retour, influe grandement sur les attentes en matière de
service. Pour cette raison, les applications orientées clients
mettent l'accent sur les processus CRM qui visent à satisfaire
la clientèle, plutôt que sur la commercialisation, les ventes ou
d'autres domaines. Le nouveau modèle de gestion intègrcra les
technologies de la téléphonie, du Web et des bases de données
ainsi que les fonctions d'intégration interentreprises. De plus, ce
modèle nssurc la diffusion aux autres partenaires d'affaires qui
peuvent partager ct communiquer l'information, et collaborer
avec l'organisation grâce à l'intégration facile des applications
Web. ct cela sans que le réseau locnl et les autres configurations
soient modifiés.
Il est possible de distinguer la gestion opérationnelle des rela1ions
avec la clientèle de la gestion nnalytique des relations avec la
clientèle. La gestion opérationnelle vise à maximiser l'utilitë
de l'expérience du service à la clientèle tout: en enregistrant des
données utiles sur l'interaction du client. La gestion analytique
cherche à convertir les données que recueille l'orrJanisation sur
ses clients et sur ses interactions avec elle en données qui lui
pennettent de maximiser l'achabndage. On a recours au modèle
de gestion analytique pour trouver des moyens d'amener les
clients à dépenser davantage ou à« partager le portefeuille du
client>~, pour diriger les clients vers des produits à marges de
profit plus élevées, pour diriger les clients vers des prestations de
services moins conteuses, pour augmenter les tnux de réussite en
commercialisation et pour établir des prix.
3.7.21 GESTION DE lA CHAÎNE
D'APPROVISIONNEMENT
La GCA concerne les liens entre les processus administratifs et
les entités qui y sont rattachées, comme l'acheteur ct le vendeur.
Le lien est fourni à toutes les zones connectées, telles que la
logistique de gestion et l'échange des infOrmations, les services
ct les biens parn1i le fournisseur, le consommateur, l'entrepôt de
données, les marchands en gros et au détail et le fabricant des
biens.
La GCA est devenue un des points centraux ct est considérée
comme un nouveau domaine dans la gestion stratégique en
raison du glissement du scénario administratif à 1'avènement de
la concurrence mondiale, de la prolitCmtlon de l'Internet, de la
transmission instantanée de l'information et de la présence du
Web dans toutes les sphères de l'activité commerciale. La GCA
touche la gestion de la circulation des produits, des services et des
228
des Systèmes d'Information
e Ccrtifflld Information
Systems Autji!l)('
...
~'''""' '"'''""'~'
informations parmi les f{mmisscurs, les fabricants, les marchands
en gros, les dist1ibuteurs, les magasins, les consommateurs ct les
utilisateurs finnux.
La GCA déplace l'accent puisque toutes les entités faisant
partie de la chaine d'approvisionnement peuvent travailler
en collaboration et en temps réel, réduisant ainsi gmndemcnt
l'inventaire nécessaire. Le concept Juste-en-temps (JIT) devient
possible ct le temps du cycle est réduit en ayant un objectif
de réduction de l'inventaire superflu. Les facteurs saisonniers
(p. ex., la disponibilité et la demande) ct régionaux (p. ex., les
préfë.rcnces relativement à la taille, In forme, la quantité, etc.) sont
étudiés.
Les niveaux d'approvisionnement en éléments immobiles sont
considérablement réduits, et îl existe une circulation automatisée
de l'approvisionnement et de la demande. l~galement, les coùts
intrinsèques ct les erreurs rattachées aux méthodes mnnuelles.
telles que le télécopieur, la saisie de données, les délais et les
commandes incorrectes peuvent être évités.
3.8 MÉTHODES DE DÉVElOPPEMENT
Confrontés à l'augmentation de la complexité des systèmes
et au besoin de mettre en place des systèmes plus rapidement
pour réaliser les avantages avant que J'entreprise ne change,
les spécialistes en développement de logiciels ont adopté de
nouvelles façons d'organiser les projets logiciels qui varient ou,
dnns certains cas, s'écaJient complètement du modèle en cascade
cla.;;sique décrit précédemment. De plus, il y a eu une évolution
constante dans la sélection de la meîlleure manière d'analyser,
de concevoir et de créer des systèmes logiciels ainsi que dans les
technologies d'information disponibles pour réaliser ces activités.
La présente section décrit différentes techniques de
compréhension, de conception et de créntion de systèmes
logiciels. Le choix d'une méthode en particulier doit tenir
compte de certaines considérations telles que la politique
organisationnelle, la connaissance ct les prefërences du
développeur et la technologie utilisée.
Notez que le choix d'une des méthodes décrites dans la présente
section ne dépend habituellement pas du choix du modèle
organisationnel du projet. Une approche fondée sur l'orienté objet
pour la conception ct le codage peut ètrc utilisée dans le cadre
d'un projet organisé en phnscs distinctes, pm· exemple dans le
modèle en cascade de développement de logiciels, ainsi que dans
le cadre d'un projet agile, au cours duquel chaque petite itération
comporte la livraison d'un logiciel de travaiL
3.8.1 UTILISATION DES TECHNIQUES D'ANALYSE
STRUCTURÉE, DE CONCEPTION ET DE
DÉVELOPPEMENT
L'utilisation des techniques d'analyse structurée, de conception
et de développement est étroitement associée ù l'approche
classique SDLC pour le développement de logiciels, Ces
techniques fournissent un cadre pour la représentation des
données et des composantes de processus d'une application en
utilisant différentes inscriptions gmphiqucs à diffCrents degrés
d'abstraction, jusqu'à ce que le degré d'abstraction perrnetiant
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e cerlifled lnlurma1ion
Systems Aututor"
-----;--
"'"''"'''"'''""""
-
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
aux programmeurs de coder le système soit atteint. Tôt dans le
processus, par exemple, les activités énumérées plus bas ont lieu
au moment de définir les exigences pour un nouveau système:
• Élaborer des diagrammes contextuels de systèmes (p. ex.,
un schéma de haut niveau de l'enchainement des processus
opérationnels).
o Réaliser une décomposition hiérarchique du nux de données ou
du contrôle de données.
o Élaborer des transformations de contrôle.
• Concevoir des minispécificatîons.
• Ùlaborer des dictionnaires de données.
• Définir tous les événements externes- entrées provenant de
l'environnement externe.
• Définir les diagrammes de cheminement des données de
transformation unique pour chaque événement externe.
Le niveau de conception suivant fbumit des détails plus
impmtants concernant la création du système, y compris la
conception des organigrammes de systèmes, les entrées et les
sorties, les étapes et les calculs de traitement et les spécifications
liées au programme, au fichier de données ou à la base de
données. À noter que la représentation des tâches se fait de
façon modularisée descendante. Cette fi1çon de faire permet aux
programmeurs de concevoir et de tester systématiquement des
modules de f:1çon linéaire.
Les auditeurs doivent vérifier que les processus liés ù une
approche structurée sont bien définis, documentés et suivis
lors de l'utilisation de l'approche du cycle de développement
classique dans le développement d'applications d'affaires.
figure 3.22- Exemple il'~rçbitecliite à circulation de données
Cadre du développement agile
Rencontre de planification
o Examiner les retards du produit
• Estimer les retards
• S'engager pour 30 jours
• Objectif
Retard au produit
Caractéristiques
souhaitées par le client
© 2008 Ra!ly Software Oevelopment Corp. Tous droits réservés. Utilisé avec permission.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits niservés.
Section deux : Contenu
3.8.2 DÉVELOPPEMENT AGILE
Le terme« développement agile)) fait référence à une fiunillc de
processus de développement similaires qui adoptent une façon
non traditionnelle de concevoir des systèmes complexes. L'un des
premiers processus agiles, le Serum (une analogie au rugby), est
apparu au début des années 1990.
l..e Serum vise à déplacer les tâches de planification et de
direction du gestionnaire de projet vers l'équipe, ce qui permet au
gestionnaire de projet de travailler à la suppression des obstacles
auxquels l'équipe fait face, afin qu'elle puisse atteindre ses
objectifs. Le Serum est une approche de gestion de pr~jet qui
s'r;ccorde parfaitement ::1vec les autres techniques agiles. D'autres
processus agiles ont été créés depuis, tels que la programmation
extrême, le Crystal, le développement de logiciels adaptatifs, la
conception axée sur la fonction (Feature Driven Dcvclopment)
et la méthode de développement de systèmes dynamiques. Ces
processus sont appelés« agiles >J parce qu'ils sont conçus pour
traiter avec flexibilité les changements appmtés au système en
cours de conception ou au projet qui s'occupe du développement.
Les processus de développement agiles possèdent un certain
nombre de caractéristiques communes :
o L:utilisation de petits sous-projets ou itérations avec des délais
bien précis, comme le montre la figure 3.22. Dans cet exemple,
chaque itération fOrme la base pour planifier la prochaine
itération.
• La rep!anification du projet ù la fin de chaque itération
(également appelée« sprint'' dans un Serum), y compris la
repriorisation des exigences, l'identification de toute exigence
nouvelle et la détermination de quelle fonctionnalité mettre en
œuvre.
• Une fiabilité relativement supérieure, en comparaison aux
Rencontre quotidienne
• Réalisations depuis
la dernière rencontre Chaque
• Plan pour la journée 24 heures
o Obstacles?
Tâches en retard
développées
par l'équipe
, r--~
>t.::ll!
Retard
Caractéristiques assignées
estimées par l'équipe
229
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
méthodes traditionnelles, aux connaissances tacites (les
connaissances mémorisées par les gens), pm· opposition aux
connaissances externes, trouvée dnns la documentation d'un
projet
.. Une forte influence sur !cs mécanismes afin de disséminer
efficacement les connaissances tacites et de promouvoir le
travail d'équipe. Par conséquent, les équipes sont maintenues à
une taille réduite. comprenant des représentants de l'entreprise
et des technologies, qui se trouvent au même endroit. Chaque
jour, des réunions permettent aux membres de l'équipe de
discuter verbalement des progrès ct des problèmes; ces réunions
possèdent de strictes limites de temps.
• Au moins quelques-unes des méthodes agiles mentiormées
dans la programmation par les pairs (deux personnes codent la
même partie du système) constituent un moyen de partager les
connaissances et de vérifier la qualité.
.. Un changement dans le rôle du gestionnaire de prqjet, qui passe
principalement de la planification du projet, de l'affectation des
tâches et du suivi de J'avancement au rôle de facilitateur et de
mandataire. La responsabilité de la planification et le contrôle
est déléguée aux membres de l'équipe.
Le développement agile prend en compte les préoccupations
rattachées au développement classique de logiciels, mais les
aborde d'un point de vue différent :
.. Le développement agile permet seulement de planifier la
prochaine itération de la conception en détail, et non de
planifier les phases suivantes beaucoup plus loin dans le temps.
.. L approche adaptative du développement agile par rapp01i
aux exigences ne met pas l'accent sur la gestion d'une base de
rétërences pour ces exigences.
• Le but du développement agile est d'établir rapidement
une architecture en bâtissant de vraies fonctionnalités, en
comparaison ù définir de façon formelle et précoce un
logiciel et une architecture de données en des modèles ct des
descriptions de plus en plus détaillés.
• Le développement ngile assume les limites des tests
d'anomalies, mais tente de valider les tèmctions à l'aide d'un
cycle de test sur des versions fréquentes et de correction des
problèmes dans le sous-projet suivant, avant que trop de temps
ct d'argent n'aient été dépensés.
• Le développement agile ne met pas l'accent sur des processus
définis et répétables, mais réalise et adapte plutôt le
développement à partir d'inspections fréquentes.
3.8.3 PROTOTYPAGE - DÉVELOPPEMENT ÉVOLUTIF
Le prototypage, aussi connu sous le nom de développement
heuristique ou évolutionnaire, est le processus de création
d'un système caractérisé par des procédures d'essais-erreurs
contrôlés, qui sont utilisées pour réduire le niveau de risque
associé au développement de systèmes. En d'autres mots, il
permet au développeur et au client de comprendre les risques et
de réagir Ütce à ceux-ci à chaque niveau d'évolution (en utilisant
le prototypage en tant que mécanisme de réduction du rîsque.
Le prototypage cm1iugue les meilleures caractéristiques du
développement de systèmes classique en conservant l'approche
graduelle systématique et en l'ajoutant à un cadre itératif qui
reflète davantage la réalité.
230
e . .M.
CertifiCd lnformalioo
Systems Au!litor'
~-+--·-
'"'-""''"'""''"'
La priorité initiale au cours du développement du prototype
concerne habituellement les rapports et les écrans, qui
représentent les éléments du système les plus utilisés par les
utilisateurs finaux. Cela permet à l'utilisateur final de visualiser
un modèle de travail pour le système proposé à l'intérieur d'une
courte période. li existe deux méthodes ou approches de base
rattachées au prototypage :
1. Créer le modèle pour obtenir le concept (c.-à-d. le mécanisme
de définition des exigences). Puis, à partir de ce modèle,
creer le concept du système avec toutes les caractéristiques de
perfOrmance, de qualité et de maintenance nécessaires.
2. Graduellement, créer le système qui fonctionnera en
production à l'aide du 4GL le plus approprié pour le système
en cours de conception.
Le problème avec la première approche est qu'i! peut y avoir
une pression considérable pour imphmter un prototype tôt dans
le projet. Souvent, les utilisateurs qui suivent un modèle de
travail ne peuvent pas comprendre la raison pour laquelle le
prototype doit être davantage précisé. Rarement comprend-on
que le pro1ot:ype doive être amélioré pour permettre des volumes
de transactions. une connectivité du réseau client-serveur et
des procédures de sauvegarde et de récupération, ainsi qu'une
sécurité, une vérifiabilité ct un contrôle.
La seconde approche fonctionne habituellement avec de
petites applications qui utilisent des outils 4GL. Cependant,
pour des eJlOrts plus impmiants, il est nécessaire de créer un
une stratégie de conception pour le système, même si un 4GL
est utilisé. t:utilisation de techniques 4CIL seules amènera les
mêmes difficultés (p. ex., une mauvaise qualité, une mauvaise
<< maintenabilité li ct une faible acceptation de l'utillsatcur)
éprouvées au moment du développement des applications à l'aide
des approches conventionnelles.
Un autre désavantage qui couvre !'ensemble du travail de
prototypage est que cette technique mène souvent à l'ajout de
fonctionnalités ou de suppléments au système qui ne sont pas
inclus dans le document comprenant les be:mins initiaux. Toutes
les améliorations majeures autres que celles apparaissant dans
le document présentant les besoins initiaux doivent être revues
pour s'assurer qu'elles répondent aux besoins stratégiques de
l'organisation ct qu'elles sont rentables. Autrement, le système
final pourrait être riche en fonctionnalité, mais inefiïcace.
Un risque potentiel des systèmes prototypés est que le système
final soit caractérisé par des contrôles faibles. En se concentrant
principalement sur ce que 1'utilisateur souhaite et ce qu'il voit, les
développeurs du système peuvent oublier certaines des mesures
de contrôle qui proviennent de l'approche de développement de
systèmes traditionnelle, telles que la récupération, la sauvegarde,
la sécurité et les journaux d'audit.
Les mesures de contrôle du changement deviennent souvent plus
compliquées avec les systèmes prototypés. Les modificntions
touchant les concepts et les exigences se produisent si rapidement
qu'elles sont rarement documentées ou approuvêes, et le système
peut dégénérer jusqu'à atteindre un poînt oll il n'est plus possible
d'en assurer la maintenance.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certif!OO Information
Systems Auditor•
-
""'"'"""'~"''"'"'
-
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
Malgré que l'auditeur des Sf doive être conscient du risque
associé au prototypage, il doit également savoir que cette méthode
de développement de systèmes offre à l'organisation de grandes
possibilités d'économies de coüts et de temps.
3.8.4 DÉVELOPPEMENT RAPIDE D'APPLICATIONS
Le RAD (Rapid Application Development) est une méthodologie
qui permet aux entreprises de concevoir des systèmes importants
sur le plan stratégique tout en réduisant les coûts associés au
développement et en conservant la qualité. Cette méthode
fonctionne à l'aide d'une sé1ie de techniques de développement
d'applications qui ont fait leurs preuves ct qui font partîe d'une
méthodologie bien détïnie. Ces techniques incluent l'utilisation:
• de petites équipes de développement dont les intervenants sont
bien formés;
• de prototypes d'évolution;
• d'outils intégrés qui soutiennent la modélisation, le prototypage
et la réutilisabilité des composantes;
• un dépôt centrat
• des ateliers interactifs d'exigences et de conception;
• des limites strictes pour les délais d'exécution.
Le RAD soutient l'analyse, la conception, le développement et
l'implantation de systèmes d'applications individuels. Cependant,
cette méthode n'inclut pas la planification ou l'nnalyse nécessaire
pour définir les besoins en informntion de l'entreprise dans son
ensemble ou d'un secteur commercial névralgique de l'entreprise,
Le RAD permet d'accélérer le développement de systèmes tout
en réduisant les coûts ct en augmentant la qualité. Cela se fait
en autnmatisant de grandes sections du cycle de développement
des systèmes, ce qui impose des limites strictes aux délais de
développement et permet de réutiliser !es composantes existantes.
La méthodologie RAD se compo::;c de quatre principales étapes :
\. L'étape de définition du concept définit les fonctions
commerciales et les domaines de données que le système
soutiendra et détermine la portée du système.
2. LJétape de conception fonctionnelle utilise des ateliers de
travail pour modéliser les données ct les processus du système
et créer un prototype de travail des composantes essentielles du
système.
3. V étape de développement complète la réalisation de la base
de données physique et du système d'application et permet la
création du système de conversion ainsi que d'aides techniques
ct de plans de travail pour le déploiement.
4. L'étape de déploiement inclut les tests par les utilisateurs
ri naux et la formation de ces derniers, la conversion des
données et la mise en œuvre du système d'application.
Le RAD utilise le prototypage en tant qu'outil de développement
central, peu importe la technologie sous-jaccnte utilisée.
Par opposition, la conception de logiciel orienté objet et la
conception de systèmes orientés données utilisent des modèles de
développement en continuité, mais mettent l'accent sur l'espace
de solution de contenu (p. ex., la meilleure manière de traiter
le problème pour rendre le code réutilisable et maintcnable) et
peuvent être appliquées en utilisant une approche en cascade
classique. À noter également que la réingénieric des processus
d'entreprise tente de convertir un processus d'amlircs existant
plutôt que de réaliser des changements dynamiques.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
3.8.5 DÉVELOPPEMENT DE SYSTÈMES EN ORIENTÉ
OBJET
Le DSOO est le processus de description ct de modélisation
de la solution dans lequel les données et le:-; procédures sont
regroupées en une entité appt:lée objet. Les données d'un o~jet
sont appelées attributs ct sa fonctionnalité, méthode. Cette façon
de thire contraste avec l'approche classique (cycle structuré
de développement de systèmes), dans lequel les données
sont considérées séparément des procédures qui agissent Stlr
elles (p. ex., les spécifications des programmes et des bases
de données). Les promoteurs du DSOO affirment que la
combinaison des données et de la fonctionnalité rejoint la manière
dont la pensée humaine conceptualise les objets de tous les jours.
Le DSOO est une technique de programmation, ct non une
méthodologie de développement de logiciels. Une personne
peut utiliser le DSOO tout en suivant n'importe laquelle des
nombreuses méthodologies liées aux logiciels : en cascade,
itérative, génie logiciel, les techniques agiles ct même le piratage
(et le prototypage). Un langage de programmation spécifique
ou l'utilisation d'une technique de programmation spécifique ne
sous-entend pas ou n'oblige pas l'utilisation d'une méthodologie
particulière de développement de logiciels.
Let'î objets sont habituellement créés à partir d'un modèle général
appelé classe. Le modèle présente les caractéristiques de la classe,
sans inclure les données spécifiques qui doivent être insérées
dans le modèle pour former l'objet. Les classes sont la base de
la plupart du travail de conception pour les objets. Les classes
sonl soit des .superclasses (c.-à-d. des classes racines ou parents)
présentant un ensemble de caractéristiques ou de méthodes de
base, ou sous-classes, qui héritent des caractéristiques de la classe
parent et qui peuvent ajouter (ou enlever) des fOnctionnalités au
besoin. En plus de l'héritage, les classes peuvent interagir en
pmtageant des données, appelées agrégats ou regroupement de
composantes, ou en partageant des objets. Les classes d'agrégats
interagissent à l'aide de messages, qui sont des demandes de
service d'une classe (appelée client) à une mure (appelée serveur).
La cnpacité de deux oQjets ou plus à interpréter un message
diftèremment lors de l'exécution, en fOnction de la superclasse de
!"objet appelant, est appelée polymorphisme.
Le premier langnge orienté objet, le Simula67, est apparu en
1967. Le Smalltalk a été créé dans les années 1970 en tant que
premier langage commercial orienté objet. Par la suite, ce fut la
création d'une série de langages qui étaient soit orientés objet
du début (p. ex., Eiffel) ou avaient été modifiés pour inclure les
possibilités orientées objet (p. ex., C++, Object Pascal etAda95).
L'apparition du Java au cours de la fin des années 1990 a donné
un élan important à l'acceptation de la technologie objet.
Pour profiter pleinement des avantages liés à l'utilisation de
la programmation orientée objet, il est nécessaire d'employer
l'analyse et les approches de conception orientées objet. Travailler
avec des objets doit permettre aux analystes, aux développeurs
et aux programmeurs de prendre en compte de plus grands
segments logiques d'un système et de clarifier le processus de
programmation.
Les principaux avantages du DSOO sont les suivants :
• La possibilité de gérer sans restriction une vmiété de types de
données;
231
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
• Cappm1 d" un moyen de modéliser des relations complexes;
• La capacité de répondre aux demandes d'un environnement en
évolution.
Un point toumant dans l'évolution des OSOO n été la décision
par certains intervenants pivots du développement orienté objet
d'unir leurs forces et de fusionner leurs approches individuelles
en une approche unifiée utilisant le Langage de modélisation
unifié (Uni fied Modeling Language, UML). UML est un langage
général et notationncl pour la spécification et la visualisation de
logiciels complexes pour les grands projets de développement
orientés objet. Cela démontre une maturité de l'approche de
développement orienté objet. Même si l'orientation objet n'est pas
encore omniprésente, elle peut sans aucun doute être considérCe
comme faisant partie de la tendance en informatique. Les
applications qui utilîscnt la technologie orientée objet sont:
• les applications Web;
• les applications de commerce électronique;
• le génie logiciel pour le développement de logiciels;
• l'automatisation du travail de bureau tel que l'envoi de counicls
et les bons de travail;
• l'intelligence artificielle;
• la fabrication assistée pnr ordinateur (f</\0) pour les contrôles de
production et de processus.
3.8.6 DÉVELOPPEMENT À BASE DE COMPOSANTES
Le développement à base de composantes peut être considéré
comme une excroissance du développement orienté objet. Le
développement à base de composantes signifie assembler des
applications provenant de progiciels coopérants de logiciels
exécutables qui offrent leurs services par le biais d'intc1faces
définies (c.-à-d. qui permettent à des pm1ions de programmes et
à des objets appelés de communiquer ensemble peu importe le
langage de programmation dans lequel ils ont été rédigés ou le
système d'exploitation avec lequel ils fonctionnent). Les types de
composantes de base sont :
• Composantes clients en cours -Ces composantes doivent
fonctionner au sein d'un conteneur précis tel un navigateur Web;
ils ne peuvent fonctionner par eux-mêmes.
• Compos~mtes clients autonomes Les applications qui
expOHcnt des serviœs à un autre logiciel peuvent servir de
composantes. Microsoft Excel et Word en sont des exemples
bien connus.
• Composants serveurs auf'onomes -· Les processus fonctionnant
sur des serveurs qui foumissent des services normalisés peuvent
servir de composantes. Ils sont déclenchés par des appels de
procédures à distance ou par tout autre type d'appel réseau.
Les technologies qui les soutiennent incluent le Distributed
Component Object Mode! (DCOM) de Microsoft, l'architecture
commune de répartition des requêtes d'objets (COR BA) et
le .lava à l'aide de l'appel RMl de Sun. On les appelle part(Jis
technologies de l'objet distribué.
• Composantes serveurs en cours- Ces composantes
fonctionnent sur des serveurs au sein des conteneurs. Microsoft
Tram::action Servcr (MTS) ct JavaBeans d"Oracle en sont des
exemples.
--------~--------------------~------------------:J---------­
Remarque: Aucune question ne sera posée au candidat
concernant des produ.~L"', ou services spécifiques du fournisseur
lors de l'examen du CISA.
- -
232
e . Certified Information
M Systems Auditor"
------!----··
"''"(;.\'"""'""'"'
Un certain nombre de modèles différents de composantes sont
apparus. Microsoft possède son Component Objcct Mode!
(COM). Le système de transfert de messages, lorsqu'associé au
COM, permet aux développeurs de créer des composnntes qui
peuvent ètTe distribuées dans l'environnement Windows. Le COM
est à la base des technologies Active X, les contrôles Active X étant
parmi les composantes les plus utilisées. Les autres modèles de
composantes comprennent le Modèle de composantes COR BA ct
JavaBeans.
Veuillez noter que les COMIDCOM, CORBA (lui-même une
norme et non pas un produit spécifique) et RMl sont parfois
désignés sous le nom de technologies à objets répa1iîs. Comme
leur nom l'indique, ils permettent aux objets sur les plateformes
réparties d'interagir. Ces technologies, entre autres, sont
également appelées intergiciels (middlware). lntergicicl est
un terme générique, mais il s"agit à la base d'un logiciel qui
fournit des services valorisés à l'exécution par le biais duquel les
programmes, les objets et les composants peuvent interagir.
Les concepteurs d'outils soutiennent !"une ou J'autre de ces
normes avec des outils visuels puissants maintenant disponibles
pour la conception et la vérification d"applications à base
de composantes. Les« poids lourds)} de l'industrie comme
Microsoft et IBM soutiennent le développement à base de
composantes. De plus, un nombre croissant de serveurs
d'applications disponibles sur le marché supportent maintenant
le MTE ct I'EJB. Le marché des composantes de tierce partie
est. florissant. Un des principaux avantages du développement
à base de composantes est la possibilité d"acheter des logiciels
testés, qui ont fait leurs preuves, des concepteurs commerciaux.
La gamme de composantes disponibles a augmenté. Les
premières composantes consistaient en un concept simple
(p. ex., des boutons et des boîtes de listes). Les composantes
a !Trent maintenant beaucoup plus de fonctionnalités. Des bases
de données existent désormais sur Internet pour rechercher des
composantes commerciales.
Les composantes jouent un rôle capital dans les applications Web.
Des a pp lets sont nécessaires pour prolonger le HTML statique,
les contrôles Active X ou le Java. Les deux technologies sont
compatibles avec le développement ù base de composantes. Cette
façon de faire :
• Réduit le temps de développement~ Si un système
d'application peut être assemblé à partir de composantes
pré rédigées et que seul le code de parties uniques du système
doit être créé, cene façon de l'aire est plus rapide que d'avoir à
rédiger le système en entier.
• Augmente la qualit'é- L'utilisation de composantes prérédigées
signifie qu'un pourcentage appréciable du code du système a
déjà tàit l'objet de tests.
• Permet aux développeurs de mettre l'accent sur les
thnctionnalités commerciales~ Un résultat du développement
à base de composantes et de ses technologies facilltat1ices est
d'augmenter encore le degré d'abstraction déjà atteint avec des
langages de haut niveau, des bases de données et des interfaces
utilisateurs. Les développeurs sont protégés des détails de
programmation de bas niveau.
• Favorise ln modularité '" En encourageant ou en forçant
des interfb.ccs infranchissables entre des unités discrètes de
fonctionnalité, on encourage la modularité.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Cerlllied. Information
Systems Auditor"
;;;~;:-~-
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
• Simplifie la réutilisation-·· Elle élimine le besoin d'être au
courant des bibliothèques de procédures et de classes, cc
qui permet la combinaison de langages croisés et permet la
distribution en un format exécutable du code réutilisable ( c.-à~d.
qu'aucune source n'est nécessaire). (Jusqu'à maintenant aucune
réutilisation à grande échelle de la logique métier n'a été faite.)
• Réduit les frais de développement·- Moins d'etTmis sont
requis pour la conception et pour la création. Les coûts rattachés
<lUX composantes du logiciel peuvent être répartis entre les
difièrcnts utilisateurs.
• Supporte de multiples environnements de développement
-- Les composantes rédigées dans un langage peuvent interngir
avec des composantes rédigées dnns un autre langage ou
fOnctionnant à pmiir d'autres machines.
• Offre un compromis satisfaisant entre Jcs choix de création
et d'achat Au lieu de faire l'acquisition d'une solution
complète qui ne répond peut-être pas exactement aux besoins, il
est possible d'acheter uniquement les composnntes nécessaires
et de les ajouter à un système personnalisé.
Pour obtenir ces avantages, il faut porter une attention
particulière à l'intégration du logiciel très tôt dans le processus
de développement ct tout au long de ce dernier. Peu importe
l'efficacité du développement à base de composantes, si les
exigences du système sont mal définies ou si le système n'arrive
pas à répondre adéquatement aux besoins de J'entreprise, le projet
ne sera pas couronné de succès.
3.8. 7 DÉVELOPPEMENT D'APPLICATIONS WEB
Le développement d'applications Web est une importante
npproche de développement en émergence, qui permet une
intégration plus facile et plus citïcace des modules de codes à
1'intérieur des entreprises et entre celles-ci. Historiquement, un
logiciel rédigé en un langage sur une plate-forme spécifique
a utilisé une interface de programmation d'applications (APl)
spécialisée. l:utilisation d'APl spécialisées a causé des difficultés
lors de l'intégration de modules logiciels dans des platefonnes.
Des technologies telles que COR BA et COM, qui utilisent
des appels de procédures à distance (RPC), ont été créées
pour permettre 1'intégration en temps réel de code à travers
les platefonnes. Toutefois, l'utilisation de ces approches RPC
pour diJTérentes APl demeure complexe. l,e développement
d'applications Web et de technologies XML associées facilite et
normalise l'intégration des programmes et des modules de code.
Cautre problème que le développement d'applications Web
cherche à régler est le besoin d'effectuer des tâches informatiques
répétitives avec le besoin inhérent d'un code redondant. Un
exemple frappant est un avis de changement d'adresse provenant
d'un client. Plutôt que d'avoir à mettre à jour les détails dans
chacune des mult-iples bases de données (p. ex., la gestion des
contacts, les comptes clients ct la vérification du crédit), il est
préférable qu'un processus de mise à jour commun propage
l'information aux endroits nécessaires. Les services Web sont
conçus pour faciliter cc type d'opération.
Le développement d'applications Web est différent des méthodes
de développement de programmes traditionnelles de troisième
ct de quatrième génération sous plusieurs aspects : des langages
aux méthodes de programmation utilisées, en passant par les
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
méthodologies (ou le manque de méthodologie) utilisées pour
superviser le tmvail de développement et par la manière dont les
utilisateurs testent ct approuvent le travail de développement.
Le risque associé au développement d'application demeure le
même. Par exemple, les dépassements de tampons représentent un
risque depuis les débuts de la programmation (p. ex., les questions
de troncature avec les programmes infOrmatiques de première
génération), mais ils ils deviennent largement connus lorsqu'ils
peuvent ê.tre exploités par pratiquement n'importe qui, n'importe
ou dans Je monde grâce à Internet.
Comme dans le cas du développement traditionnel de
programmes, une approche basée sur les tisques doit être utilisée
pour évaluer les lacunes des applications \Veb : identifier les
objectif<> de l'entreprise ct les objectifs Tl qui s'y rattachent en ce
qui concerne le développement, puis identifier le risque possible.
L'expérience antérieure d'une des personnes peut être utilisée
pour identifier le risque lié, par exemple. à des spécifications
inadéquates, à de mauvaises techniques de codage, à une
documentation inadéquate, à un contrôle de la qualité ct à une
assumnce-qualité (incluant le testage des problèmes) déficients
et à un manque de supervision des changements et des mesures
de contrôle pour le transfert en production, et pour les appliquer
au contexte des langages d'applications Web, des processus de
développement et des livrables (peut-être avec le soutien apporté
par la documentation et le matériel sur les meilleures pratiques
en développement d'applications Web). Cacccnt doit être mis
sur les risques liés nu développement des applications, sur les
risques d'entreptise associés ct sur les vulnérabilités techniques
ainsi que sur la manière dont ces risques pourraient survenir
et être contTôlés ou traitéR. Certaines mesures de contrôle
seront semblables pour toutes les activités de développement
d'applications, mais plusieurs devront être représentatives de la
manière dont l'activité s'insère dans le domaine en revue.
Pour le développement d'applications Web, un langage XML,
connu sous le nom de protocole SOAP. est utilisé pour définir
les APl. Le protocole SOAP fonctionne avec tout système
d'exploitation et langage de programmation qui comprend le
XML. Le protocole SOAP est plus simple qu'une approche
fOndée sur un appel de procédures à distance (RPC), ct ofrre
l'avantage du faible couplage des modules; par conséquenl·, un
changement à une composante n'entraînera normalement pas de
changements pour les autres composantes.
La deuxième composante clé du développement Web est le
l . .angage de DescJiption des Services Web (WSDL), qui se base
également sur le XML. Le WSDL est utilisé pour identifier ln
spécification SOAP qui sera utilisée pour le module de code
API ct le fOrmat des messages SOAP utîHsés pour les entrées et
smties associées au module de code. Le WSDL sert également à
identifier un service Web spécifique accessible par le biais d'un
intranet d'entreprise ou d'Internet en étant publié sur un serveur
Web intranet ou Internet pertinent
La derniére composante des services Web est un autre langage
XML, le Universal Description, Discovery and Integration
(UDDI). L'UDDI est utilisé pour saisir une entrée dans un
dictionnaire UDDI, lequel agit en tant qu'annuaire électronique
accessible au moyen d'un intranet d'entreprise ou d'Internet,
233
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
et permet aux parties intéressées d'apprendre l'existence des
services Web disponibles.
Les normes concernant SOAP, WSDL ct UDDf ont été
approuvées par le consortium W3C. Un certain nombre de
produits logiciels ct d'environnements de développement actuels,
incluant la famille des produits Microsofi.NEl~ supportent
les services Web. Cependant, certaines normes importantes,
telles que celles traitant de la gestion des transactions et de la
sécmité, sont d~jà en voie d'être définies. D'autres enjeux, tels
que la facturation pmu· J'utilisation de services Web élaborés
commercialement, doivent être considérés.
3.8.8 RÉINGÉNIERIE LOGICIELLE
La réingénierie est un processus de mise à jour d'un système
existant par l'extraction et la réutilisation des composantes
de conception et de programme. Ce processus est utilisé pour
soutenir d'importants changements dans la manière dont une
entreprise iànctionne. Un ce1iain nombre d'outils sont maintenant
disponibles pour soutenir ce processus. Les méthodologies types
utilisées en réingéniric de logiciels se situent généralement dans
les categories suivantes :
.. La refonte des processus açlministratif..;; (RPA) est l'analyse
complète ct restructuration majeure des processus administratifs
ct systèmes de gestion afin d'établir une structure plus
pe1formantc, qui répond mieux aux besoins de la clientèle et aux
conditions du marché, tout en réalisant des économies de coùts
matériels.
• La méthodologie de réingénierie de logiciels axés sur le service
à la clientèle est basée sur une architecture infonnatiquc orientée
sur le service; la reiànte des processus utilise plusieurs concepts
de développement DRA-- développement accéléré d'applicatlon
-(voir la section 3.7.4 Contrôles de l'environnement EDJ),
tirant pmtie des diagrammes RACJ (responsabilité, imputabilité,
consultation et information) et de la modélisation UML
3.8.9 RÉTRO·INGÉNIERIE
La rétro-ingénierie est le processus d'étude et d'analyse d'une
application, d'une application logicielle ou d'un produit pour voir
la manière dont il fonctionne et pour utiliser cette infOrmation
pour créer un système semblable. Ce processus peut être effectué
de diHërentes manières:
• En décompilant l'objet ou le code exécutable à l'intérieur du
code source et en l'utilisant pour analyser Je programme.
• Tests en boîte noire de l'application qui subira une rétro-
ingénierie pour dévoiler sa fonctionnalité.
Les principaux avantages de la rétro-ingénierie sont :
• Une conception plus rapide et une durée moins importante du
cycle de développement des systèmes.
• Possibilité d'améliorer l'application en rétro-ingénierie en
remédiant à ses inconvénients.
L'auditeur des SI doit être conscient des risques suivants:
.. Les ententes concemant les licences d'utilisation des logiciels
comprennent souvent des clauses qui interdisent au titulaire de
la licence d'effectuer ln rétro-ingénierie du logiciel; ainsi, tout
secret commercial ou technique de programmation n'est pas
compromis.
234
e Gertilied lnformatloo
Systems AtK!itor'
----+----
''"""''"''""'""'
• Les décompllateurs sont des outils relativement récents dont
certaines fonctions dépendent de l'ordinateur, du système
d'exploitation et du langage de programmation. Tout
chnngement à 1'une de ces composantes pourrait nécessiter la
création ou l'achat d'un nouveau décompilatcur.
3.9 PRATIQUES DE DÉVELOPPEMENT/
ACQUISITION D'INFRASTRUCTURE
l:analyse de l'architecture physique, la définition d'une nouvelle
architecture et la fèuille de route nécessaire pour passer de l'une à
l'autre représentent une tâche essentielle pour un dépa1tement des
TI. Elle a non seulement un impact économique, mais également
technologique, puisqu'elle influe sur plusieurs autres choix
en aval, comme les procédures opérationnelles, les besoins en
formation, ks questions liées à l'installation etlt:s coûts totaux de
propriété (CTP).
Des exigences contradictoires h~lles que l'évolution vers une
architecture basée sur ks services, les considérations liées au
matériel existant, l'accès sécurisé aux données peu importe leur
emplacement, l'absence de perte de données, la disponibilité
24 heures sur 24 et 7 jours sur 7 et plusieurs autres font en smie
qu'aucune platcfàrme ne satisfait toutes les exigences également.
Ainsi. l'analyse de l'architecture physique ne peut être basée
uniquement sur le plix ou des caractéristiques isolées. Un choix
raisonné ct formel doit être fait
Dans la section 3.9.1 Étapes de projet de l'analyse de
l'architecture physique, des étapes sont présentées pour mener
au choix d'une architecture physique convenable et à la façon
de définir une feuille de route pour soutenir la migration de
l'architecture technique vers la nouvelle architecture afin
d'atteindre les objectifS suivants:
• Réussir l'analyse d'une architecture existante (incluant l'analyse
du flux de données qui définît toutes les données reçues,
traitées, stockées ct transmises).
• Concevoir une nouvelle architecture qui tient compte de
l'architecture existante ainsi que des contraintes et des
exigences pmticulières de J'entreprise, telles que:
-J'extensibilité et l'înteropérabilité pour traiter toutes les
données actuelles ct celles pouvant potentiellement ètre
reçues, traitées, stockées el transmises.
~· une tànctionnalité accrue.
····un impact minimal sur le travail quotidien.
la sécurité et la confidentialité.
·-une migration progressive vers la nouvelle archiJecture.
• Rédiger les exigences fonctionnelles liées à cette nouvelle
architecture;
• Créer une preuve de concept fondée sur ces exigences
fonctionnelles :
Caractériser le prixj la fonctionnalité et la performance.
Identifier les exigences supplémentaires qui seront utilisées
plus tard.
Les exigences qui résulteront de ce processus seront documentées
dans des caracté1istiques techniques et des ébauches qui décrivent
l'infrastructure de référence qui sera utilisée par tous les projets
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Cert:ilied lnfo~atton
Syslems Arniltor"
""'""'"'~"'""'""'
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section deux : Contenu

en aval. Une fois les exigences définies, les projets peuvent
démnrrer l'implantation.
Les exigences sont validées à l'aide d'une preuve d~ concept.
La preuve de concept est une implantntion mise au banc d'essai
de l'architecture physique. Elle permet une économie d'argent
puisque tout problème est détecté et réglé très tôt, lorsqu'il est
plus économique de le régler, et rassure les équipes sur le fait que
les exigences informent correctement les fournisseurs éventuels
sur !cs exigences qu'ils doivent respecter.
L'objectif principal de la section 3.9.2 Planification de
l'implantation de l'infl·atructure est de planifier l'implantation
physique de 1'infrastructure technique nécessaire pour configurer
le nouvel environnement (normalement l'environnement de
production, de test ct de conception). Cette tâche couvre les
activités d'approvisionnement telles que des parties contractnntcs,
la mise en oeuvre des ANS et la conception des. plans
d'installation ainsi que des protocoles de test d'installation. Il faut
assurer un processus de sélection bien défini, qui tient compte des
résultats des analyses et de l'intuition, et qui garantit l'alignement
et l'engagement pour le succès de l'implantation. !'~tant donné
la possible nature hétérogène de l'infrastructure trouvée, il est
nécessaire d'élaborer un plan de mise en oeuvre clair (incluant
les livrables, les délais de livraison, les protocoles de test, etc.). Il
est également nécessaire de planifier la coexistence des ancien et
nouveau systèmes afin d'éviter les erreurs possibles qui peuvent
survenir lors des phases d'installation ct de mise en service (voir
la figure 3.23 ).
• fournir des niveaux de sécurité appropriés;
• s'intégrer aux systèmes Tl actuels;
• tenir compte des tendances de l'industrie des Tf;
• offrir une Jlexibîlité opérationnelle füture pour soutenir les
processus commerciaux;
• permettre une amélioration attendue de l'infrastructure sans
mises à jour significatives;
• inclure les éléments de l'architecture technique ù considérer
concernant la sécmité de l'information, J'emmagasinage de
sécurité, etc.;
• assurer un soutien opérationnel quotidien rentable;
• favoriser l'utilisation de logiciels et de matériel normalisés~
• maximiser le RCJ, la transparence des coüts et !'eflïcacité
opérationnelle.
3.9.1 ÉTAPES DE PROJET DE !:ANALYSE DE
!:ARCHITECTURE PHYSIQUE
L.a figure 3.24 présente les étapes de projet pour l'analyse de
l'architecture physique et, en arrière-plan, le moment où chaque
processus de sélection du fournisseur pourrait survenir.
Revue de l'architecture existante
Pour entreprendre le processus, les documents les plus récents
concernant l'architecture existante doivent être révisés. Les
participants au premier atelier de travail seront des spécialistes du
dépmicment des TIC de tous les domaines directement touchés
par l'architecture physique. L'infrastructure générale des Tl, les
serveurs, l'emmagasinage et la sécurité en sont des exemples.

Ainsi, les services des technologies de l'information et des Une attention particulière doit être portée à la caractérisation
communications (TIC) font souvent face à ces exigences. La de toutes les contraintes opémtionnelles qui ont tm impact sur
solution suggérée doit: l'architecture- physique, telles que:
• assurer l'alignement des technologies de l'information cl des • les questions liées au terrain;
communications (TIC) avec les normes de l'entreprise; • les limites de taille;

, Figure 3.23- Risques du syStème aclüel

r1
Lacunes de la
fonctionnalité
Support Fiabilité
insuffisant future

~_l_
du processus compromise

Le système actuel

Besoins f ne répond pas aux

besoins actuels
- - l

fonctionnels
futurnon
-•s•a•ti.sf•a'•ts. ._.
__,..
___.-
1 et futurs

- -- -- - --- --- - --
Augmentation
des coûts

Lacunes dans
Développement
l'approvision-
1 du produit
nement
[ limité
en information

Manuel de Préparation CISA 26• édition 235

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
• les limites de poids;
• l1nlimentation électrique actuelle;
•les limites de l'environnement d'exploitation (température et
humidité minimales et maximales);
• les enjeux liés à la sécurité physique.
Le résultat du premier atelier de travail est une liste de
composantes rattachées à l'infrastructure actuelle et des
contraintes qui définissent l'architecture physique cible.
Analyse et conception
Une fOis la revue de l'architecture existante effèctuée,l 1analyse
et la conception de l'architecture physique actuelle doivent ètrc
entreprises, respectant les bonnes pratiques et répondant aux
exigences de l'entreprise.
Ébauche des exigences fonctionnelles
Avec en main la première conception de l'architecture physique,
la première ébauche des exigences fonctionnelles est rédigée.
Ce matériel constitue l'apport pour la prochaine étape et vers le
processus de sélection du fournisseur.
Choix du fournisseur et du produit
Le processus de sélection du fournisseurs 'enclenche en parallèle
du processus d'ébauche des exigences fonctionnelles. Ce
processus est décrit en détail plus loin dans le présent chapitre.
Rédaction des exigences fonctionnelles
Une fois terminée l'ébauche des exigences fonctionnelles et la
deuxième étape du projet entamée, le document des exigences
fonctionnelles est rédigé et sera présenté lors du second atelier sur
l'architecture destiné au personnel des domaines concernés. Les
résultats feront l'objet d'une discussion, et une liste des exigences
qui doivent être redéfinies ou ajoutées sera préparée.
Il s'agit du dernier point de contrôle avant le début de l'évaluation
et de la preuve de concept (PDC), bien que la planification de la
PDC débute après le deuxième atelier de travail. Une fois établies
les exigences fonctionnelles définitives, la phase de preuve de
concept commence.
Preuve de concept
L'établissement d'une preuve de concept est grandement
recommandé pour prouver que le matétiel ct le logiciel choisis
peuvent combler toutes les attentes, y compris les besoins liés
figure 3.24 ~ Étapes de projet de J'analyse de l'atchiteêlûre physique
'-,-4;--:èX(Q~ri~é-s
fonctionnelles
236
e . Certilied Information
"'- Systems Audîtor"
~-
à la sécurité. Le livrable de la preuve de concept doit être un
prototype fOnctionnel comprenant la documentation associée ct
les protocoles de test qui décrivent les tests et leurs résultats.
Tout d'abord, la preuve de concept doit se baser sur les résultats
de la phase d'approvisionnement décrite ci-dessous dans la
présente section. À cette fin, un sous-ensemble représentatif du
matériel cible est utilisé. Le logiciel utilisé pour la preuve de
concept peut être celui des versions de test ou le logiciel déjà
fourni par le fournisseur; pour cette raison, on s'attend à des frais
supplémentaires minimes.
Pour que les frais restent bas, la plupart des éléments du cadre
sont implantés en une forme simplifiée. Ils seront étendus :lleur
forme finale lors de phases ultérieures.
Le prototype doit présenter les caractéristiques suivantes:
• la configuration de base de l'infrastructure de sécurité centrale;
• la correction de la fOnctionnalité des composantes d'audit;
• une implantation de base, mais fOnctionnelle des mesures de
sécurité telles que définies;
• des transactions sécurisées;
• la caractérisation en termes de contraintes et de limites liées ù
J'installation (taille, consommation ct poids du serveur, sécurité
physique de la salle des serveurs);
• la performance;
• la résilience, y compris le basculement vers un état opérationnel
de confiance;
• un modèle de financement et de prévision des coüts.
Les projets de mise en œuvre rattachés, qui préparent Je terrain
pour le déploiement, doivent également faire partie de la preuve
de concept puisqu'ils seront utilisés de la même façon que dans
l'architecture physique de production. À la fin de cette phase,
un dernier atelier de travail a lieu, dans lequel l'évaluation et
la topologie de la production sont adaptées pour inclure les
conclusions de la preuve de concept.
D'autres considérations peuvent s'appliquer si l'entreplise passe
à un modèle de sous-traitance/délocalisation pour le déploiement
ct l'exploitation des applications. De plus, la platctûrme pour
l'exploitation de l'environnement de Tl (c.-à~d. en propre, en
nuage, virtualisation) peut mener à d'autres considérations.
Par exemple, si l'entreprise a ses activités dans une industrie
hautement réglementée ou une industrie qui exige de hauts
niveaux de disponibilité, de redondance adéquate ct. de sauvegarde
-,
Présentation et
discussion sur
les exigences
fonctionnelles
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e '." ~ied lnfurmaüoo
Systems Alldilor"
<<>~J.<.<"CM'•'"'-'"'
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
pour protéger les caractères privé et confidentiel des données, cela
peut avoir à être pris en compte durant les tests de la platefOrme.
3.9.2 PLANIFICATION DE !:IMPLANTATION DE
!:INFRASTRUCTURE
Pour assurer la qualité des résultats, il est nécessaire d'utiliser
une approche progressive pour que les morceaux du casse-
tête s'emboîtent. Il est également essentiel de mettre en
place des processus de communication vers d'autres projets
comme ceux décrits plus haut À travers ces différentes
phases, les composantes sont ajustées ensemble et il s'établit
une compréhension claire des fournîsscurs disponibles et
joignables en utilisant le processus de sélection pendant la
phase d'approvisionnement et au-delà de celle-ci. De plus, il
est nécessaire de choisir la portée des besoins fonctionnels et
techniques clés pour préparer les prochaines étapes, qui incluent
l'élaboration des plans de livraison, d'installation et de test. De
plus, pour assurer l'existence d'une solution future éprouvée, il
est important de choisir les bons partenaires possédant les bonnes
compétences.
Tel que montré~~ la figure 3.25. l'analyse des besoins ne fait pas
partie de cc processus, mais doit l'alimenter de résultats.
Si un graphique Gan tt est produit lors de ces phases, il est très
probable que certaines phases sc chevauchent; par la suite, les
différentes phases doivent être considérées comme un processus
itératif.
Au cours des quatre différentes étapes, il est nécessaire d'ajuster
toutes les composantes ensemble pour sc préparer aux projets en
aval (p. ex., la migration des données).
Étape d'approvisionnement
Pendant l'étape d'approvisionnement, les processus de
communication sont établis avec le projet d'analyse pour obtenir
une vue d'ensemble de la solution choisie et déterminer la
structure quantitntive des livrables. Les énoncés des besoins sont
également rédigés.
De plus, le processus d'approvisionnement enclenche Je
processus de gestion du niveau de service. Pendant ces activités,
les foumisseurs sélectionnés sont invités lors du processus de
négociation, les livrables sont approuvés ct les contrats ct les
ententes sur les niveaux de service sont signés (figure 3.26).
Délai de livraison
Lors de l'étape 1iée au délai de livraison, le plan de livraison
est créé (figure 3.27). Cette phase chevauche en partie l'étape
d'approvisionnement.
" Figure 3.25-ttapes de projet de la pJanffication de la mise en oeuvre de l'inrrastilictiire
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
Le plan de livraison doit inclure des sujets tels que les priorités,
les objectifs et non-objectifs, les faits clés~ les princip0s, les
stratégies de communication, les indicateurs clés, la progression
des tâches clés et les responsabilités.
Plan d'installation
Le plan d'installation est conçu pendant la planification de la
phase d'installation, en collaboration avec toutes les parties
concernées (figure 3.28).
Une nouvelle phase consiste à réviser le plan avec les parties
impliquées et, bien entendu, avec les responsables des projets
d'intégration. Il s'agit d'un processus itératif.
Plan de test de l'Installation
Le plan de test est créé à partir des dépendances connues du plan
d'installation (figure 3.29).
Le plan de test inclut des scénarios de test, les spécifications des
besoins de base, la définition des processus ct, dans la mesure du
possible, les informations sur les mesures pour les applications ct
l'infrastructure.
3.9.3 FACTEURS ESSENTIELS AU SUCCÈS
Voici quelques facteurs essentiels au succès de la planification de
la mise en œuvre :
• Pour éviter les retards, le personnel formé adéquatement doit
assister aux ateliers de travail et participer au projet dans toute
sa durée.
• La documentation nécessaire pour l'avancement du travail doit
être prête lors de l'amorce du projet.
• Les décideurs doivent participer à toutes les étapes pour
s'assurer que toutes les décisions nécessaires sont prises
rapidement.
• La première partie du projet (l'analyse de l'architectltre
physique) doit être complétée et les décisions nécessaires
concernant l'ini"iastructure doivent être prises.
3.9.4 ACQUISITION DU MATÉRIEL
Le choix du matériel informatique et de l'environnemenl logiciel
nécessite souvent la préparation de spécifications pour la
distribution auprès des fournisseurs de matériel ou de logiciels et
de critères permettant d'évaluer les soumissions des fournisseurs.
Ces spécifications sont parfois présentées aux fournisseurs sous la
forme d'un appel d'offres, aussi connu sous le nom de demande
de proposition.
237
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
Ces spécifications doivent définir le plus justement possible
l'utilisation, les tâches et les besoins liés à l'équipement
nécessaire ct doivent inclure une description de !"environnement
dans lequel l'équipement sera utilisé.
Lors de l'acquisition d'un système, les spécifications doivent
inclure les éléments suivants :
• Des descriptions organisationnelles indiquant si les installations
infOrmatiques sont centralisées ou décentralisées, distribuées,
irnparties, manuelles ou en extinction.
• L'évaluation des niveaux d'assurance (EAL) du matériel
informatique et des logiciels (HW/SW) pour la robustesse
des systèmes de sécurité, basée sur ISOIIEC 15408:2009:
Technologies del 'ù?fhrmalion --- Uxhniques de sécurilé --
Critères d'évaluation de la sécurité pour 7ï; élaborer les
exigences HW/SW en utilisant des critères communs--
!.évaluation de produits Tl apporte un niveau de confiance
(basée sur des tests de laboratoires indépendants) que la
fonctionnalité de sécurité de ces produits Tl satisfait les
spécifications de sécurité indiquées.
• Des exigences pour le traitement de 1'information telles que :
--les systèmes d'application principaux existants et futurs;
·- les exigences liées à la charge de travail ct à la performance;
les approches de réalisation (p. ex., en ligne/lot, client-serveur,
données en temps réel. opérations en continu).
• Les exigences matéJiclles telles que :
--la vitesse de l'unité centrale (UC);
-·· les besoins en espace disque;
·- les besoins en mémoire;
··-·le nombre d'UC nécessaires;
l'équipement périphérique (les dispositif'l séquentiels tels
que les dérouleurs de bande magnétique; les appareils à
accès direct comme les lecteurs de disque, les imptimantes,
les lecteurs de disques compacts, les lecteurs de disques
numériques polyvalents, les périphêriques de bus sériel
universels (USB) et les cartes mémoires multimédia Secure
Digital) qui doit êlre exclu (habituellement pour des raisons de
sécurité);
--· les dispositifs de préparation et de saisie de données qui
Figure 3.26- Elâpe d'açquisilion
Analyse des exigences
--------,
2. Délai de
livraison
··.i11ÊfàbQf~hJ~~- ;··.· •.• .1.2 Ê~blltl~; .••••• ·'l.a~j~IJii~J~fis"ie'
•. ritèr.,s. d'èvaluatio ·· list.;préljmirfaire
d'un fournisseur•. ·desfournisseur
238
des Systèmes d'Information
e . Certifred lnformatioo
.M. Systems Amlitot•
~'"-"~'·'""' ..
acceptent et convertissent les données pour le traitement
mécanique;
les appareils d'entrée directe (p. ex., les terminaux, les
terminaux points de vente ou les dispositifs de guichets
automatiques);
la capacité du réseau (p. ex., les connexions Ethernet, les
modems et les connexions du réseau numélique à intégration
de services [RNISJ);
··- le nombre de terminaux ou de nœuds que le.· système doit
prendre en charge.
• les applications logicielles du système, comme :
les logiciels du système d'exploitation (la version actuelle et
toute mise à jour nécessaire);
-les utilitaires;
les compilateurs;
les logiciels de bibliothèque de programmes;
-- les logiciel::; et les programmes de gestion des bases de
données;
···-les logiciels de communication:
les logiciels de contrôle d'nccès;
-les logiciels de programmation des tâches.
• les besoins en soutien. tels que :
·-la maintenance du système (à des fins de prévention, de
détection (rappott d'incidents) ou de correction);
-- la fOrmation (personnel utilisateur ct technique);
-les sauvegardes (quotidiennes et suite à un sinistTe).
• les besoins en adaptabilité, par exemple:
---les possibilités d'amélioration du matérie-l et des logiciels;
--la compatibilité avec les platefonnes matérielles et logicielles
ex ist.1.ntes;
--le passage à d'nutres capacités d'équipement
• les contraintes, telles que :
- le niveau de dotation;
--la capacité du matériel en place;
---les dates de livraison.
• les besoins en conversion, comme :
-les périodes de test pour le matériel cl les logiciels;
-les installations de conversion de système;
-le barème des coüls et des prix.
3. Plan 4. Plan de test
d'installation de l'installation
. 1,tséreC"ti~niJ~t
restre.inte d~s les·.f<;>!.lrnissèùrs:·
folimisseUr%.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e Certilicd !nformatinn
systems AlKiitor"
··--+--
"'''""''"'"""'""'
Chapitre 3 - Acquisition, Développement et Implantation
des Systètnes d"lnformation Section deux : Contenu

Figure 3.27'- Délai de livraiSon

Analyse des exigences

,-c---,-~~c-c-c-;

1. Phase 3. Plan 4. Plan de test

d'approvision- d'installation de l'installation
nement

.•.~q .tt~bJil'llp...............· .• ').,~fiéyisér(e . .•. . •.

.·plan ij~.liwai$on>. · . ·• pland~• JiVI'jlisgp

Figure 3.28- Plan d'inStallation •

Analyse des exigences

,------,
1. Phase 2. Délai de 3. Plan 4. Plan de test
d'approvision- livraison d'installation de l'installation
nement

3.1 Élaborer QO
_·plan·d'lnstallàtion .

.
figure 3.29 -Plan de lest de l'inStallation

Analyse des exigences

,....----,
1. Phase 2. Délai de 3. Plan
d'approvision- livraison d'installation
nement

4.1 Élaboration.
du plaf1 deJest.

---··--·---·--

Manuel de Préparation CISA 26• édition 239

ISACA. Tous droits réservês.
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e Certified Informa. lion
Systems Auditor'
"'"I,C"(M""'"'"'

Étapes d'acquisition Lorsqu'il audite cet élément, l'auditeur des SI doit:

Lors de l'nchat (l'acquisition) de matériel et de logiciel provenant • Déterminer si le processus d'acquisition a été enclenché par un
d'un füumisseur, il faut tenir compte des éléments suivants: besoin fonctionnel et si les exigences matérielles pour cc besoin
• les témoignages ou les visites d'autres utilisateurs: ont été considérées dans ces spécifications.
• les dispositions pour la mise en concurrence; • Déterminer si plusieurs fournisseurs ont été considérés et si la
• l'analyse des ofll·es pnr rapport aux besoins; comparaison entre eux a été e'ffecluée en conformité avec les
• la comparaiwn de l'ensemble des offres à l'aide de critères critères susmentionnés.
d'évaluation pr~définis;
• l'analyse de la situation financière du fOurnisseur; 3.9.5 ACQUISITION D'UN LOGICIEL D'EXPLOITATION
• l'analyse de la capacité du f-Oumisseur à otlhr la maintenance et
Chaque fois qu'une amélioration technologique a permis
le soutien (incluant la fOrmation);
d'augmenter la vitesse de calcul ou l'apport de nouvelles
• la revue des calendriers de livraison par rapport aux besoins;
capacités, ces avantages ont été immédiatement absorbés par
• l'historique du matériel informatique pour vérifier s'il ne
les demandes placées dans les ressources infonnatiques par des
provient pas de sources d'approvisionnement sur un marché
applications plus ambitieuses. Par conséquent, ces améliorations
clandestin,_ <{ marché gris H (par des sources de dishibution
ont mene à des systèmes ouveJis décentralisés et inter reliés
légales, mais non officielles, non autorisées ou non désirées par
pm· des fonctions fournies dan:;; un logiciel d'exploitation pour
le manufacturier d'origine), ce qui peut augmenter le risque de
répondre aux besoins. Par exemple, la gestion du réseau et la
maliciel ou autres opérabilités inconnues du produit;
connectivité sont des caractéristiques qui se trouvent désormais
.. L'analyse de la capacité de mise à niveau du matériel et des
dans la majorité des systèmes d'exploitation.
logiciels;
• l'analyse des installations de sécurité et de contrôle;
Les gestionnaires des SI doivent connaître les capacités
• J'évaluation de la pedbnnance par rapport aux besoins;
matérielles et logicielles, puisqu'ils peuvent améliorer les
• la révision et la négociation du prix;
processus d'entreprise et fournir des services d'application élargis
.. la révision des termes de contrat (incluant. les clauses de
aux entreprises et aux clients de façon plus efficace.
garanties, de pénalités ct de drolt d'audit);
• la préparation d'un rapport écrit otriciel résumant J'analyse de
Des plans à co mt et à long termes doivent documenter le plan de
chacune des solutions de rechange et justifiant le choix effectué
J'équipe de gestion des SI pour la migration vers des systèmes
en ibnction des avantages et des coüts.
d'exploitation ct des logiciels sous-jacents plus récents, plus
efficients et plus efl'icaces.
Les critères ct les données utilisées pour l'évaluation des
Lors de la sélection d'un nouveau logiciel d'exploitation, il faut
offres des fOurnisseurs doivent être planifiés et documentés
tenir compte d'lm certain nombre de questions techniques ct
convenablement. Voîci ce1iains des c1itères qui doivent être
commerciales, y comp1is :
considérés dans le processus d1évaluation :
• les spécifications et !es besoins commerciaux, fonctionnels et
• Délai d'exécution -· Le temps que prend le centre d'assistance
techniques;
ou le ibumisseur pour corriger un problème à partir du moment
• les coûts et avantages;
où il est informé du problème.
• la désuétude;
.. lèmps de réponse Le temps que prend le système pour
.. la compatibilité avec les systèmes existants;
répondre à une demande spécifique de 1'utilisateur.
• la sécurité;
• Temps de 1·éaction du système-- Le temps pris pour entrer
.. les demandes au personnel en place;
dans un système ou pour se connecter à un réseau.
• les besoins en formation et en embauche;
• Débit Quantité de travail utile effectué par un système par
• les besoins pour la croissance future;
unité de temps. Le débit peut être mesuré en instructions
• les impacts sur la performance du système et du réseau;
par seconde ou à raide d'une autre unité de mesure de la
• le code source ouvert contre le code prop1iétaire.
performance. Lorsqu'il fait référence à une opération de
tnmsfert de données, le débit mesure le taux de transfe11· de
données utile el est exprimé en kilobits par seconde (kbit!s), 3.9.6 IMPLANTATION DU LOGICIEL D'EXPLOITATION
en mégabits par seconde (Mbits/S) et en gigabits par seconde L'implantation d'un logiciel d'exploitation nécessite de
(Gbps). déterminer les caracté1istiques, les options de configuration et les
.. Charge de travail - La capacité à réaliser Je volume de travail contrôles pour des configurations standards qui seront appliquées
requis ou le volume de travail que le système du fOurnisseur dans loute l'entreprise. De plus, l'implantation demande de lester
peut eflCctuer dans un délai donné. le logiciel dans un environnement hors production ct d'obtenir
• Compatibilité La capacité d'une application existante à une ce1iainc fOrme de certification et une accréditation pour
fonctionner conectcment dans le nouveau système fOurni par le mettre Je logiciel d'exploitation choisi en production.
fournisseur.
• Capacité- La capacité du nouveau système à traiter un certain
nombre de demandes simultanées provenant du réseau pour
l'application ct provenant de chaque utilisateur.
• Utilisation--- Le lemps de disponibilité du système par rapport
au temps d'indisponibilité.

240 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes dllnformation
3.10 PRATIQUES EN MATIÈRE DE
MAINTENANCE DES SYSTÈMES
D'INFORMATION
Les pratiques en matière de maintenance des systèmes
font ptincipalement référence nu processtJS de gestion
des modifications dans les systèmes d'applications et à la
maintenance de l'intégrité à la fois du matériel de production
(p. ex., produits de gestion du serveur réseau et des serveurs
connexes) ct du code source et exécutable des applications.
Une fois qu'un système passe en production. il demeure rarement
statique. La modification est prévue dans tous les systèmes, quïls
viennent de fournisseurs ou qu'ils soient élaborés sur place. Les
raisons de la modification dans le cours normal des opérations
comprennent les modifications internes de Tl ou d'entreprise,
les nouvelles réglementations externes, les n1odifications de
classification liées soit à la sensibilité, soit à la c1iticité, aux
audits et aux incidents nuisibles comme les intrusions et les virus.
Pour contrôler la maintenance continue du système, un processus
normalisé de realisation et d'enregistrement des modifications
est nécessaire. Ce processus, qui fait partie intégrante du SDLC
global de l'organisation, doit comprendre des étapes pour
s'assurer que les modifications au système sont appropriées aux
besoins de l'organisation, qu'elles sont autorisées et documentées
de façon appropriée et qu'elles sont testée:-; à fond et approuvées
par la direction. Le processus est généralement: établi durant la
phase de conception de l'application, lorsqu'on fixe les exigences
préliminaires du système d'applications.
3.10.1 APERÇU DU PROCESSUS DE GESTION DES
MODIFICATIONS
Le processus de gestion des modî fi cations commence
avec l'autorisation des modifications. Il faut à cet eflèt une
méthodologie de priorisation et d'npprobation des demandes
de modification au système. Les demandes de modification
proviennent autant des utilisateurs finaux que du personnel
des opérations et du personnel de développement ou de
maintenance des systèmes. Dans tous les cas, on doit obtenir
une autorisation à des niveaux appropriés d'utilisateurs finaux
et du service de gestion des systèmes (p. ex., groupe de contrôle
des modifications, tableaux de contrôle de configuration).
Pour les systèmes acquis, le fournisseur peut distribuer des
mises à jour périodiques, des programmes de correction ou
des nouvelles versions du logiciel. Le service de gestion des
utilisateurs et des systèmes doit examiner de telles modifications.
On doit déterminer si les modifications sont appropriées pour
l'organisation, ou si elles auront des effets négatifS sur le système
existant.
Les utilisateurs doivent. co1nmuniquer les demandes de
modifications au système à l'aide d'une tOnne quelconque de
correspondance officielle, comme une demande standard de
modifications, une note de service ou un message par courricL La
demande de l'utilisateur doit comprendre, au minimum, le nom
du demandeur, la date de la demande, la date où la modification
est nécefisaire, la priorité de la dernande, une description détaillée
Manuel de Préparation CISA. 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
de la modification demandée, une desc-ription de tous les etTets
anticipés sur les autres systèmes ou programmes et les procédures
de recours pour le cas où les changements causeraient le bris
du système. !;utilisateur peut également fournir la rnison de
la modification, une analyse de justification des coûts ct les
avantages attendus de la modification. De plus, on doit s'assurer
que la demande a été revue et autorisée par le service de gestion
des usagers. Une signature sur le formulaire de demande ou sur la
note de service apporte habituellement. cette preuve.
Le format de la demande de modification doit assurer que toutes
les modifications sont examinées et que le personnel de la
gestion des systèmes peut suivre facilement l'avancement de la
demande. Ceci se fait habituellement en assignant un numéro de
contrôle unique à chaque demande et en entrant l'information de
la demande de modifications dans tm système informatique. Cela
peut également se faire manuellement. Grâce aux infOrmations
détaillées fournies sur chaque demande, la direction peut
déterminer quelles sont les demandes qui ont été complétées,
celles qui sont en traitemenl ou celles qui n'ont pas encore été
traitées. La direction peut également utiliser cette information
pour s'assurer que les demandes d'usagers sont traitées à temps.
Voir la figure 3.30.
Toutes les demandes de changements et leur infOrmation
afférente doivent être analysées d'un point de vue des impacts sur
la sécurité pour valider l'impact du changement sur l'état généntl
de la sécUiité du système. Le personnel de maintenance du
système doit conserver toute la documentation des changements
et les renseignements de référence comme faisant partie de la
documentation pem1anente du système.
Des documents de maintenance de toutes les modifications
de programmes doivent être produits, soit manuellement soit
automatiquement. Plusieurs logiciels de gestion de documents
otfrent ce type de piste d'audit. L'infonmltion de maintenance
comprend habituellement le numéro d'identification du
programmeur, l'heure et la d<Jte de la modification, le numéro de
projet ou de demande associé à la modification et les images des
lignes de code avant et après changement.
Cc processus devient encore plus important lorsque le
programmeur qui crée le programme est également l'opérateur.
Dans pareil cas. on suppose que le service des TI est petit ou
qu'il y a peu d'applications en traitement. Les procédures de
gestion des modifications spéciales doivent être suivies de près
puisqu'une ségrégation des tâches ne peut êtrt: établie dans un
tel environnement; des contrôles de compensation sont requis.
Le service de gestion des utilisateurs doit être attentif aux
modifications et mises à niveau effectuées par le programmeur,
et le programmeur doit obtenir !"autorisation appropriée avant de
mettre en production toute modification. Au lieu du processus
manuel garantissant que la direction approuve les modifications
avant que le programmeur puisse les soumet1re à la production, la
direction peul disposer d'un logiciel de contrôle automatisé des
modifications afin de prévenir les modifications au programme
non autorisées. Ainsi, le programmeur n'est plus responsable de
la migration des modifications vers la production. Le logiciel
de contrôle des modifications devient l'opérateur qui migre les
modifications du programmeur vers la production dès lors que
l'autorisntion de la direction a été obtenue.
241
Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e '
. ertified Information
Systems Auditof
A.>"'""'"'''"'""

Figure 3.30- EXemple de fôrmulaire de demande de changement

r==============---·-

Document de demande de changement

1. Contenu
Ce document doit assurer que, au minimum, tout changement majeur sera appliqué â la mission du client ou aux systèmes critiques
dans un environnement contrôlé. Il doit soutenir toutes les parties affectées dans l'obtention d'une infrastructure plus fiable
et rêsiliente. Par conséquent, l'utilisation de ce document est obligatoire pour tout le personnel impliqué et-lors des activités
normales-il doit être distribué en temps opportun pour permettre l'établissement d'un calendrier de changement. Dans le rare
cas d'un changement d'urgence, if doit être éventuellement complété à des fins de documentation. Dans tous les cas, il doit
toujours y avoir une approbation officielle de la demande de changement traitée dans ce document.

2. Recommandations d'utilisation
La figure suivante îllustre les recommandations d'utilisation de ce document
L'aire ombragée en rouge représente l'utilisation obligatoire de la procédure de demande de
changement décrite dans ce document.
Si le changement proposé a un impact sur un système critique/vital (criticité élevée) ou
sur une grande quantité de systèmes {grande pénétration), alors il s'agit, par définition, d'un
changement majeur et la procédure de demande de changement doit être exécutée.
Dans tout autre cas (aire laissée vide dans la figure}, Je demandeur peut choisir une approclm
officielle ou peut décider de ne pas utiliser la procédure de demande de changement.
Pour respecter les meilleures pratiques, une liste doit être créée afin d'indiquer tous les
Pénétration systèmes classés comme êtant critiques ou vitaux afin que le demandeur saclm vers où se
diriger {criticité). De plus, un pourcentage limite de systèmes affectés dol! être publié afin que soit clalrement défini le moment
où la procêdure de demande de changement doit être utilisée (pênétration).

4. Portée du changement
Résumé

Description détaillée (soyez aussi précis que possible)

Avantage prévu .

242 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e Certifled !nformatloo

~.:.~~~.l~~i!Of"
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section deux : Contenu

Efgure 3.30- EXemple de fonnulaire ile demande de changement (suitê) _ _

Liste de vérification de la mise en oeuvre/gestion des versions

Tâche Description Personne responsable

Éléments de configuration affectés (EC) et impact sur les EC

Oui/Non Description

Dégradation du rendement DO
Perte de redondance DO
Interruption du service DO
Redémarrage DO
Temps d'arrêt DO
Récupération/suppression DO
Coûts associés (matériel, logiciel, main-d'oeuvre, etc.)

5. Approbation/refus
Commentaires

r
6. Révision postimplantation
Sommaire

Oui/Non Description

L'implantation répond-elle à vos attentes? DO

Ya-t-il des déviations par rapport à la procédure ci-dessus? DO
La base de données de gestion de la DO
documentation/configuration est-elle à jour?

Les parties prenantes sont-elles informées du changement? DO

Manuel de Préparation CISA 26• édition 243

ISACA. Tous droits rêservés.
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
Les programmeurs ne doivent pas avoir accès à l'écriture, la
modification ou la suppression des données de production.
Selon le type d'information en production. il est possible que le
programmeur n'ait pas même l'accès en lecture seule (ou accès
au numéro de carte de crédit du client, à son numéro d'assurance
sociale ou de carte d'identité nationnle, ou à toute autre
information sensible qui peut nécessiter des mesures de sécurilé
supplémentaires).
Déploiement des modifications
Après que l'utilisateur final a déclaré être satisHtit des résultats
des tests du système et du caractère adéquat de la documentation
du système, on doit obtenir l'approbation du service de gestion
des utilisateurs. Les utilisateurs doivent communiquer les
demandes de modifïcations au système à l'aide d'une lOrme
quelconque de correspondance oflïcielle, comme une demande
standard de modifications, une note de service ou un message par
courriel.
Documentation
Pour assurer l'utilisation efficace et la maintenance future d'un
système, il est important que toute l'information pertinente
du système soit maintenue à jour. En raison de contraintes de
temps et de ressources limitées, on néglige souvent d'et1Cctucr
des mises à jour méthodiques de la documentation. La
documentation nécessitant une révision peut comprendre des
organigrammes du programme ou du système, des narratif.<>
de programme, des dictionnaires de données, des modèles
entité relation, des diagmmmcs de flux de données (DFD), des
dossiers d'exploitation de l'opérateur et des guides de procédure
de l'utilisateur l'ina!. Maintenir 1a cohérence interne de tous
ces éléments présente un défi; une trousse de gestion de la
configuration logicielle peut être un outil précieux.
Des procédures doivent être en place pour veiller à ce que la
documentation entreposée hors site aux fins de reprise après
sinistre soit aussi maintenue à jour. Cette documentation est
souvent oubliée et peut être périmée.
Test des programmes modifiés
Les programmes modifiés doivent être testés et éventuellement
ccrti f1és avec la même rigueur que pour les systèmes
nouvellement élaborés, afin de s'assurer que les modifications
exécutent les fonctions attendues. De plus, si l'analyse des risques
détermine quïls sont nécessaires, des tests supplémentaires
doivent être cffèctués pour s'assurer que:
• Cette fonctionnalité existante n'est pa-> endommagée par la
modification;
• La performance du système ne s'est pas dégradé à cause de la
modification;
• Aucun 1isque à la sécurité ne découle de la modification.
Audit des modifications de programme
En évaluant si les procédures de modifications de programme
sont adéquates, l'auditeur des SI doit veiller à ce que des contrôles
soient en place pour protéger les programmes d'application de
production contre des modifications non autorisées. Les objectifs
de contrôle sont les suivants :
• L'accès aux bibliothèques de programmes doit être limité.
• Des examens de supervision doivent être effectués.
244
e. H
Certlflll'd lnfo~matlon
Systems Allditor'
~,~,r..·c~"'""'"'
• Les demandes de modification doivent être approuvées et
documentées.
• Les impacts potentiels des modifications doivent être évalués.
• La demande de modifications doit être documentée sur un
formulnire standard, en faisant particulièrement attention aux
éléments suivants :
~les spécifications de la modification doivent être
adéquatement décrites, l'analyse des coüts doit être effectuée
et la date limite doit être fixée.
-··le formulaire de demande de modifications doit être signé par
l'utilisateur pour indiquer son approbation.
---le formulaire de demande de modifications doit être examiné
et approuvé par la direction de la programmation.
-le travail doit être confié à un analyste, un progmmmcur et un
chef d'équipe de programmation pour supervision.
• Un échantillon de modifications au programme faites durant ln
période d'audit doit être choisi et retracé jusqu'au fOrmulaire
de maintenance pour déterminer si les modifications sont
autœisées; on doit vérifier que le ibrmubire affiche les
autorisations appropriées ct comparer la date sur le formulaire
et la date de mise à jourde la production pour s'assurer qu'elles
concordent.
• Si un groupe indépendant met ùjour les modifications en
production, l'auditeur des SI doit détenniner avant !a mise
à jour si des procédures existent pour vérî fier que le groupe
possède bien le tbrmulaire de demande de modifications. (Ceci
est accompli en observant les groupes dans l'exécution de leur
travail.)
Modifications d'urgence
À certains moments, des modifications d'urgence sont
nécessaires pour résoudre des problèmes de système et permettre
la continuation du traitement d'un« travail de production }f
clitîque. Des procédures doivent exister dans le guide des
opérations de l'application pour s'assurer que des réparations
d'urgence peuvent être e11èctuées sans compromettre l'intégrité
du système. Ceci comprend habituellement l'utilisation de
codes spéciaux d'utilisateur (c.Mà-d. des codes d'urgence), qui
accordent au programmeur ou à J'analyste un accès temporaire à
l'environnement de production pendant ces situations d'urgence.
L'utilisation de codes d'urgence dolt être consignée et surveillée
attentivement, puisque leur utilisation donne des privilèges
importants. Les réparations d'urgence doivent être e'ftèctuées en
utilisant des procédures après coup et de suivi qui garantissent
que tous les contrôles normaux de gestion des modifications
sont rétronctivement nppliqués. Les modifications cffèctuées de
cette manière sont conservées dans une bibliothèque spécinle
d'urgence. d'où elles peuvent être déplacées le plus tôt possible
vers les bibliothèques de production normales, par l'entremise
du processus de gestion des modifications. L'auditeur des SI
doit prêter une attention particulière au traitement approprié et
transparent des modifications d'urgence.
Déploiement des modifications vers la production
Une fois que le service de gestion des utilisateurs a approuvé la
modification, les programmes modifiés peuvent être déplacés
vers l'environnement de production. Un groupe indépendant
de la programmation infOrmatique doit effectuer la migration
des programmes, du test à la production. Des groupes comme
les opérations informatiques, l'assurance qualité ou un groupe
Manuel de Préparation CISA 26" édition
ISACA. Tous droits Têservés.
e Certîfied Information
Systems Al.!ditor'
~~-
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
désigné de contrôle des modifications doivent exécuter cette
fonction.
Pour assurer que seules les personnes auto tisées peuvent migrer
les programmes vers la production, des restrictions d'accès
appropriées doivent être en place. Ces restriclions peuvent être
mises en œuvre au moyen de la sée-urité du système d'exploitation
ou d'un progiciel externe de sécurité.
Les systèmes d'exploitation répartis, comme les systèmes de
terminaux de points de vente, posent un défi supplémentaire, car
on doit s'assurer que les programmes modifiés sont introduits à
tous les nœuds du système. L:introduction peut se faire sur une
pé1iodc de temps considérable, afin de permettre :
• L'application de contrôles sur la conversion des données.
.. L.a fommtion du personnel qui utilisera le logiciel modifié.
• Un appui aux utilisateurs du système modifié.
• La réduction du risque associé à ln modification simultanée
de tous les nœuds ct la capacité de faire marche arrière si un
problème survient.
Compte tenu du temps parfois requis pour introduire les
modifications il tout le système réparti, les contrôles doivenl
assurer que tous les nœuds seront mis à jour. Si des modifications
sont f:1itcs sur une base régulière, il peut être nécessaire de
vérifier périodiquement que lous les nœuds utilisent la même
version de tous les logiciels.
Risques des modifications (modifications non
autorisées)
Une modification non nutorisëc des programmes d'application du
système peut survenir pour plusieurs raisons :
• Le programmeur a accès aux bibliothèques de production
contenant des programmes ct des données, y compris un code
exécutable.
• l;utilisateur responsable de l'application n'était pas au couranl
de la modification (aucun utilisateur n'n signé la demande de
modification pour maintennncc approuvant le début du travail).
• Le formulaire de demande de modification et !es procédures
n'ont pas été !-Orme!Jement établis.
.. Le responsable approp1ié de la direction n'a pas signé le
formulaire de modification approuvant le début du travaiL
• L'utilisateur n'a pas signé le formulaire de modification
indiquant son acceptation avant la mise ù jour de la modification
en production.
• Le code source modifié n'a pas été convenablement révisé par le
personnel approprié de la programmation.
• Le responsable approprié de la direction n'a pas signé !c
formulaire de modification approuvant la mise à jour du
programme vers la production.
• Le programmeur a ajouté un code supplémentaire pour son gain
personnel (c.-il-d. qu'il a commis une fraude).
• Les modifications reçues du fournisseur du logiciel n'ont
pas été testées, ou on a permis au fournisseur de charger les
modifications directement dans la production ou sur le site. Cela
sc produit dans les cas de sites de traitement répmtîs, comme
les points de vente, les applications bancaires, les réseaux de
guichets automatiques bancaires, etc.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
3.10.2 GESTION DE LA CONFIGURATION
En raison des difficultés associées ù l'exercice du contrôle sur les
activités de maintenance de la programmation ct des systèmes,
de plus en plus d'organisations mettent en place des systèmes
de gestion de la configuration. En fait, dans plusieurs cas, les
conditions de régulation exigent que ces nivcnux de contrôle
fournissent un haut niveau de fiabilité et de répètabilité pour tous
les processus associés du système (systèmes gouvernementaux,
infrastructures critiques, SC'I. etc.). Dans un système de gestion
de la configuration, les demandes de maintenance doivent être
formellement documentées ct approuvées par un groupe de
contrôle d~s modifications (p. ex., les comités de contrôle de la
configuration). De plus. on doit exercer un contrôle minutieux de
chaque étape du processus de maintenance au moyen de points de
contrôle, de révisions et de procédures d'approbation. Du point
de vue de l'audit, l'usage efficace de ce logiciel est une indication
imp011ante de l'engagement de la direction envers un contrôle
minutieux du processus de maintenance.
La gestion de la configuration comporte des procédures tout au
long du cycle de vie du matériel et du logiciel (de l'analyse des
exigences à la maintenance), pour identifier, définir et référencer
les éléments logiciels dans le système et. ainsi fournir une base
pour la gestion des problèmes, la gestion des modifications ct la
gestion des mises en production.
De plus, le processus de vérification prévient ou gère les
corrections de codes simultanées, alors que les architectes du
matériel informatique, du réseau et du système passent en revue
et approuvent les changements ou mises à jour, tant au matériel
informatique qu'aux systèmes de suivi des stocks.
L'inspection est le processus qui consiste il déplacer un élément
vers un environnement contrôlé. Lorsqu'une modification
est requise (et appuyée par un formulaire de contrôle de
modification), le directeur de la configuration vérifiera l'élément.
Une fois la modification effectuée, l'élément peut être vérifié en
utilisnnt un numéro de version différent. De même, le processus
d'inspection empêche ou gère les modifications de code
simultanées. Les architectes du matériel informatique, du réseau
ct du système passent en revue et approuvent les changements ou
mises à jour, tant au matériel informatique qu'aux systèmes de
suivi des stocks.
Pour que la gestion de la configuration fonctionne, la direction
doit appuyer le concept de gestion de la configuration. Le
processus de gestion de la configuration est mis en œuvre en
élaborant el' en suivant un plan de gestion de la configuration ct
des procédures de fonctionnement. Ce plan ne doit pas être limité
uniquement aux logiciels développés, mais il doit également
comprendre toute la documentation, les plans de test et les
procédures du système. En tant que responsabilité associée ù
la gestion de la configuration logicielle, le responsable de la
maintennnce doit exécuter les étapes suivantes :
1. Développer le plan de gestion de la configuration.
2. Référencer le matériel, le code, les connexions réseau physique
ct logiques, les protocoles et services des ports et les documents
techniques, opérationnels et administratifs associés.
3. Analyser les résultats du contrôle de la configuration ct en faire
rapport.
245
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
4. Concevoir les rapports qui fOurnissent l'information sur l'état
de la configuration.
5. Élaborer des procédures de mise en production.
6. Effectuer des activités de contrôle de la configuration, tels
l'identification et J'enregistrement de la demande.
7. Mettre à jour l'état de configuration de la base de données de
comptabilité.
Très souvent, des Jogicîcls commerciaux seront utilisés pour
automatiser les processus manuels. De tels outils doivent toujours
permettre le maintien du contrôle des logiciels d'application, du
début de l'analyse ct de la conception du système jusqu'à son
fonctionnement en direct.
Les outils de gestion de la configuration doivent appuyer la
gestion des modifications et la gestion de la mise en production
en proposant un appui automatisé dans les domaines suivants :
1. L'identification des éléments touchés par une modification
proposée afin d'aider à l'évaluation de !'impact (fonctî01mel,
opérationnel et sur la sécurité).
2. Cenregistrement des éléments de configuration touchés par les
modifications autorisées.
3. La mise en application des modifications conformément aux
documents d'autorisation.
4. t:enregistrement des modifications d'éléments de
configuration lors de la mise en œuvre des modifications et des
mises en production autorisées.
5. L'enregistrement des références liées aux mises en production
(avec les conséquences connues) vers lesquelles l'organisation
reviendrait si les modifications mises en œuvre échouaient.
6. Préparation d'une mise en production, afin d'éviter l'erreur
humaine et les coûts en ressources.
La nouvelle version d'un système doit être construite uniquement
à partir des éléments référencés. La réfërencc devient la source de
recouvrement de confiance pour ces systèmes et applications.
3.11 OUTILS DE DÉVELOPPEMENT DES
SYSTÈMES ET AIDES À LA PRODUCTIVITÉ
Les outils de développement des systèmes et les aides à
la productivité comprennent les générateurs de codes, les
applications de génie logiciel assisté par ordinateur GLAO
(appelés aussi outils CASE--- Computer Aided So1lware
Engineering) et les langages de quatrième génération (L4G). Ces
outils et ces aides sont traités dans les sections suivantes.
3.11.1 GÉNÉRATEURS DE CODES
Les générateurs de codes sont des outils, souvent incorporés aux
produits de GLAO, qui génèrent des codes de programme en se
basant sur des paramètres définis par un analyste en système,
ou sur des données ou des organigrammes d'entités développés
par Je module de création d'un produit de GLAO. Ces produits
permettent à la plupart des développeurs de mettre efficacement
en place des programmes logiciels. L'auditeur des SI doit être au
courant du code source produit par de tels outils.
246
e Certified lnfonnation
Systems Al.ldîtor"
""'"'""'""'"""'""
3.11.2 GÉNIE LOGICIEL ASSISTÉ PAR ORDINATEUR
Le développement d'application exige la co!leclc, l'organisation
ct ln présentation d'une quantité substantielle de données à
l'échelle de l'application, des systèmes et du programme. Une
partie substantielle du travail de développement d'application
concerne la traduction de cette information en logique de
programme ct en code pour analyse, modification et implantation
subséquentes. Il s'agit souvent un processus chronophage, mais
nécessaire pour élaborer, utiliser et maintenir des applications
înf'Ormatîques.
Le génie- logiciel assisté par ordinateur (GLAO) utilise des outils
automatisés pour assister le processus de conception de logiciels.
Leur utilisation peut comprendre l'application d'outils logiciels
pour la capture ct l'analyse des exigences logicielles, la création
de logiciels, la production de code, les tests, la production de la
documentation et autTes activités de conception de logiciels.
Les produits de GLAO sont génémlement divisés en trois
catégories :
1. GLAO supérieur-- Produits utilisés pour décrire el
documenter les exigences organisationnelles ct logicielles.
Cette information comprend la définition des objets de
données et les interactions entre eux, ainsi que la définition des
processus ct les interactions entre eux.
2. GLAO intermédiaire- Produits utilisés pour concevoir
les plans détaillés. Ceux-ci comprennent la présentation des
pages-écran ct des rapports. les critères de modification,
l'organisation des olzjcls de données et le processus de
déroulement. Lorsque les éléments ou les interactions changent
lors de la conception, il suffit de faire des modifications
mineures ù la conception automatisée et toutes !es autres
interactions sont automatiquement mises à jour.
3. GLAO inférieur ~·Produits concernant la génération de
codes de programme et la définition de bases de données. Us
utilisent de l'infOrmation de conception détaillée, des règles
de programmation et des règles de syntaxe de base de données
pour générer la logique de programme, les fOrmats de fichiers
de données ou des logiciels complets.
Ce11ains produits GLAO englobent deux de ces catégories ou
même les trois.
Les outils de GLAO sont offerts pour les environnements
d'ordinateur central, de miniordinateur et de micro-ordinateur.
Ces outils peuvent mettre en place des systèmes de qualité
supérieure plus rapidement. Les produits de GLAO appliquent
une approche uniforme en matière de conception de systèmes,
ils tacilitent le stockage ct la recherche de documents ct ils
réduisent l'effort manuel dans le développement et la présentation
de l'information sur la conception de systèmes. Cc pouvoir
d'automatiser change la nature du processus de conception en
éliminant ou en combinant certaines étapes et en modifümt les
moyens de vérifier les spécifications ct les applications.
Lauditeur des SI doit pouvoir reconnaître les changements dans
le processus de développement qu'a apportés le CJLAO. Ce1tains
systèmes de GLAO permettent à l'équipe de projet de générer
un système complet à partir des DFD et des éléments de données
sans aucun code source traditionnel. Dans de tels cas, les DFD et
les éléments de données deviennent le code source.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits rêservés.
 Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
L'auditeur des SI doit obtenir l'assurance que les approbations
ont été obtenues pour les spêcificntions appropriées, que les
utilisateurs continuent à participer au processus de développement
et que les investissements dans les outils de GLAO rapportent en
termes de qualité et de rapidité. En matière de GLAO, l'auditeur
des SI doit examiner les autres facteurs clés suivants:
• Les outils de GLAO aident dans le processus de conception,
mais ils ne garantissent pas que la conception, les programmes
et le système sont corrects ou qu'ils répondent entièrement aux
besoins de l'organisation.
• Les outils de Gl,AO doivent compléter la méthodologie de
développement d'applications et s'y intégrer, mais il doit y
avoir une méthodologie de projet en place pour que les outils de
GLAO soient efricaces. La méthodologie doit être comprise ct
utilisée e1ficacement par les développeurs de l'organisation.
• L:intég1ité des données déplacées entre les produits de GLAO
ou entre les processus manuels et les processus de GLJ\0 doit
être surveillée et contrôlée.
• Les modifications à l'application doivent se refléter dans les
données mémorisées du produit de GLAO.
• Comme pour une application traditionnelle, des contrôles de
l'application doivent être créés.
• Le stockage central du GLAO (la base de données qui stocke
ct organise la documentation, les modèles et autres extrants des
différentes phases) doit être sécurisé en se basant sur Je principe
d'accès sélectif. Un contrôle strict de la version doit être
maintenu pour cette base de données.
L'auditeur des SI peut égnlemcnt devenir utilisateur des outils
de GLAO puisque plusieurs des fonctions facilitent le processus
d'audit. Les DFD, qui peuvent être le produit des outils du GLAO
supérieur et intermédiaire, peuvent être utilisés comme solutions
de remplacement ù d'autres techniques d'établissement de
graphiques d'acheminement. Les auditeurs des SI dont le service
des SI passe au GLAO utilisent une documentation produite par
GLAO dans leur audit. Certains essaient même d"utiliser des
outils de GLJ\0 pour créer la documentation d'audit. De plus, les
outils de GLAO peuvcnl être utilisés pour concevoir des logiciels
d'interrogation ct des modules intégrés d'audit. Les rappmis
réfCrcntiels doivent être utilisés pour obtenir une compréhension
du système et pour examiner les contrôles du processus de
conception.
3.11.3 LANGAGES DE QUATRIÈME GÉNÉRATION
Bien qu'il n'existe pas de définition standard d'un lAG, ses
caractéristiques les plus communes sont les suivantes :
• Le langage non procédural -- La plupart des L4G
n'obéissent pas au p<lradigme. procédural d"cxécution continue
dlns!ructions et d'appels de sous-programmes et de structures
de contrôle. Ils sont plutôt guidés par !'évènement et sc servent
beaucoup de concepts de programmation orientée objet, tels les
objets, les proprîétés et les méthodes.
-- Par exemple, le programmeur COBOL qui veut produire un
rapport t1ié d'une certaine manière doit d"abord ouvrir et
lire le fichier des données, puis trier le fichier et finalement
produire le rapport. Le L4G typique traite Je rapport comme
un objet avec des propriétés, comme le nom du fichier entrant
ct l'ordre de tri, et des méthodes comme Je tri du fichier ct
l'impression du rappor!
·-Il fnut être prudent en utilisant les L4G. Contrairement aux
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
langages traditionnels, les L4G peuvent faire preuve d'un
manque de commandes détaillées de niveau inferieur qui
sont nécessaires pour exécuter certains types d'opérations
en ligne ou à grand volume de données. Ces opérations
sont habituellement requises pendant le développement
d'applications majeures. Pour cette raison, l'utilisation des
L4G comme langages de réalisation de programmes doit être
examinée avec soin par rapport aux langages traditionnels
discutés précédemment.
• Indépendance par rapport à l'environnement (portabilité)
-- Benucoup de L4G sont portables à travers les architectures
d"ordinateur, les systèmes d"exploitation et moniteurs de
télécommunications. Certains L4G ont été implantés sur des
processeurs d'ordinateur central cl sur des micro-ordinateurs.
• Fonctionnalités logicielles··- Ces fonctionnalités comprennent
la capacité de concevoir ou de peindre des formats d'écrans
d'extraction, d'élaborer des routines de fmmation assistées
par ordinateur ou des écrans d'aide et de produire des sorties
graphiques.
• Concepts d'atelier pour programmeur--- Le programmeur
peut avoir accès par un terminal à des fonctionnalités faciles
de classement, de stockage temporaire, de modification de
texte ct de commandes du système d'exploitation. Ce type
d'approche d"atelier est étroitement associé à l'approche de
conception d'applications du GLAO. On l'appelle souvent un
environnement de développement intégré.
'" Sous-ensembles de langage simple- Les L4G ont
généralement des sous-ensembles de langage simple qui peuvent
être utilisés pm des utilisateurs moins expérimentés dans un
centre d'information.
Les L4G sont souvent classés de la manière suivante :
• Générateurs d'interrogation ct de rapports -Ces langages
spécialisés peuvent extraire ct produire des rapports (logiciel
d'audit). On a produit récemment des langages plus puissants
qui peuvent acc~dcr aux enregistrements de base de données,
produire des sorties en ligne complexes et qui peuvent être
élaborés dans un langage presque naturel.
• L4G de base de données intégrée--~ Ceu.x-ci dépendent de
systemes autonomes de gestion de bases de données. Cette
caractéristique les rend souvent plus conviviaux, mais elle
peut aussi entraîner un manque d'intégration des applications
aux autres applications de production. Par exemple, FOC US,
RAMIS Il et NOMAD 2.
• IAG de base de données relationnelle .... Ces produits de
langages de haut niveau sont habituellement une fonction
optionnelle dans la gamme de produits d'un fournisseur de
SGBD. Ceux-ci pem1ettent au développeur de faire un meilleur
usage des produits de SGBD, mais souvent ils ne sont pas
orientés utilisateur final. Par exemple, SQL +, MANTJS et
NATURAL.
• Générateur d'applications~ Ces outils de développement
génèrent des langages de programmation de niveau inférieur
(L3G), comme COBOL ct C. Lapplication peut être encore
plus personnalisee. C'est le personnel de développement du
traitement des données, non l'utilisateur final, qui utilise les
générateurs d'applications.
247
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e Gertified lnforma!loo
Systems Allllilnr'
,_,,,.wc.... ,,.,..,,

3.12 PRATIQUES D'AMÉLIORATION DES
PROCESSUS
Les processus opérationnels nécessitent des améliorations qui
sont réalisées à l'aide de pratiques ct de techniques traitées dans
les sections suivantes.
3.12.1 RECONFIGURATION DES PROCESSUS ET
PROJETS DE MODIFICATION DES PROCESSUS
Le modèle générique illustré à la figure 3.31 est une
description très élémentaire d'un processus (une cetiaine tOnne
d'information entre dans le processus, eJie est traitée et le résultat
est mesuré par rapport au but ou à l'objectif du processus).
Le niveau de détail nécessaire (p. ex., la décomposition des
sous~processus en activité) dépend beaucoup de la complexité
du processus, des connaissances du personnel concerné et des
exigences de la société par rapport à la fonctionnalité de l'audit
(performance ct conformité) du processus, et doit s'intégrer
dans un système de gestion de la qualité existant (p. ex., ISO
9001:2000).
Tout extrant produit par un processus doit être lié à un objectif
opérationnel t:l respecter des normes d'entreprise définies. La
surveillance de l'efflcacité (atteinte des objectif..;;), de l'efficience
(effort minimum) ct de la conformité doit être faite régulièrement
et doit faire partie des rapports de gestion à réviser en veJill du
cycle planifîcr-tàîre-vérifier-agir (PDCA).
La rcconfiguration des processus opérationnels (BPR) permet
de faire face aux pressions concurrcnlielles et économiques et
aux demandes des clients pour survivre dans l'environnement
commercial actuel. Il s'agit généralement d'automatiser
les processus de système pour qu'ils compo11cnt moins
d'interventions et contrôles manuels. La rcconfiguration des
processus opérationnels accomplie à l'aide de l'implantation
d'un système d'ERP est souvent appelée réingénîerie adaptée à
l'ensemble. Les avantages de la reconfiguration des proces~·ms
opérationnels surviennent habituellement lorsque Je processus
de réingénierie répond aux besoins de J'entreprise. La
reconfîguration des processus opérationnels est une méthode de
plus en plus appréciée pour réaliser des économies de cotîts gnîce
à l'allègement des opérations.
Les étnpes d'une reconfiguration des processus opérationnels
réussie sont les suivantes :
• Définir les zones à réviser.
9
Créer un plan de projet.
• Acquérir une compréhension du processus en révision.
• Redéfinir et alléger le processus.
• Mettre en place et surveiller le nouveau processus.
.. [-:tablir un processus d'amélioration continue.
À mesure que s'installe le processus de réingénierie, de nouveaux
résultats commencent à émerger :
• De nouvelles priorités d'affaires, fOndees sur la valeur ct les
exigences des clients;
• Une attention portée au processus en tant que moyen
d'améliorer les produits, le service ct les bénéfices;
• De nouvelles approches pour organiser et motiver les gens à
1'intérieur et à l'extérieur de l'entreprise;
• De nouvelles approches pour l'utilisation de technologies dans
le développement, ln production et la livraison de produits et
services:
• De nouvelles approches pour l'utilisation de l'information, ainsi
que des technologies de l'information plus puissantes et plus
accessibles;
• Des rôles redéfinis pour les fOurnisseurs, y compris
l'externalisation, le développement commun, la réponse rapide,
le soutien ct le stockage en temps opportun;
• Des rôles redéfinis pour les clients, en leur offrant une

figure 3.31 -Modèle de processus générique

Responsable Objectifs du
du processus processus
ContrOle du processus
Paramètres du processus (qual'tté,
indicateurs dés de rendement, etc.)

Processus

DD
(Défini) lntrant Extra nt (défini)

Sous~processus ou activités

Démarreur de processus Ressources Rôles

248 Manuel de Préparation CISA 26' édition

ISACA. Tous droïts réservés.
e . Gertilied lnfo~lion
H. Systems Audltor"
ln<OACA'0"1•'<'<1»1
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
pmiicipation plus directe et plus active dans le processus
opérationnel de l'entreprise.
Unü reconfiguration où un projet de modification des processus
réussit repose sur la réalisation, par l'équipe de projet, des actions
suivantes relatives aux processus existants :
• Une décomposition du processus jusqu'au niveau Je plus bas
(appelée généralement processus élémentaire) est nécessaire
pour évaluer eJTicacemcnt Je processus opérationnel, qui est une
unité de travail exécutée avec un entrant et un extrant définis.
• L'identification des clients, des directeurs ou des responsables
de processus chargés des processus du début à la fin.
• La documentation de l'information du profil associée au
processus élémentaire, y compris:
-la durée;
---le déclencheur (pour faire agir le processus);
- la fréquence;
-J'effort;
--la responsabilité (responsable de processus);
·- lïntrant ctl'extrant;
~ les interfaces externes;
l'interaction des systèmes;
-·· l'information sur le risque ct le contrôle;
l'information sur la mesure de la performance;
les zones problématiques identifiées et leurs causes profondes.
Les processus de base existants doivent être documentés, de
préférence sous forme d'organigrammes ct de documents
connexes relatifs au profil, afin qu'il soit possible de les comparer
après la réingénierie.
Les processus opérationnels nouvellement conçus entraînent
inévitablement des changements à la manière de faire des affaires
et peuvent avoir un impacl sur les finances, la philosophie et
le personnel de l'organisation, ainsi que sur ses partenaires
commerciaux et ses clients.
Tout au long du processus de modification, l'équipe de BPR
doit être sensible à la culture de l'organisation, sa structure, son
orientation, ainsi qu'aux éléments de changement La direction
doit également être en mesure de prédire ou d'anticiper les
problèmes et d'offrir des solutions appropriées qui vont accélérer
le processus de modification.
Les équipes de RPR peuvent être utilisées pour faciliter la
transition vers le processus opérationnel remodelé et aider le
personnel dans ce sens. Les professionnels de la BPR sont
précieux lorsqu'il s'agit de surveiller les progrès dans la
réalisation du plan stratégique de l'organisation.
Lors de la BPR, l'une des principales inquiétudes est la
suppression de contrôles clés. La tâche de 1'auditeur des SI
consiste à reconnaître les contrôles clés existants et à évaluer
l'impact de leur élimination. Si les contrôles clés sont des
contrôles préventif'>, l'auditeur des SI doit veiller à ce que la
direction soit au courant de l'élimination du contrôle, et qu'elle
soit prête à accepter le risque matériel possible associé à cette
suppression.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
Méthodes et techniques de reconffguration des
processus
Capplication à un processus de rnélhodes ct techniques
de rcconfiguration des processus opérationnels crée un
environnement immédiat de changement ct apporte une constance
des résultats.
PROCIISSlJS D'ANALYSE COMPARATIVE
L'analyse comparative vise l'amélioration des proc..:cssus
opérationnels. Elle se définit comme le processus continu
et systématique d'évaluation des produits, des services et
des processus de travail de l'organisation reconnus comme
<< réfërence ;> de renommée mondiale dans un monde
internationalisé. Les produits, services ou processus de référence
sont analysés systématiquement à une ou plus des fins suivantes :
• Comparaison et classement;
• Planification stratégique, analyse FFOM (forces, faiblesses,
occasions et menaces);
• Décisions d'investissement, acquisitions d'entreprise, fusions;
• Conception, remodelage ou réingénierie d'un produit ou d'un
processus;
• BPR.
L'équipe d'analyse comparative suit habituellement les étapes
énumérées ci-dessous lorsqu'elle effectue un exercice d'nnalyse
comparative :
1. Planifier- Au stade de la planification, les processus critiques
sont déterminés pour l'exercice d'analyse comparative.
L'équipe d'analyse comparative doit détcnniner les processus
cr1tiques ct comprendre la façon dont ils sont mesurés, les
types de données nécessaires et la manière dont les données
doivent être recueillies.
2. Rechercher-" Céquipc doit recueillir des données de base
relatives au processus de sa propre entreprise avant de recueillir
ces mêmes données relatives à d'autres organisations. L'étape
suivante consiste à identifier des produits ou entreprises de
référence en utilisant des sources comme les journaux ou
magazines d'affaires, les gagnants de prix de qualité, les revues
professionnelles, des consultants, etc. Selon les préférences
et les ressources de l'équipe ainsi que du marché, différents
scénarios peuvent émerger :
~ Des points de référence correspondant aux intérêts de
l'entreprise existent déjà et sont disponibles sans frais auprès
d'associations professionnelles, de journaux ou de firmes
d'analyse.
-L'entreprise peut se joindre à un sondage lancé par un portail
Web spécialisé mono-industrie ou multi-industrie (p. ex., un
« poJtail-signet ;}) ou en faire la promotion.
~ Lentreprise peut effectuer une veille économique ou retenir
les services d'un tiers pour le faire.
Centreprise peut conclure une entente de partage
d'information avec un« partenaire de référence)> ou
plusieurs d'entre eux.
-Selon le but de l'exercice et du scénario résultant ci-dessus,
les étapes suivantes pourront être passées ou adaptées.
3. Observer~ L'étape suivante consiste à recueillir des données
et à visiter le partenaire d'analyse comparative. Il doit y avoir
une entente avec l'organisation partenaire, un plan de cueillcrte
des données et une méthode pour faciliter une observation
adéquate.
249
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
4. Analyser-- Cette étape comprend la récapitulation et
l'interprétation de:-; données recueillies, et l'analyse des écarts
entre le processus de l'organisation et celui du partenaire. Le
but de cette étape sera de convertir les conclusions clés en
nouveaux objectif-. opérationnels.
5. Adopter-· L'adoption des résultats peut se révéler être l'étape
la plus dilTicile. Durant cette étape, l'éqL1ipe doit traduire les
conclusions en quelques principes-cadres ct doit travailler
vers le bas à partir des principes, en passant par les stratégies,
jusqu'aux plans d'action.
6. Améliorer-· L'amélioration continue est l'objectif clé de
l'exercice d'analyse comparative. Lanalyse comparative relie
chaque processus au sein de l'organisation à une stratégie
d'amélioration et des buts organisationnels.
Audit et évaluation de la recontlguration des processus
Lors de l'examen des eflürts de modification des processus d'une
organisation (réingénierie), l'auditeur des SI doit déterminer si:
• Les efforts de modification de l'organisation correspondent
dans l'ensemble à sa culture et à son plan stratégique;
• Céquipe de réingénierie !"l1ît un effort pour minimiser tout
impact négatif que la modification po lUTait avoir sur le
personnel de l'organisation;
• Céquipe de BPR a documenté les leçons à retenir après que le
projet de rcconfiguration ou de modificntion de-; procc.:;..o:;us a été
complété.
L'auditeur des SI doit également fournir un énoncé d'assurance
ou une conclusion relative aux objectifs de l'audit.
3.12.2 NORME ISO 25010:2011
La norme 1SO 250 10:20 Il est une nonne internationale
destinée à évaluer la qualité de produits logiciels. Elle définit
les caractéristique:-; ct le processus d'évaluation de ln qualité
associé qui doit être utilisé lors de la spécification des exigences
et l'évaluation de la qualité des produits logiciels tout au long de
leur cycle de vie. Les attributs évalués comprennent :
• La fOnctionnalité -!_;ensemble des attributs se rapportant à
l'existence d'un ensemble de fOnctions et à leurs propriétés
pmticulières. Les fonctions sont celles qui répondent à des
besoins déterminés ou présumés.
• La fiabilité- L'ensemble des attribut<> se rappo11ant à la
capacité du logiciel à maintenir son niveau de performance
dans des conditions déterminées pour une période de temps
déterminée.
.. La convivialité --l;enscmblc des attributs sc rapportant à
l'effort requis pour l'utilisation ct à l'évaluation individuelle
de cette utilisation par un ensemble déterminé ou présumé
d'utilisate-urs.
• I:efficience- t:enscmble des attributs sc rapportant à la
relation entre Je niveau de pc1formance du logiciel ct la quantité
de ressources utilisées dans des conditions déterminées.
• La maintenabilité ~L'ensemble des attributs se rapportant
à l'efl(Ht requis pour effectuer certaines modifications
déterminées.
• La portabilité L ensemble des attributs se rappmiant à la
capacité du logiciel à être transféré d'un environnement à un
autre.
250
e. .M.
CertJfi.ied lnformaliOfl
Systems Audftor"
~~,~--
3.12.3 INTÉGRATION DU MODÈLE DE MATURITÉ DES
CAPACITÉS
Après le !ancemem ct l'adoption réussis du modèle de maturité
des capacités (CMM) pour logiciels, d'autres modèles ont été
élaborés pour des disciplines comme 1'ingénielic de systèmes
informatiques, le développement intégré des produits, etc.
L'intégration du modèle de stabilisation des capacités (CMMI)
a été conçue comme un moyen de combiner les divers modèles
en un ensemble de modèles intégrés. La CMM 1 décrit également
cinq niveaux de stabilisation, bien que la description de ce que
constitue chacun des niveaux diffère de celle du CMM original.
La CM Ml est considérée comme étant moins directement
alignée sur l'approche en cascade traditionnelle en matière de
développement et mieux alignée sur les pratiques contemporaines
de développement de logiciels. y compris :
• Le développement itératif;
• La définition avancée de l'architecture:
• La notation de la conception basée sur le modèle;
• Le développement basé sur les composants;
• l:évaluation basée sur la démonstration de produits de
conception intem1édiaire;
• L'utilisation de processus évolutifS, configurables.
Les modèles de stabilisation comme le CMMI sont utiles pour
évaluer la gestion d'un centre informatisé et le processus de
gestion des fOnctions de développement, ainsi que pour implanter
et évaluer le processus de gestion des modifications en TI.
Voir la figure 3.32 pour connaître les caractéristiques des
modèles de stabilisation.
3.12.4 SÉRIE ISO/CEl 330XX
La nonne lSO/CEI 3300xx est constituée d'une série de nonnes
qui fOurnissent de l'orientation sur l'évaluation des processus.
Elle remplace et prolonge des parties des standards de la série
ISO/IEC 15504. La n01111c ISO/IEC 33002:2015 dresse la liste
des exigences pour une évaluation efficace des processus. La
norme ISO/IEC 33004:20 {5 fOurnit les exigences pour les
modèles de processus de référence, d'évaluation et de m;JtUiité.
Ln norme ISO/JEC 33020:2015 décrit lill cadre de mesure des
processus pour l'évaluation des capacités des processus. D'autres
documents JSO/IEC 330xx décrivent plus en détailla relation
entre cette série et la série ISO/IEC 15504 ct couvrent d'autres
sujets tels que l'amélioration des processus .
3.13 CONTRÔLES APPLICATIFS
Les contrôles d'application sont des contrôles effectués sur les
fonctions d'entrée., de traitement ct de f:ortic. lis englobent des
méthodes pour s'assurer que :
• Seules des données complètes, exactes et valides sont entrées et
mises à jour dans le système informatique;
• Le traitement exécute la tâche adéquate;
• Les résultats du traitement répondent aux attentes;
• Les données sont conservées.
Les contrôles d'application peuvent être des tests de saisie,
des totaux. des conciliatîons ainsi que 1'identification et le
signalemcnl" des données incorrectes, manquantes ou d'exception.
Les contrôles automatisés doivent être jumelés avec des
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e CerUfied tnformatioo
Systems Audîtor"
··--+-
..,,...,..... '-"'·'"''~'
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section deux : Contenu

procédures manuelles afin d'assurer une analyse appropriée des
exceptions.
Ces contrôles aident à s'assurer que les données sont exactes,
complètes, valides, vérifiables et cohérentes et, ce faisant, ù
obtenir l'intégrité et la fiabilité des données. L:implantation
de ces contrôles aide à assurer l'intégJité du système, que les
fonctions applicables du système s'exécutent comme prévu et
que l'information contenue dans le système est pertinente, fiable,
sécuritairc et disponible au besoin.
Voici certaines des tâches de l'auditeur des SI :
• L'identification des composantes importantes de l'application
et le flux de transactions dans le système. {;acquisition
d'une compréhension détaillée de l'application en révisant la
documentation disponible et en s'entretenant avec le personnel
approprié.
• L'identification des forces des contrôles d'application ainsi que
l'évaluation des conséquences de leurs faiblesses.
• Le développement d'une stratégie de test.
• Le lest des contrôles pour s'assurer de leur fonctionnalité et leur
efficacité en appliquant les procédures d'audit appropriées.
• L:évaluation de l'environnement de contrôle en analysant
les résulk'lts des essais et les autres preuves d'audit afin de
déterminer si les objectifs de contrôle ont été atteints.
• La considération des aspects fonctionnels de l'application afin
de s'assurer de son efficacité et son efficience en comparant le
système avec les normes de conception de systèmes efficaces.
en analysant les procédures utilisées et en les comparant aux
objectifs de la direction en cc qui a trait au système.
3.13.1 CONTRÔLES DE SAISIE
Les procédures de contrôle de saisie doivent assurer que chaque
transaction devant être traitée est entrée, traitée et enregistrée de
faç.on précise et complète. Ces contrôles doivent assurer que seule
l'information valide et autorisée est saisie et que ces transactions
ne sont traitées qu'une seule fOis. Dans un environnement de
systèmes intégré, les données de sortie générées par un système
devienncnl les données d'entrée d'un au! re système.
Par conséquent, le système qui reçoit les données de sortie d'tm
autre système en tant que données d'entrées doit appliquer deS
vérifications de saisie, des validations et des contrôles d'accès à
ces données.
Autorisation de saisie
L'autorisation de saisie consiste à vé1i fier que toutes les
transactions ont été autorisées ct approuvées par la direction.
Cautorisation de saisie aide à assurer que seules les données
autorisées sont entrées à des fins de traitement par les
applications. Cautorisation peut être exécutCe en ligne au moment
où les données sont saisies dans le système. Un rapport généré
par l'ordinateur, qui énumère les éléments qui nécessilent une
autorisation manuelle, peut aussi être produit. ri est important que
des contrôles existent dans l'ensemble du processus de traitement
afin d'assurer que les données autorisées dcrneun:nt inchangées.
Ceci est réalisable grâce à diverses vérifications de l'exactitude ct
de l'exhaustivité intégrées dans la conception de l'application.
Les types d'autorisation incluent:
• Les signatures sur les formulaires de lots ou sur les
documents sources- Donne la preuve de l'autorisation
appropriée.
~

Fig ur~ 3.32- Caraclêristiques !les niveaux de matürilê [CMMI) ~

Niveau 5 Accent sur l'amélioration

Optimisé du processus.

Niveau 4
Géré de façon Le processus est mesuré
quantitative et contrôlé.

Niveau 3 Le processus est caractérisé pour l'organisation et

Établi est proactif. (Les projets axent leurs processus en fonction
If+'-------' des normes de l'organisation.)

Niveau 2
Dirigé Le processus est caractérisé pour les projets et est souvent réactif.

Niveau 1
Initial Les processus sont imprévisibles, mal contrôlés et réactifs.

Source :Adapté de Godfrey, Sally; Using CMMI for lmprovement at GSFC, Systems Engineering Seminar, NASA, É.-U., 2004; fondé sur Software
Engineering lnstitute; CMMI" for Development, Version 1.3, É.-U., 2010
---------------- ____________
___)

Manuel de Préparation CISA 26• édition 251

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
• Contrôles d'accès en ligne- Assure que seules le~> personnes
autorisées peuvent avoir accès aux données ou peuvent exécuter
des fonctions sensibles.
• Mots de passe uniques-- Nécessaires pour assurer que
l'autorisation d'accès ne peut être compromise par l'utilisation
d'un accès autorisé aux données d'une autre personne. Les
mots de passe individuels permettent aussi de déterminer
l'imputabilité re!ative aux modifications de données. (Voir Je
chapitre 5. Protection des éléments d'actifinform<Jtionnel, pour
de plus amples renseignements.)
• Identification du terminal ou du poste de travail client
Utilisée pour limiter la saisie ù des terminaux ou à des postes
de travail spécifiques ainsi qu'à des personnes spécifiques. Les
terminaux et les postes de travail client dans un réseau peuvent
être configurés avec une fOrme unique dïdcntîfication, comme
un numéro de série ou un nom d'ordinateur authentifié par le
système.
• Documents sources -· Les formulaires utilisés pour enregistrer
les données. Un document source peut être un papier, un
document aller-retour ou une image affichée pour l'entrée de
données en ligne. Un document source bien conçu est utile à
plusieurs fins. li permet d'<:1ccroître la rapidité et l'exactitude
avec lesquelles les données peuvent être enregistrées, de
contrôler le flux de travail, de faciliter la préparation des
données en format lisible par les dîspositî[~ de reconnaissance
des fOrmes, d'augmenter la rapidité et l'exactitude avec
lesquelles les données peuvent être lues ainsi que faciliter les
vé1ificatîons de référence subséquentes.
Idéalement, les documents sources doivent être des tOnnulaires
préimprimés ou électroniques afin de fav01iser la cohérence,
l'exactitude ct la lisibilité. Les documents sources doivent avoir
des en-têtes, des titres, des notes et des directives standard. Leur
mise en page doit :
• MeUre l'accent sur la convivialité ct la lisibilité;
• Regrouper les champs similaires pour faciliter la saisie;
• Fournir des codes de saisie prédétcm1inés afin de réduire les
erreurs;
• Renfermer les numéros de renvoi appropriés ou un identifiant
comparable pour faciliter la recherche et le traçage;
• Se servir de cases pour pouvoir prévenir les erreurs llées à la
taille du champ;
• Comprendre une section réservée ù la direction pour qu'elle
documente 1'autorisation.
Tous les documents sources doivent être adéquatement contrôlés.
Des procédures doivent être mises en place pour assurer que les
données de tous les documents sources ont été saisies et pli ses en
considération. La prénumérotatîon des documents sources facilite
ce contrôle.
Contrôles des lots et contrôle de concordance des lots
Les contrôles des lots regroupent les tmnsactions saisies pour
offrir des totaux de contrôle. Le contrôle des lots peut être basé
sur les sommes d'argent totales, sur le nombre total d'articles, sur
le nombre total de documents ou sur des totaux mêlés.
Les bordereaux de contrôle de lot constituent un contrôle de
préparation des données. Tous les fomlUiaires de saisie doivent
être clairement identifiés et arborer le nom de l'application et les
252
des Systèmes d·'Jnformation
e ' H
Certif!OO !nformatioo
Systems Auditor"
---1---
'"""'-"C"""-"'"'
codes de transaction. l,orsquc c'est possible, il est recommandé
d'utiliser des fOrmulaires préimprimés et prénumérotés qui
possèdent des codes d'identification des transactions et d'autres
éléments de données consUmts. Ceci aiderait ù assurer que toutes
les données pertinentes ont été enregistrées sur les formulaires de
saisie et peut réduire les erreurs d'enregistrement ou de saisie de
données.
Les types de contrôles de lots incluent :
• Le total des valeurs monétaires- La vérification que la
valeur monétaire totale des éléments tmités équivaut à la valeur
monétaire totale des documents du lot. Par exemple, la valeur
monétaire totale des 11lctures du lot correspond à la valeur
monétaire totale des factures traitées. Ceci garantit l'intégralité
ct !'exactitude de la valeur des ventes traitées pour le lot.
• Le nombre total des articles·- La vérification que le nombre
total d'miicles inclus dans chaque document du lot correspond
au nombre total d'articles tmîtés. Pm· exemple, le nombre
total d'unités commandées dans le lot de factures correspond
au nombre total d'unités traitées. Ceci garantit l'intégralité et
l'exactitude des unités commandées dans le lot traité.
• Le nombre total de document·s La vérification que le
nombre total de documents du lot équivaut au nombre total de
documents traités. Par exemple, le nombre tot<Jl de factures d'un
lot correspond au nombre total de làcturcs traitées. Ceci garantit
1'intégralité du nombre de tàctures traitées.
• Les totaux de contrôle,.. La vérification que le total du lot
correspond au total calculé par le système. Un total bidon est
le total des champs sans valeur numérique inclus dans un lot
(comme le total des dates ou les chmnps de numéro de clients,
qui comme tels, n'ont aucune valeur informative). Ceci garantit
l'intégralité et l'exactitude des données entrées dans les champs
numériques du lot.
Le contrôle de concordance par lots peut être exécuté par le
biais d'une conciliation manuelle ou informatisée. Le calcul des
totaux de lots doit être combiné avec des procédures de suivi
adéquates. Il do il exister des contrôles adéquats pour assurer que
chaque transaction engendre un document de saisie, que tous les
documents sont inclus dans Je lot, que tous les lots sont soumis
au traitement, que tous les lots sont reçus par l'ordinateur, que la
conciliation des lots est eHèctuée, que les procédures d'analyse
et de correction des difl'ërences au moment oppmtun sont suivies
et qu'il existe des contrôles sur la« soumission à nouveau"
d'éléments rejetés.
Les types de contrôles de concordance par lot incluent :
• Les registres des lots-- Ces registres permettent d'enregistrer
les totaux des lots et de faire une comparaison subséquente avec
les totaux rapportés par le système.
• Les comptes de contrôle-- La tenue d'un compte de contrôle
est effectuée par le biais d'un fichier d'édition initial afin
de déterminer les totaux des lots. Les données sont ensuite
envoyées au fichier maître et une conciliation est effectuée entre
les totaux traités dans le fichier d'édition initial et le fichier
maître.
• Concordance inrormatique- La concordance înfOnnatique
avec les totaux des lots est effectuée par le biais de la saisie des
données de contrôle de lot qui servent à enregistrer les totaux
de lots; Je système les compare avec les totaux calculés, puis il
accepte ou rejette le lot.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e '. ertificd lnfonnation
Systems Audilor"
..,,.,...."'"""'""
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
Rapporter et traiter les erreurs
Le traitement des données d'entrée exige que les contrôles
soient identifiés afin de vérifier que le système n'accepte que les
données correctes et que les erreurs de saisie soient signalées ct
corrigées.
La correction des erreurs de conversion est nécessaire lors du
processus de conversion des données. Des erreurs causées par la
duplication des transactions et l'inexactitude de la saisie peuvent
survenir. À leur tour, ces erreurs peuvent avoir des répercussions
sur J'exhaustivité et J'exactitude des données. Les corrections
apportées aux données doivent être traitées par le biais des
processus normaux de conversion des données, puis être vérifiées,
autorisées et saisies de nouveau dans Je système dans le cadre du
traitement normal.
Les erreurs de saisie peuvent être traitées en :
• Rejetant seulement les transactions erronées- Seules les
transactions qui renferment des erreurs seraient rejetées; le reste
du lot serait tmité.
• Rejetant tout le lot de transactions Tout lot renfermant des
erreurs serait rejeté pour être corrigé avant d'être traité.
• Mettant le lot en suspens --Tous les lots qui renferment des
erreurs ne seraient pas rejetés; toutefois, le lot serait mis en
suspens en attendant la correction.
• Acceptant le lot, mais en signalant les tr·ansactions erronées
Tout lot renfermant des erreurs serait traité: toutefois, les
transactions qui renferment des erreurs seraient signalées afin
de permettre leur correction subséquente.
Parmi les techniques de contrôle de saisie, on trouve :
• Le journal des transactions- Il contient une liste détaillée
de toutes les mises à jour. Le journal peut être maintenu
manuellement ou être généré par la journalisatîon informatisée
automatique. Un journal des transactions peut être concilié au
nombre de documents sources reçus afin de vérifier que toutes
les transactions ont été enregistrées.
• Ln conciliation des données,_. E:lle permet de contrôler que
toutes les données reçues sont adéquatement enregistrées et
traitées.
• La documentation Elle constitue la preuve écrite liée aux
procédures de contrôle de !·utilisateur, de la saisie des données
et des données.
• Les procédures de correction des erreurs - Elles
comprennent :
·- Lajournalisation des erreurs;
r. . .cs corrections en temps opportun;
... La rcsoumission ascendante;
-r approbation des corrections;
-· La suspension de fichier;
~ Le classement des erreurs;
-- La validation des corrections.
• L'anticipation-· L'utilisateur ou le groupe de contrôle anticipe
la réception de données.
• Le .iournal de h·ansmission- Il sert à documenter la
transmission ou la réception de données.
• L'annulation de documents sources- Procédures pour annuler
les documents sources soit, entre autres, en les perforant ou en
les marquant afm d'éviter la duplication des entrées.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
3.13.2 PROCÉDURES ET CONTRÔLES DU TRAITEMENT
Les procédures ct contrôles du traitement ont pour but d'assurer la
fiabilité du traitement du programme d'application. Les auditeurs
des Sl doivent comprendre les procédures ct les contrôles qui
peuvent être exécutés sur le traltement afin de déterminer les
expositions soumises à ces contrôles ct celles qui ne le sont pas.
Procédures de validation et d'édition des données
Des procédures doivent être établies afin d'as;.;urer que les
données entrées sont validées ct éditées le plus tôt possible après
la saisie. Des fOrmats de saisie préprogrammés assurent que les
données saisies sont attribuées au bon champ ct dans le format
requis. Si les procédures de saisie permettent au superviseur
d'outrepasser la validation et l'édition des données, alors une
journalisation automatique doit être effectuée. La révision de cc
journal doit être effectuée par un dirigeant qui n'a pas outrepassé
.la validation et l'édition des données.
La valîdation des données sert à identifier les erreurs de données,
les données incomplètes ou manquantes et les incohérences parmi
les éléments de données associés. L:édition et la validation des
données de base peuvent être effectuées à condition d'utiliser des
tennînaux intelligents.
Les contrôles d'édition constituent des contrôles préventif:<; qui
sont utilisés dans un programme, avant que les données ne soient
traitées. S'ils ne sont pas en place ou s'ils ne fonctionnent pas
efficacement, les contrôles préventifs ne sont pas efficaces. Ccci
pourra entraîner le traitement de données inexactes. Le tableau
3.33 décrit les dillërents types de contrôles de validation des
données.
Contrôles du traitement
Les contrôles du traitement ont pour but d'assurer l'exhaustivité
et l'exactitude des données accumulées. Ils assurent aussi que
les données contenues dans un fichier ou une base de données
restent complètes et exactes jusqu'à ce qu'elles soient modifiées
par un processus auto1isé ou des routines de modification. Voici
des techniques de contrôle du traitement qui peuvent être mises en
œuvre pour résoudre des problèmes d'exhaustivité et d'exactitude
de données accumulées :
Recalculs manuels- Un échantillon de transactions peut être
recalculé manuellement afin de s'assurer que le traitement
exécute la tüchc prévue.
• Validation~ Une vérification de validation est une instruction
ou une sous-routine d'un programme qui teste l'exactitude,
l'exhaustivité et la validité des données. Elle peut servir à
contrôler les données d'entrée ou le traitement ultérieur des
données.
• Totaux intermédiaires- Les totaux intennédiaires permettent
la vé1ification des valeurs des données lors des étapes de
traitement de J'application. La vérification du total intermédiaire
assure que les données lues par 1'ordinateur ont été acceptées
puis appliquées au processus de mise à jour.
• Contrôles progntmmés --Un logiciel peut être utilisé pour
détecter cl initier une action corrective relative ù des erreurs
de données et de traitement Par exemple, si une version
inappropriée du fichier ou un fichier incorrect est utilisé pour le
traitement, alors le programme d'application pourrait afficher
253
Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e Certified Information
Systems Auditor·
-~-·
'"''""".'"'''"""'

des messages demandant que soit utilisé le bon fichier ou la
bonne version.
• Vérification de la vraisemblance des montants calculés
--Des programmes d'application peuvent servir à vérifier la
vraisemblance des montants calculés. La vraisemblance peut
être testée pour assurer l'exactitude d'un critère prédéterminé.
Toute tram;action jugée invraisemblable peut être rejetée en
attendant une révision supplémentaire.
• Contrôle de valeur limite des montants-- Une vérification
de validation peut donner l'assurance, grâce à l'utilisation de
limites prédétenninées, que les montants ont été entrés ou
calculés correctement. Toute transaction excédant la limite peut
être rejetée aux fins d'analyse supplémentaire.
• Conciliation des totaux de fichier--- Une conciliation des
totaux de fichier doit être exécutée de façon routinière. Des
conciliations peuvent être effectuées en utilisant un compte
maintenu manuellement, un enregistrement de contrôle de
fichier ou un fïchier de contrôle indépendant.
• Rapports d'exception- Rappo1is produits par un programme
qui identifie les transactions ou les données qui semblent
erronées. Ces items peuvent être hors de la portée prédéterminée
ou peuvent ne pas être confOrmes aux critères spécifiés.
Procédures de contrôle de fichier de données
Les contrôles de fkhier doivent assurer que les données ne
subissent que des traitements autorisés. Le tableau 3.34 montre
les types de contrôles de fichier.
Le contenu des fichiers de données. tout comme les tables de
bases de données, se classe habituellement en quatre catégories :
• Paramètres du système de contrôle--- Les entrées dans ces
fichiers modifient le fonctionnement du système ct peuvent

:ra~leau 3.33- Conltôlm; de validation des données

Contrôles
Contrôle de
séquence
Contrôle de valeur limite
Contrôle par fourchette
Contrôle de validité
Contrôle de vraisemblance
Table de recherche
Contrôle de l'existence
Vêrification sur clavier
Chiffre de contrôle
Contrôle d'intégralité
Contrôle de duplication
Contrôle des liens logiques
Description
Le numéro de contrôle suit une séquence et tous les numéros de contrôle en séquence ou dupliqués sont rejetés ou
inscrits sur un rapport d'exception à des fins de suivi. Par exemple, les factures sont numérotées séquentiellement.
Les factures du jour sont numérotées de 12001 à 15045. Si une facture dontle numéro est supérieur à 15045 est
dêcouverte en cours de traitement, elle sera rejetêe car son numêro serait invalide.
Les données ne doivent pas excéder un montant prédéterminé. Par exemple, le montant d'un chèque de paie ne doit
pas excéder 4000 $US. Si tel était le cas, la donnée serait rejetée pour vérification et autorisation supplémentaires.
Les données doivent se situer dans une fourchette de valeurs prédéterminées. Par exemple, les valeurs des codes
de produits sont comprises entre 100 et 250. Tout code n'entrant pas dans ces limites de la fourchette doit être
rejeté comme code de produit invalide.
La vérification programmée de la validité des données selon des critères prédéterminés. Par exemple, un
enregistrement relatif à la paie contient un champ pour l'état civil et les codes d'état acceptables sont M etC. La
saisie de tout autre code entraînerait le rejet de l'enregistrement.
Les données saisies sont associées à des limites raisonnables ou à des taux de survenue prédéterminés. Par
exemple, les commandes d'un fabricant de gadgets ne dépassent pas, habituellement, 20 unités. Si le fabricant
reçoit une commande qui excède 20 gadgets, le programme informatique doit être conçu pour imprimer
l'enregistrement avec un avis indiquant que la commande semble invraisemblable.
Les données saisies respectent des critères prédéterminés maintenus dans une table informatisée contenant les
valeurs possibles. Par exemple, le commis à l'entrée de données saisit un code de ville entre 1 et 1O. Ce numéro
correspond à une table informatisée qui jumelle le code à un nom de ville.
Les données sont entrées correctement et sont en accord avec les critères valides prédéterminés. Par exemple, un
code de transaction valide doit être saisi dans le champ de code de transaction.
Le processus de saisie au clavier est répété par une personne qui compare les touches originales avec les entrées
répétées. Par exemple. le numéro d'employé est entré deux fois, puis comparé pour vérifier le processus de saisie.
Une valeur numérique calculée de façon mathématique est ajoutée aux données pour assurer que les données
originales n'ont pas été altérées ou qu'une valeur incorrecte, mais valide, ne lui a pas été substituée. Ce contrôle est
efficace pour détecter des erreurs de transposition et de transcription. Par exemple, un chiffre de contrôle est ajouté
à un numéro de compte pour que l'exactitude de ce numéro soit vérifiée lorsqu'il est utilisé.
Un champ doit toujours contenir des données et non des zéros ou des blancs. Chacun des octets de ce champ doit
être vérifié aftn de déterminer que le champ contient bien des données et non des zéros ou des blancs. Par exemple,
aucun numéro d'employé n'est saisi dans le dossier d'un nouvel employé. Ce clmmp étant considéré un cllamp
principal, le dossier serait rejeté et une requête serait émise mentionnant que ce champ doit être rempli avant que le
dossier ne soit accepté pour le traitement.
Les nouvelles transactions sont jumelées à celles préalablement saisies afin d'assurer qu'elles n'ont pas déjà
été saisies. Par exemple, le numéro de facture d'un fournisseur est conforme avec les factures préalablement
enregistrées afin d'assurer que la commande courante n'est pas une duplication et, par le fait même, qu'elle ne sera
pas payée deux fois.
Si une condition précise est vraie, alors une ou plusieurs autres conditions ou des relations entre les données
peuvent devoir être vraies pour considérer l'entrée valide. Par exemple, la date d'embauche d'un employé doit être
supérieure d'au moins 16 ans à sa date de naissance.

254 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservês.
e Certified lnfurmation
Systems Atlditor·
""'""'"""'''"'~'
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
altérer les contrôles exercés par le système. Par exemple, le seuil
de tolérance avant qu'une transaction exceptionnelle ne soit
rappotiée ou bloquée. Les changements apportés à ces fichiers
doivent être contrôlés de la même manière que les changements
apportés au système.
• Données permanentes Ces « fichiers maîtres " comprennent
des données qui, comme les noms ct adresses des fOurnisseurs
et clients, changent très peu et auxquelles on peut se référer lors
du traitement. Ces données doivent être autorisées avant la saisie
ou la maintenance. Les contrôles de saisie peuvent consister en
un rapport de données modifiées vérifié et approuvé. Les pistes
d'audit peuvent servir à journaliser tous les changements.
• llonnées principales/données de balance -- Les balances et
les totaux cumulés, qui sont mis à jour par des transactions,
ne doivent pas être en mesure de s'ajuster, à moins d'une
approbation stricte et de contrôles de révision. Dans ce cas, les
pistes d'audit sont importantes, car le changement peut avoir des
répercussions sur les rappmts financiers.
• Fichiers de transacHon ·~ Us sont contrôlés par le biais de
vérification de validation, de totaux de contrôle, de rapports
d'exception, etc.
Il est à noter que les contrôles intégrés dans une application
représentent la conception des contrôles par la direction sur
la façon dont les processus d'affaires (approvisionnement ou
vente--s ou paie) doivent étrc régis. Alors que les applications
contiennent les règles pour la conduite des affaires, les données
qui résultent des processus sont stockées dans la base de données.
Une entreprise peut avoir les meilleurs contrôles intégrés dans
une application, mais si le personnel de direction met à jour
directement les données dans la base de données, alors les
bénéfices des meilleurs contrôles de l'application seront annulés.
Toutefois, dans la réallté des activités de production, ct dans
certaines situations, des entreprises peuvent avoir à effectuer
des mises à jour directes à la base de données. Par exemple,
si en raison d'une panne des systèmes, les transactions ne
pouvaient pas être traitées en temps réel pour quelques jours, il
ne serait pas pratique de soutenir, une fois la disponibilité dt!s
systèmes rétablie, que les arriérés soient entrés par l'application
(en première ligne) avant que les transactions des journées
subséquentes soient entrées ct tmitées. Dans une telle situation,
la direction peut prendre la décision de rattraper les arriérés en
effectuant directement la mise à jour des transactions dans la base
de données (partie terminale). Par conséquent. l'auditeur des SI
doit s'assurer de la présence de contrôle pour garantir que de
tels redressements de données exécutés directement à la pmiie
terminale sont soutenus par les approbations de l'entreprise pour
l'intégralité ct l'exactitude des données ct que leur traitement
est soumis aux contrôles des opérations informatiques. li
est important de se rappeler que la qualité des contrôles des
applications est seulement aussi bonne que la qualité des
contrôles concernant les redressements directs exécutés à la partie
terminale, et ce, dans toute entreprise.
3.13.3 CONTRÔLES DES DONNÉES DE SORTIE
Les contrôles des données de sortie ont pour but d'assurer que
les données fournies aux utilisateurs seront présentées, mises en
fOrme et livrées d'une manière constante et sécuritaire.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
Les contrôles des données de sortie comprennent notamment :
• La journalisation et le stockage de formulaires négociables,
sensibles ct critiques en un lieu sûr Les formulaires
négociables, sensibles et critiques doivent être adéquatement
journalisés et sécurisés afin de fournir une sauvegarde
appropriée contre le vol, !es dommages ou la divulgation. Le
journal des formulaires doit être concilié régulièrement afin
d'avoir un inventaire en main et tous les écarts doivent être
adéquatement analyses.
• La génération informal'isée d'instruments~ de formulaires
ct de signatures négociables ·-· La génération informatisée
d'instruments, de formulaires ct de signatures négociables
doivent être correctement' contrôlée. Une liste détaillée des
formulaires générés doit être comparée aux f(mnulaires
papier reçus. Toutes les exceptions, tous les rejets et toutes les
altérations doivent être expliqués.
• l1cxact-itude, l'intégralité ct la rapidité des rappor·ts- Il
arrive souvent que les rapports soient produits en utilisant
des analyses de données de tierce partie et des applications
de compte rendu (ESSbase, etc.). Même avec les sources
de données les plus fiables et les plus précises, des rapports
incorrectement configurés, construits et préparés demeurent
un risque significatif. La conception de rapports et les
spécifications pour leur production, les gabarits ct les processus
de demandes de création ct/ou de changements sont des
contrôles critiques de données de sortie.
• Rapports produits à partir du S)'stèmc ~Ceux-ci
représentent les données dont la direction dépend pour ses
décisions d'alfaires et la revue des résultats de l'entreprise. Par
conséquent, garantir l'intégrité des données contenues dans les
rapports est essentiel à la fiabilité de l'information des systèmes
de l'information. L'auditeur des SI doit valider que les rapports
sont exacts et qu'ils représentent correctement les données de
base
Exemple3
Dans le rappmt de balance de vérification (où, si l'application
a exéc.uté un traitement exact des transactions, on s'attend à ce
le côté des débits totalise le côté des crédits), on a trouvé que
le programmeur avait codé le rappmi d'une telle façon que
le rapport ne faisait que reproduire le total des crédits sous la
colonne des débits pour forcer l'équilibre des totaux des débits
et des crédits.
l;auditeur des SI doit appliquer une approche d'évaluation
lors de la validation des rapports en fonction de la situation
(plus d'évaluation quand l'entreprise a subi un changement de
systèmes ou évaluation de rappmis sur mesure en comparaison
avec des rapports standards d'une application très utilisée).
• La distribution des rapports-- Les rappo11s des données
de sortie.doivent être distribués selon des paramètres de
distribution autorisée, lesquels peuvent être automatisés
ou manuels. Le personnel des opérations doit v éli fier que
les rapp011s de données de sortie sont complets et livrés
en respectant l'échéancier. Tous les rapports doivent être
journalisés avant leur distribution. Dans la plupart des
environnements, le traitement des données de sortie est
enregistré dans une mémoire tampon ou bien dans le
programme d'impression désynchronisée jusqu'à ce que le
255
Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e . H
Gertrned Information
Systems Audttor'
t.>è\.\"""N""''"""

Tabtèau 3.34- t;onttôles iles fichiers de données

Méthode Description
Rapport de l'image Les données informatisées contenues dans un fichier avant et après qu'une transaction soit traitée peuvent être enregistrées
avant-après et faire l'objet d'un rapport. Les images avant et après permettent de constater l'impact des transactions sur les
enregistrements informatisés.
Rapport et traitement Des procédures de contrôle doivent être en place afin d'assurer que tous les rapports d'erreur sont adéquatement conciliés
des erreurs de et que des corrections sont proposées en temps opportun. Afin de diviser les tàches, les corrections d'erreurs doivent être
maintenance adéquatement révisées et autorisées par le personnel qui n'a pas initié la transaction.
Conservation de la La documentation source doit être conservée durant une période appropriée afin de permettre la récupération, la
documentation source reconstruction ou la vérification des données. Les politiques ayant trait à la conservation de la documentation source doivent
être appliquées. Les services d'où provient la documentation source doivent en conserver des copies et s'assurer que seul
le personnel autorisé y ait accès. Lorsque approprié, la documentation source doit être détruite dans un environnement
sécuritaire et contrôlé.
Marquage interne et Le marquage interne et externe des médias de stockage amovibles est ·,mpératrt af1n d'assurer que les données appropriées
externe sont chargées pour le traitement. Les étiquettes externes fournissent le niveau minimum d'assurance que le support de
données approprié est chargé en vue du traitement. Le marquage interne, incluant les en-têtes de fichier, fournit l'assurance
que les fichiers de données appropriés sont utilisés et il permet une vérification automatisée.
Utilisation des versions Il est crucial que la version adéquate d'un fichier ainsi que le fichier approprié soient utilisés pour que le traitement soit
correct. Par exemple, les transactions doivent être appliquées à la base de données la plus actuelle, alors que les procédures
de redémarrage doivent utiliser des versions antérieures.
Sécurité des fichiers de Les contrôles de sécurité relatifs aux fichiers de données empêchent l'accès non autorisé par des utilisateurs non autorisés
données qui pourraient avoir accès à l'application afin d'altérer les fichiers de données. Ces contrôles ne fournissent aucune assurance
quant à la validité des données, mais ils assurent que des utilisateurs non autorisés, qui pourraient avoir accès à l'application,
ne puissent altérer les données stockées.
Vérification individuelle Les documents individuels concordent avec une liste détaillée de documents traités par l'ordinateur. Il est nécessaire de
s'assurer que tous les documents ont été reçus pour être traités.
Données d'entrée Certains champs d'information sont pré-imprimés sur des formulaires de saisie vierges afin de réduire les erreurs de saisie
préenregistrées initiale.
Journaux de Toute activité de saisie de données est enregistrée par l'ordinateur. Une liste détaillée, incluant la date et l'heure de saisie ainsi
transactions que l'identification de l'utilisateur et l'emplacement du terminal, peut ensuite être générée afin de fournir une piste d'audtt.
Elle permet aussi au personnel d'exécution de déterminer quelles transactions ont été affichées. Ceci aidera à réduire le temps
de recherche nécessaire pour vérifier les exceptions et le temps de récupération en cas de défaillance du système.
Autorisation de mise à ~autorisation appropriée pour la mise à jour et la maintenance de fichiers est nécessaire pour assurer que les données
jour et de maintenance stockées sont sauvegardées adéquatement, sont exactes et à jour. Des programmes d'application peuvent contenir des
de fichiers restrictions d'accès en plus des restrictions d'accès au système global. La sécurité supplémentaire peut fournir des niveaux
d'autorisation aussi bien qu'une piste d'audit de la maintenance des fichiers.
Contrôle de parité Le transfert des données dans un système informatique doit être fait dans un environnement relativement sans erreurs.
Cependant, des contrôles supplémentaires sont nécessaires lorsque des programmes ou des données essentielles sont
transmises. Les erreurs de transmission sont d'abord contrôlées par la détection ou des codes de correction. La détection est
la plus souvent utilisée parce que l'implantation de codes de correction est coûteuse et que ces codes ne peuvent corriger
toutes les erreurs. En général, les méthodes de détection des erreurs, comme le bit de contrôle et la transmission redondante,
sont adéquates. La vérification par redondance est une routine de détection d'erreurs commune. Un bloc de données transmis,
qui contient un ou plusieurs enregistrements ou messages, est vérifié quant au nombre de caractères ou la forme des bits
qu'il contient. Si les nombres ou les formes ne sont pas conformes aux paramètres prédéterminés, le dispositif de réception
ignore les données transmises et demande à l'utilisateur de les transmettre à nouveau. Souvent des bits de contrôle sont
ajoutés, par l'unité de contrôle des télécommunications, aux données transmises et peuvent être appliqués horizontalement ou
verticalement. Ces vérifications sont semblables aux contrôles de parité normalement appliqués aux caractères des données
à l'intérieur de l'équipement présent. Un contrôle de parité sur un seul caractère correspond habituellement à une vérification
verticale ou de colonne. Quant au contrôle de parité effectué sur tous les bits équivalents est connu sous le nom de vérification
horizontale, longitudinale ou de rangée. ~utilisation des deux vérifications accroît les probabilités de détecter une erreur de
transmission, laquelle peut être manquée si on n'utilise qu'une seule de ces vérifications.

256 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 Chapitre 3 -Acquisition, Développement et Implantation
des Systèmes d'Information
traitement: du travail soit terminé, alors qu'il attend qu'une
imprimante soit disponible. Les contrôles liés ù l'accès aux
programmes d'impression sont importants afin d'empêcher que
des rapports soient supprimés accidentellement du programme
d'impression ou dirigés vers une autre imprimante. De plus, la
modification de la priorité d'impression des données de sortie
peut retarder l'impression de documents cruciaux. eaccès
aux rappmts distribués peut compromettre la confidentialité.
Par conséquent, la distribution physique des rapp01ts doit être
adéquatement contrôlée. Les rapports qui contiennent des
données sensibles doivent être imprimés dans des conditions
sécuritaires et contrôlées. Des points de dépôts sécmitaires
doivent être établis pour les données de so1iie. La disposition
des données de sortie doit aussi être fhite de façon sécuritaire
afin d'assurer qu'il n'y a aucun accès non autorisé. Les rapports
qui sont distribués électroniquement par l'entremise du système
infOrmatisé doivent aussi être pris en considération. Un accès
logique à ces rapports doit aussi être soigneusement contrôlé
et soumis à une autorisation. Lorsque la distribution se fait
manuellement. il faudrait s'assurer que les rapports sen:->ibles
sont distribués adéquatement. Pour ce tàire, le destinataire doit
signer un registre comme preuve de réception du rapport (i.e.
une non-répudiation manuelle).
• La mise en concordance ct la conciliation - Les données de
sortie d'un programme d'application de traitement des données
doivent être mises en concordance de façon routinière avec
les totaux de contrôle. Les pistes d'audit doivent être fournies
afin de fàcilitcr le suivi du traitement des transactions et la
conciliation des données.
• Le traitement- des erreurs liées aux données de sortie-- Des
procédures pour rapporter ct contrôler les erreurs contenues
dans les extrants du programme d'application doivent être
établies. Le rapp01i d'erreur doit être produit en temps opportun
et livré au service d'où provient l'erreur à des fïns de rCvision et
de correction.
• La retenue du rapport des extrants- Un calendrier de
retenue des enregistrements doit être strictement respecté. Tout
règlement juridique dominant doit être inclus dans la politique
de retenue.
• La vérification de la r·éception des rapports-- Afin d'être
certain que les rapports sensibles sont correctement distribués.
le destinataire doit signer un registre comme preuve de réception
des données de sortie.
L'auditeur des SI doit être au courant des préoccupations
existantes concernant les politiques de retenue d'enregistrements
dans l'organisation et s'occuper des exigences légales. Les
données de s01iie peuvent n'être disponibles qu'il pattir de
ressources ou de dispositif.<; particuliers des Tl (p. ex., une
imprimante pmiiculière).
3.13.4 GARANTIE DE CONTRÔLE DES PROCESSUS DE
GESTION
Dans un environnement d'application intégré, les contrôles sont
intégrés dans l'application et ils sont conçus à même l'application
qui soutient les processus. La garantie de contrôle des processus
de gestion implique une évaluation des contrôles au niveau
du processus et des activités. Ces contrôles peuvent être une
combinaison de contrôles de gestion programmés et manuels.
En plus de l'évaluation des contrôles généraux qui touchent aux
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
processus, une évaluation des contrôles du processus de gestion
spécifique à un propriétaire comme l'établissement d'une sécurité
et d'une division des tâches appropriées, la revue périodique et
l'approbation de l'accès ainsi que les contrôles d'application au
sein du processus de gestion est aussi faite.
Les sujets particuliers ù considérer dans la garantie de contrôle du
processus de gestion sont :
• La cartogmphic du processus et du flux de données;
• J.cs contrôles du processus;
• L'évaluation des risques de gestion à l'intérieur du processus;
• l~analyse comparative en fonction des pratiques d'excellence;
• Les rôles et responsabilités:
• Les activités et les tâches;
• Les restrictions liées aux données.
3.14 AUDIT DES CONTRÔLES APPLICATIFS
Voici certaines des tàches de 1'auditeur des SI :
• L:ldcntification des composantes importantes de l'application
et le tlux d'infOrmations dans le système. L'acquisition d'une
compréhension détaillée de J'application en révisant la
documentation disponible ct en s'entretenant avec le personnel
approprié. {.;élaboration d'un diagramme de flux de données
peut faciliter la visualisation du flux dïnfbnnation.
• La compréhension et J'évaluation des inter11Ices, y compris les
APl, au cas où l'application se branche à d'autres.
• !.~identification des forces des contrôles de l'application ct
l'évaluation des conséquences que peuvent avoir les fhiblesses
de ces derniers sur la mise en œuvre d'une stratégie en analysant
l'information accumulée.
• La révision de la documentation du système d'application
afin de t-Ourn ir une compréhension de la fOnctionnalité de
l'application. Dans de nombreux cas, en particulier dans les
systèmes de gmnde taille ou les progiciels, il n'est pas possible
de réviser l'ensemble de la documentation de l'application.
Par conséquent, une révision sélective doit être exécutée. Si
une application a été acquise d'un fOurnisseur, les matmels
techniques ct de 1'utilisateur doivent être révisés. Toutes
les modifications appotiées à des applications doivent être
adéquatement documentées.
Afin d'acquérir une compréhension de la conception d'une
application. la documentation suivante doit être révisée :
" Les documents relatifs à la méthodologie de conception du
système- Ces documents incluent l'analyse coOts~avantages
et les exigences de l'utilisateur.
-- Les spécifications fonctionnelles de la conception Ce
document tbumit une explication détaillée de l'application.
!.:auditeur doit être en mesure d'acquérir une compréhension
des principaux points de contrôle durant la révision des
spécifications de conception.
-- Les modifications au programme- La documentation
relative à tout changement apporté au programme doit
t-aire l'objet d'une révision. La preuve d'autorisation doit
être inhérente à tout changement et doit t-aire l'objet d'une
référence croisée nvec le code source.
- Les manuels de l'utilisateur~ Une révision des manuels
de l'utilisateur constitue la base pour comprendre de quelle
façon l'utilisateur se sert de 1'application. La révision de ces
257
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
documents fait souvent ressortir les faiblesses des contrôles.
-- La documentation de référence technique Cette
documentation comprend les manuels techniques que Je
fournisseur inclut lors de l'achat d'une application ainsi que
toute documentation interne. Habituellement, les règles et la
logique d'accès sont incluses dans ces documents.
3.14.1 FLUX DES TRANSACTIONS DANS LE SYSTÈME
Un diagramme du f1ux des transactions procure de \'infonnation
relative aux principaux contrôles de traitement. Les points
d'entrée, de traitement et d'affichage des transactions doivent être
révisés pour détecter les faiblesses des contrôles.
3.14.2 MODÈLE D'ÉVALUATION DES RISQUES POUR
!:ANALYSE DES CONTRÔLES DE !:APPLICATION
Comme nous l'avons mentionné dans le chapitre 1, l'évaluation
des risques fournît de l'infOrmation relative aux risques inhérents
à J'application.
Un modèle d'évaluation des risques peut être basé sur plusieurs
facteurs. Ceux-ci peuvent inclure une combinaison des facteurs
suivants:
.. La qualité des contrôles internes;
• Les conditions économiques (in1lue sur la disponibilité ct les
capacités des ressources organisationnelles);
Les modifications récentes appmtées au système de
comptabilité;
Le temps écoulé depuis Je dernier audit;
La complexité des opérations;
Les modifications aux opérations et à l'environnement;
• Les changements récents apportés aux postes clés;
• La durée de l'existence;
La concurrence;
Les biens exposés à des risques;
Les résultats d'audit antérieur;
Le taux de rouletnent du personnel;
Le volume des transactions;
L'influence de l'agence de réglementation;
Le volume en argent;
La sensibilité des transactions;
Les conséquences d'une défaillance de l'application.
3.14.3 OBSERVATION ET ESSAI DES PROCÉDURES
D'EXÉCUTION DE !:UTILISATEUR
Voici te1iaines des procédures liées à l'utilisateur qui doivent être
observées et testées :
"La séparation des tâches Elle assure qu'une personne
ne puisse exécuter plus d'un de ces processus: l'émission,
l'autorisation, la vérification ou !a distribution. L'observation
et la révision des descriptions de tâches ainsi que la révision
des niveaux et des procédures d'autorisation peuvent foumir de
l'infOrmation en ce qui a trait à l'existence ct à l'application de
la séparation des tâches.
• (]autorisation de saisie~ La preuve de l'autorisation de saisie
peut être obtenue par !e biais d'une autorisation écrite sur les
documents à saisir ou grâce à l'utilisation de mots de passe
uniques. La vérification peut se f3ire en cherchant 1'autorisation
appropriée ou en révisant les règles d'accès informatique ô partir
258
e Certilied.lof.ormalioo
Systems AutlitOf'
~~~--
d'un échantillonnage de documents à saisir. Les annulations,
par le superviseur, de la validation des données ct de l'édition
doivent être révisées afin d'assurer que la journalisation
automatique soit effectuée. Ce rapport d'activité d'annulation
doit être testé afin d'avoir la preuve qu'une révision a été faite
par la direction. Un nombre excessif d'annulations peut dénoter
un besoin de modifier les routines de validation et d'édition afin
d'améliorer 1'eflïcacité.
o La mise en concordance·- Elle est effectuée afin de vérifier
que les totaux de contrôles intermédiaires et les autres totaux
d'application sont conciliés en temps opportun. Ceci peut être
testé à l'aide d'une mise en concordance indépendante ou en
révisant les conciliations antérieures.
"Le contrôle et la correction des erreurs~ S'e1fcctue à
l'aide de rapports qui fournissent la preuve d'une révision
et d'une recherche appropriées ainsi que de la correction en
temps opportun ct de la resoumissîon. Les erreurs et les rejets
d'entrées doivent êtTe révisés avant la resoumissîon. La revue
et l'autorisation, par la direction, des corrections doivent être
documentées. On peut vérifier cetie procédure en analysant ou
en révisant les corrections d'erreurs antérieures.
" La distribution des rapports-- Les rapports critiques doivent
être produits et conservés dans un emplacement sécwitaire
et dist!ibués selon la manière autorisée. Le processus de
dishibution peut être testé par l'observation et la révision des
journaux de distribution. L'accès en ligne aux rappmts doit être
restreint. L'accès en ligne peut être testé grâce ù une révision
des règles d'accès ou en surveillant les données de sortie de
l'utilisateur.
" La révision et la mise à l'essai des autorisations et des
capacités d'accès- Les tables de contrôles d'accès fournissent
de l'information en cc qui a trait aux niveaux d'accès par les
personnes. L'accès doit être en fonction des descriptions de
tâches et doit servir à la séparation des tâches. Les test<; peuvent
se faire en révisant les règles d'accès afin d'assurer que l'accès
a été accordé selon les intentions de la direction.
" Les rapports tPactivité- Fournissent des détails sur le volume
et les heures d'activité par utilisateur. Les rappor1s d'activité
doivent être révisés afin d'assurer que les activités se déroulent
durant les heures d'opération autorisées seulement.
" Les rapports d'infractions -·- Indiquent toutes les tentatives
d'accès invalides ou non autorisées. Les rapports d'infractions
doivent comporter l'emplacement du terminal ainsi que la date
et l'heure de la tentative d'accès. Ces rapports doivent contenir
la preuve de la révision par la direction. Des violations d'accès
répétées peuvent indiquer des tentatives pour contourner les
contrôles d'accès. La revue des activités de suivi peut faire
partie des tests.
3.14.4 TEST DE !:INTÉGRITÉ DES DONNÉES
Les tests d'intégrité des données sont un ensemble d'essais de
corroboration qui examinent l'exactitude, l'exhaustivité et la
cohérence des données ainsi que l'autorisation à ces données
actuellement sauvegardées dans un système. Ces essais se
servent de tests semblables à ceux utilisés pour les contrôles de
saisie. Les tests d'intégrité des données mettront en évidence les
défaillances relatives aux contrôles de saisie et de traitement. Des
contTôles qui garantissent l'intégrité des données accumulées
dans un fichier peuvent être exercés en vérifiant régulièrement les
données du fichier. Lorsque cette vérification est faite en fOnction
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certined.tnformation
Systems Audllor'
~7~
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
de la documentation source autorisée, il est courant de ne vérifier
qu'une portion du fichier à la fois. Puisque le fichier entier H1it
l'objet d'une vérification basée sur des cycles, cette technique de
contrôle est souvent appelée vérification cyclique.
Les tests d'intégrité relationnels ct référentiels: sont deux types
conm1uns de tests d'intégrité:
• Tests d'intégrité relationnels- Ils sont effectués au niveau
des éléments de données et des enregistrements. l~întéglité
relationnelle est mise en œuvre grâce à des routines de
validation intégrées dans l'application ou par la définition de
contraintes de saisies et des caractéristiques des données lors de
l'étnpe de développement de la table dans la base de données.
Parfois, c'est une combinaison.
• Tests d'intégrité référentiels'"" Ils définissent les relations
d'existence entre les entités de différentes tables d'une bnse
de données qui doit être maintenue par le SGBD. Ces tests
sont nécessaires afin de maintenir lïntégrité des interrelations
dans le modèle relationnel. Lorsque deux relations ou plus
sont reliées par des contraintes réfërentiellcs (clé primaire et
étrangère), il est nécessaire que les références soient constantes
dans les cas d'inse1tions, de suppressions ct de mises à jour
de ces relations. Un logiciel de base de données f-Ournit
diverses procédures automatisées intégrées pour vérifier et
assurer l'intégrité référentielle. Les vérifications de l'intégrité
réferentielle assurent que toutes les réJèrences vers une e-lé
primaire d'une autre table (c.~à-d. une clé étrangère) existent
vraiment' dans la table originale. Dans les bases de données
sans pointeurs (p. ex., les bases de données relationnelles), les
vérifications de l'intégrité référentielle doivent assurer que
toutes les dés étrangères existent dans leur table originale.
3.14.5 INTÉGRITÉ DES DONNÉES DANS LES
SYSTÈMES DE TRAITEMENT DES TRANSACTIONS EN
liGNE
Dans les systèmes de transactions multiutilisatcurs, il est
nécessaire de gérer l'accès aux données d'utilisateurs parallèles,
habituellement contrôlé par le SGBD, ct d'activer la résilience.
Voici quatre exigences de l'intégrité des données en ligne qui sont
d'une grande impo11ancc et l'ensemble de celles-ci est connu sous
le nom de principe ACID:
• Atomicité- Du point de vue de l'utilisateur, une transaction
est exécutée entièrement (c.-à-d. toutes les tables de la base de
do1mées sont mises à jour) ou pas du tout. Si une erreur ou une
interruption survient, tous les changements tàits jusqu'à ce point
sont annulés.
• Cohérence- Toutes les conditions d'intêgrilé dans la base de
données sont maintenues à chacune des transactions en amenant
la base de données d'un état cohérent à un autre état cohérent.
• Isolement-- Chaque transaction est isolée des autres
transactions et, donc, chaque transaction n'accède qu'à des
données qui font pm1îe d'un état cohérent de la base de données.
• Durabilité~- Si le système rapporte à J'utilisateur qu'une
transaction est complète, les changements qui en résultent à la
base de données survivent aux défaillances subséquentes du
matériel ou du logiciel.
Ce type d'essai est vital de nos jours en raison du large éventail de
SGBD multiutilisateur accessible en ligne par Internet
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
3.14.6 VÉRIFICATION DES SYSTÈMES D'APPLICATION
Les tests d'cflïcacité des contrôle:'~ d'application incluent
l'analyse des programmes d'application infOrmatisés, les tests
des contrôles de programmes d'application informatisés ou la
sélection et la surveillance des transactions du traitement des
données. fi est important de tester les contrôles en mettant en
pratique les procédures d'audit appropriées arin de s'assurer de
leur fonctionnalité ct leur elficncité. Le tableau 3.35 décrit les
méthodes d techniques pour chaque catégorie.
Dans le but de simplifier l'évaluation des tests du système
d'application, un auditeur des SI désirera peut-être utiliser des
logiciels généraux d'audit, aussi connu comme techniques
d'audit assistées par ordinateur (1'/\AO). Celui-ci s'avérera
particulièrement utile lorsque des iàiblesses précises du contrôle
d'application sont découvertes et que cellcs~ci aflèctcnt par
exemple, les mises à jour des enregistrements du fichier maître
et ccrtnînes conditions d'erreur d'enregistrement de transactions
particulières. De plus, les logiciels généraux d'audit peuvent être
utilisés pour exécuter cc11ains tests de contrôles d'application,
comme la simulation parallèle, en compnrant les résultats attendus
avec les données réelles.
3.14.7 AUDIT PERMANENT EN LIGNE
Dans le domaine du commerce électronique, l'audit permanent
en lignt:: gagne de J'importance parce qu'il procure à l'auditeur
une méthode de cueillette de preuves de la fiabilité du système
en même temps que se déroule le processus normal. L'approche
permet à l'auditeur des sr de surveiller les opérations d'un
tel système sur une base continuelle. Elle lui permet aussi de
recueillir des preuves d'audit sélectives par l'entremise de
J'ordinateur. Si l'infürmal'ion sélective recueillie par la technique
infonnatiséc n'est pas considérée sérieuse ou assez importante
pour nécessiter une action immédiate, elle est stockée dans des
fichiers d'audit séparés pour être vérifiée, plus tard, par l'auditeur
des SI. L'npprochc d'audit pe1manent réduit la paperasserie
inutile et mène vers la conduite d'un audit essentiellement
électronique. Dans un tel contexte, un auditeur des SI peut faire
état, directement avec l'ordinateur, des erreurs significatives ou
des autres incongruités qui peuvent exiger une action immédiate
de la pat1 de la direction. Cette approche permet aussi de réduire
les coOls ct le temps d'audit.
Les techniques d'audit permanent sont d'impo1iants outils d'audit
des SI, plus particulièrement lorsqu'ils sont utilisés dans des
environnements en temps partagé qui traitent un grand nombre
de transactions, mais qui laissent une faible trace documentaire.
En permettant aux auditeurs des SJ d'évaluer les contrôles
d'opération sur une base continuelle, sans perturber les opérations
normales de l'organisation, les techniques d'audit permanent
améliorent la sécurité d'un système. Lorsqu'une personne désire
retirer une somme d'argent d'un compte inopérant, alors une
technique d'audit permanent rapporterait ce retrait en temps
opportun à l'auditeur des SI. Ainsi, le laps de temps entre la
mauvaise utilisation du système et sa détection est réduit. Le fait
que les défaillances, la manipulntîon inappropriée et le manque
de contrôle soient détectés sur une base temporelle, grtice à la
mise en œuvre de procédures d'audit permanent, permettent aux
auditeurs de SI ct à la direction d'être plus certains de la fiabilité
du système.
259
Section deux : Contenu
Chapitre 3 - Acquisition. Développement et Implantation
" Tableau 3.35 - SyStèmes d'~ai d'appliCâlions
Analyse des programmes d'application informatisés
Technique Description
Instantané • Enregistre le flux des transactions
désignées par des voies logiques
dans les programmes.
Correspondance • Identifie la logique qui n'a pas été
testée et analyse les programmes
durant leur l'exécution afin de
déterminer si les déclarations du
programme ont été exécutées.
Traçage et marquage • Le traçage montre la trace des
instructions exécutées lors
de l'application. Le marquage
correspond à placer un indicateur
sur des transactions sélectionnées
et à l'utilisation du traçage pour les
retracer.
Données et jeux d'essai • Sirnule les transactions par le biais
des programmes réels.
Évaluation du système • Utilise des ensembles de données
de jeu d'essais d'essai élaborés comme partie
intégrante des tests complets des
programmes.
• Vérifie l'exactitude des opérations
du système avant l'acceptation, de
même que la revalidation périodique.
Opération parallèle • Traite simultanément des données
de production réelles par le biais
de programmes existants et
nouvellement développés, puis
compare les résultats. Elle est aussi
utilisée pour vérifier la production
modifiée avant le remplacement des
procédures existantes.
Installation intégrée • Crée un fichier fictif dans la base
d'essai de données avec des transactions
d'essai traitées en même temps que
les données réelles.
Simulation parallèle • Traite les données de production en
utilisant les programmes informatisés
qui simulent la logique du programme
d'application.
Programmes de • Utilise un logiciel d'audit pour filtrer et
sélection des sélectionner les transactions entrées
transactions dans le cycle de production normal.
260
des Systèmes d'Information
Avantages
• Vérifie la logique du programme.
• Accroît l'efficacité en identifiant les
codes inutilisés.
• Identifie les expositions potentielles.
• Fournit un portrait exact de la
séquence des événements, et cette
technique est efficace avec des
transactions réelles et simulées.
• Peut utiliser les fichiers maîtres
actuels ou factices.
• La révision du code source n'est pas
nécessaire.
• Peut être utilisé à l'improviste.
• Procure une revue et une vérification
objectives du programme.
• ~utilisation initiale peut se limiter
à des à des fonctions précises du
programme ce qui minimise la portée
et la complexité.
• Requiert une connaissance minimale
de l'environnement des SI.
• Vérification d'essai complète et essai
de conformité.
• Vérifie les nouveaux systèmes avant
d'abandonner l'ancien.
• Essai périodique ne nécessitant pas
un processus d'essai séparé.
• Élimine le besoin de préparer des
données d'essai.
• Indépendant du système de
production.
• Contrôlé par l'auditeur.
• Ne requiert aucune modification aux
systèmes de production.
Manuel de Préparation CISA 26" édition
e Certif!Cd !ofurma.tioo
Systems Auditer"
·---!-----
""'"'''"''''"'"~
Inconvénients
• Exige une connaissance approfondie
de l'environnement des SI.
• Coût du logiciel.
• Nécessite énormément de temps
d'ordinateur, une connaissance
approfondie du programme
d'application et de la programmation
supplémentaire pour exécuter les
routines de traçage.
• Difficile de s'assurer que le
programme approprié est vérifié.
• Risque de ne pas inclure tous les
scénarios de transactions.
• Requiert une bonne connaissance des
systèmes d'application.
• Ne teste pas les fichiers mailres et les
enregistrements de fichiers maltres.
• Effort important pour maintenir les
ensembles de données.
• Une coopération étroite est requise
entre toutes les parties.
• Coûts de traitement supplémentaires.
• Besoin d'une planification détaillée.
• Besoin d'isoler les données de test
des données de production.
• Des programmes doivent être
élaborés.
• Coûts de développement et de
maintenance.
ISACA. Tous droits réservés.
e • M
C.ertif&ed Information
Systems Auditor·
'""'""'"~'''"''"'
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information Section deux : Contenu

Tableau 3.35 - S~mes d'essai d'applications (suite)

Analyse des programmes d'application informatisés
Technique Description Avantages Inconvénients
Cueillette intégrée de • Logiciel intégré dans les écrans • Fournit un échantillonnage et des • Coûts élevés de développement et de
données d'audit d'applications de l'ordinateur hôte.ll statist'1ques de production. maintenance.
sélectionne les transactions entrées • Problèmes d'indépendance de
et génère les transactions durant l'auditeur.
la production. Habituellement, il est
élaboré à même la conception du
système. Certains types incluent :
-Le SCARF- ~auditeur détermine la
vraisemblance des tests incorporés
dans le traitement normal. il fournit
de l'information pour une revue
ultérieure.
- Sample audit review file (SARF)
- Sélectionne les transactions de
façon aléatoire afin de fournir un
fichier représentatif pour l'analyse.
Enregistrements • Rassemble toutes les données qui • Les enregistrements sont stockés • Augmente les coûts de stockage et le
supplémentaires ont été touchées par un programme dans un seul fichier pratique. temps système en plus d'accroître les
particulier. coûts de conception.

Un audit permanent repose très souvent sur les services de 5. Simulation permanente et intermittente (SPI)- Lors d'un
logiciels généraux d'audit et de TAAO. traitement des transactions, le système informatique simule
l'exécution des instructions de l'application. À la saisie de
3.14.8 TECHNIQUES D'AUDIT EN LIGNE chaque transaction, le simulateur décide si la t-ransaction répond
à certains critères prédétem1inés et, le cas échéant, auditc la
JI existe cinq types de techniques d'évaluation automatisées
transaction. Sinon, le simulateur attend la prochaine transaction
applicables à l'audit permanent en ligne:
qui répond aux critères.
1. Systems Control Audit Revie'"'' File and Embcdded Audit
Modules (SCARF/EAM) ~~ L:utilisation de cette technique
Le tableau 3.3(, présente les avantages et inconvénients relatif.'i
nécessite l'intégration de logiciel d'audit bien particulier dans
des diftërcnts outils d'audit.
le système d'application hôte de l'entreprise, de sorte que les
systèmes d'application sont .surveillés sur une base sélective.
Chaque technique d'audit permanent possède ses avantages et
2. Instantanés --Cette tedmique nécessite de prendre ce que
ses inconvénients. Leur choix ct leur implantation dépendent,
l'on pourrait appeler des photos du chemin de traitement
en grande partie, de la complexité des systèmes et applications
qu'emprunte une transaction, de l'étape de la saisie jusqu'à
informatisés d'une entreprise. Ils dépendent aussi de l'aptitude
la sortie. En utilisant cette technique, les transactions sont
de l'auditeur des SI à comprendre et évaluer Je système avec ou
marquées en appliquant différents identificateurs aux données
sans l'utilisation des techniques d'audit permanent. De plus, les
entrées et en enregistrant de J'information sélectionnée à
auditeurs des SI doivent reconnaître que les techniques d'audit
propos de ce qui se déroule; tout cela sera à la disposition de
permanent ne sont pas un remède à tous les problèmes de contrôle
l'auditeur lors de son prochain audit.
et qu'elles ne donnent qu'une garantie limitée que les systèmes
J. Bornes d'audit·--- Cette technique requiert que des bomcs
de traitement de l'information examinés tànctionnenf de la façon
soient intégrées aux systèmes d'application. Celles-ci serviront
prévue.
de << drapeaux rouges H ct elles inciteront la sécurité et
l'auditeur des SI à agir avant qu'une erreur ou une irrégulnrité
soit bors de contrôle. 3.15 AUDIT DU DÉVElOPPEMENT, DE
4. Mécanisme de test intégré (MTI) -- Dans le cadre de cette
technique, des mécanismes factices sont mis en place et
CACQUISITION ET DE LA MAINTENANCE DE
inclus dans les fichiers de production de l'entreprise vérifiée. SYSTÈMES
L'auditeur des SI peut demander au système de traiter des
transactions réelles ou des transactions d'essai lors du Les tâches de 1'auditeur des SI quant au développement, à
traitement du lot de transactions, puis demander que ces l'acquisition et à la maintenance des systèmes peuvent se dérouler
transactions mettent à jour les enregistrements de l'entité une foi\; le projet terminé ou pendant le projet comme tel. La
factice. L:utilisateur saisit, simultanément, les transactions plupart des tàches de la liste qui suit couvrent les deux scénarios,
d'essai ct les transactions réelles qui doivent être traitées. et on s'attend à ce que l'auditeur des SI détermine quelle tâche
Cauditcur compare ensuite les résultats avec les données qui s'applique. Les tâches comprennent notamment :
ont été indépendamment calculées afin de vérifier l'exactitude • Rencontrer les principaux membres de l'équipe du projet de
des données traitées par 1'ordinateur. développement des systèmes ainsi que les utilisateurs afin de

Manuel de Préparation C/SA 26" édition 261

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
déterminer les principales composantes, objectifs et exigences
de l'utilisateur du système afin dïdentifier les sections qui
requièrt:nt des contrôles.
• Discuter avec les membres de l'équipe du projet de
développement des systèmes et utilisateurs afin de choisir les
contrôles appropriés pour déterminer et classer les risques
majeurs et les expositions qui peuvent affecter le système.
• Discuter des réfërenccs liées aux sources qui font autorité
avec les membres de l'équipe du projet de développement des
systèmes afin d'identifier les contrôles permettant d'atténuer les
risques et les expositions qui peuvent affecter le système.
• Évaluer les contrôles disponibles et pmiiciper à des discussions
avec les membres de l'équipe du projet de développement des
systèmes et utilisateurs afin de conseiller l'équipe du projet en
ce qui a trait à la conception du système et à l'implantation des
contrôles.
• Rencontrer périodiquement les membres de 1'équipe du pmjet
de développement des systèmes ct utilisateurs et réviser la
documentation et les livrables dans le but de surveiller le
processus de développement des systèmes afin de s'assurer que
les contrôles sont implantés, que les exigences des utilisateurs ct
de l'entreprise sont comblées, ct que la méthode de conception
ou d'acquisition des systèmes est respectée. De plus, il révisera
et évaluera les pistes d'audit du système d'application afin
de s'a...:;.surer que les contrôles documentés sont en place
pour examiner tous les contrôles de sécurité, de validation
et de traitement. Les pistes d'audit sont des mécanismes qui
peuvent aider les auditeurs des SI à assurer la transparence des
changements apportés au programme. Le suivi des infom1ations
dans un système de gestion des changements comprend entre
autres:
~-L'historique de toutes les activités liées à un bon de travail
(la date du bon de travail, les tâches du programmeur. les
changements efièctu~s et la date d'achèvement);
-L'historique des ouvertures ct des fermetures de sessions par
les programmeurs;
- L'historique des suppressions de programme;
-L'adéquation entre la répartition des tâches et les activités de
garantie de qualité.
• Identifier ct tester les contrôles existants pour déterminer la
justesse de la sécurité de la bibliothèque de production afin
d'assurer l'intégrité des ressources de production.
• Patiiciper aux revues post implantation.
.. Passer en revue et analyser !es plans d'essai pour déterminer si
les exigences définies d'un système sont vérifiées.
• Analyser les résultats des tests ct les autres preuves d'audit
pour évaluer le processus de maintenance du système afin de
déterminer si les objectif.<; de contrôle ont été atteints.
• Réviser la documentation appropriée, discuter avec le personnel
clé et observer afin d'évaluer les n01mes et procédures de
Tableau 3.36 -Outils d'audit concurrent- Avanlâges et inconv.ênieirtS
SGARF/EAM Instantanés
Complexité Très élevée Moyenne
Utile lorsque : Le traitement Une piste d'audrr est
normal ne peut être nécessaire.
interrompu.
262
e," . ~,~~
ified lnformalioo
,..., Systems Auditor•
maintenance du système dans le but de s'assurer de leur
exactitude.
• Discuter et examiner les enregistrements justificatifs afin de
tester les procédures de maintenance du système dans le but
d'assurer qu'elles sont appliquees tel que décrit dans les normes.
3.15.1 GESTION DE PROJET
Tout au long du processus de gestion de projet, l'auditeurdcs
SI doit analyser le risque associé et les expositions inhérentes
à chacune des phases du cycle de développement des systèmes
et assurer que les mécanismes de contrôle approp1iés sont en
place <lfin de minimiser ce risque de iàçon rentable. Il üwt faire
attention de ne pas recommander des contrôles qui coütent
plus chers à administrer que le risque associë que l'on désire
mlnimiser avec les contrôles.
Lors de la révision du cycle de développement des systèmes,
l'auditeur des SI doit obtenir la documentation relative aux
diverses phases du projet et participer aux rencontres de l'équipe
du projet Il doit leur olrrir des conseils tout au long du processus
de conception du système. l~auditeur des SI doit aussi évaluer les
aptitudes de l'équipe du projet à réaliser les livrables principaux
aux dates promises.
Normalement, l'auditeur des SI doit réviser la justesse des
activités de gestion de projet suivantes :
• Les niveaux de surveillance du comité ou du conseil
d'administration du projet;
• Les méthodes de gestion des risques au sein du projet;
• La gestion des problèmes;
• La gestion des coùts;
• Les processus de planification et la gestion des dépendances;
• Les processus de présentation de rapport aux cadres supérieurs;
• Les processus de contrôle des changements;
• L'implication des responsables des parties prenantes;
• Le processus d'approbation-- Au minimum, le processus
consiste en des approbations signées de la part des gestionnaires
du développement des systèmes et des utilisateurs et qui
sont responsables des coûts liés au projet ou à l'utilisation du
système.
De plu.c;, il doit être evident que la documentation de toutes les
phases du cycle de développement des systèmes est adéquate et
complète. Les types courants de documentation incluent, sans s'y
limiter :
• Des définitions objectives de ce qui doit être accompli durant
cette phase;
• Les principaux livrables à chacune des phases ainsi que le
personnel responsable qui lui est assigné;
• Un échéancier de projet dans lequd sont soulignées les dates
d'achèvement des principaux livrables;
Bornes d'audit MTI SPI
Faible Élevée Moyenne
Seules les transactions Il n'y a aucun avantage Les transactions qui
sélectionnées ou à utiliser les données répondent à certains
traitées doivent être de test. critères doivent être
examinées. examinées.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
• Une prévision économique par phase, qui définit les ressources
ct les coûts des ressources requises pour compléter la phase.
3.15.2 ÉTUDE DE FAISABILITÉ
l~audilcur des SI doit assumer les fonctions suivantes;
• Réviser la documentation produite au cours de cette phase afin
d'en évaluer la vraisemblance.
• Déterminer si toutes !es justifications de coûts ou d'avantages
sont vérifiables, puis les présenter en montrant les coûts et les
profits anticipés.
• Identifier ct déterminer l'importance du besoin.
• Déterminer si une solution peut être mise de !"avant alors que le
système est d~jà en place. Sinon, revoir !"évaluation des i.llltrcs
solutions pour vérifier leur vraisemblance.
• Déterminer la vraisemblance de la solution retenue.
3.15.3 DÉFINITION DES EXIGENCES
t?auditeur des SI doit assumer les fonctions suivantes:
• Obtenir le document contenant les définitions détaillées des
exigences, puis en vérifier l'exactitude par le biais d'entrevues
avec les services des utilisateurs pettincnts.
• Identifier les principaux membres de l'équipe du projet,
puis vérifier que tous les groupes d'utilisateurs touchés sont
adéquatement représentés.
• Vérifier que le démarrage du projet et les coüts qui lui sont
rattachés ont fltit l'objet d'une approbation appropriée de la
direction.
• Réviser les spécifications des études conceptuelles (p. ex.,
transformations, descriptions des données) afin de s'assurer
qu'elles correspondent aux besoins de 1'utilisateur.
• Réviser l'étude conceptuelle afin des 'assurer que les
spécifications des contrôles ont été définies,
• Déterminer si un nombre raisonnable de fOumîsseurs ont reçu
une proposition traitant de la portée du projet et des exigences
des utilisateurs.
• Réviser les spécifications des EAU (essais d'acceptation par
1'utilisateur).
• Détenniner si J'application est apte à l'utilisation d'une routine
d'audit intégrée. Si c'est le cas, demander que la routine soit
incorporée dans l'étude conceptuelle du système.
3.15.4 PROCESSUS D'ACQUISITION DE LOGICIELS
L'auditeur des SI doit assumer les fOnctions suivantes:
• Analyser la documentation issue de l'étude de faisabilité pour
détem1iner si la décision d'acquérir un logiciel était appropriée
(y compris la p1ise en considération des évaluations des critères
communs).
• Réviser la demande de proposition pour s'assurer qu'elle tient
compte des éléments énumérés dans cette section.
• Déterminer si la proposition du fOurnisseur est basée sur ln
documentation relative à la demande de proposition.
• Participer aux présentations relatives au calendrier et aux essais
en salle de confërencc pour s'assurer que le système correspond
à la description soumise par le fOurnisseur dans la demande de
proposition.
• Réviser le contrat du fournisseur avant de le signer pour
s'assurer qu'il renfCrme les éléments énumérés.
• Avant de signer le contrat, s'assurer qu'il a été révisé par un
conseiller juridique.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
3.15.5 CONCEPTION ET DÉVELOPPEMENT DÉTAILLÉS
L'auditeur des SI doit assumer les fonctions suivantes:
• Réviser l'organigramme du système pour en évaluer la
confOrmité avec la conception générale. Vérifier que les
approbations ad~quates ont été données relativement à tout
changement ct que tous les changements ont fait l'objet de
discussions et d'une approbation par les responsables des
utilisateurs concernés.
• Réviser les contrôles de saisie, de 1railement ct de sortie intégrés
au système pour en évaluer leur pc1iinence.
• S'entretenir avec les principaux utilisateurs du système afin
de jauger leur compréhension du fonctionnement du système
et d'évaluer leur degré de participation relativement à la
conception des écrans de saisie et des formats des rapports.
• Évaluer l'exactitude des pistes d'auclit afin de permettre la
traçabi!ité et la transparence des transactions du système.
• Vérifier l'intégrité des principaux calculs ct processus.
• Vérifier la capacité du système à identifier ct à traiter
correctement les données erronées.
• Réviser les résultats d'assurance-qualité des programmes conçus
durant cette phase.
• Vérifier que toutes les corrections recommandées pour
solutionner les erreurs de programmation ont été eUCctuées
et que les pistes d'audit recommandées oules EAM ont été
intégrés dans les programmes appropriés.
3.15.6 MISE À I:ESSAI
La mise à l'essai est cruciale pour savoir si les exigences de
l'utilisateur ont été validées et si le système et les contrôles
internes fonctionnent tel que prévu. Par conséquent, il est essentiel
que l'auditeur des SI participe à la révision de cette phase ct qu'il
assume les fonctions suivantes :
• Réviser Je plan de test pour évaluer son exhaustivité; indiquer la
preuve de la participation de l'utilisateur, comme la préparation
de jeux d'essais par l'utilisateur ou 1'approbation des résultats
par l'utilisateur; ct considérer exécuter de nouveau les tests
critiques.
• Concilier les totaux de contrôle ct les données converties.
• Réviser les rapports d'erreurs pour déterminer leur aptitude à
reconnaître les données erronées et à corriger les erreurs.
• Vérifier le traitement critique pour en évaluer l'exactitude
(traitement de fin de mois, de fin d'année, etc.).
• Vérifier l'exactitude des rapports critiques et des extrants
qu'utilisent la direction ct d'autres parties prenantes.
• S'entretenir avec les utilisateurs finaux du système pour
connaître leur compréhension des nouvelles méthodes,
procédures et instructions de fonctionnement.
• Réviser la documentation du système et des utilisateurs finaux
pour en déterminer J'exhaustivité ct vérifier son exactitude
durant la phase de test.
• Réviser les résultats de tests parallèles pour évaluer leur
exactitude.
• Vérifier que la sécurité du système fonctionne en accord avec sa
conception en préparant ct e-n exécutant des tests d'accès.
• Réviser les plans d'essais de l'unité et du système pour
déterminer si les tests à eflCctuer sur les contrôles internes sont
planifiés et exécutés.
• Réviser les tests d'acceptation par l'utilisateur et s'assurer que
le logiciel accepté a été livré à l'équipe d'implantation. Le
fournisseur ne doit pas pouvoir remplacer cette version.
263
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
• Réviser les procédures mises en place pour enregistrer les
rappot1s d'erreurs et en faire le suivi.
3.15.7 PHASE D'IMPLANTATION
Cette phase est entamee uniquement après la réussite de la
phase de mise à l'essai. Le système doit être installé selon
les procédures de contrôle des changements de l'entreprise.
L'auditeur des SI doit vCri fier que les signatures appropri0es
ont été obtenues avant l'implantation et il doit s'acquitter des
fonctions suivantes:
• Réviser les procédures programmées utilisées pour la
planification et le fonctionnement du système ainsi que les
paramètres du système qui servent à mettre en œuvre le
calendrier de production.
• Réviser toute la documentation du système pour s'assurer de
son exhaustivité ct s'assurer que toutes les mises à jour réccn1cs
issues de la phase de test ont été incorporées.
• Vérifier toutes les conversions de données pour s'assmer
qu'elles sont exactes ct complètes avant d'implanter le système.
3.15.8 EXAMEN APRÈS IMPLANTATION
Une fois que le nouveau système est bien rodé dans
l'environnement de production, un examen après implantation
doit être eftèctué. Avant cet examen, il est important d'accorder
suffisamment de lemps à la stabilisation du système. De cette
façon, tous les problèmes importants auront pu se manifester.
L'auditeur des SI doit assumer les fonctions suivantes :
• Déterminer si les objectif<; du système ont été atteints et ses
exigences satisfaites. Durant l'examen après implantation, une
attention spéciale doit être accordée aux utilisateurs finaux
qui travaillent avec le système et à le.ur satisfaction globale
relativement au système. Il s'agit d'une. fàçon de savoir si les
objecti('> du système ont été atteints et si les exigences ont été
satisiàites.
• Déterminer si le mpport coûts-avantages défini dans !"étude
de faisabilité a été calculé et analysé ct si la direction en a eté
correctement infOrmée.
• Réviser les demandes de modification au programme effectuées
afin d'évaluer le type de modifications requises par le système.
Le type de modifications demandées peut être une indication de
problèmes de conception, de programmation ou d'interprétation
des exigences de l'utilisateur.
• Réviser les contrôles intégrés dans le système <~fin de s'assurer
qu'ils fonctionnent selon la conception. Si un EAM était
incorporé dans le système, utilisez cc module pour tester !es
fbnctions principales.
• Réviser les journaux d'erreurs des utilisateurs afin de constater
tout problème de ressource ou de fonctionnement inhérent
au système. Les journaux peuvent révéler une planification
inappropriée du système ou une mise à l'essai inadéquate avant
1'implantation.
• Réviser la concordance entre les données d'entrée et les données
de sm1ie ainsi que les rapports dans le but de vérifier que le
système traite !es données de façon précise.
264
e . .M.
Certif!&llnfnnnalion
Systems Audilor·
"''''"''""''''"''""
3.15.9 PROCÉDURES DE MODIFICATION DU SYSTÈME
ET PROCESSUS DE MIGRATION DU PROGRAMME
Après l'implantation et la stabilisation, un système entre dans la
phase de développement ou de maintenance continus. Cette phase
se prolonge jusqu'à ce que Je système soit retiré. Cette phase
comprend les activités nécessaires pour corriger les erreurs dans
le système ou pour accroître les capacités du système. À cet égard,
1'auditeur des SI doit considérer les éléments suivants :
• L'existence et l'utilisation d'une méthode pour autmiser,
hiérarchiser et 1àire le suivi des demandes de modification du
système émises par l'utilisateur;
• Si les manuels d'utilisation traitent des procédures liées aux
changements urgents dans les manuels d'opémtion;
• Si le contrôle des changements est une procédure fonnc!le pour
les groupes d'utilisateurs et de conception;
• Si le journ<ll de contrôles des changements assure que tous les
changements indiqués ont été effectués;
• La satisfaction de l'utilisateur relativement à l'exécu1ion-
rapidité et coût des demande;.; de changement;
• La pertinence des restrictions relatives à la sécurité d'accès
en ce qui a trait à la source de production et aux modules
exécutables;
• La pettinence des procédures organisationnelles pour traiter !es
changements urgents au programme;
• La pertinence des restrictions relatives à la sécurité d'accès en
cc qui a trait à l'utilisation de noms d'utilisateurs d'urgence.
Pour une sélection de changements dans le journal de contrôle des
changements :
• Détetminer si les modifications aux exigences ont entraîné la
production de documents appropriés relatifs au développement
des changements, par exemple des documents au sujet du
programme et des opérations.
• Déterminer si les changement.-" ont été faits conformément à la
documentation.
• Déterminer si la documentation courante reflète
1'environnement modifié.
• Évaluer la pet1incnce des procédures en place pour la mise à
l'essai des changements apportés au système.
• Réviser les preuves (plans de test et résultats des tests) afin de
s'assurer que les pmcédures sont exécutées confonnément aux
normes organisationnelles.
• Réviser les procédures établies afin de s'assurer de l'intégrité
des exécutables et des codes sources.
'" Réviser les modules exécutables de production et vérifier qu'il
existe une seule et unique version correspondante du code
source du programme.
De plus, l'auditeur des SI doit réviser !'ensemble du processus
de gestion des changemen1s afin d'y déceler des améliorations
possibles du point de vue de la connaissance, du délai
d'exécution, de J'dficacité de la réponse et de la satistàction de
l'utilisateur face à ce processus.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
 e . H.
ertifled Information
C.
Systems Auditor"
.... ,,....,.,,,_,.,.,.,
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
3.16 ÉTUDES DE CAS
Les études de cas qui suivent servent d'outil d'apprentissage pour
renforcer la connaissance des concepts présentés dans ce chapitre.
3.16.1 ÉTUDE DE CAS A
Un détaillant majeur a demandé à l'auditeur des SI de revoir son
degré de préparation relativement à sa conformité aux exigences
des compagnies de cartes de crédit concernant la protection
des renseignements des détenteurs de cartes. L'auditeur des SI
a collecté !es informations qui suivent. Le détaillant utilise des
enregistreurs aux points de vente qui se connectent aux serveurs
d'applications situés dans chaque magasin. Ces enregistreurs
utilisent le chiffrement de protection équivalent aux transmissions
avec fil (WEP). Le serveur d'applications, habituellement situé au
centre de la zone de service à la clientèle du magasin, retransmet
toutes les données liées aux ventes au moyen <.fun réseau à relais
de trames, vers des serveurs de base de données situés au siège
social du détaillant, et utilise un chiffrement puissant dans un
réseau privé virtuel (VPN) pour contacter le processeur de cm1es
de crédit pour l'approbation de la vente. Les bases de données
d'entreprise sont situées dans un sous-ensemble protégé filtré du
réseau local de l'entreprise. De plus, les données concernant les
ventes totales hebdomadaires par gamme de produits sont copié~s
des bases de données de 1'entreprise vers un support magnétique
et envoyées à une tierce pa1iie pour analyse de la structure de
consommation. Il a été noté que le logiciel de base de données
du détaillant n'a pas été mis ùjour depuis deux ans. En effet, le
service au fournisseur pour l'ensemble de base de données a été
supprimé en raison de l'intention du gestionnaire de se mettre à
niveau par un nouveau système.
EtllDE DE CAS JI. : QUESTIONS
At. Lequel des énoncés suivants présente le risque le PLUS important
pour le détaillant?
A. Les enregistreurs aux points de vente sans fil utilisent le
chiffrement WEP
B. Les mises à jour des bases de données ont été effectuées il y a
trop longtemps.
C. Les informations concernant les détenteurs de cartes sont
envoyées au moyen de l'Internet.
O. Les données concernant les ventes globales sont envoyées à
une tierce partie.
f!J.. En fonction de l'étude de cas, laquelle des mesures de contrôle
suivantes doit être implantée en PRIORITE?
A. Les serveurs d'applications des magasins doivent être situés
dans une zone sécurisée.
B. Les enregistreurs aux points de vente doivent utiliser
l'authentffication à deux facteurs.
C. Les points d'accès sans fil doivent utiliser le tmrage des adresses
MAC.
o. Les données de ventes globales envoyées hors srte doivent être
encodées.
Voir les réponses et les explications aux questions des études de cas à fa fin du
chap1/re (page 266}.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
3.16.2 ÉTUDE DE CAS B
Une importante firme de l'industrie a amorcé la réalisation d'un
projet complexe en TL avec l'ERP, afin de remplacer les systèmes
de composants principaux de ses services de comptabilité et de
gestion de projet. Des adaptations majeures ont été rtnticipées
et sont réalisées selon une approche par étapes de livrables
partiels. Ces livrables sont mi.s à la disposition des utilisateurs
pour essai avec des données réelles ct des projets courants.
Entre-temps, la conception détaillée et la programmation de
la prochaine étape sont entreprises. Après une période initiale
d'ajustement, les utilisateurs d'essai commencent à éprouver
de sérieuses difficultés. Malgré des résultats de tests positifs,
les fOnctionnalités déjà stabilisées commencent à présenter des
problèmes intermittents: les transactions sont suspendues pendant
l'exécution et, de plus en plus souvent, les données de projet
sont altérées dans la base de données. D'autres problèmes font
surface·- des erreurs déjà corrigées se produisent à nouveau ct
des modifications fonctionnelles qui ont déjù été testées tendent
à causer d'autres erreurs. Le projet, qui ac.:cuse déjà du retard,
se trouve dans une situation critique. [;auditeur des SI, après
avoir recueilli les preuves, demande une rencontre immédiate
avec les chef..;; du comité directeur de projet pour transmeUre les
conclusions ct suggérer des pistes d'amélioration de la situation.
EtllDE DE CAS B: QUESTIONS
81 L'auditeur des SI doit signifier au dirigeant du comité directeur
de projet que :
A. les problèmes observés dans le cadre du projet sont un
exemple classique de la perte de contrôle des activités
de projet et de la mauvaise discipline lors du suivi des
procédures et des méthodologies. Un nouveau chef de projet
doit être désigné.
B. les relais dus à une sous-estimation des efforts liés au projet
ont mené à des échecs dans le cadre des procédures de
contrôle des versions et des modifications. Une nouvelle
programmation et des nouvelles ressources systèmes
doivent être ajoutées pour réduire le problème de base.
C. les problèmes sont causés par les modifications trop
importantes apportées au système après chaque étape de
livraison. La procédure de contrôle des modifications dort
être raffinée et plus sélective.
o. la nature des problèmes initiaux est telle qu'elle mène à des
doutes concernant la justesse et la fiabilité de la plateforme.
Une revue technique immédiate de la plateforme logicielle et
matérielle (paramètres, configuration) est nécessaire.
B2. Afin de contribuer de manière plus directe à la résolution de la
situation, l'auditeur des SI doit:
A. étudier davantage les problèmes pour en identifier les
causes fondamentales et définir les contre-mesures
appropriées.
B. revoir la validité des spécifications fonctionnelles du projet
en tant que base pour l'amélioration de l'établissement des
données repères du logiciel.
C. proposer de faire partie de l'équipe à titre de consultant pour
assurer le contrôle de la qualité des livrables.
D. contacter le directeur de projet, discuter des plans du projet
et recommander la redéfinition du calendrier de livraison en
utilisant la méthodologie PERT.
Voir les réponses et Jes expHcations aux questions des études de cas à la fin du
drapitre (page 266}.
265
 Section deux : Contenu
Chapitre 3 - Acquisition, Développement et Implantation
des Systèmes d'Information
e . H
Certlficd lnfiJrmalion
Systems JwdiiiJf"
M~I,C.\"'""'""'""'

3.17 RÉPONSES AUX QUESTIONS DES techniques qualifiées et expérimentées. Les premiers
effets du problème (interruptions intermittentes
ÉTUDES DE CAS des transactions, données altérées) portent à croire
qu'un problème existe du côté de la configuration de
RÉPONSES AUX QUESTIONS DE !.:ÉTUDE DE CAS A l'environnement technique du logiciel/matériel ou de
la platefonne.

Al. A L'utilisation du codage WEP représenterait le 82. A La seule action appropriée est d'effectuer des
plus grand risque, le WEP utilisant une clé plivée recherches supplémentaires, même si la nature
fixe qui est facile à pénétrer. La transmission des apparemment technique du problème le rend peu
informations concernant les détenteurs de cartes de susceptible d'être découvert par 1'auditeur seul.
crédit par les enregistreurs sans fil serait susceptible Les spécifications f-Onctionnelles du projet doivent
de faire l'objet d'une interception et présenterait un être exécutées par les utilisateurs et les analystes
risque très sérieux. En cc qui concerne les serveurs du système, et non par l'auditeur. Proposer de là ire
de bases de données non à jour, puisque ceux-ci partie de l'équipe de projet en tant que consultant
sont situés dans un sous-ensemble filtré, le risque pour gérer la qualité ne permettrait pas l'apport d'une
est atténué pour l'organisation. Cenvoi des données contribution essentielle puisque la qualité est une
relatives aux détenteurs de cartes de crédit par caractéristique formelle ct que dans le cas présent,
Internet suggère un risque beaucoup moindre étant Je problème en est un d'instabilité importante du
donné qu'un chithement puissant est utilisé. Puisque système. Contacter le chef de projet et concevoir de
les données de vente envoyées à la tierce partie nouveau le calend1ier de livraison ne régleraient pas
sont des données d'ensemble, aucune infOrmation le problème. De plus, la détermination des causes
concernant les détenteurs de cartes ne doit être réelles peut modifier sensiblement l'environnement
incluse. de projet, invalidant ainsi tous les plans et prévisions
précédents.
A2. A La localisation des serveurs d'applications dans une
zone non sécwisée crée un risque important pour le
détaillant. les données relatives aux détenteurs de
cartes de crédit pouvant être prélevées sur le serveur.
Oc plus, l'accès physique aux serveurs pourrait
permettre l'lnstallation de programmes ou d'appareils
d'enregistrement d'informations confidentielles liées
aux détenteurs de cartes. t:authentification à deux
facteurs pour les enregistreurs aux points de vente
n'est pas aussi essentielle. Dnns le cas du filtrage
des adresses MAC, il peut être falsifié. Les données
de vente étant des données d'ensemble, aucune
information concernant les détenteurs de cartes de
crédit ne doit être touchée par un risque lorsque les
données sont envoyées à une tierce pmiic.

RÉPONSES AUX QUESTIONS DE !:ÉTUDE DE CAS B

BI. 0 L'auditeur des SI a identifié les symptômes, non

pas les causes fondamentales des problèmes graves;
leur attribution nu x aptitudes limitées du chef de
projet est donc inappropriée. L'enchaînement des
événements négatif-S tend à montrer qu'un prob!Cme
fondamental cause des difficultés techniques
sérieuses ct, en conséquence des délais, a un impact
négatif sur les procédures de contrôle des versions et
du changement li est toutefois nécessaire d'établir
immédiatement la nature des problèmes soupçonnés;
en effet, si un tel problème existait et n'ét.1.it pas
trouvé, il pourrait avoir un impact important sur le
résultnt final ou détruire le projet. De plus, l'ajout de
ressources en programmation technique ne représente
pas une solution appropriée, puisque la méthodologie
de développement est la RAD et que cette demièrc se
fonde sur 1'utilisation d'un petit groupe de ressources

266 Manuel de Préparation CISA 26' édition

ISACA. Tous droits réservés.
 e
Certified Information
Systems Auditor·
Chapitre 4 :

Exploitation, Entretien et
An JSACA~ Certilita\ion Gestion des services des
Systèmes d'Information

Section un: Avant-propos

Définition .......................................................................................................................................................................................... 268
Objectifs .•....................................•.•.......................................................................................•.....•.•.......•........................................... 268
'râches ct énoncés de connaissances ............................................................................................................................................... 268
I~cssources suggérées pour appr-ofondir l'étude ........................................................................................................................... 279
Questions d'autoévalual'ion ............................................................................................................................................................. 280
Réponses aux questions d'autoévaluation ..................................................................................................................................... 281

Section deux : Contenu

4.1 Résumé ...................................................•.....•......•................................................................................................................... 284
4.2 Opérations des systèn1es d'inlbrrnation ............................................................................................................................... 285
4.3 Gestion des actifs des Tl ...•.......•.................................•.....................................•...........•...•.•...........................................•...... 293
4.4 Structure matérielle des systèmes d'inforntation ............................................................................................................... 293
4.5 At·chitecture et logiciels des SI .............................................................................................................................................. 300
4.6 Infrastructure du réseau des SI ............................................................................................................................................ 310
4.7 Audit des opérations et de l'infrastructure ......................................................................................................................... 331
4.8 Plan de repr·ise après sinistre ................................................................................................................................................ 340
4.9 Études de cas .•.....................................................................•....•..•...................•...........•.......................................................... 354
4.10 Réponses aux questions des études de cas ........................................................................................................................... 355

Manuel de Préparation CISA 26" édition 267

ISACA. Tous droits rêservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
Section un :Avant-propos des Services des Systèmes d'Information
Section un: Avant-propos
DÉFINITION
Les pratiques d'exploitation, d'entretien et de gestion des services
des systèmes d'information sont importantes pour assurer aux
utilisateurs et aux gestionnaires que les services escomptés seront
rendus. Les attentes relatives aux niveaux de service découlent
des objectifs d'affaires de l'organisation. La prestation des
scrvic~s des Tl comprend les activités des SI, les services des Tl
ainsi que !a gestion des SI et des groupes responsables de leur
soutien.
OBJECTIFS
L'o~jectif de ce domaine est d'assurer que le candidat au titre
CISA comprend ct peut foumir l'assurance que les processus
d'exploitation, d'entretien ct de gestion des services des
systèmes d'infOrmation respecteront les objectifs ct stratégies de
l'organisation.
Ce domaine représente 20% des questions de l'examen CISA
(soit environ 30 questions).
TÂCHES ET ÉNONCÉS DE CONNAISSANCES
TÂCHES
Dix tâches sont comprises dans le domaine couvrant
l'exploitation, l'entretien et le soutien des systèmes
d'inf-Ormation:
T4.l Évaluer le cadre et les pratiques de gestion du service
des Tl (en interne ou de façon indépendante) afin de
déterminer si les contrôles ct les niveaux de service
prévus par l'organisation sont respectés et si les objectifs
stratégiques sont atteints.
T4.2 Passer régulièrement en revue les systèmes d'information
pour détennincr s'ils remplissent toujours les objectifS de
l'organisation à l'intérieur de l'architecture d'entreprise.
T4.3 l~valuer les opérations des Tl {p. ex., la planification des
tâches, la gestion de la configuration, la gestion de la
capacité et de la perfommnce) pour déterminer si elles
sont contrôlées efficacement et si elles appuient toujours
les objec1itS de 1'organisation.
T4.4 l~valuer la maintenance des Tl {correctifs, mises à niveau)
pour détem1iner si elle est contrôlée efficacement et si elle
appuie toujours les objectifs de l'organisation.
T4.5 Évaluer les pratiques de gestion des bases de données afin
d'assurer l'intégrité et l'optimisation des bases de
données.
T4.6 E~valuer la qualité des données et la gestion du cycle de vie
pour détem1incr si elles remplissent toujours les objectifS
stratégiques.
T4. 7 (-:val uer les pratiques de gestion des problèmes et des
incidents pour d~terminer s'ils peuvent être évités,
détectés, analysés, signalés ct réglés de manière opportune
afin d'appuyer les objectifs de l'organisation.
268
T4.8 Évaluer les. pratiques de gestion des changements et des
versions pour déterminer si les changements apportés aux
systèmes et applications sont correctement contrôlés ct
documentés.
T4.9 Évaluer l'intOrmatique individuelle pour déterminer si les
processus qui lui sont destinés font l'objet d'un contrôle
etTicace ct s'ils appuient les objectifs de l'organisation.
T4.l0 f~valuer la pérennité et la résilience des TI (sauvegardes et
récupérations, plan de reprise après sinistre [PRS]) pour
dêtcrminer si elle~ sont contrôlées efficacement et si elles
appuient toujours les objectifs de J'organisation.
ÉNONCÉS DE CONNAISSANCES
Le candidat au titre CISA doit avoir une bonne compréhension
de chacun des sujets ou domaines définis par les énoncés de
connaissances. Ces énoncés constituent la base de l'examen.
Vingt-trois énoncés de connaissances sont compris dans le domaine
couvrant l'exploitation, l'entretien ct la gestion des services des
systèmes d'înfom1ation:
C4.l Connaissance des cadres de gestion du service.
C4.2 Connaissance des pratiques de gestion des services et
de la gestion du niveau de service.
C4.3 Conn;issance des techniques de surveillance de la
performance des tiers et du respect. des accords de
service et des exigences réglementaires.
C4.4 Connaissance de l'architecture d'entreprise,
C4.5 Connaissance de la fonctionnalité de la technologie
fondamentale (p. ex., matériel ct composants du réseau,
logiciel système, intergicicl, systèmes de gestion de
bases de données).
C4.6 Connaissance des techniques et des outils liés à la
résilience d'un système (p. ex., matériel insensible aux
défaillances, élimination d'un point de défectuosité ct
mise en grappe).
C4.7 Connaissance de la gestion des actif."> des Tl, des
licences de logiciels, de la gestion de code source et des
pratiques d'inventaire.
C4.8 Connaissance des pratiques de planification des travaux,
y compris la gestion des exceptions.
C4.9 Connaissance des techniques de contrôle qui assurent
l'intégrité des interfaces système.
C4.10 Connaissance de la planification des capacités ct des
techniques ct outils de planification de suivi associés.
C4. 11 Connaissance des processus, des outils ct des
techniques de suivi de la performance des systèmes
(p. ex., les analyseurs de réseaux, les rapports
d'utilisation de système, !'équilibrage de la charge de
travail).
C4.12 Connaissance des pratiques de sauvegarde, de stockage,
de mainlenance et de restauration des données.
C4.13 Connaissance des pratiques de gestion et d'optimisation
des bases de données.
C4.14 Connaif!sance de la qualité des données {intégralité,
exactitude, intégrité) et gestion du cycle de vic
(vieillissement, rétention).
C4.15 Connaissance des pratiques de gestion des problèmes et
des incidents.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d-'Information Section un : Avant~propos

C4.16 Connaissance des pratiques de gestion du changement, C4.20 Connaissance du développement et de la maintenance
de gestion de la configuration, de gestion des versions des plans de reprise après sinistre (PRS).
et de gestion des correctifS. C4.21 Connaissance des avantages et des inconvénients
C4. [ 7 Connaissance des risques opérationnels et des contrôles des sites de traitement alternatifs (p. ex., les sites de
relatif." ù l'utilisateur final. secours, les sites de secours intem1édînires et les salles
C4.18 Connaissance des problèmes rCg/cmentaires, légaux, blanches).
contract11C!s ct ceux liés aux assurances relatives à la C4.22 Connaissance des méthodes d'exercices de rcptise après
reprise après sinistre. sinistre.
C4.19 Connaissance de l'analyse dïmpact sur les affaires C4.23 Connaissance des processus utilisés pour invoquer les
(AJA) connexe au plan de continuité des activités plans de reprise après sinistre (PRS).
!l'CA).

Relation entre /es tâches et /es énoncés de connaissances

L'énoncé de tâche est cc que le candidat Cl SA est censé savoir f..1irc. Les énoncés de connaissances délimitent chacun des domaines
que doit bien connaître le candidat au titre CJSA pour exécuter des tùchcs. Les énoncés de tâches et de connaissances sont mis en
correspondance au tableau 4.1 dans la mesure où il est possible de le faire. Notez que bien qu'il y ait souvent chevauchement chaque
énoncé de tâche correspondra généralement à plusieurs énoncés de connaissances.

Tableau 4.1 - Col11lSpondance des tâche~ el énoncés de connai$Si!nces. "

Énoncés de lâches
T4.1 Évaluer le cadre et les pratiques
de gestion du service des Tl (en
interne ou de façon indépendante)
afin de déterminer si les contrôles
et les niveaux de service prévus
par l'organisation sont respectés
et si les objectifs stratégiques sont
atteints.
T4.2 Passer régulièrement en revue
les systèmes d'information pour
déterminer s'ils remplissent toujours
les objectifs de l'organisation
à l'intérieur de l'architecture
d'entreprise.
Énoncés de connaissances
C4.1 Connaissance des cadres de gestion du service.
C4.2 Connaissance des pratiques de gestion des services et de la gestion du niveau de service.
C4.3 Connaissance des techniques de surveillance de la performance des tiers et du respect des
accords de service et des exigences réglementaires.
C4.5 Connaissance de la fonctionnalité de la technologie fondamentale (p. ex., matériel et
composants du réseau, logiciel système, intergiciel, systèmes de gestion de bases de
données).
C4.10 Connaissance de la planification des capacités et des techniques et outils de planification de
suivi associés.
C4.11 Connaissance des processus, des outils et des techniques de suivi de la performance
des systèmes (p. ex., les analyseurs de réseaux, les rapports d'utilisation de système,
l'équilibrage de la charge de travail).
C4.14 Connaissance de la qualité des données (intégralité, exactitude, intégrité) et gestion du cycle
de vie (vieillissement, rétention).
C4.18 Connaissance des problèmes réglementaires, légaux, contractuels et ceux liés aux
assurances relatives à la reprise après sinistre.
C4.2 Connaissance des pratiques de gestion des services et de la gestion du niveau de service.
C4.3 Connaissance des techniques de surveillance de la performance des tiers et du respect des
accords de service et des exigences réglementaires.
C4.4 Connaissance de l'architecture d'entreprise.
C4.5 Connaissance de la fonctionnalité de la technologie fondamentale (p. ex., matériel et
composants du réseau, logiciel système, intergiciel, systèmes de gestion de bases de
données).
C4.10 Connaissance de la planification des capacités et des techniques et outils de planification de
suivi associés.
C4.11 Connaissance des processus, des outils et des techniques de suivi de la performance
des systèmes (p. ex., les analyseurs de réseaux, les rapports d'utilisation de système,
l'équilibrage de la charge de travail).
C4.14 Connaissance de la qualité des données (intégralité, exactitude, intégrité) et gestion du cycle
de vie (vieillissement, rétention).

Manuel de Préparation CISA 26" édition 269

ISACA. Tous droits réservés.
Section un :Avant-propos
Tatileâu lf.1- Correspondance des lâches et énoncés de connaissances
Énoncés de tâches
T4.3 Évaluer les opérations des Tl (p. ex.,
la planification des tâches, la gestion
de la configuration, la gestion de
la capacité et de la performance)
pour déterminer si elles sont
contrôlées efficacement et si elles
appuient toujours les objectifs de
l'organisation.
T4.4 Évaluer la maintenance des
Tl (correctifs, mises à niveau)
pour déterminer si elle est
contrôlée efficacement et si elle
appuie toujours les objectifs de
l'organisation.
T4.5 Évaluer les pratiques de gestion des
bases de données afin d'assurer
l'intégrité et l'optimisation des bases
de données.
T4.6 Évaluer la qualité des données
et la gestion du cycle de vie pour
déterminer si elles remplissent
toujours les objectifs stratégiques.
T4.7 Évaluer les pratiques de gestion des
problèmes et des incidents pour
déterminer s'ils peuvent être évités,
détectés, analysés, signalés et réglés
de manière opportune afin d'appuyer
les objectifs de l'organisation.
270
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
e. H.
Certilied !nformatlun
Systems Auditor'
"'~""'''"~'''"""'
Énoncés de connaissances
C4.5 Connaissance de la fonctionnalité de la technologie fondamentale (p. ex., matériel et
composants du réseau, logiciel système, intergiciel, systèmes de gestion de bases de
données).
C4.6 Connaissance des techniques et des outils liés à la résilience d'un système (p. ex., matériel
insensible aux défaillances, élimination d'un point de défectuosité et mise en grappe).
C4.7 Connaissance de la gestion des actifs des Tl, des licences de logiciels, de la gestion de code
source et des pratiques d'inventaire.
C4.8 Connaissance des pratiques de planification des travaux, y compris la gestion des exceptions.
C4.9 Connaissance des techniques de contrôle qui assurent l'intégrité des intertaces système.
C4.10 Connaissance de la planification des capacités et des techniques et outils de planification de
suivi associés.
C4.11 Connaissance des processus, des outils et des techniques de suivi de la performance des
systèmes (p. ex., les analyseurs de réseaux, les rapports d'utilisation de système, l'équilibrage
de la charge de travail).
C4.15 Connaissance des pratiques de gestion des problèmes et des incidents.
C4.16 Connaissance des pratiques de gestion du changement, de gestion de la configuration. de
gestion des versions et de gestion des correctifs.
C4.5 Connaissance de la fonctionnalité de la technologie fondamentale (p. ex., matériel et
composants du réseau, logiciel système, intergiciel, systèmes de gestion de bases de
données).
C4.7 Connaissance de la gestion des actifs des Tl, des licences de logiciels, de la gestion de code
source et des pratiques d'inventaire.
C4.12 Connaissance des pratiques de sauvegarde, de stockage, de maintenance et de restauration
des données.
C4.16 Connaissance des pratiques de gestion du changement, de gestion de la configuration. de
gestion des versions et de gestion des correctifs.
C4.5 Connaissance de la fonctionnalité de la technologie fondamentale (p. ex., matéliel et
composants du réseau,logiciel système, intergiciel, systèmes de gestion de bases de
données).
C4.8 Connaissance des pratiques de planification des travaux, y compris la gestion des exceptions.
C4.13 Connaissance des pratiques de gestion et d'optimisation des bases de données.
C4.16 Connaissance des pratiques de gestion du changement, de gestion de la configuration, de
gestion des versions et de gestion des correctifs.
C4.5 Connaissance de la fonctionnalité de la technologie fondamentale (p. ex., matériel et
composants du réseau, logiciel système, intergiciel, systèmes de gestion de bases de
données).
C4.7 Connaissance de la gestion des actifs des Tl, des licences de logiciels, de la gestion de code
source et des pratiques d'inventaire.
C4.14 Connaissance de la qualité des données (intégralité, exactitude, intéglité) et gestion du cycle
de vie (vieillissement, rétention).
C4.17 Connaissance des risques opérationnels et des contrôles relatifs à l'utilisateur final.
C4.5 Connaissance de la fonctionnalité de la technologie fondamentale (p. ex., matériel et
composants du réseau,logiciel système, intergiciel, systèmes de gestion de bases de
données).
C4.8 Connaissance des pratiques de planification des travaux, y compris la gestion des exceptions.
C4.9 Connaissance des techniques de contrôle qui assurent l'intégrité des intertaces système.
C4.10 Connaissance de la planification des capacités et des techniques et outils de planification de
suivi associés.
C4.11 Connaissance des processus, des outils et des techniques de suivi de la pertormance des
systèmes (p. ex.,les analyseurs de réseaux, les rapports d'utilisation de système, l'équilibrage
de la charge de travail).
C4.12 Connaissance des pratiques de sauvegarde, de stockage, de maintenance et de restauration
des données.
C4.15 Connaissance des pratiques de gestion des problèmes et des incidents.
C4.16 Connaissance des pratiques de gestion du c11angement, de gestion de la configuration, de
gestion des versions et de gestion des correctifs.
C4.17 Connaissance des risques opérationnels et des contrôles relatifs à l'utilisateur final.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certified lnformatloo
Systems Audito_r:•
"'"'"""'~'""''""
Chapitre 4 - Exploitation"' Entretien et Gestion
des Services des Systèmes d"'lnformation Section un ; Avant-propos

Tableau 4.1- Correspondance des tâches et énonces de connaissances

Énonces de tâches
T4.8 Évaluer les pratiques de gestion
des changements et des versions
pour déterminer si les changements
apportés aux systèmes et
applications sont correctement
contrôlés et documentés.
T4.9 Évaluer l'informatique individuelle
pour déterminer si les processus
qui lui sont destinés font l'objet d'un
contrôle efficace et s'ils appuient les
objectifs de l'organisation.
T4.10 Évaluer la pérennité et la résilience
des Tl (sauvegardes et récupérations,
plan de reprise après sinistre
[PAS]) pour déterminer si elles sont
contrôlées efficacement et si elles
appuient toujours les objectifs de
l'organisation.
Énoncés de connaissances
C4.5 Connaissance de la fonctionnalité de la technologie fondamentale (p. ex., matériel et
composants du réseau, logiciel système, intergiciel, systèmes de gestion de bases de
données).
C4.7 Connaissance de la gestion des actifs des Tl, des licences de logiciels, de la gestion de code
source et des pratiques d'inventaire.
C4.9 Connaissance des techniques de contrôle qui assurent l'intégrité des interfaces système.
C4.13 Connaissance des pratiques de gestion et d'optimisation des bases de données.
C4.14 Connaissance de la qualité des données (intégralité, exactitude, intégrité) et gestion du cycle
de vie (vieillissement, rétention).
C4.16 Connaissance des pratiques de gestion du changement, de gestion de la configuration, de
gestion des versions et de gestion des correctifs.
C4.4 Connaissance de l'architecture d'entreprise.
C4.9 Connaissance des techniques de contrôle qui assurent l'intégrité des interfaces système.
C4.17 Connaissance des risques opérationnels et des contrôles relatifs à l'utilisateur final.
C4.4 Connaissance de l'architecture d'entreprise.
C4.5 Connaissance de la fonctionnalité de la technologie fondamentale (p. ex., matériel et
composants du réseau, logiciel système, intergiciel, systèmes de gestion de bases de
données).
C4.6 Connaissance des techniques et des outils liés à la résilience d'un système (p. ex., matériel
insensible aux défaillances, élimination d'un point de défectuosité et mise en grappe).
C4.7 Connaissance de la gestion des actifs des Tl, des licences de logiciels, de la gestion de code
source et des pratiques d'inventaire.
C4.8 Connaissance des pratiques de planification des travaux, y compris la gestion des exceptions.
C4.12 Connaissance des pratiques de sauvegarde, de stockage, de maintenance et de restauration
des données.
C4.15 Connaissance des pratiques de gestion des problèmes et des incidents.
C4.18 Connaissance des problèmes réglementaires, légaux, contractuels et ceux liés aux
assurances relatives à la reprise après sinistre.
C4.19 Connaissance de l'analyse d'impact sur les affaires (AIA) connexe au plan de continuité des
activités (PCA).
C4.20 Connaissance du développement et de la maintenance des plans de reprise après sinistre
(PRS).
C4.21 Connaissance des avantages et des inconvénients des sites de traitement alternatifs (p. ex.,
les sites de secours, les sites de secours intermédiaires et les salles blanches).
C4.22 Connaissance des méthodes d'exercices de reprise après sinistre.
C4.23 Connaissance des processus utilisés pour invoquer les plans de reprise après sinistre (PRS).

Guide de référence sur les énoncés de connaissances

Chaque énoncé de connaissances est expliqué. en fonction des concepts sous-jacents et de la pertinence de l'énoncé de connaissances
pour l'auditeur des SL Le candidat à l'examen doit absolument comprendre les concepts. Les énoncés de connaissances représentent ce
que 1'auditeur des SI doit savoir pour exécuter ses tâches. Par conséquent, seuls les énoncés de connaissances sont présentés dans cette
section.

Les sections citées sous C4. 1 à C4.23 sont décrites plus en détail dans la section deux du présent chapitre.

Manuel de Préparation CISA 26" édition 271

ISACA. Tous droits rêservés.
Section un : Avant~propos
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
e. H
Certified,lnformation
Systems Auditor•
;;;;;;;±;:;:;,---

C4.1 Connaissance des cadres de gestion du service.

Explication 1 Concepts illéS 1 Référence dans le Mânuel2016
Dans le but de fournir le service contribuant à l'efficacité de l'organisa~on, les Tl Comprendre les cadres Bonnes pratiques de gouvernance
peuvent tirer parti des cadres fonnels de gestion des services. de gestion des services, des Tl de l'entreprise
leur contenu et leur but 4.2.2 Cadres de gestion du service des Tl
~auditeur des SI doit être informé et avoir la connaissance des principaux
cadres de gestion des services (p. ex., Bibliothèque de l'infmstructure des Tl,
Organisation internationale de normalisation [ISO] 20000), de leur contenu et
de leurs objectifs. ~auditeur des SI doit être en mesure de détenniner si les Rapprocl1ement
pratiques adoptées répondent aux besoins de l'organisation. ~auditeur des SI des pratiques et
doit aussi être en mesure de détenniner si les niveaux de service exigés par des exigences de
l'organisation ont été mis en œuvre et s'ils sont atteints. l'organisation

C4.2 Connaissance des pratiques de gestion des services et de la gestion du niveau de service.
EXplication 1 ConcepiS clés 1 Rélérênce dans re Manuel de 2016
La gestion des niveaux de service assure que les services de Tl répondent Comprendre les bonnes 4.2.3 Gestion des services des Tl
aux attentes des clients et que les accords sur les niveaux de service (ANS) pratiques pour la gestion
sont continuellement maintenus et améliorés au besoin. Les ANS sont des niveaux de service
généralement distincts des contrats avec les fournisseurs externes. Bien que
les ANS soient généralement associés aux fonctions imparties à l'externe,
l'auditeur des SI doit être conscient qu'ils peuvent aussi être conclus à
l'interne pour garantir aux détenteurs de processus clés le niveau de service
que l'organisation des Tl a consenti à fournir. Les ANS peuvent comprendre
des éléments de soutien technique, comme le délai de réaction attendu;
la disponibilité du système (p. ex., de 8 h à 18 h, du lundi au vendredi);
service de dépannage et recours à la hiérarchie, etc. Par conséquent, les
ANS précisent les détails opérationnels sous-jacents pour les services
convenus qui, s'ils sont évalués et gérés, respecteront les engagements qui
correspondent aux attentes des clients.

C4.3 Connaissance des techniques de surveillance de la performance des tiers et du respect des accords de
service et des exigences réglementaires.
EXplication 1 ConcePIS clés 1 Référence dans le Maouel2016
Comme il est de plus en plus courant d'externaliser l'infrastructure des Impact des pratiques 2.9.2 Pratiques d'externalisation
Tl à des fournisseurs de service externes, il est essentiel de connaître les d'externalisation sur la
plus récentes approches quant aux stratégies et processus contractuels gouvernance des Tl
et aux pratiques en matière de gestion de contrats. ~externalisation des Tl 2.10.1 Rôles et responsabilités des Tl
Relation entre la gestion
(et les solutions associées comme la gestion des processus et la gestion
des fournisseurs et la
de l'infrastructure) peut contribuer à réduire les coûts et à compléter
gouvernance des Tl de
l'expertise interne d'une entreprise; toutefois, la sous-traitance peut aussi
l'impartiteur
introduire un risque supplémentaire. Il est donc indispensable que l'auditeur
des SI comprenne les plus récentes approches quant aux stratégies et Modalités contractuelles 2.11.2 Revue des engagements
processus contractuels et aux pratiques en matière de gestion de contrats, et leur impact sur la contractuels
y compris les concepts essentiels qui doivent être inclus dans un contrat gouvernance des Tl de 4.2.3 Gestion des services des Tl
d'externalisation et les exigences d'analyse de cas. l'impartiteur

272 Manuel de Préparation CISA 26• édition

ISACA. Tous droits réservés.
e '
.. .M.
ertifl!ld lnformalion
Systems Auditor•
.-f--~

"'''""""'"''''"''""'
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes dllnformation Section un :Avant-propos

C4.4 Connaissance de l'architecture d'entreprise.

EXplication 1 COnceJrn; Clés 1 Rêlérence dans le Manuel2016
~auditeur des SI doit connaître les fonctionnalités de l'équipement matériel Comprendre les 2.3.5 Architecture d'entreprise
du système d'information et des composants de réseau. Cette connaissance composants, les 4.7.1 Architecture d'entreprise et audit
inclut la compréhension de l'importance de l'aspect physique de toutes principes et les concepts
les solutions de SI et de Tl qui soutiennent les objectifs et les buts de relatifs à l'architecture
l'organisation. Bien que l'examen CISA ne vérifie pas la connaissance d'entreprise
technique du fonctionnement des composants individuels, on s'attend à ce
que le candidat comprenne les risques associés à chaque composant et les
fonctions de contrôles potentielles de chacun; par exemple, le risque que des Comprendre les objectifs
mots de passe d'accès au rouleur puissent être partagés, tout en sachant de l'architecture
que des mots de passe programmés adéquatement peuvent apporter une d'entreprise
contribution majeure à la résilience du réseau.

~auditeur des SI doit comprendre les systèmes de base relatifs aux logiciels
d'exploitation. Les logiciels d'application sont intégrés à l'environnement
contrôlé par le système d'exploitation, mais d'autres logiciels d'exploitation Pertinence des
comme les utilitaires, les gestionnaires de système, etc., peuvent avoir divers éléments
un impact sur la sécurité, la fiabilité, l'intégrité et la disponibilité des de l'architecture
applications et des données. Les problèmes de logiciels d'exploitation sont d'entreprise et leur effet
extrêmement importants, puisqu'ils touchent toutes les applications de sur les systèmes des Tl
l'environnement et que les contrôles au niveau de l'application pourraient
être contournés au niveau du logiciel d'exploitation.

C4.5 Connaissance de la fonctionnalité de la technologie fondamentale (p. ex., matériel et composants du réseau,
logiciel système, lnterglciel, systèmes de gestion de bases de données).
EXplicalion 1 Concepts clés 1 Référence dans le Manuel2016
~auditeur des SI doit connaître les fonctionnalités de l'équipement matériel Comprendre les 4.4
du système d'information et des composants de réseau. Cette connaissance composants matériels
inclut la compréhension de l'importance de l'aspect physique de toutes et de réseau clés d'un 4.6
les solutions de SI et de Tl qui soutiennent les objectifs et les buts de centre de données 4.7.2
l'organisation. Bien que l'examen CISA ne vérifie pas la connaissance typique 4.7.5
technique du fonctionnement des composants individuels, on s'attend à ce
que le candidat comprenne le risque associé à chaque composant et les
fonctions de contrôles potentielles de chacun; par exemple, le risque que des
mots de passe d'accès au rouleur puissent être partagés, tout en sachant
que des mots de passe programmés adéquatement peuvent apporter une Comprendre les 3.9.5
contribution majeure à la résilience du réseau. principaux contrôles et
risques concernant le 3.9.6
~auditeur des SI doit comprendre les systèmes de base relatifs aux logiciels logiciel d'exploitation et 4.5.1
d'exploitation. Les logiciels d'application sont intégrés à l'environnement les systèmes de gestion 4.5.2
contrôlé par le système d'exploitation, mais d'autres logiciels d'exploitation de base de données 4.5.3
comme les utilitaires, les gestionnaires de système, etc., peuvent avoir
un impact sur la sécurité, la fiabilité, l'intégrité et la disponibilité des 4.5.5
applications et des données. Les problèmes de logiciels d'exploitation sont
extrêmement importants, puisqu'ils touchent toutes les applications de 4.5.6
l'environnement et que les contrôles au niveau de l'application pourraient 4.7.3
être contournés au niveau du logiciel d'exploitation.
4.7.4
Structure matérielle des systèmes
d'information
Infrastructure du réseau des SI
Révisions du matériel
Révisions de l'infrastructure et de
l'implantation du réseau
Acquisition d'un logiciel
d'exploitation
Implantation du logiciel d'exploitation
Systèmes d'exploitation
Logiciel de contrôle d'accès
Logiciel de communication de
données
Systèmes de gestion de base de
données
Programmes utilitaires
Révisions des systèmes
d'exploitation
Révisions de la base de données

Manuel de Préparation CISA 26" édition 273

ISACA. Tous droits réservés.
Section un :Avant-propos
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d"lnformation
e . Certified lntorm.ation
..-. Systems Auditor"

'-'"""''""''""""

C4.6 Connaissance des techniques et des outils liés à la résilience d'un système (p. ex., matériel insensible aux
défaillances, élimination d'un point de défectuosité et mise en grappe).
EXplication 1 COnc~P!!! clés j Ri!f!\renœ dans Je Manuel2016
Les techniques et les outils liés à la résilience du système sont importants Comprendre les bonnes 4.8.3 Autres solutions de reprise des
pour assurer un service ininterrompu. ~auditeur des SI doit pouvoir identifier pratiques pour assurer la opérations
les points de défectuosité au sein d'un processus et comprendre les outils résilience des systèmes
et techniques pertinents, comme une grande disponibilité, l'équilibre de
la charge et les solutions de mise en grappe, utilisés pour améliorer la
résilience du système.

C4. 7 Connaissance de la gestion des actifs des Tl, des licences de logiciels, de la gestion de code source et des
pratiques d'Inventaire.
Éiplication 1 Concel!!!! dés 1 Ri!f!\œnœ dans le Manuef2016
~auditeur des SI doit être familier avec les concepts de gestion des actifs, y Comprendre les 4.2.9 Assurance de la qualité
compris les pratiques d'inventaire, et la façon dont ils alimentent les autres composants et le but 4.3 Gestion des actifs des Tl
processus tels que la délivrance de licences de logiciels. L'auditeur des SI de la gestion des actifs 4.5.7 Problèmes de licences de logiciels
doit savoir que la gestion des actifs des Tl est essentielle à la sécurité de des Tl 4.5.8 Gestion de code source
l'information. Un actif non identifié ne peut être protégé.

~auditeur des SI doit savoir que l'utilisation de logiciels sans licence,

appelée piratage, est considérée illégale partout dans le monde, même si
des lois précrses à ce sujet ne sont pas nécessairement appliquées dans
tous les pays. La délivrance de licences de logiciels doit être sujette à
des contrôles assurant que le nombre de copies en circulation dans une
organisation ne dépasse pas le nombre de copies achetées. ~audffeur des
SI doit comprendre les différentes méthodes de délivrance de licence de
logiciels (par poste de travail, utilisateurs simultanés, licences d'entreprise, Comprendre les
etc.) et la façon d'utiliser des outils automatisés pour inventorier le nombre contrôles clés pour la
de produits logiciels en circulation et pour prévenir et détecter l'utilisation de délivrance des licences
logiciels sans licence. de logiciels

~auditeur des SI doit être informé de la nécessité de gérer le code source

du programme. Le code source peut contenir des éléments de propriété Comprendre les
intellectuelle et l'accès doit être restreint. Le versionnage du code source systèmes de contrôle
doit être contrôlé et correspondre constamment aux objectifs programme. des versions logicielles
La gestion de code source doit correspondre étroitement à la gestion des
changements et des versions.

C4.8 Connaissance des pratiques liées à l'administration de bases de données.

Explication 1 Concel!!!! cléS 1 Rt\férençe dans Je Manuel de Préparation
CJ$112016
La gestion des activffés est essentielle pour fournir des sollrtions techniques Comprendre les bonnes 4.2 Opérations des systèmes
adéquates, effcaces et efficientes. Les rôles et responsabilités de la gestion des pratiques pour la gestion d'information
activffés représentent un risque élevé, non seulement pour le fonctionnement des activités 4.7.5 Révisions de l'infrastructure et de
quotidien de l'organisation des Tl, mais aussi pour la protection des actifs l'implantation du réseau
informationnels à la fois en ce qui a trait à la restriction de l'accès aux 4.7.6 Révision des opérations relatives aux
individus autorisés seulement qu'à la disponibilité des Tl. ~audffeur des SI doit SI
comprendre les pratiques et les contrôles de gestion des activités pour assurer 4.7.7 Révisions de la planification
à l'entreprise une prestation de services de Tl de qualité et pour assurer la
sécurité de l'information.

274 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e . Certifled lnformatio!l
M Systems Audilor"
~-,~--
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information Section un : Avant-propos

C4.9 Connaissance des techniques de contrôle qui assurent l'intégrité des interfaces système.
EXpliclltion 1 concepts clés 1 llé!érence dans le Manuef2016
Les intertaces système, incluant les intergiciels, les intertaces de Comprendre les 4.2.4 Activités des SI
programmation d'applications (APl) et autres logiciels semblables, présentent contrôles et les risques 4.2.5 Gestion des incidents et des
un risque particulier parce qu'elles peuvent ne pas être sujettes aux mêmes clés relatifs aux problèmes
critères ngoureux de sécurité et de contrôle que les systèmes d'applications intertaces système 4.2.7 Processus de gestion des
à grande échelle. ~auditeur des SI doit comprendre les moyens de contrôler modifications
et de sécuriser les intertaces système. La direction dort s'assurer que les 4.2.8 Gestion des versions
systèmes sont testés et approuvés adéquatement, que les modifications sont 4.2.9 Assurance dela qualité
autorisées et implantées convenablement et que les procédures appropriées 4.6.6 Application du modèle OSI dans les
de gestion de versions sont suivies. architectures du réseau

C4.10 Connaissance de la planification des capacités et des techniques et outils de planification de suivi
associés.
EXplication 1 Concepts clés 1 Référence dans le Manuel2016
La planification de la capacité est le fait de prévoir, évaluer et, au besoin, Planification et suivi de 4.4.4 Gestion dela capaciTé
ressortir de façon rentable tous les aspects actuels et futurs relatifs à la la capacité
capacité et à la pertormance des exigences d'entreprise. La capacité des
systèmes d'information doit faire l'objet d'une surveillance continue pour
répondre aux 32 besoins de l'entreprise et devrart être planifiée à l'aide
de projections des besoins futurs prévus. La capacité comprend la taille et
la vitesse du processeur, la mémoire interne du système et les supports
de stockage et de communication. On s'attend à ce quel'audrteur des SI
connaisse les concepts relatifs à la gestion de la capacité et les exigences
informationnelles essentielles de cette tâche, comme les rapports de
pertonnance technique et les renseignements sur les besoins d'entrepose
projetés. li n'est pas essentiel d'avoir une connaissance détaillée des modèles
mathématiques souvent complexes utilisés par le processus.

C4.11 Connaissance des processus, des outils et des techniques de suivi de la performance des systèmes (p. ex.,
les analyseurs de réseaux, les rapports d'utilisation de système, l'équilibrage de la charge de travail).
EXplication concepts clés Référence dans le Manuel2016

Le suivi de la pertormance des Tl quant aux processus et actifs essentiels Comprendre les 4.2.5 Gestion des incidents et des
devrart se faire sur une base continue pour garantir des services den fiables qui bonnes pratiques pour problèmes
respectent les ANS et atteignent les objectifs d'entreprise définis. Les processus la surveillance des 4.4.3 Procédures de surveillance du
de surveillance dela pertormance doivent être établis à l'aide d'outils et de systèmes matériel
techniques de soutien, et même si l'examen CISA ne vérifie la connaissance 4.4.4 Gestion de la capacité
d'aucun outil en particulier, l'audrteur des SI dort conna1tre l'importance du suivi 4.6.6 Application du modèle OS! dans les
et des techniques de base susceptibles d'être utilisées. architectures du réseau
4.8.3 Autres solutions de reprise des
opérations

C4.12 Connaissance des pratiques de sauvegarde, de stockage, de maintenance et de restauration des données.
Explication ~ 1 COncepts clés 1 Référence dans le Manuel2016
Un auditeur des SI doit comprendre la relation entre les plans de secours et Comprendre les 42.13 Audit du plan de continuité des
de reprise et les exigences des processus d'entreprise.!! est essentiel que stratégies de sauvegarde activités
les données critiques soient disponibles en cas de perte ou de corruption dont la rotation des 4.8.2 Stratégies de reprise des opérations
des données. Des copies de secours des données doivent être faites, médias et le stockage 4.8.6 Sauvegarde et rétablissement
disponibles à un emplacement peu susceptible d'être touché par un désastre approprié, la protection
au site principal et protégées (c.-à-d. sécurisées physiquement et chiffrées, des données et la
au besoin). ~entreprise doit avoir des politiques, processus, procédures relation avec l'objectif de
et normes documentés qui expliquent clairement la sauvegarde et la temps de reprise (OTR)/
récupération des données. On s'attend à ce que l'auditeur des SI comprenne OPR
que, sans copie de sauvegarde, aucun plan de reprise après sinistre (PRS) ne
peut fonctionner; que la sauvegarde devrait avoir lieu à intervalles appropriés
en fonction des besoins de l'entreprise, tels que détenninés par l'objectif
de point de reprise (OPR), et que les copies de sauvegarde doivent être
transportées de façon sûre jusqu'à un lieu d'entreposage" hors site' afin
d'être disponibles dans l'éventualité où un incident perturbateur toucherait le
site principal.

Manuel de Préparation CISA 26• édition 275

ISACA. Tous droits réservés.
Section un : Avant-propos
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
e . H.
Certified lnformatioo
Systems Auditor"
;:;:;;;::!;:;;;-··-

C4.13 Connaissance des pratiques de gestion et d'optimisation des bases de données.

EXplication C!Jncel!!!l clés Référence dans le Manuel2016
~auditeur des SI doit absolument comprendre les concepts de conception Comprendre les 4.5.5 Système de gestion de base de
et d'administration des bases de données, les relations entre les objets domaines de contrôle données
des bases de données, les problèmes possibles quant au traitement des clés quant à la sécurité 4.7.4 Révisions de la base de données
transactions et les enjeux de sécurité associés aux systèmes de gestion de et à l'administration des
base de données, particulièrement lorsqu'il audite de tels systèmes. Les bases de données
rôles et responsabilités de gestion clés, comme ceux de l'administrateur de
base de données (ABD), doivent être compris, tout comme les pratiques de
contrôle associées à ces rôles et responsabilités et la technologie gérée par
le personnel clé.

C4.14 Connaissance de la qualité des données (intégralité, exactitude, Intégrité) et gestion du cycle de vie
(vieillissement, rétention).
fllplication 1 C!Jncepts clés 1 Réfllrence llans le Manuel2016
~auditeur des SI doit comprendre les concepts de qualité des données et Connaissance des 4.5.4 Gestion des données
de gestion du cycle de vie des données. ~auditeur des SI doit comprendre concepts de qualité des
la manière de mettre en œuvre ces concepts dans des applications et des données
systèmes de gestion des bases de données. De plus, l'auditeur des SI doit Connaissance de la
être en mesure de déterminer si la mise en œuvre respecte les objectifs gestion du cycle de vie
organisationnels.
des données

C4.15 Connaissance des pratiques de gestion des problèmes et des incidents.

EXplication Concepts clés Référence dans le Manuel2016
Un incident signifie tout événement pouvant causer une perturbation Comprendre les bonnes 4.2.5 Gestion des incidents et des
temporaire à l'entreprise. Un problème peut survenir lorsque de tels incidents pratiques de gestion problèmes
ne sont pas résolus. La cause sous-jacente d'un incident peut aussi être des incidents et des 4.7.8 Révisions des rapports de gestion
identifiée comme un problème et traitée comme teL Tous les incidents ou problèmes des problèmes
problèmes doivent être détectés, rapportés, gérés et résolus promptement
Il faut utiliser un outil de gestion des problèmes; ainsi, l'auditeur des SI peut
vérifier l'outil et être en mesure de constater si les problèmes ont été résolus
de façon satisfaisante et si l'outil peut identifier des tendances en matière
d'incidents et en analyser les causes fondamentales, ce qui pourrait révéler
un problème sous-jacent.

C4.16 Connaissance des pratiques de gestion du changement, de gestion de la configuration, de gestion des
versions et de gestion des correctifs.
fllplication 1 Concepts tlés 1 Référence dans Je Manuel2016
Toutes les modifications au système ou à l'infrastructure de production Bonnes pratiques 3.1 0.1 Aperçu du processus de gestion des
doivent être approuvées conformément au processus de gestion des de gestion des modifications
modifications établi. Il faut appliquer une séparation adéquate des modifications, de gestion 3.1 0.2 Gestion de la configuration
tâches pour faire en sorte, par exemple, que la personne qui apporte le des versions et de 4.2.7 Processus de gestion des
changement n'est pas aussi celle qui l'approuve. ~auditeur des SI doit gestion des correctifs modifications
aussi être conscient du besoin d'établir des procédures pour contrôler les 4.2.8 Gestion des versions
modifications laites au système en situation d'urgence, par exemple quand
un programmeur est appelé à résoudre des problèmes après un arrêt du
système. Dans de telles circonstances, il est souvent nécessaire que le
programmeur accède aux systèmes de production, ce qui enfreint les règles
de division des tâches. Des registres d'activité, ainsi qu'une vérification
de la part de la direction et une approbation ultérieure des modifications,
constituent une exigence critique.

276 Manuel de Préparation CISA 26" édition

ISACA. Tous droits résenrés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information Section un : Avant~propos

C4.17 Connaissance des risques opérationnels et des contrôles relatifs à l'utilisateur final.
Eltplîcatlon J Concepts clés J Référence dans le Manuel2016
~auditeur des SI doit comprendre le risque associé à l'informatique Comprendre le risque 4.5.9 Informatique individuelle
individuelle (p. ex., Microsoft'' Excei,Access, etc.). associé à l'informatique
ind'rviduelle
Cet auditeur doit comprendre que ces outils peuvent être utilisés pour créer
des applications clés sur lesquelles l'organisation pourrait compter, sans
qu'elles soient contrôlées par le service des Tl. Cela peut donc signifier que
de telles applications pourraient ne pas être sauvegardées, être soumises à
la gestion des modifications, etc.

C4.18 connaissance des problèmes réglementaires, légaux, contractuels et ceux /lés aux assurances relatives à la
reprise après sinistre.
Etplicalion ~ 1 Concepts clés 1 Référence dans le Manuel2016
Un auditeur des SI doit savoir analyser le degré de conformité du plan Comprendre 2.121 Planification de la continuité des
de continuité des activités (PCA)/plan de reprise après sinistre (PRS) aux les exigences activités des SI
exigences réglementaires, juridiques, contractuelles et d'assurances. Les réglementaires du PCA, 4.8 Plan de reprise après sinistre
stratégies de continuité des activités et de reprise après sinistre dépendent les modalités de contrat
souvent, à divers degrés, des fournisseurs de service externes. Les modalités avec les fournisseurs
contractuelles déterminent les obligations des fournisseurs externes qui externes et les
font partie de la solution PCNPRS. Le PCA pourrait aussi être obligatoire, assurances
tout dépendant de diverses exigences réglementaires ou juridiques. De plus,
les assurances constituent une composantes importante de la stratégie
d'atténuation des risques relativement au transfert du risque, et l'auditeur
des SI doit être conscient de la nécessité de souscrire à une assurance dont
la valeur correspond à celle de l'infrastructure technologique de l'entreprise.

C4.19 Connaissance de l'analyse d'Impact sur les affaires (A/A) connexe au plan de continuité des activités (PCA).
I'J!Piication J ConceliW clés. 1 Référence dans le Manuel2016
Un auditeur des SI doit pouvoir déterminer l'adéquation entre une analyse Comprendre l'AJA en 2.12.6 Analyse de l'impact des risques de
d'impact sur les affaires (AIA) et un plan de continuité des activités (PCA). tant que facteur clé du l'entreprise
Pour être efficace et efficient, le PCA doit être fondé sur une ARO bien processus PCNPRS 4.8. 7 Méthodes de test de reprise après
documentée. Une ARO concentre les efforts du PCA d'une entreprise et Analyse de l'impact des sinistre
contribue à concilier les coûts à encourir avec les avantages correspondants risques de l'entreprise
pour l'entreprise. Il est essentiel qu'un auditeur des SI possède une bonne
compréhension du concept de I'ARO afin d'auditer l'efficacité et l'efficience
d'un PCA.

Manuel de Préparation CISA 26• édition 277

ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
Section un : Avant~propos des Services des Systèmes d'Information

C4.20 Connaissance du développement et de la maintenance des plans de reprise après sinistre (PRS).
EMiicâtion 1 Concepl$ Clés 1 Ré!Qrence dans le Manuel2016
~auditeur des SI doit détenir une solide connaissance des pratiques et Comprendre le cycle de Planification de la continuité des
2.12.1
techniques suivies pour élaborer et maintenir les plans de continuité des développement et de activités des SI
activités PCNPRS, y compris le besoin de coordonner les plans de reprise de maintenance des PCN 2.12.3 Processus de planification de
toute l'entreprise. Les plans devraient être adaptés aux besoins individuels PRS Planification de la continuité des activités
des entreprises, puisque les différences d'industrie, de taille et de portée des continuité des activités 2.12.4 Politique de continuité des activités
organisations, et même l'emplacement géographique, peuvent influencer des SI 2.12.5 Gestion des incidents et plan de
le contenu des plans. La taille et la nature des installations de reprise continuité des activités
choisies pour la technologie dépendront des risques financiers associés a 2.12.7 Développement de plans de
l'interruption de service. En gros, plus le temps de reprise détenniné par continuité des activités
l'objectif de temps de reprise (OTR) est rapide, plus les coûts potentiels sont 2.12.8 Autres problèmes liés au
a
élevés. Une fois établis, les plans de reprise doivent être maintenus jour développement de plans
relativement aux changements au sein de l'entreprise et au risque associé. 2.12.11 Résumé du plan de continuité des
activités
4.8.2 Stratégies de reprise des
opérations
4.8.3 Autres solutions de reprise des
opérations
4.8.4 Elaboration des plans de reprise
après sinistre

C4.21 Connaissance des avantages et des Inconvénients des sites de traitement alternatifs (p. ex., les sites de
secours, les sites de secours intermédiaires et les salles blanches).
fltplication 1 Concepw clés 1 Référence dans le Mânuel2016
~audrteur des SI doit pouvoir analyser si le choix de l'autre site de traitement Comprendre les autres 4.8.2 Stratégies de reprise des opérations
d'une entreprise est adéquat, en tenant compte des exigences de reprise options de traitement, 4.8.3 Autres solutions de reprise des
de l'entreprise. ~entreprise doit prévoir un autre site de traitement pour les avantages et opérations
accueillir les systèmes d'information essentiels dans l'éventualité où les désavantages relatifs a
systèmes d'information principaux devenaient non disponibles. ~autre site chacune et les méthodes
de trartement doit satisfaire aux exigences d'entreprise définies. ~auditeur utilisées pour assurer
des SI doit comprendre les différences entre les types d'autres sites de le suivi des ententes
traitement et pouvoir évaluer si le type choisi est adéquat pour répondre aux contractuelles avec un
exigences d'entreprise définies, telles qu'établies dans le plan de continuité fournisseur externe
des activités (PCA)/plan de reprise après sinistre (PRS). Les solutions peuvent
comprendre, en ordre de vitesse de reprise décroissant : un site miroir; un
centre de secours immédiat; une salle rouge; une salle blanche; un site sous
contrat, comprenant la fourniture d'installations mobiles; et le recours à des
fournisseurs et aune entente réciproque.

~auditeur des SI doit comprendre de quelle façon la structure des contrats

peut se plier aux différentes exigences d'entreprise, selon la gravité du
sinistre.

C4.22 Connaissance des méthodes d'exercices de reprise après sinistre.

fiplicalion 1 Concel!ll! Cles 1 Reférence dans le Manuel2016
Un auditeur des SI doit connaître les approches et méthodes d'essais Comprendre les types 2.13.4 Entretien avec le personnel clé
relativement au plan de continuité des activités (PCA)/ plan de reprise de tests de reprise après 4.8.7 Méthodes de test de reprise après
après sinistre (PRS) afin d'évaluer l'efficacité des plans. Pour assurer le sinistre, les facteurs à sinistre
fonctionnement du PCNPRS en cas de sinistre, il est important de mettre à prendre en considération
l'essai périodiquement le PCNPRS et de vérifier que les efforts de test sont lors du choix de la portée
efficaces. Le rôle de l'auditeur des SI est d'observer les tests; d'assurer que de test appropriée
toutes les " leçons apprises , sont consignées adéquatement et intégrées ainsi que les méthodes
aune révision du plan; et de réviser les rapports documentant les tests d'observation des tests
précédents. Les éléments clés à rechercher comprennent dans quelle de reprise et d'analyse
mesure le test se base sur des ressources ou réunions de préplanification des résultats
approfondie qui n'entreraient pas en jeu dans l'éventualité d'un désastre
réel. ~objectif d'un test doit être de repérer les lacunes à combler et non
d'obtenir des résu~ats parfaits. Un autre aspect important des tests de PRS/
PCA est d'offrir de la formation au personnel de direction et d'exploitation
susceptible de participer au processus de reprise.

278 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d lnformation 1
Section un : Avant~propos

C4.23 Connaissance des processus utilisés pour Invoquer tes plans de reprise après sinistre (PRS).
EXplication 1 Concepts Clês 1 Référence dans le Manuel2016
~auditeur des SI doit comprendre les concepts qui motivent la décision de Comprendre les 2.12.5 Gestion des incidents et plan de
déclarer un sinistre et de mettre en œuvre un PCNPRS, ains'r que l'impact de bonnes pratiques pour continuité des activités
la décision pour l'entreprise, en se rappelant que le recours au PCNPRS peut communiquer !'annonce 2.12.7 Développement de plans de
constituer une interruption en soi. Les éléments clés dont l'auditeur des SI d'un sinistre continuité des activités
doit confirmer la présence sont : des consignes claires aux individus qui ont 2.13.6 Révision du contrat pour
l'autorité de déclarer un sinistre, l'identification des employés qui joueront un l'installation de traitement de
rôle de décideur si le décideur principal était frappé d'incapacité ou était non secours
disponible et les étapes assurant la communication correcte de l'annonce du 4.8.5 Organisation et affectation des
sinistre. responsabilités
4.8.8 Invoquer les plans de reprise après
sinistre

RESSOURCES SUGGÉRÉES POUR APPROFONDIR itSMI~

!.:ÉTUDE
Hiles, Andrew; Business Continuity: Best Practices-
tYorld-c/a.vs Business Cominuity Management. 2"d Edition,
Rothstein Associates !ne., fo.-U., 2003
Hobbs, Martyn; /TAsse! Alanagement: A Pocket Survival Guide,
IT Governance Publîshing, É.-U., 2011.
ISACA, CO/JlT S, ~:.-tl., 2012, www.isaca.OI;t:lcobit
ISACA, CO BITS: Enahling Information, É.-U., 2013,
www.isaca.org/cobit
ISACA, COB/T 5: Enabling Processes, É.-U., 2012,
www.hmca.oq:lcobit
the fT Service Management Forum; Frameworks jàr fT
Management, Van Haren Publishing, Pays-Bas, 2006
Mullins, Craig S.; Database Administration: The Complete
Guide to DBA Practices and Procedures, 2"" Edition, Addison-
Wesley Profcssional, t-U.. 2012
National Institutc of Standards and Technology (NIST), « Security
Considerations tOr Voice Over IP Systems)), l~.-U., 2005,
http: Ilcsre. n is t. go v/pub1ica tions!n istpu bs/800-58/SP800-
58,/ina/.pdf
Schneier, Bruce; Secrets & Lies: Digital S'ecuri~v in a Networked
World, John Wiley & Sons, É.-U., 2004
Snedaker, Susan; Bu.\·iness Con/inuit}• & Disaster Recovery
for fT Projèssionafs 2'1d Edition, Syngress Publishing lnc.,
É.-lJ., 2013

ISACA, CO/UT 5 for Assurance, 1t.-!J., 2013,
www.isaca.org/cobit
International Organizatîon for Standardization (ISO); /SO!JEC
24762:2008: h!fàrmation techno/og_v-..··Security techniques-
Guidelinesfhr if?fhrmation and coJnmunications tecluwlogy
disaster recove1y services, Suisse) 2008
Wallace, Michael; Lawrence Webber; 7he Disaster Recove1y
Handbook; A Step-by-Step Plan lo Ensure Business Co1l!ùJUÎ(Jl
and Protee! Vital Operations, F'acilhies, and Assets, 2"" Edition,
AMACOM, É.-U .. 2010
Wells, April; Charlyne \Valkcr; Timothy Walker; David Abarca;
Disasler Recove;y: Princip/es and Practices, Pearson-Prcnticc
Hall, t-U., 2007

Remarque: Les publications en gras se trotll'ellt dans la bibliothèque tle 1'/SACA.

Manuel de Préparation C/SA 26" édition 279
ISACA. Tous droits réservés.
 Section un : Avant~propos
Chapitre 4 - Exploitation#" Entretien et Gestion
des Services des Systèmes d"lnformation
QUESTIONS D'AUTOÉVALUATION
Les questions d'autoévaluation CISA appuient le contenu du
présent manuel et fournissent une compréhension du style et de
la structure des questions que l'on retrouve habituellement dans
l'examen. Les questions sont à choix multiple et conçues pour
obtenir une réponse optimale. Chaque question a une prémisse
(la question) et quatre options (les choix de réponse). La prémisse
peut prendre la forme d'une queslion ou d'un énoncé incomplet.
Dans certains cas, un scénario ou une desc1iption de problème
pourraient être inclus. Ces questions comprennent habituellement
une mise en situation ct exigent du candidat quïl réponde à deux
questions ou plus en fonction de l'information fournie. Souvent.
une question exigera du candidat qu'il choisisse la MEILLEURE
réponse ou la réponse la PLLJS probable parmi les options
proposées.
Dans chaque cas, le candidat doit lire la question attentivement,
éliminer les réponses qu'il sait être incorrectes, puis f:1irc le
meilleur choix possible. Connaître Je format des questions
ct savoir ce qui sera vérifié aideront le candidat li répondre
correctement aux questions.
4-1 Lequel des énoncés suivants constitue la MEILLEURE
méthode pour déterminer le ni venu de performance offert
par d'autres installations similaires de traitement des
données?
A. La satisfaction de l'utilisateur
B. L'atteinte des objectifS
C L'analyse comparative
D. La planification de la capacité et de la croissance
4-2 Pour les systèmes critiques de mission ayant une faible
tolérance à l'interruption et un coût de rétablissement
élevé, l'auditeur des SI devrait, en principe, recommander
l'utilisation de laquelle des options de reprise suivante?
A. Un centre mobile
B. Un centre de secours intermédiaire
C. Une salle blanche
D. Un centre de secours immédiat
4-3 Un département des Tl universitaire ct un bureau des
services financiers ont conclu un accord de niveau de
service (ANS) selon lequel la disponibilité doit dépasser
98% chaque mois. Le bureau des services financiers a
analysé la disponibilité ct a noté qu'elle dépassait 98%
pour chacun des 12 derniers mois, mais que la moyenne
était de seulement 93 % lors de la fermeture- de fin de mois.
Laquelle des options suivantes constitue la MEILLEURE
option que le bureau des services financiers doit
entreprendre?
A. Renégocier l'accord.
B. Informer le dépmiement des Tl que J'accord ne répond
pas aux exigences relatives ù la disponibilité.
C. Acquérir de nouvelles ressources informatiques.
D. Rationaliser le processus de fermeture de fin de mois.
280
e Certif!OO !nltlrmation
Systems Auditer'
-~-·
"'~""''''''""'
4-4 Laquelle des méthodes suivantes est la PLUS eflïcacc pour
qu'un auditeur des SI puisse tester le processus de gestion
des modifications apport-ées aux programmes?
A. Le tTaçage de l'information générée par le système vers
la documentation de la gestion des modifications.
B. !_;examen de la documentation de gestion des
modifications pour vérifier 1'exactitude.
C. Le traçage de la documentation de la gestion des
modifications vers une piste d'audit générée par le
système.
D. L examen de la documentation de gestion des
modifications pour vérifier l'intégrité.
4-5 L'objectif principal de la planification de la capacité est de
s'assurer que :
A. les ressources disponibles sont pleinement utilisées.
R de nouvelles ressources dévouées aux nouvelles
applications seront ajoutées au moment oppmtun.
C. les ressources disponibles sont utilisées de façon
efficace et efficiente.
D. le pourcentage d'utilisation des ressources ne passe pas
sous la barre de 85 %.
4-6 L'avantage PRINCII)AL de la normalisation de la base de
données est :
A. la minimisation, dans les tables, de la redondance de
l'information requise pour satisfaire les besoins des
utilisateurs.
B. la capacité de répondre à plus de requêtes.
C. l'optimisation de l'intégrité de la base de données en
fournissant de l'information dans plus d'une table.
D. la minimisation du temps de réponse grâce au
traitement plus rapide de l'information.
4-7 Lequel des points suivants permettrait à une entreprise
d'étendre son intranet à ses partenaires commerciaux à
l'aide d'Internet?
A. Réseau privé virtuel
B. Client-serveur
C. Accès par ligne commutée
D. Fournisseur de services de réseau
4-S La classification d'une applicntion logicielle en fonction de
sa criticité dans le cadre d'un plan de continuité des activités
de SI est déterminée par:
A. La nature de l'entreprise ct la valeur de !"application
pour l'entreprise.
B. Le coût de remplacement de l'application.
C. Le soutien oHCrt par le fournisseur relativement à
l'application.
O. Les menaces ct vulnérabilités associées à l'application.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certifled Informa.tioo
Systems Audilor"
---!----
...,,_,"""'~'"""'"'
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
4-9 Lors de la réalisation d'un audit concernant la sécurité de
la base de données client-serveur, l'auditeur du domaine
des SI doit être préoccupé PRINCIPALE~ŒNT par la
disponibilité des éléments suivants:
A. les installations du système
B. les générateurs de programmes d'applications
C. la documentation traitant de la sécurité des systèmes
D. l'accès aux procédures stockées
4-1 0 Lors de la revue du réseau utilisé pour les communications
Internet, un auditeur du domaine des SI doit D'ABORD
vérifier:
A. la validité des occurrences de modification des mots de
passe.
B. l'architecture de l'application client-serveur.
C. l'architecture réseau ct la conception.
D. la protection des coupe-feu et les serveurs mandataires.
4-11 Un auditeur des SI doit être impliqué dans;
A. l'observation des tests du plan de reprise après sinistre.
B. le développement du plan de reprise après sinistre.
C. le maintien du plan de reprise après sinistre.
D. l'exan1en des exigences de reprise après sinistre
relatives aux contrats avec les fOurnisseurs.
4-12 La période nécessaire au rétablissement des fOnctions de
traitement de JïntOrmation repose sur:
A, La criticité des processus touchés.
B. La qualité des données traitées.
C. La nature du sinistre.
D. Les applications centrales.
4-13 La duplication des données doit être mise en œuvre comme
stratégie de reprise des opérations lorsque :
A. L:objectifde point de reprise (OPR) est faible.
B. L:objectifde point de reprise (OPR) est élevé.
C. !:objectif de temps de reprise (OTR) est élevé.
D. La tolérance au sinistre est élevée.
4-14 Lequel des éléments suivants d'un plan de continuité des
activités relève PRINCIPALEMENT d'un service des SI
d'une organisation?
A. Le développement du plan de continuité des activités
B. La sélection et l'approbation des stratégies de
récupération utilisées dans le plan de continuité des
activités
C. La déclaration d'un sinistre
D. Le rétablissement des systèmes des Tl et la restauration
des données après un sinistre
Manuel de Préparation CISA 26• édition
ISACA. Tous droits rêservês.
Section un : Avant~propos
RÉPONSES AUX QUESTIONS
D' AUTOÉVALUATION
4-1 A. La satisfaction de l'utilisateur est la façon d'assurer
que les opérations de traitements de l'intûrmation
répondent aux besoins des utilisateurs.
B. L'atteinte des objectifS permet J'évaluation de
l'efficacité au moment de comparer la performance
aux buts prédéfmis.
c. L'analyse comparative offre des moyens de
déterminer le nive(IU de performanc~ offert
par des environnements similaires ayant des
étJUipcmcnts de traitements de l'information.
La planification de la croissance et de la capacité
s'avère essentielle, étant donné 1'importance des
technologies de l'infonnation au sein des entreprises
et l'évolution constante de la technologie.
4-2 A. Les sites mobiles sont des remorques spécialement
conçues pour être transportées rapidement à
l'emplacement d'une entreprise ou à un autre site
afin de fournir une installation de traitement des
infOrmations prête ct fonctionnelle.
B. Les centres de secours intermédiaires sont
partiellement configurés avec généralement des
connexions réseau et un équipement périphérique
sélectionné, tels que des lecteurs de disques et autres
contrôleurs, mais sans l'ordinateur principal.
C. Les salles blanches ne fournissent que
l'environnement de base pour exploiter l'IPE Les
salles blanches sont prêtes à recevoir l'équipement,
mais n'offrent nucun élément destiné à répondre à un
besoin avant le fait
Il. Les centres de secours immédiats sont
entièrement configurés et fonctionnels en
quelques heures.
4-3 A. Le bureau des services financiers a convenu d'un
accord de niveau de service (ANS) inadéquat
Afin de répondre aux besoins de l'entreprise, il
doit renégocier le plus rapidement possible.
B. 11 est évident que les Tl répondent aux nonnes de
disponibilité mises en place.
C. Cacquisilion de ressources informatiques
supplémentaire pourrait ëtre inutile ou entraîner des
frais excessifs.
D. La simplification des procédures de clôture de fin
de mois n'est pas nécessairement possible ou n'a p::ts
d'incidence sur la disponibilité.
4-4 A. Lors des tests réalisés pour la gestion des
changements, l'auditeur des SI doit toujours
débuter avec de l'information créée par le
système, qui inclut la date et l'heure de la
dernière mise à ,iour du module, et de là
effectuer un suivi de la documentation avant
autorisé les modifications. .-
B. Se concentrer exclusivement sur l'exactitude de la
documentation étudiée ne garantit pas que toutes les
modifications ont été documentées.
281
Section un : Avant~propos
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
c. Eflèctuer le repérage en sens opposé pose le risque
de ne pas détecter les modifications n'ayant pas été
documentées.
D. Se concentrer exclusivement sur l'exhaustivité ck: la
documentation étudiée ne garantit pas que toutes les
modifications onl été documentées.
4-5 A. Cela ne signifie pas que toutes les ressources doivent
être utilisées à leur pleine capacité. L'utilisation à
pleine capacité ( l 00 %) montre que les gestionnaires
doivent considérer l'ajout de capacité.
B. Les nouvelles applications ne nécessiteront pas
toujours de nouvelles ressources, puisque la capacité
existante peut suffire.
c. La gestion de la rapacité est Ja planification et le
suivi des ressources informatiques pour garantir
que les ressources disponibles sont utilisées
efficacement et de manière efficiente.
D. L'utilisation doit habituellement tourner autour de
85 à 95 %; néanmoins, des baisses occasionnelles
demeurent acceptables.
4-6 A. La normalisation signilie l'élimination des
données redondantes. L'objectifest donc de
réduire la quantité d'information en supprimant
les données répétitives dans les tables de
manière à traiter les demandes des utilis~Jteurs
plus rapidement et à conserver l'intégrité des
données.
B. L'optimisation de la quantité d'information va à
l'encontre des règles de la normalisation.
c. Si un renseignement spécifique apparaît dans
plusieurs tables, l'objectif d'intégrité des données
peut ne pas être respecté si cette table est mise à jour
cl que les autres ne le sont pas.
D. Les règles de la normalisation préconisent
l'emmagasinage des données dans une seule table
pour favoriser le traitement accéléré de l'information.
4-7 A. La technologie de réseau privé virtuel (VPN)
permet aux partenain~s externes de participer
de manière sécurihtire à l'extranet en utilisa ni
les réseaux publics ou un réseau privé partagé.
Privilégiée pour les coûts moindres qu'elle
entraîne, l'utilisation des réseaux publics
(Internet) demeure la principale méthode
de transport. Les VPN s'appuient sur des
techniques de tunnellisation et d'encapsulation,
ce qui permet au protocole 1P Internet de
supporter différents t)'pes de protocoles (par
exemple, les protocoles SNA, II'X et NETBUI).
B. Le client-serveur ne s'étend pas aux partenaires
d'aftàires (c.-à-d. que les client-serveurs désignent
un groupe d'ordinateurs au sein d'une entreprise qui
sont reliés par un réseau de communication dans
lequel le client représente la machine requérante ct Je
serveur, la machine fOurnisseuse).
282
e Certifled Information
Systems AuditN"
"'~"-"'"'"'"''"'
C. Bien qu'il puisse être techniquement possible qu'une
entreprise étende son intranet en utilisant l'accès
commuté, il ne serait pas pratique ou rentable de le
faire.
D. Un fOurnisseur de services peut offrir des services à
un réseau privé partagé en fournissant des services
Internet; toutefois. il ne s'étend pas jusqu'à l'intranet
de l'entreprise.
4-S A. La classification de crHicité est déterminée par
le rôle du système d'application supportant la
stratégie de l'organisation.
B. Les coûts de remplacement ne reflètent pas la valeur
relative de l'application pour l'entreprise.
C. Le soutien du fournisseur n'est pas un facteur
significatirpour déterminer la criticité de
!'application.
D. Les menaces et vulnérabilités associées seront
uniquement évaluées si l'applical'ion est critique pour
l'cntrep1isc.
4-9 A. Les programmes utilitaires peuvent permettre
des modifications non autorisées aux données
dans la base de données client-serveur. Lors
d'un audit concernant la sécurité d'une base
de données, les mesures de contrôle régissant
de tels programmes doivent être la priorité de
l'audileur.
B. Les générateurs de programmes d'applications
fOrment une partie intrinsèque de la technologie
client-serveur, ct l'auditeur des SI se doit d'évaluer
les mesures de contrôle qui s'appliquent aux droits
d'accès à la base de données de ces générateurs
plutôt que leur disponibilité.
C. La documentation traitant de la sécurité doit être
accessible uniquement au personnel de sécurité
autorisé; toutefois, elle ne représente pas une priorité.
D. L: accès aux procédures stockées n'est pas une
préoccupation majeure.
4-l 0 A. La vérification de la validité des modifications
apportées aux mols de passe sc fera au cours du lest
de corroboration.
B. Comprendre l'architecture et la conception du
réseau constitue le point de départ pour identifier
les différentes couches d'infOnnation ainsi que
l'architecture d'accès à travers les différentes
couches, comme les applications client~scrveur.
C. La première étape de l'audit d'un réseau
consiste à comprendre l'architecture et
la conception du réseau. Comprendre
l'architecture et la conception du réseau
fournit une vue d'ensemble du réseau et de sa
connectivité.
D. Comprendre l'architecture et la conception du
réseau constitue Je point de dépm1 pour identifier
lt::s différentes couches dïnfonnation ainsi que
l'architecture d'accès à travers les différentes
couches, comme les serveurs mandataires et les
coupe-feu.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Gertifred !nformailon
Systems Auditor"

"·"'"''''""'''""'""
Chapitre 4 - Exploitation., Entretien et Gestion
des Services des Systèmes d'Information Section un : Avant-propos

4-11 A. L'auditeur des SI doit toujours être présent
lors des tests des plans de reprise après
sinistre afin de vérifier si les procédures de
reprise permettent d'atteindre les objectifs de
rétablissement, de s'assurer <JUC les procédures
de reprise sont efficaces et efficientes et pour
présenter un rapport sur les résultats au besoin.
!3. L'auditeur des SI peut superviser l'élaboration du
plan, mais îl est peu probable qu'îl pmiicipc au
processus de développement.
De même, l'auditeur peut vérifier si les procédures
de mise à jour du plan ont cu lieu, mais il n'est pas
responsable des mises à jour.
D. On peut demander à un auditeur des SI de
commenter les diverses clauses d"un contrat avec un
fournisseur, mais ce n'est pas toujours le cas.
4-12 A. La criticité des processus touchés par le
sinistre sert de base pour déterminer le délai de
rétablissement.
B. La qualité des données à traiter ne constitue pas la
base pour déterminer la période nécessaire.
c. La nature du sinistre ne constitue pas la base pour
déterminer la période nécessaire.
D. Le fait de tmvaîllcr avec une application sur
ordinateur centml ne constitue pas non plus un critère
pour déterminer le délai de rétablissement.
4-!4 A. Le service des Tl d'une organisation s'occupe
principalement du rétablissement des systèmes des
Tl et des données après un sinistre, ct ce, dans le
laps de temps désigné. Les membres de la direction
générale de l'organisation s'occupent principalement
de superviser ta préparation du plan de continuité des
activités ct doivent rendre compte des résultats.
B. La direction générale est également responsable de
sélectionner et d'approuver les stmtégics utilisées
pour la reprise après sinistre.
c. Les Tl peuvent être impliquées dans les procédures
de déclaration d'un sinistre, mais elles n'en sont pas
les principales responsnbles.
o. La bonne réponse est le rétablissement des
systèmes des Tl et des données après un sinistre.
Le département des Tl d'une organisation
s'occupe principalement du rétablissement des
systèmes des Tl ct des données après un sinistre,
et ce, dans le laps de temps désigné.

4-13 A. L'objectif de point de reprise (OPR) constitue le

premier point dans le temps olt il est acceptable
de récupérer les données. lf.n d'autres mots,
I'OPR indique l'« âge» des données récupérées,
c.-à-d. le moment où la sauvegarde des données
a eu lieu. Si l'OPR est très faible, disons en
minutes, cela signifie que le processus ne peut se
permeHre de perdre des données, même dans un
si court laps de temps. Dans de telles situations,
la copie miroir (synchrone) des données doit
faire partie de la s•ratégie de rétablissement.
B. Si I'OPR est élevé) disons en heures, alors d'autres
méthodes de sauvegarde, comme la récupération de
copies sur bandes, peuvent être utilisées.
c. Un objectif de point de reprise (OPR) élevé signifie
que le système de TI peut ne pas être requis
immédiatement après la déclaration de l'état de
sinistre ou la perturbation (c.-à-d. peut être rétabli
plus tard).
D. COTR correspond au laps de temps pendant lequel
1'entreprise peut se passer des installations de Tl à
partir de la déclaration de l'état de sinistre ou de la
perturbation. Si l'OTR est élevé, des stratégies de
reprise« lentes)) peuvent être utilisées pour rétablir
le fonctionnement des systèmes et installntions de Tl.

Manuel de Préparation CISA 26" édition 283

ISACA. Tous droits réservés.
Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
Section deux : Contenu
4.1 RÉSUMÉ
Résumé
Le chapitre 4 aborde les besoins de prestation de services et de scutien
en TL Les pratiques de gestion des services des Tl sont importantes pour
assurer aux utilisateurs et aux gestionnaires que les services escomptés
seront rendus. Les attentes relatives aux niveaux de service découlent
des objectifs d'affaires de l'organisation. La prestation des services des Tl
comprend les activités des SI, les services des Tl ainsi que la gestion des SI
et des groupes responsables de leur soutien. Les services de Tl sont fondés
sur des cadres de gestion des services.
Les candidats au titre CISA doivent avoir une solide compréhension des
éléments qui suivent, non seulement dans le cadre du présent chapitre,
mais aussi pour pouvoir traiter adéquatement les questions dans les
domaines connexes. Il est important de se rappeler qu'une connaissance de
la définition de ces concepts ne suffit pas. Le candidat CISA doit aussi être
apte à déterminer quels éléments peuvent représenter le plus grand risque
et quels sont les contrôles les plus efficaces pour atténuer ce risque. Voici
certains des principaux sujets que devraient comprendre les candidats au
titre CISA:
• Les cadres de gestion des services et leur but
• La prestation du service des SI incluant les pratiques de gestion liées au
niveau de service, aux finances, à la capacité, à la continuité du service, à
la sécurité de l'information et à la disponibilité.
• La prestation du service des Tl et le scutien incluant la gestion des
activités, l'architecture et les logiciels, l'infrastructure du réseau et le
matérieL
• ~importance des accords sur les niveaux de service (ANS) établis pour
évaluer la performance.
• ~architecture de l'entreprise et son rapport avec les activités d'audit.
• Le processus de traitement des incidents en ce qui concerne la gestion
du service des Tl :
Selon ce processus, il est essentiel de prioriser les éléments après
avoir déterminé leur impact et leur degré d'urgence. Les incidents non
résolus doivent être transmis aux échelons supérieurs en fonction de
critères fixés par la direction.
• La gestion des acüfs des Tl et le besoin de connaître les éléments devant
être contrôlés. La gestion des actifs des Tl est importante pour la sécurité,
la délivrance des licences, etc.
• Les technologies sans fil, les méthodes pour sécuriser les transmissions,
ainsi que les problèmes et expositions généraux liés à un accès sans fiL
• Les services Internet tels que les localisateurs uniformes de ressources
(URL), les scripts interface de passerelle commune (CG!), les témoins,
applets et servlets.
• ~utilisation de Telnet et du protocole de transfert de fichiers (FTP) et le
risque qui leur est associé.
• ~administration et le contrôle du réseau incluant l'utilisation des
métriques de performance du réseau, les problèmes et les outils de
gestion.
• La qualité des données et la gestion du cycle de vie des données ainsi
que la façon dont ces concepts sont mis en œuvre dans des applications
et des systèmes de gestion des bases de données.
• La technologie client-serveur dans le contexte des clients légers, des
serveurs d'applications, des serveurs de base de données, de l'intergiciel
et de l'impact de l'interaction entre ces éléments, qui peut entraîner
certains risques pour l'organisation.
On attendra du candidat CISA qu'il fasse preuve de bon jugement pour
déterminer quelles mesures de contrôle seraient les plus efficace pour
atténuer le risque inhérent à un environnement client-serveur.
284
e Gertified lnformatloo
Systems Audi1or"
,,,.,.....,,,,,,,"""
Résumé (suitè)
• Les étapes à suivre lors de l'exécution des analyses de systèmes
d'exploitation (SE), des bases de données, de l'infrastructure et des
activités du réseau.
- Ceci peut comprendre les mesures de contrôle les plus importantes
ou les plus efficaces pour assurer un environnement contrôlé.
• La gestion de code source incluant la protection, le versionnage et le
rapprochement avec la gestion des modifications.
• Le risque associé à l'informatique individuelle.
Ce chapitre s'intéresse aussi à la reprise après sinistre dans une
organisation. Jusqu'à un certain point, la plupart des organisations
ont mis en place des plans de reprise après sinistre (PRS). Ceux-ci
servent à récupérer l'infrastructure des Tl, les systèmes clitiques et les
données associées. Cependant, de nombreuses organisations ne sont
pas passées à l'étape suivante, qui consiste à élaborer des plans relatifs
au fonctionnement des principaux domaines d'activité en péliade de
perturbation des Tl. Les candidats au titre CISA doivent connaître les
composants d'un plan de reprise après sinistre et d'un plan de continuité
des activités (PCA) (voir la section 2.12 Planification de la continuité des
activités). lis doivent aussi être conscients de l'importance d'harmoniser
ces deux plans entre eux, en plus de les harmoniser avec les objectifs et
la tolérance aux risques de l'entreprise. La sauvegarde informatique. le
stockage et la conservation des données, de même que leur récupération
ont aussi leur importance. Voici des exemples de sujets clés, traités dans
ce chapitre, que les candidats au titre CISA devraient comprendre :
• PRS : La récupération des Tl doit être adaptée au plan de continuité
des activités, qui traite de la récupération des principaux domaines
d'activité et processus d'affaires. Les deux plans doivent être
correctement harmonisés avec les objecüfs et la tolérance aux risques
de l'organisation.
• Analyse d'impact sur les affaires (AIA) : Pour la plupart des organisations,
il est financièrement impossible de récupérer immédiatement tous les
systèmes d'applications et les processus d'affaires. Une AIA doit être
effectuée pour évaluer le coût de l'intenruption et pour déterminer les
applications et les processus devant être récupérés en premier (les plus
critiques pour le fonctionnement continu de l'organisation). Les résultats
de I'AIA peuvent alors servir à décider des stratégies de reprise
nécessaires pour respecter les échéanciers de reprise convenus.
• Différence entre l'objectif de temps de reprise (OTR) et l'objectif de point
de reprise (OPR) : ~OTR est déterminé en fonction de la période d'arrêt
acceptable en cas d'interruption des opérations. Il indique le premier
point dans le temps où les capacités de Tl pour le traitement des
opérations commerciales doivent avoir repris après le sinistre. COPR
est déterminé en fonction du niveau de perte de données acceptable
lors d'une interruption des opérations. li indique l'« âge" des données
récupérées (c. -à-d. à quel moment dans le temps relativement à la
perturbation les données récupérées doivent correspondre).
• Différences entre les diverses stratégies de reprise - les sites (centre
de secours immédiat ou intermédiaire et salle blanche), le stockage
des données (copies, miro~age), les applications (mise en grappe), etc.
-et leur adaptation aux besoins d'une organisation :Une organisation
qui doit effectuer une récupération rapide opterait pour un centre de
secours immédiat ou, dans les situations nécessitant une très grande
disponibilité ou ayant un OTR faible, un centre redondant avec des
copies miroirs et des applications mises en grappe.
• Connaissance des différentes équipes qui collaborent au processus
de reprise ainsi qu'avec les composants d'un plan de continuité des
activités.
• Connaissance des concepts de sauvegarde et de rétablissement-
sauvegarde sur bande, systèmes de rotation des supports et expiration
des supports (grand-père/père/fils).
• Connaissance du concept de gestion de contrats pour les opérations
des Tl extemalisées.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e. Gertifllld lnfo~mation
M Systems Aud11cr'
'"''-'<A"""''""""'
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
4.2 OPÉRATIONS DES SYSTÈMES
D'INFORMATION
La fonction d'opérations des systèmes d'înft11111ation {SI) est
responsable du soutien continu des environnements informatiques
et des systèmes d'information d'une organisation. Cette t'onction
joue un rôle critique pour assurer le respect des exigences de
trnitement des opérations informatiques, la satisfaction des
utilisateurs finaux et le traitement sécurisé de l'infOrmation.
Avec la croissance de l'intOnuagique et le recours à des tiers,
la fOnction d'opérations des SI doit également collaborer
étroitement avec des entités externes pour satisfaire les exigences
de traitement de l'entreprise. L'auditeur des SI doit comprendre
la portée de la fonction d'opérations des SI Jorsquïl effectue un
audit dans ce domaine. L'organisation des opérations des SI varie
en fonction de la taille de l'environnement informatique et de la
charge de travail. Le tableau 4.2 décrit les domaines fOnctionnels
typiques des opérations de SL
Tâble~u .t2- Domain® fliMtionnels M!lgues ~es oP!!rations des SI
• Gestion des opérations des SI; • Procédures de gestion des
• Soutien des infrastructures, problèmes;
y compris les opérations • Gestion et suivi de la
informatiques; performance;
• Soutien technique et service de • Planification et suivi de la
dépannage; capacité;
• Échéancier du travail; • Gestion de la sécurité physique
• Assurance qualité; et environnementale;
• Gestion des actifs de Tl; • Gestion de la sécurité de
• Contrôle des changements et l'information.
gestion des versions;
• Gestion de la configuration;
4.2.1 GESTION DES OPÉRATIONS DES SI
Le cadre COB!T 5 étnblit une distinction claire entre la
gouvernance et la gestion. Ces deux disciplines englobent
différents types d'activités, exigent diHèrentes structures
organisationnelles ct répondent à des besoins dilférents. La
perspective du COB!T 5 quant à cette distinction clé entre la
gouvernance et la gestion est la suivante :
• Gouvernance. La gouvernance assure que les besoins, règles
ct options des parties prenantes sont évalués dans le but de
déterminer des objectifs d'entreprise équilibrés ct qui fOnt
consensus; elle fixe J'orientation en établissant les priorités
ct prenant des décisions; et surveille la performance et la
conlünnité relativement aux orientations et objectifS convenus.
- Dans la plupmt des entreprises, la gouvernance générale est
la responsabilité du conseil d'administration, sous la direction
de son président. Des responsabilités de gouvernance précises
peuvent être déléguées à des structures organisationnelles
spéciales ù l'échelon approprié, particulièrement dans le cas de
gran<ies entreprises complexes.
• Cadres. I~a gestion planifie, construit, exécute ct surveille les
activités conformément à l'orientation fixée par la gouvernance
afin d'atteindre les o~jectîf.<; d'entreprise. Dans la plupart des
entreprises, la gestion est la responsabilité de la haute direction,
dont le chef est le directeur général.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
C'est au groupe de gestion des SI que revient la responsabilité
générale de toutes les opérations du service des Tl. Ce secteur
nécessitera une allocation des ressources (le domaine aligner,
planifier et organiser [APO] dans CO BIT 5), l'adhésion
aux normes et procédures (le domaine réalisation, service et
soutien [DSSJ dans CO BIT 5) et la surveillance des processus
des activités des SI (le domaine surveiller, évaluer et mesurer
[MEA] dans COBIT 5). Les fonctions de la gestion des activités
comprennent :
" Attribution des ressources-- La gestion des Tl doit s'assurer que
les ressources nécessaires sont disponibles pour elfectuer les
activités prévues par les fonctions des TL
• Normes et procédures La gestion des SI doit établir les
normes ct les procédures nécessaires pour toutes les opérations,
en conformité avec les stratégies ct les politiques globales de
l'entreprise.
• Contrôle des processus··- La gestion des SI doit surveiller et
mesurer l'efficience et l'efficacité des processus d'opération des
SI pour que ces processus soient améliorés dans le temps.
Fonctions de contrôle
Les fonctions de contrôle des SI sont montrées au tableau 4.3.
4.2.2 CADRES DE GESTION DU SERVICE DES Tl
Afin de gérer les opérations des SI, une organisation peut mettre
en œuvre un cadre de gestion de service. Selon Merri am-Webster.
un cadre correspond à« un ensemble d'idées ou de faits qui
étayent quelque chose.>> La gestion du service des Tl (GSTl)
consiste en la mise en œuvre et en la gestion des services des
TI (personnel, processus et technologie de l'information) afin
de satisf:.tire les besoins de l'entreprise. Un cadre de gestion de
service est, par conséquent, un ensemble d'idées ou de faits qui
étayent la mise en œuvre de la gestion de service.
Comme indiqué dans la section 2.3.1 Bonnes pratiques de
gouvernance des Tl de l'entreprise, il existe deux cadres pour
la GSTI: la Bibliothèque de l'infrastructure des Tl (ITIL) et
ISO 20000-1:20 Il n~chno/ogies de 1'irl}i:Jrrnation -- Gestion des
services ,_.Partie 1: Exigences du ·'J'SIème de management des
services.
L'ITIL est un ensemble de connaissances de référence en matière
de bonnes pratiques de prestation du service. Il s'agit d'un cadre
complet décrit dans cinq volumes qui devrait être adopté aux
besoins de chaque entreprise. Les processus de I'ITIL étant
interreliés, un processus peut en alimenter un autre. Cobjectif
principal de !'!TIL est d'améliorer la qualité du service pour
l'entreprise. Les cinq volumes de l'ITIL sont les suivants:
Stratégie de service (harmoniser la stratégie de l'organisation et
celle des Tf), Conception de service (élaborer une conception
de service;) partir de la stratégie afin de satisfaire les besoins
des intervenants), Transition du service (créer les services des
Tl), Opérations du service (maintenir les services des Tl) ct
Amélioration continue du service (améliorer constamment b
qualité des services des Tl).
285
Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
Tableau 4.3-Fnnèlions de çoiffi'iile de la gestion '
Pratiques de • Assurer l'octroi de ressources adéquates pour
gestion des SI soutenir les opérations de SI.
• Planifier pour assurer une utilisation efficace et
efficiente des ressources d'opération.
• Autoriser l'utilisation des ressources des Tl en
fonction de la politique de l'entreprise et assurer
le suivi.
• Assurer le suivi des opérations afin d'assurer le
respect des nonnes.
Opérations • Créer des échéanciers détaillés pour chaque
relatives aux SI poste d'opération.
• Vérifier et autoriser les changements aux
échéanciers des opérations.
• Vérifier et autoriser les changements au réseau,
au système et aux applications.
• S'assurer que les changements au matériel ou
aux logiciels ne provoquent pas d'interruptions
non désirées au traitement normal.
• Assurer le suivi de la performance des systèmes
et des ressources pour optimiser l'utilisation des
ressources informatiques.
• Assurer un suivi des accords sur les niveaux de
service pour assurer la prestation de services
de Tl de qualité qui répondent aux besoins
d'entreprise.
• Planifier la capacité et le remplacement de
l'équipement pour optimiser le débit des
tâches en cours et planifier stratégiquement les
acquisitions Mures.
• Conserver les rapports de comptabilité et les
autres rapports d'audit.
• Examiner les journaux de tous les systèmes es
Tl pour détecter les événements de système
critiques et déterminer la responsabilisation des
opérations des SI.
• S'assurer que tous les problèmes et incidents
sont gérés promptement.
• S'assurer que le traitement des SI peut reprendre
rapidement en cas d'interruption mineure ou
majeure des opérations.
Sécurité de • S'assurer du respect de la confidentialité, de
l'information l'intégrité et de la disponibilité des données.
• Assurer le suivi de l'environnement et de la
sécurité de l'établissement pour maintenir les
conditions idéales et améliorer la performance de
l'équipement.
• Déterminer et résoudre en temps opportun les
problèmes de vulnérabilité en matière de sécurité
(interne et externe).
• S'assurer que les correctifs sont établis et
installés promptement.
• Détecter les tentatives d'intrusion.
• Résoudre les problèmes liés à la sécurité de
l'information en temps opportun.
• Limiter l'accès physique et logique aux
ressources informatiques aux personnes
autorisées à les utiliser.
286
e Certlf!ed ..lof.ormation
Systems Audlttlr'
~,~--
À l'instar de la plupart des normes. nso 20000 est
principalement utilisée pour démontrer la conformité quant à la
bonne pratique acceptée. En plus des éléments centraux de la
bonne pratique de GSTI, les fOurnisseurs de service doivent aussi
mettre en œuvre la méthodologie penser-démarrer-contrôler-agir
(PDCA) (le cercle de qualité de Deming) et l'appliquer à leurs
processus de gestion de service. Cela garantit l'amélioration
continue du service par le fournisseur de servic-e. De cette façon,
les processus de l'organisation se développent, évoluent et
s'adaptent en fOnction des exigences de la clientèle, les erreurs et
les oublis sont évités, et les problèmes déjà réglés ne se répètent
plus. Le principal objectif de lïSO 20000 est aussi d'améliorer
la qualité du service et la conformité à la norme ce11ifie que les
pratiques et processus de GSTI des organisations ont réussi les
audits.
Les pratiques ct processus de prestation de service des Tl ont été
bien définis dans le cadre de ITfiL et de la norme ISO 20000 et
ils continuent ct· évoluer. Ces pratiques et processus concernent
les organisations des fOurnisseurs de service des Tl, qu'il s'agisse
d'un service ou d'une division interne ou d'un lbumisscur
externe. L'auditeur des SI doit savoir comment le contenu des
cadres a été adopté et mis en œuvre dans leurs organisations.
L'auditeur des SI doit aussi s'assurer que les pratiques adoptées
remplissent les objectif<:> de l'organisation.
4,2.3 GESTION DES SERVICES DES Tl
De nombreuses organisations ont tiré parti de !'!TIL et!ou de
l'ISO 20000 pour améliorer leur GSTJ.
La prémisse fondamentale associée à la GSTI est que les Tl
peuvent être gérées par un ensemble de processus distincts qui
fournissent des« services>) à l'entreprise. Bien que chaque
processus possède ses propres caractéristiques, tous les processus
ont une grande interdépendance. Une fois définis, les processus
peuvent être mieux gérés grâce à des accords de niveaux
de service (ANS) qui servent à maintenir et à améliorer la
satisfaction du client (c.-à-d. de l'entreprise finale).
La gestion des services des Tl se concentre sur les iniliatives
de l'entreprise et couvre la gestion de l'infrastructure des
applications des TI qui soutiennent et offrent ces services. Cela
inclut le perfectionnement des services de Tl pour répondre aux
besoins changeants de l'entreprise ainsi que l'évaluation et la
démonstration des améliorations à la qualité des services de Tl
offe1is, en même temps qu'une réduction du coût du service à
long terme. Voir Je tableau 4.4.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Ccrtlfled lnformalioo
Systems Audilor"
"''"""'"'~'''"''"'
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
JTableau 4.4- GeStion des servltes de 'Tl (GSTI)
Services • Bureau de service Bien que chaque domaine
de soutien • Gestion des incidents de gestion représente un
aux Tl • Gestion des problèmes processus en soi, tous les
• Gestion de la processus ont une grande
configuration interdépendance.
• Gestion des changements
• Gestion des versions
Prestation • Gestion des niveaux de
des service
services • Gestion financière des Tl
des Tl • Gestion des capacités
• Gestion de la continuité
des services de Tl
• Gestion de la disponibilité
Les services des TI sont mieux gérés si un accord sur les niveaux
de service (ANS) est établi. Les services offerts constituent la
base de cet accord. Il peut y avoir divergence entre les attentes du
client et les .services otli;rts. L'ANS définit entièrement la nature,
le type, la durée et les autres caractéristiques du service offert et
permet alors d'aplanir cette divergence. L'ANS peut aussi être
appuyé par des accords sur les niveaux opérationnels, soit des
accords internes qui couvrent la prestation de services appuyant
l'organisation des Tl dans sa propre prestation de services.
Par exemple, lorsque le centre d'assistance reçoit une plainte, il
cherche une solution à partir de la base de données des erreurs
connues, après classification et enregistrement de la plainte
comme incident. Des incidents répétitifs ou majeurs peuvent
devenir des problèmes qui nécessitent la mise en application du
processus de gestion des problèmes. Si des changements sont
requis, le groupe de gestion des changements au processus ou au
progmmme peut olTrir un soutien après avoir consulté le groupe
de gestion de la configuration.
Tout changement requis passe par le processus de gestion des
changements, qu'il constitue une solution à un problème, une
amélioration ou autre. Les études sur les co lits-bénéfices et les
études de faisabilité sont examinées avant que les changements
soient acceptés et approuvés. Le risque qu'impliquent ces
changements doit être étudié, et un plan de secours doit être
élaboré. Le changement peut viser un ou plusieurs éléments de
t:onfiguration, et le processus de gestion des changements appelle
le processus de gestion de la configuration.
Par exemple, le logiciel pourmit inclure différents systèmes
ayant chacun différents programmes possédant chacun différents
modules. La conf1guration peut être maintenue au niveau du
système, du programme ou du module. Selon la politique de
l'organisation, tout changement apporté au niveau du système
pourrait se traduire par une nouvelle version. Corganisation
pourrait aussi décider de sortir une nouvelle version si cela
implique des changements au programme pour une autre
application.
Les versions, qu'elles soient majeures ou mineures, auront une
identité propre. Parfois, des <~justcments mineurs causent d'autres
problèmes. Les versions majeures, bien testées. ne présenteront
pas de tels problèmes. En raison de la durée des tests, de l'espace
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
et d'autres contraintes, il est également possible de présenter
une version pmiielle, connue sous le nom de version delta ou
une mise en production différentielle. [.a version delta contient
uniquement les éléments qui ont été modifiés depuis la dernière
version.
On exerce un contrôle sur les versions, c'est-à-dire qu'en
cas de problème dans la nouvelle version, on doit pouvoir
«rebrousser chemin>) et remettre le système à son état initial.
Des plans d'urgence appropriés peuvent aussi être élaborés,
s'il est impossible de restaurer complètement le système. Ces
plans doivent êtTe élaborés avant la mise en place de la nouvelle
version.
Les indicateurs de gestion des services doivent être obtenus et
analysés de façon appropriée pour pouvoir améliorer la qualité du
service.
Niveau de service
Un accord sur les niveaux de service (ANS) constitue une
entente entre l'organisation des Tl et le client. ~ANS déc1it
le(s) service(s) à fournir. L'organisation des Tf peut constituer
un service de Tf en inteme ou le confier à un fournisseur de
services de Tl externe, le client étant l'entreprise. t:entreprise
peut acquérir des services de Tl d'une organisation de Tf interne,
par exemple un service de courriel, un intranet, un progiciel de
gestion intégré, etc. Centrep1ise peut acquérir des services de TI
d'un fournisseur externe, par exemple un branchement Internet,
l'hébergement d'un site Web public, etc.
~ANS décrit les services dans des termes non techniques, du
point de vue du client. Pendant la durée de l'accord, l'ANS se1t
de point de référence pour évaluer et ajuster les services.
La gestion des niveaux de service est le processus de définition,
d'accord, de documentation et de gestion des niveaux de service
requis et dont le coût est justifié. La gestion des niveaux de
service ne concerne pas seulement les ANS en soi; elle comprend
la production et la maintenance du catalogue de service, les
rencontres de révision du service et les plans d'amélioration du
service pour les domaines où l'ANS n'est pas respecté.
L'objectif de l'accord sur les niveaux de service est de maintenir
et d'augmenter la satisfaction du client et d'améliorer le
service qui lui est fourni. Avec un niveau de service clairement
défini, l'organisation des Tl ou le foumisseur peut concevoir
les services fOurnis en fonction de l'accord, et le client peut
surveiller la perfOrmance des services de Tl. Si les services
fournis ne correspondent pas à l'ANS, l'organisation des Tl oule
fournisseur doit les améliorer.
Les caractéristiques des services de TI servent à définir l'accord
sur les niveaux de service.
Les camctéristiques à considérer lors de la prestation de ces
services incluent l'exactitude, l'exhaustivité, la ponctualité et
la sëcurité. Plusieurs outils sont disponibles pour surveiller
l'efficience et l'efficacité des services foumis par le personnel
des TL Ces outils comprennent :
• Rapports d'exception·- rapp01i automatisé énumérant
287
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'.,nformation
toutes les applications ne s'étant pas terminées avec succès ou
n'ayant pas tünctionné convenablement. Un nombre excessif
d'exceptions peut indiquer:
·-une mauvaise conception des besoins d'affaires;
-- une mauvaise conception de J'application, du développement
ou des tests;
-des instructions d'opération inadéquates;
-- un soutien des opérations inadéquat;
-une formation de l'opérateur inadéquate ou un mauvais suivi
de la performance;
- un ordonnancement des tâches inadéquat;
"-une configuration des systèmes inadéquate;
-une mauvaise gestion de la capacité.
• Journaux de système et d'application- Les journaux
générés par les divers systèmes et applications devraient
être passés en revue pour identifier tous les problèmes
d'application. Ces journaux fournissent de l'information
supplémentaire utile concemant les activités effectuées sur
l'ordinateur, puisque la plupa11 des événements anormaux
dans le système ou les applications seront inscrits dans les
joumaux. À cause de la taille et de la complexité des journaux,
il est difficile de les traiter (ou analyser) manuellement.
Des programmes ont été conçus pour analyser le jou mal du
système et pour produire des rapports sur des éléments précis.
En se servant de ce logiciel, l'auditeur peut effectuer des tests
afin de s'assurer des éléments suivants :
·-·seuls les programmes approuvés ont accès aux données
sensibles;
-seul le personnel des TI autorisé accède aux données
sensibles;
- les logiciels utilitaires pouvant modifier les fichiers de
données et les bibliothèques de programmes sont utilisés
uniquement à des fins autorisées;
- les programmes approuvés sont exécutés uniquement au
moment prévu et, inversement, les exécutions non autorisées
n'ont pas lieu;
- on se sert d'une génération de fichiers de données adéquate
à des fins de production;
-- les fichiers de données sont protégés adéquatement
• Rapports sur les problèmes de l'opérateur- rapport manuel
utilisé par les opérateurs pour consigner !es problèmes liés aux
opérations infOrmatiques et leurs solutions. Les réponses des
opérateurs doivent être revues par le groupe de gestion des Sl
pour déterminer si les actions des opérateurs ont été appropriées
ou si une formation supplémentaire doit être planifiée.
• Horaires de travail des opérateurs~ horaires habituellement
définis manuellement par le groupe de gestion des SI pour
aider à planifier les ressources humaines. En définissant un
nombre suthsant d'employés de soutien aux opérations, le
groupe de gestion des SI s'assure que les exigences en matière
de prestation de services pour les utilisateurs finaux sont
respectées. Ceci est particulièrement impotiant durant les
périodes critiques ou de f01ie demande. Ces horaires doivent
être assez souples pour satisfaire aux exigences de formation
polyvalente du personnel et aux exigences liées aux situations
d'urgence.
Plusieurs services des TI définissent les niveaux de service qu'ils
garantissent à leurs utilisateurs. Ces niveaux sont habituellement
documentés dans les ANS. Il est pati'iculièrement important de
288
e Certificd tnforma!ion
Systems Auditor'
~'"""""'"'''"''""
définir les niveaux de service lorsqu'une relation contractuelle
existe entre le service des Tl et l'utilisateur final ou le client.
Les ANS sont souvent liés aux systèmes de facturation întemc,
dans lesquels un cetiaîn pourcentage des coüts est répmii entre
l'utilisateur final et le service des Tl. Lorsque des fonctions du
service des Tl sont effectuées par un tiers, il est important d'avoir
un ANS d'externalisation.
Les niveaux de service sont habituellement définis de façon à
inclure les objectifs de performance du maté1iel et des logiciels
(p. ex., Je temps de réponse de l'utilisateur et la disponibilité du
matériel), mais peuvent aussi inclure plusieurs autres mesures
de perlürmancc. ll peut s'agir de mesure relatives au rendement
financier (telles que la réduction des coûts supplémentaires
d'année en année), aux ressources humaines (telles que la
planification des ressources, la rotation du personnel, Je
perfectionnement ou la formation) ou à la gestion du risque
(telles que la conformité aux objectifs de contrôle). L'auditeur des
SI doit connaltre les dîffërents types de mesures disponibles ct
s'assurer qu'ils sont complets ct incluent les mesures du risque,
les mesures de la sécurité et du contrôle ainsi que les mesures de
l'efficacité et de l'efficience.
Surveillance des niveaux de service
Les niveaux de service définis doivent être surveillés
régulièrement par un niveau de gestion approprié pour assurer
l'atteinte des objectifs des opérations des SI. De plus, il est
impo1iant d'analyser les répercussions sur les clients et les autres
intervenants de l'organisation.
Par exemple, une banque pourrait surveiller la performance et
la disponibilité de ses guichets automatiques (GAB). Un des
paramètres peut être la disponibilité des services des GAB
selon les niveaux prévus (99,9 %). D'un autre côté, il serait
approprié de surveiller les répercussions de l'indisponibilité sur
la satisfaction du client. Des paramètres similaires peuvent être
définis pour d'autres services tels que les courriels. 1'Internet, etc.
La surveillance des niveaux de service est essentielle pour les
services externalisés, surtout si le tiers participe à la prestation
des services directement auprès des clients d'une organisation. Le
défaut d'atteindre les niveaux de service se répercutera davantage
sur l'organisation que sur le tiers. Par exemple, une fraude
découlant de la faiblesse des contrôles chez un tiers peut nuire à
la réputation.
Dans le cas d'une prestation de service externalisée, il est
important de noter que seule la responsabilité de la fourniture
du service est extcrnalisée,la responsabilité ne l'est pas et elle
continue de reposer sur l'organisation. Dans une telle situation,
l'auditeur des SI doit déterminer comment la direction peut être
assurée que les contrôles chez le tiers sont conçus adéquatement
et qu'ils fonctionnent efficacement. À cet eftêt, plusieurs
techniques s'offrent à la direction, notamment les questionnaires,
les visites sur place ou un rapport d'assurance d'un tiers
indépendant comme le Statement on Standards for Attestation
Engagements 16 (SSAE 16) (anciennement SAS 70), le rapport
Service Organizalion Control (SOC) 1 ou le rapport AT-lOI (SOC
2 ct SOC 3).
Manuel de Préparation CISA 26" édition
ISACA, Tous droits réservés,
e . H
Cnrlified lnfo:ma.lloo
Systems Audltor"
"'""... '"'"'""'
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
Lorsque les fonctions d'un service des SI sont imparties,
l'auditeur des SI doit déterminer de quelle façon la direction
obtient l'assurance que les contrôles externes sont conçus
adéquatement et fonctionnent correctement. La direction
peut avoir recours à ditlèrentcs techniques, y compris des
questionnaires, des visites sur place ou un rapport d'assurance
produit par un tiers indépendant, comme un rappoti SSAE 16
SOC l report ou des rapports d'audit A'l' l 01 SOC 2 et SOC 3
(anciennement SAS 70).
Niveaux de service et architecture d'entreprise
La définition et la mise en œuvre d'une architecture d'entreprise
aident l'organisation à harmoniser la pref\tation du service (voir
!a section 2.3.5 Architecture d'~ntreprise). Les organisations
peuvent utiliser plusieurs canaux de prestation de service tels
que les applications mobiles(« apps >f), l'Internet, les centres
de service, les fournisseurs de service tiers et les modules
automatisés. Ces canaux emploient ditlëœntcs technologies qui
sont desservies par la même base de données.
En matière de disponibilité et d'options de reprise, l'architecture
d'entrep1ise aide davantage dans l'hnrmonisation des exigences
opérationnelles qui peuvent remplir les objectifs de la prestation
de service. Par exemple, un temps de reprise inacceptable peut
provoquer le choix d'une architecture tolérante aux pannes et très
disponible pour les canaux essentiels de prestation du service
(voir la section 4.8.3 Autres solutions de reprise des opérations).
4.2.4 OPÉRATIONS DES SI
Les opérations des SI constituent des processus et des activités
qui soutiennent et gèrent l'ensemble de l'infrastructure, des
systèmes, des applications et des données des SI, en mettant
l'accent sur les activités au quotidien.
Le personnel des opérations des SI s'occupe du fonctionnement
exact et rigoureux du réseau, des systèmes et des applications,
ainsi que de la prestation de services des SI de qualité aux
utilisateurs professionnels et aux clients.
Les tâches du personnel des opérations des SI comprennent :
• L'exécution ct la surveillance des tâches prévues;
• La sauvegarde de copies de secours en temps opportun;
• La surveillance des intrusions non autmisées et de l'utilisation
de données sensibles;
• La surveillance et la vérification de l'étendue de la conformité
aux procédures d'opération des SI, telles qu'établies par la
gestion des SI et de l'entreprise;
• La participation aux tests des plans de reprise après sinistre;
• La surveillance de la performance, de la capacité, de la
disponibilité et de l'échec des ressources informationnelles;
• La gestion du dépannage et des incidents.
Les procédures détaillant les instructions des tâches et des
opérations, en combinaison avec une surveillance de la gestion
des SI appropriée, constituent des éléments nécessaires d'un
environnement de contrôle des SI.
Cette documentation doit inclure :
• Les procédures d'opération en fonction des consignes de
fonctionnement et du flux des travaux pour l'équipement
informatique et périphérique;
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
Section deux : Contenu
• Les procédures de surveillance des systèmes et des applications;
• Les procédures de détection des erreurs et problèmes de
systèmes et d'applications;
• Les procédures de résolution des problèmes des SI et la
transmission des problèmes non résolus aux échelons
supérieurs, l'escalade;
• Les procédures de sauvegarde et de reprise.
Planification des travaux
Dans les environnements de SI complexes, les systèmes
informatiques transfèrent des centaines, voire souvent des
milliers, de fichiers de données pm· jour. Ces fichiers sont souvent
appelés« tâches par lots». Les tâches sont habituellement
ordonnancées selon une liste qui établit les tâches à effectuer
ct l'ordre dans lequel elles doivent l'être, et indique tout
élément dépendant. Vue la complexité in11insèque du processus
d'ordonnancement, des logiciels d'ordonnancement automatisé
permettent de le superviser. L'information relative aux travaux
est entrée une seule fOis, réduisant ainsi les risques d'erreurs.
Les éléments dépendants peuvent être définis et les logiciels
peuvent assurer la sécurité de l'accès aux données de production.
En plus de 1'ordonnancement des tâches par lots, les logiciels
d'ordonnancement peuvent servir à programmer des sauvegardes
sur bande et d'autres activités de maintenance. La planification
des travaux constitue une fonction majeure du service des Tl.
Il comprend les travaux à effectuer, la séquence d'exécution
des travaux et les conditions d'exécution d'un programme. Les
travaux de faible priorité peuvent aussi êtTe ordonnés en attendant
que des disponibilités se libèrent. Un logiciel d'ordonnancement
des travaux automatisé procure un contrôle sur Je processus
d'ordonnancement, puisque l'information sur le travail n'est
entrée qu'une seule fois; cela réduit le risque d'erreurs. Les
éléments dépendants peuvent ètre définis et les logiciels peuvent
assurer la sécurité de l'accès aux données de production.
La disponibilité des ressources doit êlre optimale pour les travaux
dont la priorité est élevée. tandis que les fonctions de maintenance
telles que les copies de sauvegarde et la réorganisation du
système doivent, si possible, être efl:èctuées hors des périodes de
pointe. Les ordonnancements permettent de garder les demandes
du clic1tt à un niveau gérable, tout en pennettant le traitement
sans délai inopp01iun des travaux imprévus ou sur demande.
Les procédures de planification des travaux sont nécessaires pour
assurer que les ressources des SI sont utilisées de façon optimale,
en fonction des exigences de traitement. Les applications
doivent de plus en plus être disponibles de façon continue; par
conséquent, la planification des travaux (temps de maintenance
ou de traitement long) représente un défi plus important
qu'auparavant.
Logiciel d'ordonnancement des travaux
Un logiciel d'ordonnancement des travaux est un système
d'exploitation utilisé par les installations qui traitent un grand
nombre de routines groupées. Le logiciel d'ordonnancement crée
des horaires de travail quotidiens, et détermine automatiquement
les travaux à soumettre au système pour le traitement.
Les avantages de l'utilisation d'un logiciel d'ordonnancement des
travaux incluent :
289
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
e. Certitied Information
.M. Systems Auditor"
,_,1JJ,i;J.'C•o1.f""-""'

• L'information relative aux travaux est entrée une seule fois,
réduisant ainsi les risques d'erreurs;
• Les éléments dépendants des travaux sont définis de telle smic
que, si un travail échoue, les travaux subséquents ne sont pas
efl'ectués:
• Un registre conserve les informations relatives au succès ou à
11échec des hâvaux;
• La dépendance envers les opérateurs est réduite.
4.2.5 GESTION DES INCIDENTS ET DES PROBLÈMES
Les ressources informatiques, comme tout autre actif
organisationnel, doivent être utilisées de telle sorte que
l'organisation entière en tire profit. 11 s'agit entre autres de donner
!Information au personnel autorisé au moment et à l'endroit
requis, et à un coût identifiable ct vè1ifiable. Les ressources
informatiques comprennent le matériel, les logiciels, les
télécommunications, les réseaux, les applications et les données.
plusieurs incidents de nature similaire afin d'en identifier la cause
principale. !~une des méthodes d'analyse est le développement
d'un diagramme lshikawa ou en arête de poisson (de cause à
effet) grâce à des séances de brainstorming et à l'utilisation des
(<cinq pourquoi» (une technique d'interrogation itérative servant
à explorer ks relations de cause à cffèt qui sous-tendent un
problème donné).
Lorsqu'un problème est identifié et que l'analyse a permis
d'identifier une cause principale, il est possible de reconnaître
les situations d'« erreur connue>)-. Une correction peut alors
être mise en place afin d'empêcher que des incidents similaires
surviennent de nouveau. Ces données sont ensuite ajoutées à la
base de données d'erreurs connues. J.:objectivc est d'empêcher
de manière proactive la réapparition de l'erreur ailleurs ou, à tout
Je moins, de consigner une solution qui pourra être appliquée
immédiatement si l'incident se reproduit.

La gestion des problèmes et la gestion des incidents sont liées,

Les contrôles relatifs à ces ressources sont parfois appelés
mais utilisent différentes méthodes et ont ditft':rents objectifs.
contrôles généraux. Le contrôle efficace des ressources
L'objectif de la gestion des problèmes consiste à réduire le
informatiques est essentiel, pnrce que la gestion de l'entreprise
nombre ou la sévérité des incidents, tandis que l'objectif de la
repose sur le traitement informatique.
gestion des incidents consiste à retourner le processus affecté
à sa condition normale aussi rapidement que possible afin de
Processus de traitement des incidents
minimiser l'impact sur l'entreprise. La gestion eft'icace des
La gestion des incidents constitue l'un des processus critiques
problèmes peut avoir pour eflèt une amélioration significative de
de la gestion des services des Tl. Ce processus doit être effectué
la qualité des services d'une organisation SI.
sur une base continue afin de mieux servir le client. La gestion
des incidents concerne avant tout l'amélioration de la continuité
des services gràce à la réduction ou l'élimination des nuisances
Détection, documentation, contrôle, résolution et
causées par les perturbations des services des Tl. Elle couvre signalement des conditions anormales
presque toutes les opérations non habituelles des services des En raison de la nature très complexe des logiciels, du matériel
Tl, sa portée incluant donc pratiquement tout évènement non ct de leurs interactions, un mécnnisme doit exister pour détecter
habituel. En plus de la détection des incidents, les autres étapes et documenter toute condition anormale et aider à identifier une
du cycle de vic des incidents sont la classification, l'assignation erreur. Cette documentation prend habituellement la forme d'un
aux spécialistes, la résolution et la fermeture des dossiers registre automatisé ou manueL Voir les tableaux 4.5 et 4.6.
d'incîdents.
Tableau 4.5-Types d'erreurs hatiittiellement inscrites dans les
Il est essentiel pour tout processus de gestion des incidents de journaUJt
prioriser les éléments après en avoir déterminé les impacts et • Les erreurs d'application • Les erreurs de réseaux
le caractère urgent. Par exemple, une demande de service de la • Les erreurs de systèmes • Les erreurs de télécommunications
part du dirigeant principal de l'infOrmation relativement à un • Les erreurs d'opérateurs • Les erreurs de matériel
problème d'imprimante pourmit survenir en même temps qu'une
demande de l'équipe technologique concemant une panne de
serveur. La gestion des SI doit disposer de paramètres pour
Tableau 4.6- ÉlémentS qui apparaissent dans une entree au registre
des erreurs
assigner une priorité à ces incidents en fonction de l'urgence et de
l'impact. • La date de l'erreur • Les initiales de la personne en
• La description de la résolution charge de la fermeture de l'entrée
Les incidents non résolus sont traités en fbnctîon des c1itères de l'erreur au registre
établis par le service de gestion des SI. La gestion des incidents • Le code de l'erreur • Le service ou centre en charge de
• La description de l'erreur la résolution de l'erreur
est un processus réactif et ses objectifs sont de répondre aux
• La source de l'erreur • Le code d'état de la résolution
problèmes ct d'y remédier aussi rapidement que possible pour
• La date et l'heure du traitement du problème (p. ex., problème en
restaurer un niveau de service normal, selon ce que prévoit
• Les initiales de la personne en cours, problème fermé à une date
l'ANS. Des ANS sont parfois mis en place afin de définir des ultérieure spécifiée, problème
niveaux acceptables en f-Onction des probabilités statistiques charge du maintien du registre
impossible à résoudre dans
d'incidents. l'environnement actuel)
• Une description de /"état de
Gestion des problèmes résolution de l'erreur
La gestion des problèmes vise à résoudre les problèmes par
l'enquête et J'analyse en profondeur d'un incident majeur ou de

290 Manuel de Préparation CfSA 26" édition

ISACA. Tous droits réservés.
e Certified lnformatioo
~y::~~,~~~~~
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d"lnformation
À des fins de contrôle, la capacité d'ajouter des éléments au
registre des erreurs ne doit pas être restreinte. La capacité de
mettre à jour le registre des erreurs doit toutefois être restreinte
aux individus autorisés, et l'on doit assurer la traçabi!ité des
mises à jour. La séparation des tâches requiert que la capacité de
clore une entrée au registre des erreurs soit assignée à un individu
différent de celui responsable du maintien ou de l'inclusion de
l'entrée au registre.
La gestion des SI doit veiller à cc que les mécanismes de gestion
des incidents et des problèmes soient maintenus et surveil1és de
façon adéquate, et que les erreurs non réglées soient résolues de
façon appropriée ct en temps opportun.
La gestion des SI doit mettre en place une documentation des
opérations pour s'assurer que des procédures existent pour le
traitement des problèmes non résolus à un niveau plus élevé du
service de gestion des SI. Bien que plusieurs raisons puissent
expliquer qu'un problème ne soit pas résolu pour un long
moment, il ne faut pas qu'un problème demeure non résolu de
façon indéfinie. Le risque principal d'un manque d'attention
aux problèmes non résolus est l'interruption des opérations
de l'entreprise. Un problème non résolu lié atl matériel ou
aux logiciels peut potentiellement. corrompre les données de
production. Les procédures de traitement des problèmes doivent
être bien documentées. La gestion des SI doit veiller à cc que
les procédures de traitement des problèmes soient respectées.
Les procédures de traitement des problèmes comprennent
généralement les éléments suivants :
• Les noms et les coordonnées des personnes pouvant traiter
cct1ains types spécifiques de problèmes.
• Les types de problèmes nécessitant une résolution urgente.
• Les problèmes pouvant être réglés pendant les heures normales
de bureau.
La résolution de problèmes doit être communiquée aux systèmes,
programmes, opérations et utilisateurs approp1iês afin d'assurer
que les problèmes sont rêsolus en temps oppo1iun. C auditeur des
SI doit examiner les problèmes signalés et les registres afin de
veiller à leur résolution en temps oppo1iun et à leur assignation
aux individus ou aux groupes les mieux placés pour les résoudre.
Les services et les postes responsables de la résolution de
problèmes doivent être mentionnés dans la documentation sur la
gestion des problèmes. Cette documentation. pour qu'elle soit
utile, doit être maintenue de iàçon adéquate.
4.2.6 CENTRE D'ASSISTANCE/DE SOUTIEN
La tOnction de soutien technique a pour responsabilité de tburnir
une expertise des systèmes de production afin de déterminer les
changements ou les développements à apporter aux systèmes, et
d'aider à résoudre les problèmes. De plus, le soutien technique
doit informer la direction sur les technologies disponibles dont
pourrait tirer pmii J'ensemble des opérations.
Les procédures relatives aux tâches effectuées par le personnel
de soutien technique doivent être établies en conformité avec les
stratégies et politiques générales de l'organisatîon. Le tableau 4.7
illustre les fonctions de soutien typiques.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
Tableau4,7- fonêlioi!S d~ soUtien fi'piques ~
• Déterminer la source des incidents informatiques et prendre les
mesures correctives appropriées.
• Signaler les problèmes quand cela s'avère nécessaire et veiller à ce
que les incidents soient résolus en temps opportun.
• Obtenir une connaissance détaillée du réseau, du système et des
applications.
• Répondre aux demandes relatives à des systèmes particuliers.
• Offrir un soutien de deuxième et de troisième niveau à l'utilisateur en
entreprise et au client.
• Offrir un soutien technique pour le traitement des télécommunications
informatiques.
• Maintenir la documentation du logiciel fournisseur, y compris la
publication de nouvelles versions et de corrections de problèmes, ainsi
que la documentation des utilitaires et des systèmes maison.
• Communiquer avec les opérations des SI afin de signaler les
comportements anormaux dans les appels ou les applications.
Un triage a généralement lieu à ln réception d'une demande de
soutien au centre d"assistance. Les demandes sont réparties selon
la complexité du problème et le niveau d'expertise nécessaire
pour le résoudre.
L'objectif principal du centre d'assîstance est d'apporter un appui
à l'utilisateur. Le personnel du centre d'assistance doit veiller à
cc que tous les incidents liés au matériel ou aux logiciels soient
bien documentés et traités en fOnction des priorités établies par la
direction. La fonction du centre d'assistance peut être diffërente
en fOnction des organisations. Néanmoins, la fonction de base
d'un centre d'assistance est de servir de point de contact unique
et centralisé pour les utilisateurs et de faire appliquer la procédure
de gestion des incidents.
4.2.7 PROCESSUS DE GESTION DES MODIFICATIONS
Les procédures de contrôle des modifications fOnt partie de
la fonction plus générale de gestion des modifications et sont
établies par le service de gestion des Sl afin de contrôler le
mouvement des applications {programmes, tâches, configuration,
paramètres, etc.) depuis l'environnement de test, ail s'effectue
le développement et la maintenance, vers l'environnement
d'assurance de la qualité (AQ), où des tests approfondis
sont effectués, puis vers l'environnement de production. Les
opérations de SI sont. typiquement responsables d'assurer
l'intég.tité de !'environnement de production ct donnent souvent
<< l'approbation finale>> pour tout changements appotiés à la
production.
La gestion des changements sert lors des changements de
nwtériel, de l'installation ou de la mise à niveau vers les dernières
versions des applications prêtes à être utilisées, de l'application
de correctifs et de la configuration des divers périphériques
réseau (coupe-feu, routeurs. commutateurs).
Les procédures associées à ce processus permettent de garantir
que:
• Tous les membres du personnel concernés sont informés de la
teneur et du moment du changement;
• La documentation des systèmes, opérations et programmes est
complète, à jour et en confOrmité avec les nonnes établies;
• Les instructions de préparation de travaux, d'ordonnancement et
291
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
d'opération ont été établies;
• Les résultats de test des systèmes et des programmes ont été
examinés ct approuvés par le s~rvice de gestion des utilisateurs
et les responsables du projet;
• Ln conversion des fîchierfi de données, lorsque cela s'avère
nécessaire. a été effectuée de tàçon rigoureuse et complète,
comme en tàit fOi l'examen et l'approbation par le service de
gestion des utilisateurs;
• La conversion des systèmes a été effectuée de J·àçon rigoureuse
et complète, comme en tàit foi la révision et l'approbation par le
service de gestion des utilisateurs;
• Tous les aspects de la livraison des travaux ont été testés,
examinés et approuvés par le personnel de contrôle et des
opérations;
• Les aspects légaux ou réglementaires ont été considérés;
• Le risque d'impacts négatif.~ sur les opérations de l'entreprise
est examiné ct un plan de retour en arrière est mis en place afin
d'annuler les modifications si cela s'avère nécessaire.
En plus du contrôle des modifications, des méthodes el
procédures standardisées de gestion des modifications sont
nécessaires afin d'assurer le maintien de la qualité des niveaux
de service ayant fait l'objet d'un aœord. Ces méthodes ont
pour objectif la réduction des impacts négatifs générés par tout
incident susceptible de survenir suite à des modifications.
Pour ce faire, il faut formaliser ct documenter le processus
entourant la demande, l'autorisation, les tests ct J'implantation
des modifications: ainsi que leur communication aux utilisateurs.
Les demandes de modification sont souvent catégorisées
comme suit : changements d'urgence, changements majeurs,
changements mineurs. DitTérentes procédures de gestion
des modifications peuvent être en place pour chaque type de
changement.
Gestion des programmes de correction
La gestion des programmes de correction est 1'un des aspects
de la gestion de systèmes, qui comprend l'acquisition, le
test et l'installation de multiples programmes de correction
(modificntion du code) dans un système inf-Ormatique administré,
afin de maintenir les logiciels à jour et de parer au risque lié à
la sécurité. Les t.îchcs associées à la gestion des programmes de
correction sont les suivantes :
.. Maintenir la connaissance actuelle au sujet des programmes de
correction disponible;
• Décider des programmes de COJTectîons appropriés pour des
systèmes particuliers;
.. Veiller à l'installation adéquate des programmes de correction;
tester les systèmes après l'installation;
• Documenter toutes les procédures associées, comme les
configurations précises exigées.
Un certain nombre de produits sont proposés pour automatiser les
tâches de gestion des programmes de conection. Les programmes
de correction peuvent être inefficaces ct peuvent causer davantage
de problèmes qu'ils peuvent en régler. Les experts en gestion
des programmes de correction suggèrent aux administrateurs
système de prendre des mesures de sécurité élémentaires avant
l'installation, telles que la sauvegarde et le test des correctifs
sur des systèmes non essentiels. La gestion des programmes de
correction peut être considérée comme faisant partie de la gestion
du changement.
292
e '
. ertifted Information
Systems Audilor·
"""""''~'"' ...'""
Consultez le chapitre 3, Acquisition, développement ct
implantation des systèmes d'infi..wmation, pour plus d'infOrmation
sur !es contrôles de modifications apportées aux programmes.
4.2.8 GESTION DES VERSIONS
La gestion des nouvelles versions d'un logiciel est le processus
par lequel un logiciel est mis à disposition des utilisateurs.
Le terme « version ~~ est utilisé pour décrire un ensemble de
changements autorisés. La version comprend habituellement
plusieurs corrections de problèmes et améliorations au service.
Une version consiste en un nouveau logiciel ou un logiciel
modifié.
Le tableau 4.8 présente certains types principaux de versions.
'
fablêau 418- !l'Y~!!~$ de v~rslons
~
Versions Contiennent habituellement un changement important
majeures ou un ajout à une nouvelles fonctionnalité. Une mise à
niveau ou une version majeure surpasse habituellement
toutes les mises à niveau mineures précédentes.
Le fait de regrouper plusieurs changements facilite
l'exécution de tests plus complets ainsi que la formation
utilisateur prévue. Les organisations importantes
prévoient habituellement un échéancier d'implantation
des versions majeures tout au long de l'année (p. ex.,
à chaque trimestre). Les organisations de taille réduite
peuvent avoir une seule version durant l'année, ou
plusieurs si l'organisation cro1t rapidement.
Versions Mises à niveaux comportant habituellement de petites
mineures améliorations et corrections. Une mise à niveau ou
une version mineure surpasse habituellement toutes
les corrections d'urgence précédentes. Les versions
mineures sont généralement utilisées pour régler de
petits problèmes de fiabilité ou de fonctionnalité qui
ne peuvent attendre la prochaine version majeure.
Tout le processus de version doit être respecté pour la
préparation et l'implantation de versions mineures, mais
il prendra fort probablement moins de temps, car les
activités de développement, de test et d'implantation ne
nécessitent pas autant de temps que pour les versions
majeures.
Versions Contiennent habituellement la correction d'un
d'urgence petit nombre de problèmes connus. Les versions
d'urgence consistent en des correctifs nécessitant une
implantation dès que possible afin de prévenir une
interruption des fonctions critiques de l'entreprise. En
fonction de l'urgence de la version, des activités limitées
de test et de gestion des versions sont effectuées
avant l'implantation. De tels changements doivent être
évités autant que possible, car ils augmentent le risque
d'introduction d'erreurs.
Bien des implantaliom; de nouveaux systèmes impliquent la
livraison par phases des fonctionnalités et, par conséquent,
nécessitent de nombreuses versions. De plus, les versions
planifiées constituent' un processus continu d'amélioration du
système.
Les rôles et responsabilités principales de la gestion des versions
doivent être définis afin de s'assurer que chacun comprend son
rôle ct son niveau d'autorité, ainsi que ceux des autres personnes
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certified Information
Systems ALJéltor"
··~----+-----
"''~''"""''"''""
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
impliquées dans le processus. L'organisation doit décider de
l'approche la plus appropriée, en fonction de la taille ct de la
nature des systèmes, du nombre et de la fréquence des versions
requises, ainsi que de tout besoin spécial des utilisateurs (par
exemple, si une mise en place par phases est requise sur une
période de temps plus longue). Toutes les versions doivent
posséder un idcnti ficatcur unique pouvant être utilisé par le
service en charge de la gestion de la configuration.
La planification d'une version implique:
• L'obtention d'un consensus sur le contenu de la version;
• L'entente sur la stratégir: de sortie (p. ex., le moment où la
transition sera eflèctuèe, sur lieu géographique, sur !"entité de
l'entreprise et sur les clients);
• La production d'un échéancier de haut niveau pour ln version;
• La planification des niveaux de ressources (y compris le temps
supplémentaire des employés);
• L'entente sur les rôles ct responsabilités de chacun;
• La production de plans de retrait;
• Le développement d'un plan de qualité pour la version;
• L:acceptation de la planification par les groupes de soutien et le
client
Alors que la gestion des changements est un processus robuste
de mise à l'essai ct d'approbation de tous les changements, la
gestion des versions est le processus concret d'application en
production des changements à un logiciel.
4.2.9 ASSURANCE DE LA QUALITÉ
Le personnel d'assurance de 1a qualité vérifie que les
modifications au système sont autorisées, testées ct implantées
de façon contrôlée avant d'être introduites dans l'environnement
de production, conformément aux politiques de gestion des
changemenL.;;; ct des versions de l'entreprise. À l'aide du logiciel
de gestion du code source (voir la section 4.5.8 Gestion du
code source), le personnel supervise également la maintenance
appropriée des versions du programme et du code source pour en
vérifier 1'intég1ité.
Consultez Je chapitre 3, Acquisition, développement ct
implantation des systèmes d'information, pour obtenir plus
d'information sur 1'assurance de la qualité et sur les objectifs de
cette fonction.
4.3 GESTION DES ACTIFS DES Tl
Un actif est un bien matériel ou immatériel qu'il importe de
protéger et qui comprend les personnes, les systèmes, les
infrastructures, !es finances ct la réputation. Toutefois, vous ne
pouvez protéger efficacement un actif si vous ignorez le détenir.
De même) il est d'autant plus difficile de protéger un actif si vous
ignorez où il se trouve ou qui en est responsable.
Selon le processus BAJ09 Gérer les act(fs de COBIT 5, les actifs
doivent être gérés ainsi :
Les acl((s des Tl doivent être gérés toUl au long de leur
cycle de vie pour assurer que leur utilisation procure de la
valeur à un coiÎt optimal, qu ïls demeurent opérationnels
(adaptés à l'usage prévu), qu'ils sont répertoriés el protégés
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
physiquement. ct que les act(f.S· essenûels au soutien de la
capacité du service sontjiables <!1 disponibles. Les licences
de logiciels doive11f are gérées pour assurer qu'une quantité
optimale est acquise, maintenue et déplr~rée relativement à
l'usage exigé par 1'entreprise, et que les logiciels sont Ùlslal/és
COJ?fhrmément aux contrats de licence.
Dans la gestion des actif..;.; des Tl, la première étape est le
processus visant à déterminer les actif_.;.; des Tl et à en dresser
1'inventaire. L'enregistrement de 1'inventaire de chaque actif
informationnel doit inclure :
e L'identification spécifique de l'actif;
• Sa valeur relative pour l'entreprise;
• Les implications des pertes et les priorités de la reprise;
• Son emplacement;
• Sa classi fïcntion de sécurité/risque;
• Son groupe d'actifs (lorsque les actifs font partie d'un système
d'information plus grand);
• Le propriétaire;
• Son dépositaire désignê.
Les méthodes habituellement utilisées pour dresser l'inventaire
initial comprennent la consultation du système d'achat, l'examen
des contrats et la revue des logiciels actuellement installés à
l'aide d'outils tels que Microsoflk System Center Configuration
Manager, Spiceworks ct ManagcEngine.
La gestion des actif:"> des Tl est un prérequis essentiel au
développement d'une stratégie de sécurité pertinente. La première
étape de la gestion des licences de logiciels consiste à dresser
la liste des actifs (voir la section 4.5.7 Problèmes de licences de
logiciels) ainsi qu'à classer et protéger les actifs informationnels
(voir la section 5.2.3 Classification des actifs informationnels).
La gestion des actif..;;; des Tl doit être employée pour les actifs
en logiciel et en matérieL Il est de pratique courante d'étiqueter
physiquement les actifs en logiciel.
4.4 STRUCTURE MATÉRIELLE DES SYSTÈMES
D'INFORMATION
La présente section constitue une introduction aux platef01mes
matérielles qui composent les systèmes d'infOrmation dans
les entreprises d'aujourd'hui. Elle décrit les concepts de base
qui sous-tendent les divers types d'ordinateurs développés ct
l'histoire derrière ces ordinateurs, de même que les progrès
dans les technologies de l'information. Il sera aussi question
des facteurs clés de l'audit comme la gestion de la capncité, la
surveillance du système, la maintenance du matériel ct les étapes
normales dans l'acquisition de nouveaux matériels.
··-----------
Remarque : Dans ce manuel, la terminologie particulière
au f()urnîsseur est mise de J'avant à des fins explicatives
seulement. Les candidats à ]'examen ne seront pas questionnes
sur les composants spécifiques aux f{)urnisseurs ou sur leur
1erminologie particulière il moins que ces termes soient. acceptés
dans l'usage courant.
293
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
4.4.1 COMPOSANTES ET ARCHITECTURES DU
MATÉRIEL INFORMATIQUE
Les composantes matérielles d'un système informatise
comprennent différentes composantes interdépendantes qui
exécutent des fonctions précises. Ce !les-ci peuvent être classées
comme composantes de traitement ou d'cntrée-smiie.
Composantes du traitement
L'unité centrale de traitement (UCT) est la composante centrale
d'un ordinateur. Les ordinateurs peuvent aussi :
• Avoir une UCT sur une seule puce (microprocesseurs);
• Avoir plus d'une UCr (multiprocesseur);
• Comprendre plusieurs UCT sur une seule puce (processeur
multicoeur).
l~UCT est composée d'une unité arithmétique et logique (UAL),
d'une unité de contrôle et d'une mémoire interne. L'unité de
contrôle consiste en des circuits électroniques qui contrôlent ou
dirigent toutes les opér<Jtions du système inform<Jtique. L'UAL
cHCctue les opérations mathématiques et logiques. La mémoire
inteme (c.-à-d. les registres UCT) est utilisée pour traiter les
transactions.
La carte-mère, la mémoire vive (RAM) et la mémoire morte
(ROM) sont aussi des composantes clés d'un ordinateur. Afin
de tèmctionner, 1' ordinateur a besoin de dispositif" de stockage
permanents (unité de disque dur ou disque électronique
[SSD]) et d'un bloc d'alimentation. Un disque SSD est un
dispositif de stockage non volatile qui stocke des données
persistantes sur une mémoire flash électronique. Les disques
SSD n'ont aucun composant mobile, ce qui les distingue des
unités de disque dur qui rentèrment des disques rota ti fe; et des
têtes de lecture/écriture portatives.
Composantes d'entrée-sortie
Les composantes d'E/S servent à transmettre les instructions ou
informations à l'ordinateur ainsi qu'à afficher ou enregistrer les
soliics générées par l'ordinateur. Ce1iaines composantes, comme
le clavier et la souris, sont des dispositifs d'entrée seulement,
tandis que d'autres, comme l'écran tactile, servent à l'entrée et
à la so11ie. Quant aux imprimantes, elles sont des dispositif:<.; de
sortie seulement.
Types d'ordinateurs
Plusieurs clitères, basés sur la puissance de traitement, la taille
ct l'architecture. peuvent scn'Îr à classer les ordinateurs. Ces
cntégorics sont illustrées au tableau 4.9.
Dispositifs d'arrière-plan communs pour les entreprises
Dans un environnement à traitement répa1ii, de nombreux
appareils différents procurent des services applicatifs. Voici
quelques-uns des appareils les plus fréquemment rencontrés.
• Serveurs <Pimpression - Des entreprises de toutes les tailles
doivent disposer de capacités d'impression disponibles aux
utilisateurs dans des emplacements ct des domaines multiples.
En général, la configuration d'une imprimante réseau est
basée sur l'emplacement physique de l'imprimante et sur les
personnes de l'entreprise qui doivent l'utiliser. Les serveurs
294
e '. ertifled Information
Systems Auditor"
'"""'A'<~'"""""
d'impression permettent aux entTcprises de grouper !cs
ressources d'impression afin de réaliser des économies.
• Serveurs de fichiers- Les serveurs de fichiers procurent
à r ensemble de r organisation un accès aux fichiers ct aux
programmes. Des réfërentiels de documents peuvent être
centralisés dans quelques emplacements au sein de l'entreprise
et contrôlés par le biais d'une matrice de contrôle des accès.
L;utilisation d'un référentiel de documents, à l'opposé de la
répartition du stockage parmi des postes de travail multiples,
simplifie la collaboration groupée et la gestion des documents.
• Serveurs d'applications (programmes)-- Habituellement,
un serveur d'applications abrite les programmes logiciels qui
fournissent aux ordinateurs clients l'accès aux. applications.
y compris le traitement de la logique de gestion el de
communication avec la bnse de donnëes de l'application. Le
regroupement des applications et des licences dans les serveurs
permet une gestion centralisée ct un environnement plus
sécurisé.
• Serveurs \Veb -· Par 1'entremise de pages \Vcb, les serveurs
Web fournissent de l'intOrmation el des services aux c.lients
externes ct aux employés en interne. Normalement, l'accès à
s'y fait par le biais dt: son adresse URL (universal rcssomcc
locator).
• Serveurs mandataires (Proxy) -··Les serveurs mandataires
procurent un lien intermédiaire entre les utilisateurs et les
ressources. Contrairement à l'accès direct, les serveurS
mandataires accèderont aux services au nom d'un utilisateur.
Un serveur mandalaire peut, selon les services, produire une
rCponsc plus sécurisée et plus rapide qu'un lien direct.
• Serveurs de base de données-- Les serveurs de base de
données emmagasinenlles données et servent de référentiel.
Les serveurs se concentrent sur le stockage de l'information
plutôt que sur sa présentation utile. Les serveurs d'applications
ct les serveurs Web utilisent les données emmagasinées dans
les serveurs de base de données, puis ils les transfOrment en
données utilisables.
• Serveurs monofonctionnels (appareils spécialisés)·- Les
appareils fournissent un service spécifique et sont normalement
incapables de faire fonctionner d'autres services. Ce faisant,
ils sont beaucoup plus petits, beaucoup plus rapides et très
efficaces. À cause des exigences de capacité et de performance,
ce11ains services doivent IOnclionner sur des serveurs
monofonctionnels au lieu de serveurs génériques. Voici
quelques exemples de serveurs mono fonctionnels :
--Coupe-feu Un coupe-fCu est un dispositif particulier qui
inspecte toute ln circulation entre les segment'> et qui applique
des politiques de sécurité afin de contlibucr à la sécurité du
réseau. l:implantation efficace. d'un coupe-tèu dépend de la
qualité des politiques de sécurité écrites ct de leur conformité
avec les bonnes pratiques.
Système de détection d'intrusion (IDS)-- L'IDS est à l'affût
de toutes les activités entrantes et sortantes afin de détecter
les connexions malveillantes potentielles ct d'émettre des
avertissements,
~·Système de prévention des intrusions (IPS)- L'IPS tente
activement de prévenir les intrusions en surveillant les
activités et en identifiant des modèles irréguliers d'utilisation.
-·Commutateurs -- Les commutateurs sont des liaisons de
données qui peuvent diviser des segments de réseau) les
interrelier et qui peuvent aussi aider à réduire les domaines de
collision dans les réseaux Ethernet.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
9 Certifled Information
Sysb!ms Audilor'
~~-
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information Section deux : Contenu

Routeurs --Les routeurs sont des appareils utilisés pour reller
deux segments de réseau ou plus qui sont physiquement
séparés. Les segments de réseau liés par un routeur demeurent
logiquement séparés et peuvent fonctionner en tant que
réseaux indépendants.
-- Réseau privé virtuel (VPN) Un VPN procure un accès à
distance aux ressources des TI de l'entreprise ou peut relier
deux réseaux ou plus qui sont physiquement séparés grâce
à un tunnel de séctllité. Un réseau privé virtuel à protocole
SSL (VPN-SSL) offre un accès à distance sans client par
l'entremise d'un navigateur Internet.
-- Équilîbreur de charge-- Un équilibreur de charge se1i à
répartir le trafic dans plusieurs dispositifS différents afin
d'accroître la performance et la disponibilité des services de
TL
Bus USB
Le bus série universel (USB) est une nonne de bus série pour
relier des appareils à un hôte. La norme USB a été conçue pour
permettre le branchement de plusieurs périphériques à une
interfàce de connexion unique et pour améliorer les capacités
<<prêt à l'utilisation H en permettant le branchement à chaud; cela
signifie qu'un appareil peut être branché et débranché sans qu'on
doive redémarrer l'ordinateur nî éteindre l'appareil. D'autres
caractélistiques pratiques incluent la possibilité d'alimenter en
énergie des appareils à faible consommation sans recourir à une
source de courant externe et d'utiliser de nombreux appareils sans
devoir installer de pilotes propres au fabricant pour chacun d'eux.
Les ports USB contournent les limites des potis en sé1ie et
parallèles en termes de rapidité et de nombre de connexions
possibles. Les spécifications USB 2.0 prennent en charge les

!Tableau 4l9-Types d'otillnateurs couran!S

Superordlnateurs Ordinateurs de très grande taille et onéreux qui possèdent la plus grande rapidité de traitement. ils sont conçus pour exécuter
des tâches spécialisées ou pour être utilisés dans des domaines qui exigent une importante puissance de traitement (p. ex.,
l'exécution de calculs mathématiques ou logiques complexes). Normalement, ils sont destinés à quelques systèmes ou
programmes très spécialisés.
Ordinateurs Ordinateurs de grande taille destinés à l'exécution de tâches générales et qui sont conçus pour partager leur puissance de
centraux traitement el leurs installations avec des milliers d'utilisateurs internes ou externes. Les ordinateurs centraux réussissent ce
partage en exécutant, presque simultanément, une vaste gamme de tâches. ~étendue des capacités de ces ordinateurs est
considérable. Dans beaucoup de cas, l'ordinateur central possède son propre système d'exploitation qui peut supporter des
programmes d'arrière-plan (lot) et des programmes en temps réel (en ligne) qui font fonctionner des applications parallèles.
Traditionnellement, les ordinateurs centraux ont constitué la ressource principale pour le traitement et le stockage des données
des grandes organisations et, ce faisant, ont été longtemps protégés par un bon nombre d'outils de sécurité et de contrôle.
Serveurs haut Systèmes multitraitement capables de supporter simultanément des milliers d'utilisateurs. En termes de taille et de puissance,
de gamme et de ils se comparent à de petits ordinateurs centraux. Les serveurs haut de gamme et de milieu de gamme ont plusieurs des
milieu de gamme caractéristiques de contrôle des ordinateurs centraux comme la gestion de la mémoire en ligne et de l'unité centrale, le
partitionnement physique et logique, etc. Leurs capacités sont aussi comparables à celles des petits ordinateurs centraux en ce
qui a trait à la rapidité de traitement des données et d'exécution des programmes clients, mais leur prix est beaucoup moindre
que celui des ordinateurs centraux. Les composantes de base de leurs systèmes d'exploitation et logiciels sont souvent des
produits commerciaux. Généralement, les dispositifs de pointe utilisent le système d'exploitation UNIX et, dans de nombreux cas,
ils sont utilisés comme serveurs de bases de données. Quant aux plus petits dispositifs, ils sont plus susceptibles d'utiliser le
système d'exploitation Windows et d'être utilisés à titre de serveurs d'applications et serveurs de fichiers et d'impression.
Ordinateurs Petits systèmes informatisés, appelés PC ou poste de travail, qui sont conçus pour les utilisateurs individuels, dont le prix est
personnels (PG) relativement bas et qui emploient la technologie des microprocesseurs qui consiste à intégrer toute I'UCT sur une puce. Ils
sont utilisés, entre autres, pour automatiser les tâches administratives, par exemple le traitement de textes, les chiffriers et
les courriels; la gestion des bases de données; les interactions avec les applications sur le Web, sans oublier les utilisations
personnelles liées aux graphiques, à la voix, au traitement de l'image, au design, à l'accès au Web et au divertissement. Bien
qu'ils aient été conçus en tant que systèmes personnels, ces ordinateurs sont souvent reliés entre eux pour former un réseau.
Ordinateurs Ordinateurs personnels dont les caractéristiques matérielles sont habituellement minimales (p. ex., poste de travail sans disque),
clients légers car la majeure partie du traitement se fait à l'échelle du serveur et par le biais d'un logiciel, comme Microsoft Terminal Services
ou Citrix Presentation Server, afin d'accéder à une série d'applications.
Ordinateurs Ordinateurs personnels de poids léger (moins de 5 kg ou 10 lb), faciles à transporter et alimentés par une connexion CA ordinaire
portatifs ou par un bloc de piles rechargeables. Leurs capacités sont semblables à celles d'un ordinateur personnel de bureau. ils ont une
UCT, une capacité de mémoire et de stockage sur disque similaire, mais leur bloc de piles les rend moins vulnérables aux pannes
électriques.

Étant donné leur caractère portatif, ils sont vulnérables au vol. Ces appareils peuvent être volés pour obtenir l'information qu'ils
renferment et détourner la connectivité, soit à l'intérieur d'un réseau local (LAN) ou à distance.
Téléphones Petit terminal informatique de poche que l'utilisateur peut substituer à un ordinateur portatif. ii peut servir, entre autres, de
intelligents, planificateur, de téléphone et de carnet d'adresses; il permet de créer une liste des choses à faire et d'en faire le suivi, il peut
tablettes et autres servir à gérer les dépenses, il peut être utilisé comme lecteur de livres numériques ou comme navigateur Web et peut servir
appareils portatifs à exécuter toute une gamme d'autres fonctions. De tels appareils peuvent posséder une combinaison de caractéristiques
informatiques, téléphoniques et de télécopie et de réseau, de sorte qu'ils peuvent être utilisés partout et en tout temps. Les
appareils portatifs peuvent aussi s'intertacer avec des PC afin de sauvegarder ou de transférer de l'information importante. De
même, l'information contenue dans un PC peut être téléchargée vers un appareil portatif.

Manuel de Préparation CISA 26" édition 295

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
transferis de données à une vitesse allant jusqu'à 480 mégabits par
secondes (Mbps) alors que I'USB 3.0 peut transférer les données
dix fOis plus rapidement que cela.
Les pmis USB peuvent servir à brancher des périphériques
comme une soulis, un clavier, une tablette, une tablette de jeu,
une manette, un numériseur, un appareil photo numérique, une
imprimante, un lecteur multimédia personnel, un lecteur flash ou
un disque dur externe.
La plupart des systèmes d'exploitation savent quand un appareil
USB est branché ei chargent les pilotes nécessaires.
Cartes mémoire et disques durs à mémoire flash
Une carte mémoire ou disque dur à mémoire nash constitue un
support de stockage de données électronique transistorisé utilisé
avec les appareils photos numériques, les ordinateurs de poche,
les téléphones, les lecteurs de musique personnels, les consoles de
jeux vidéos et autres appareils électroniques. Ils sont facilement
réinscriptibles, permettent d'entreposer des données sans utiliser
d'énergie, et sont petits et robustes. Les caJie à mémoire flash,
CompactFlash ou SD, et les disques durs à mémoire flash en sont
des exemples.
RISQlJES
Virus et autres logiciels malveillants- Les utilisateurs peuvent
apporter des documents infectés de la maison au travail, ou encore
ouvrir un document d'entreprise sur leur ordinateur personnel
infecté, mettre à jour le document et le transmettre à un serveur
de fichiers d'entreprise. Les clés USB représentent un mode
de transmission des virus informatiques contre lequel il est très
difficile de se protéger.
Chaque fois que des fichiers sont transterés entre deux machines,
le risque existe qu'un logiciel malveillant (virus, logiciel espion,
enregistreur de frappe, etc.) soit échangé, et les clés USB n'y font
pas exception. Certaines clés USB sont dotées d'un commutateur
physique qui pennet de les mettre en mode lecture simple. Lors
du transfet1 de fichiers vers une machine non sécurisée, une clé
en mode lecture simple ne laissera aucune donnée (y compris les
virus) y être inscrite.
Vol de données- Il anive que des pirates, espions industriels ou
employés mécontents volent des données, et dans de nombreux
cas, ces actes sont considérés comme des ctimes. Avec une clé
USB, tout ordinateur non verrouillé laissé sans surveillance et
muni d'un port USB devient vulnérable aux activités criminelles.
Cingénierie sociale constitue un outil qui peut permettre à un
pirate d'obtenir un accès physique à un ordinateur d'entreprise
pour en voler des données ou y installer un logiciel espion.
Perte de données et du support-- La portabilité des clés USB
engendre un risque accru de perte de données et de média. En cas
de petie d'un dispositif USE non chiffré, la personne qui trouve le
dispositif peut accéder aux données qui s'y trouvent.
Corruption des données- Si la clé est mal branchée, une
perte de données due à la corruption pourrait survenir. Les clés
USB diffèrent des autres types de suppo1is amovibles comme
les CD-ROM et DVD-ROM, parce que l'ordinateur n'est
pas automatiquement averti lors du retrait de la clé USB. Les
296
e Gertifiedtnlorrnation
S)'Siems Auditor'
''"""""'"''"''"'
utilisateurs de clé USB doivent avertir l'ordinateur lorsqu'ils
veulent la débrancher; autrement, l'ordinateur ne pourra pas
exécuter les fonctions de nettoyage nécessaires au débranchement
de la clé, surtout si des fichiers de la clé sont ouvetis.
Perte de confidentialité- Pratique de par sa compacité et sa
grande capacité logique, la clé USB peut stocker une împotiante
quantité de données. Certains renseignements stockés étant
confidentiels, la pe1te de données devient un risque en cas de
perte du dispositif, accroissant du même coup le risque que des
données tombent aux mains d'un concurrent Des problèmes
légaux peuvent aussi être associés à une perte de confidentialité.
Par exemple, aux États-Unis, la pet1e ou la compromission de
renseignements sur les patients peut indiquer une violation de
la vie privée du patient et donc de I'HIPAA (Health lnsurance
Portability and Accountability Act).
CONTRÔLE DE SÉCURITlê
Chiffrement- Une stratégie de chiffrement idéale permet de
stocker des données sur une clé USB, mais rend les données
inutiles sans la clé de chiffrement requise, comme un mot de passe
fort ou une caractéJistique biométrique. Il existe des produits pour
mettre en place un chiffrement fort conforme aux plus récentes
normes tèdérales sur le traitement de l'information (FIPS).
Le chiffrement est une bonne méthode pour protéger
l'information inscrite sur la clé en cas de pette ou de vol. Mais
à moins que l'information soit aussi chiffrée sur le disque dur
du réseau ou du poste de travail local, les données sensibles sont
toujours vulnérables au voL
Contrôle granulaire- Il existe des produits permettant une
gestion centralisée des ports. Microsoft Active Directory
(AD), au sein d'un objet de politique de groupe, peut servir
à gérer non seulement les ports USB et FireWire, mais aussi
l'utilisation des lecteurs de CD-ROM. Puisque la gestion se
fait par J'intermédiaire d'AD, une gestion de l'entreplise au
niveau des actes des individus est possible. Comme dans le cas
de toutes les questions de sécurité, une solution technologique
employée de manière isolée ne suffit pas. Il faut mettre en place
des politiques, procédures, normes et directives rigoureuses pour
assurer l'utilisation sécurisée des cartes mémoire et des clés
US B. De plus, il est nécessaire d'insister sur le programme de
sensibilisation des utilisateurs pour modifier le comportement des
employés.
Former le personnel de sécurité~ Les disques à mémoire flash
sont si petits et discrets qu'ils peuvent être aisément dissimulés
et dérobés d'une entreprise. Le personnel de la sécurité physique
doit comprendre les dispositifs USB et leur risque inhérent.
Faire respecter la politique de verrouillage des postes de
travail-- Dans des environnements à risque élevé, les ordinateurs
de bureau doivent être configurés de façon à se verrouiller après
un bref délai.
Mettre à jour la politique antivirus- Les logiciel antivirus
doivent être configurés de façon à analyser tous les lecteurs et
médias amovibles associés. Les utilisateurs doivent être formés
afin d'analyser les fichiers avant de les ouvrir.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certifilld lnfnrmation
Systems Alldit()l"
-·----+------ --
~'''""'"""'''""'""
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
Utiliser uniquement des appareils sécurisés -Imposer
l'utilisation du chiffrement. Un logiciel permet de gérer les
dispositif:<> USB, en im:posant le chiffrement ou en acceptant
uniquement les dispositifs chiffrés.
Inscrire vos coordonnées- En cas de perte ou d'égarement
d'un lecteur USB, le fait d'inclure un petit fichier texte
lisible contenant de l'information de retour peut aider à la
récupération du dispositif Il serait prudent de NE PAS inclure de
renseignements détaillés sur l'entreprise, mais plutôt un numéro
de téléphone ou de boîte postale. Il serait également prudent
d'inclure une mise en garde juridique identifiant clairement
l'information contenue sur la clé comme étant confidentielle et
protégée par la loi.
Identification par radiofréquence
L'identification par radiofi·équenœ (RFID) se sert des ondes
radio pour identifier des objets étiquetés à lïnté1ieur d'un rayon
limité. !:étiquette consiste en une puce ct une antenne. La puce
emmagasine l'information ainsi qu'une identification du produit,
alors que l'antenne transmet l'information au lecteur RFIU.
La puissance requise pour faire fOnctionner J'étiquette peut
provenir de deux modes. Le premier, utilisé dans les étiquettes
passives, puise son énergie du rayonnement incident engendré
par le lecteur. Le seconc~ plus coûteux, utilisé dans les étiquettes
actives, puise son énergie de ses piles et il peul utiliser des
fréquences plus élevées et atteindre une plus grande portée de
communication. Une étiquette active est réutilisable, onéreuse et
elle peut contenir davantage de données.
Des étiquettes peuvent être utilîsées pour identifier un
article en ronction de l'identification directe du produit ou
de l'identification de son transpo1icur. Dans cc dernier cas,
l'identification d'un article est entrée manuellement dans
le système (p. ex .. en utilisant un code à barres) et elle- est
utilisée conjointement avec des lecteurs de radiofréquence
stratégiquement placés pour suivre et localiser l'miicle.
APPLICATIONS DE RFID
Gestion des actifs- Les systèmes de gestion des actifs fondés
sur la RFID servent à gérer l'inventaire de tout article pouvant
être étiqueté. Les systèmes de gestion des actif..'> qui emploient la
technologie RFID offrent des avantages considérables par rapport
aux systèmes papier ou à code à barres, y compris la possibilité
de lire 1'identificateur de plusieurs articles presque simultanément
sans suivi optique ni contact physique.
Suivi-~ Les systèmes de gestion des actifs à RFID servent à
déterminer l'emplacement d'un mticle ou, plus exactement,
l'emplacement du demier lecteur ayant détecté la présence de
l'étiquette associée à l'article.
Vérification de l'authenticité~ L'étiquette sert de preuve de la
source pour l'article sur lequel elle est apposée. La vérification de
J'authenticité est souvent incorporée aux applications de suivi.
Correspondance- Deux articles étiquetés sont mis en
correspondance et un signal (p. ex., un voyant lumineux ou une
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits n1servés.
Section deux : Contenu
sonnerie) se déclenche si l'un des miicles est mis plus tard en
con·espondance avec un article mal étiqueté.
Contrôle des processus- Le contrôle permet aux processus
d'entreprise d'utiliser l'information associée à une étiquette (ou
à l'article sur lequel elle est apposée) et de prendre des mesures
adaptées.
Contrôle d'accès- Le système utilise la RFID pour vérifier
automatiquement si un individu est autorisé à accéder à des
installations physiques (p. ex., un campus protégé par une clôture
ou un bâtiment donné) ou à accéder logiquement à un système de
technologie de l'information.
Gestion de la chaîne d'approvisionnement (GCA)- La
GCA comprend la surveillance et le contrôle des produits de la
fabrication à la distribution à la vente au détail. La GCA regroupe
généralement plusieurs types d'applications, y compris la gestion
des actifs, le suivi, le contrôle des processus et les systèmes de
paiement.
RISQUES DE LA RFID
Risque pour les processus d~arfaires ··- Une attaque directe sur
les composants du système RFID pourrait nuire aux processus
d'entreprise que le système RFID a été conçu pour faciliter.
Risque pour l'informatique décisionnelle~ Un adversaire
ou concurrent pourrait obtenir un accès non autorisé à de
l'information produite par la RF ID et s'en servir contre
l'organisation se servant du système RFID.
Risque pour la confidentialité- Les droits et les attentes quant
à la confidentialité individuelle pourraient être compromis si le
système RFID utilise de l'informationjugéc personnellement
identifiable à des fins autres que celles voulues ou comprises à
l'origine. La possession personnelle des étiquettes en fonction
constitue aussi un risque pour la confidentialité puisque la
possession pourrait permettre de repérer les articles étiquetés.
Risque pour l'externalité- La technologie RFID pourrait
présenter un risque pour les systèmes, actifs et individus non
reliés à la RFID ou non cowimplantés avec le réseau RFID. Une
caractéristique importante de la RFID qui influence ce risque
réside dans Je fait que les communications par RF sont invisibles
pour les opérateurs et les utilisateurs.
CONTRÔLE DE SÉClJRJT~; RFID
Administratif~ Un contrôle administratif comprend la
supervision de la sécurité du système RFID. Par exemple, le
personnel de gestion d'une organisation pourrait devoir mettre
à jour les politiques existantes pour aborder l'implantation de la
RFID, comme les contrôles de sécurité nécessaires pour un sous-
système de RE
Opérationnel~ Un contrôle opérationnel comprend les actions
effectuées quotidiennement par les administrateurs et utilisateurs
du système. Par exemple, les systèmes RFID ont besoin de
contrôles opérationnels qui assurent la sécurité physique des
systèmes et leur utilisation adéquate.
297
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
Technique·-· Un contrôle technique a recours à la technologie
pour surveiller ou restreindre les actions pouvant être
effectuées au sein du système. Les systèmes RFID ont besoin
de contrôles techniques pour plusieurs raisons, entre autres
la protection ou le chiffrement des données contenues sur les
étiquettes, l'autodestruction des étiquettes et la protection ou le
déchiffrement des communications sans fil.
4.4.2 PROGRAMME DE MAINTENANCE DU MATÉRIEL
Pour assurer son bon fonctionnement, le matériel doit être nettoyé
et entretenu régulièrement. Les exigences d'entretien varient
selon la complexité des charges de travail et leur performance
(p. ex., les exigences de traitement, l'accès aux terminaux et
le nombre d'applications qui fonctionnent). Dans tous les cas,
le progmmmc d'entretien doit correspondre étroitement aux
spécifications du fournisseur. L'entretien est également important
pour le matéliel de régulation de l'environnement qui contrôle
la température et l'humidité, la protection contre les incendies et
l'alimentation électTiquc. Le programme d'entretien du matériel
est conçu pour documenter la performance de cet entretien.
Habituellement, l'information contenue dans ce programme
comprend:
• Les renseignements fiables relatifs à l'entreprise de service pour
chaque élément de matériel des TI qui requière un entretien;
o Le programme d'entretien;
• Les coûts de l'entretien;
• !...:'historique des entretiens effectués, par exemple les entretiens
planifiés, non planifiés, effectués et exceptionnels.
La direction des SI doit surveiller, identifier et documenter tout
écmi par rapport aux spécifications du fOurnisseur de même que
fournir la raison qui sous-tend cet écmt.
Lorsqu'il audîte cet élément, l'auditeur des SI doit:
• S'assurer qu'un programme tOnne! d'entretien a été mis sur
pied qu'il a été approuvé par la direction et qu'il est respecté.
• Déterminer les coüts liés à l'entretien qui ont excédé le budget
ou qui sont excessi [<;, Ces excédents peuvent être un indice
d'un manque de respect des procédures d'entretien ou des
changements prochains à app01ier au matériel. Des procédures
appropriées d'enquête ct de suivi doivent être mises en œuvre.
4.4.3 PROCÉDURES DE SURVEILLANCE DU MATÉRIEL
Voici des procédures et des rapports typiques relatifs à la
surveillance efficace et efficiente de l'utilisation du matédcl :
• Rapports de disponibilité·-- Ces rapports indiquent les
périodes durant lesquelles l'ordinateur fonctionne et qu'il
est à la disposition des utilisateurs ou d'autres processus.
L'indisponibilité excessive des SI, appelée temps d'arrêt,
est la principale préoccupation dont fait état ce rapport.
Cette indisponibilité peut être un indice que les installations
nmtérielles sont inadéquates, que l'entretien du système
d'exploitation est excessif, qu'il y a un besoin d'entretien
préventil~ que les installations physiques sont inappropriées
(p. ex., le bloc d'alimentation ou la climatisation) ou bien que la
fOrmation des opérateurs est inadéquate.
• Rapports d'erreur du matériel- Ces rappmis montrent
les défaillances de I'UCI~ des E/S, de l'alimentation et du
298
e •
" . ified lnformati(}ll
M Systems Arnlnor·
--'------+---..-
'"'''"''"""''""''"
stockage. Ils doivent faire l'objet d'une vérification de la
part de la direction des opérations des SI afin d'assurer
que l'équipement fonctionne adéquatement, de détecter les
défaillances ct d'entreprendre les actions correctives. Lauditcur
des SI doit savoir qu'il n'est pas nécessairement facile ou
immédiat d'établir de façon certaine un lien de cause à effet
entre un matériel ou un logiciel ct une erreur. Les rappotts
doivent être vé1ifiés régulièrement afin de déceler les problèmes
intermittents et récurrents, lesquels peuvent indiquer des
difficultés à diagnostiquer correctement les erreurs.
• Rapports de gestion des actifs Ces rappo11s dressent
l'inventaire de l'équipement branché au réseau, comme les
ordinateurs, les serveurs, les routeurs et autres appareils.
• Rapports d'utilisation- Ces rapports automatisés informent
sur l'utilisation de la machine et de ses périphériques. La
logimétrie sert ù mesurer l'utilisation des processeurs,
camwx et supports de stockage secondaires (comme les
lecteurs de disques et de bandes magnétiques). Selon le
système d'exploitation, Je pourcentage d'utilisation moyenne
des ressources dans des environnements informatisés
multiutilisateurs, qu'on trouve dans les ordinateurs centraux
ct les ordinateurs de grande taille, doivent se situer entre 85
et 95 %. Parfois le pourcentage d'utilisation pourra atteindre
100% ou descendre sous les 70%. La direction des SI pourra
prédire une augmentation ou une réduction nécessaire des
ressources de traitement en analysant les tendances dégagées
par les rapports d'utilisation.
4.4.4 GESTION DE LA CAPACITÉ
La gestion de la capacit(.· est la planification et le suivi des
ressources infOrmatiques et de réseau pour assurer que les
ressources disponibles sont utilisées de f..1çon efficace. Ceci
exige que l'augmentation ou la réduction des ressources se fasse
parallèlement à la croissance ou il la décroissance de l'ensemble
de l'entreprise. La planification de la capacité doit être élaborée
en fOnction des utilisateurs et de la direction des SI afin d'assurer
que les objectifs de gestion sont atteints de la làçon la plus
etlïciente ct elficacc. Cc plan doit être révisé et mis à jour au
moins une fois par année.
La planification de la capacité doit tenir compte des prévisions
dictées par les expé1iences antérieures tout en prenant en
considération la croissance de l'entreprise ct les agrandissements
futurs. Afin de mener à bien cette tâche, les renseignements
suivants sont essentiels :
• L'utilisation de l'UCT;
o Cutilisation de la capacité de stockage de l'ordinateur;
• L:utilisation des télécommunications, du réseau local ct de la
largeur de bande du réseau étendu:
• L'utilisation des canaux d·entréc-sortic;
• Le nombre d'utilisateurs;
• Les nouvelles technologies disponibles;
• Les nouvelles applications disponibles;
• Les ANS.
L'auditeur des SI doit réaliser que l'ensemble de ces exigences
ainsi que leur distribution possèdent une flexibilité inhérente. Les
ressources spécialisées d'une catégorie donnée peuvent avoir une
influence sur les exigences des autres catégories. Par exemple,
l'utilisation appropriée de terminaux plus« intelligents~>
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
peut nécessiter moins de puissance et une largeur de bande
de communication moindre que les m1tres terminaux. Par
conséquent, l'infonnntion ci-dessus est strictement liée au type et
à la qualité des composants du système utilisés ou prévus.
La décision d'héberger les applications de l'entreprise et de
les distribuer parmi de nombreux petits serveurs ou de les
regrouper dans quelques serveurs de grande capacité ou dans le
nuage, ou encore une combinaison des trois, est un élément de
la gestion de la capacité. Le regroupement des applications sur
quelques serveurs de grande capacité (connu aussi sous le nom
de hiérarchisation des applications) permet souvent à l'entreprise
de faire un meilleur usage des ressources, mais, d'un autre côté,
tes répercussions d'une panne de serveur sont plus grandes et
les applications sont d'autant plus touchées lorsque le serveur
doit être arrêté pour l'entretien. Le recours à l'infonuagique
signifie qu'une capacité supplémentaire peut être achetée selon
la demande, mais ajoute le risque d'une dépendance sur le
fournisseur.
Les entreprises de plus grande taille possèdent souvent des
centaines, voire même des millierS, de serveurs qui sont
regroupés et qu'on appelle grappes de serveurs. L.orsque des
serveurs virtuels sont employés, ils peuvent être organisés en
nuages privés (dits internes ou d'entreprise).
Si une organisation a mis en place du matériel de stockage des
données, l'auditeur des SI doit passer en revue les plans de
gestion de la capacité qui touchent tant l'utilisation du stockage
de données que l'utilisation du réseau de stockage (SAN).
La gestion de la capacité doit aussi inclure les périphériques de
réseau, comme les commutateurs et les routeurs qui englobent
des réseaux physiquement et logiquement distincts (VLAN).
La planification de la capacité définit les exigences de
l'entreprise en matière de capacités de Tl, en termes tant
administrati IS que techniques, et présente les conséquences de
l'exécution du volume d'activité requis par l'infrastructure et
les applications de TI -au bon moment et à un collt optimal. La
gestion de la capacité fait en sorte que tous les aspects en matière
de capacité et de performance actuelles et futures des exigences
d'affaires sont livrés de façon rentable.
La capacité des systèmes d'infm·mation constitue l'une des
exigences d'affaires clés pour les systèmes de TL Les activités et
processus d'entreprise ne peuvent être soutenus avec fiabilité que
lorsque les systèmes de Tl offrent la capacité requise. ~équipe
de gestion des Tl doit comprendre les exigences en matière
de capacité avant la conception de ses systèmes d'information
et vérifier la conception finale en lien avec ces exigences. La
gestion des TI doit également surveiller la capacité de façon
continue et offlir une capacité supplémentaire à mesure que
l'entreprise croît. Par exemple, un serveur de fichier peut suffire
à entreposer tous les fichiers d'entreprise, mais dans deux ans,
lorsque le stockage atteindra le seuil des 80 %, un disque dur
supplémentaire devra être installé pour continuer à répondre aux
exigences de stockage.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
La capacité de Tl, telle qu'évaluée au moyen de la puissance et
de la taille de la mémoire de 1'unité centrale, des disques durs
ou des serveurs, coûte cher. Les organisations sont réticentes à
se procurer davantage de matériel que nécessaire pour répondre
à leurs besoins actuels. La planification de la capacité constitue
le processus qui assure que l'approvisionnement en ressources
répond toujours aux exigences de l'entreprise. En surveillant
continuellement le seuil de capacité d'utilisation, il est possible
d'ajouter et de déployer de la capacité avant de ne plus satisfaire
aux besoins d'entreprise. Grâce à la gestion de la capacité, les
ressources coüteuses seront fournies uniquement lorsqu'elles sont
requises, ce qui permet de réaliser des économies.
La gestion de la capacité contribue au suivi de l'utilisation des
ressources ainsi qu'à leur planification. Pendant J'acquisition
du système de Tl, l'équipe de gestion de la capacité collaborera
avec l'architecte pour évaluer les besoins et faire en sorte que
des ressources adéquates, mais non excessives, sont fournies
pour appuyer les nouvelles solutions. Cévaluatîon se base
habituellement sur le nombre de transactions, la taille des
données stockées, le délai de traitement des transactions et le
temps de réaction, etc. Les estimations aident à déterminer les
exigences en matière de capacité pour les nouvelles solutions.
La gestion des capacités vise à fournir les ressources de Tl
requises avec constance~ au bon moment et au bon coût, et dans
le respect des exigences actuelles et futures de l'entreprise. La
gestion de la capacité augmente les bénéfices et les économies
de coût en reporiant Je coût des nouvelles capacités à une date
ult'érieure et en optimisant la capacité par rapport aux besoins
d'entreprise. La gestion de la capacité atténue le risque de
problèmes de performance ou de défaillance en surveillant le
seuil d'utilisation des ressources et en fournissant de nouvelles
ressources avant qu'une défaillance se produise. La gestion de
la capacité pe1met également de prévoir exactement la capacité
future grâce à l'évaluation de la taille et à la modélisation des
applications relatives aux nouveaux services.
La planification et la surveillance de la capacité comprennent les
éléments énumérés dans le tableau 4.10.
299
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
Tableau 4:10- Éléments de planificalion el de surveillance de la
capacité
Développement Élaborer un plan de capacité qui décrit les exigences
actuelles et tutures en matière de capacité des
ressources de Tl.
Surveillance Surveiller les composants de Tl pour s'assurer de
l'atteinte des niveaux de service convenus.
Analyse Analyser les données recueillies pendant les
activités de surveillance pour identifier des
tendances permettant de déterminer l'utilisation et
le niveau de service normaux ou d'établir des points
de référence.
Adaptation Optimiser les systèmes en fonction de la charge
de travail réelle ou prévue, selon les données de
surveillance analysées et interprétées.
Implantation Introduire les changements ou nouvelles capacités
pour satisfaire aux nouvelles exigences en matières
de capacité.
Modélisation Modéliser et prévoir le comportement des
ressources en Tl pour déterminer les tendances et
exigences en matière de capacité futures.
Évaluation Prendre en considération les ressources prévues
de la taille de de nouvelle capacité. Lors de la conception
l'application de l'application, déterminer sa taille (nombre
d'utilisateurs simultanés supportés, nombre de
transactions, exigences de stockage des données,
etc.) et la capacité requise pour le serveur, la taille
de la mémoire, la puissance du processeur, etc.
4.5 ARCHITECTURE ET lOGICIElS DES SI
L'architecture de la plupart des composantes peut être représentée
comme un nombre de couches de circuits et de logique disposées
selon une structure hiérarchisée qui interagit avec le système
d'exploitation de l'ordinateur. Le matériel informatique se trouve
à la base de la hiérarchie ct il comprend des instructions figées
dans le code (micrologiciel). Le niveau hiérarchique suivant
comprend les fonctions du noyau. Ces fonctions sont liées aux
processus de hase associés au système d'exploitation, lesquelles
comprennent entre autres :
• Le traitement des interruptions;
• La création et la destruction de processus;
• La commutation de l'ét~Jt du processus;
• La répartition;
• La synchronisation du processus;
• La communication interproccssus;
• Le soutien des processus d'entrée-sortie;
• Le soutien à l'allocation et à la réallocatîon ou à la mise ùjour
de la mémoire.
Le noyau est une zone hautement privilégiée ct la plupart des
utilisateurs n'y ont pas accès. Au-dessus du noyau se trouvent
divers systèmes d'exploitation destinés aux utilisateurs. Ces
processus, qu'on appelle logiciels de base, sont un regroupement
de programmes informatisés utilisés pour la conception, le
traitement et le contrôle de toutes les applications informatisées
qui servent à Htire fonctionner et à maintenir le système
infbnnatîque. Composés d'utilitaires et de programmes, les
logiciels de base assurent l'intégtité du système, contrôlent
300
e Certilied Information
Systems Auditor
'""""c..;.,.,,,,
le flot de programmes et d'événements qui se déroulent dans
l'ordinateur, et gèrent les interfaces de l'ordinateur. Les logiciels
conçus pour le système doivent être compatibles avec son
système d'exploitation. En voici des exemples:
• Logiciel de contrôle d'accès;
• Logiciel de communication des données:
• Logiciel de gestion de base de données;
• Systèmes de gestion de la bibliothèque de programmes;
• Systèmes de gestion des bandes magnétiques et du disque~
• Le logiciel de gestion du réseau;
• Logiciel de programmation des lâches:
• Programmes utilitaires.
Certains ou même tous les logiciels énumérés ci-dessus peuvent
être intégrés au système d'exploitation.
4.5.1 SYSTÈMES D'EXPLOITATION
Avant de discuter des diverses formes de logiciels de base, nous
nous arrêterons sur Je plus important logiciel lié à J'ordinateur, le
système d'exploitation (SE). Le système d'exploitation renferme
des programmes qui interfaccnt entre 1'utilisateur, le processeur
ct les logiciels d'application. C'est le programme de commande
qui fait tourner 1'ordinateur et agit comme ordonnanceur et
gestionnaire de trafic. Il fournit les principaux moyens de gérer
le partage et l'utilisation des ressources comme les processeurs,
la mémoire réelle (p. ex., la mémoire vive), la mémoire auxiliaire
(p. ex., la mémoire à disque) ct les appareils d'E/S.
La plupart des systèmes d'exploitation modernes ont aussi élargi
les tOnctîonnalités de base des SE afin d'y inclure des capacités
de fOnctionnement du système ct des logiciels d'application plus
eificaces. Par exemple, tous les systèmes d'exploitation modernes
possèdent une mémoire de stockage virtuelle qui, contrairement à
la mémoire réelle, permet aux programmes d'utiliser une gamme
d'adresses plus grande et d'y faire référence. Cette teclmique
de mappage des zones d'une mémoire de grande capacité plus
lente vers une mémoire de travail plus petite et plus rapide est
utilisée entre les divers niveaux de la« mémoire cache>> dans les
systèmes modernes.
Les systèmes d'exploiw.tion va1ient selon les ressources gérées,
r étendue de la gestion et les techniques mises de l'avant pour
gérer les ressources. Les exigences, les caracté1istiqucs ct
la complexité du système d'exploitation dépendent du type
d'ordinateur, de son utilisation prévue ainsi que des appareils
courants et des réseaux que 1'on prévoit y rattacher. Par exemple,
un micro~ordinatcur à utilisateur unique qui fonctionne de fnçon
autonome a besoin d'un système d'exploitation capnble de
cataloguer des fichiers et de charger des programmes à exécuter.
Un ordinateur central qui traite de grands volumes de transactions
destinées à la consolidation et. à la distribution a besoin d'un
système d'exploitation très fiable et apte à gérer des ressources
considérables ct de nombreuses opérations concurrentes, en
termes d'entrée et sortie de 1'application. Pm· exemple, le
système d'exploitation :dûs d'IBM a été précisément conçu pour
compléter cet environnement.
Un serveur multiutilisateurs interagissant avec des données et
des programmes provenant de serveurs de base de données et de
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e Certifled Information
Systems Auditor*
,."'"''""''"''"'
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
connexions intergicie!!es vers des applications patlimonialcs d'un
ordinateur central requiert un système d'exploitation qui peut
s'adapter au multitmîtemcnt, au mode multitâche et au traitement
multithread. Il doit étre apte à partager l'espace disque (fichiers)
et le temps d'UC parmi les multiples utilisateurs et les processus
du système; il doit aussi pouvoir gérer les connexions aux
appareils sur le réseau. Par exemple, le système d'exploitation
UNIX est conçu pour traiter ce type d'environnement.
Un microordinateur dans un environnement en réseau, qui
fOnctionne en tant que serveur aux fOnctions spécialisées
(applications, systèmes de gestion de bases de données, stockage
de répertoires ct de fichiers, etc.), possède aussi la capacité
d'interagir avec les données et les programmes d'utilisateurs
multiples afin de fournir des services aux postes de travail clie-nts
par le biais du réseau,
Il est courant que les systèmes d'exploitation (SE) fonctionnent
sur des serveurs virtuels, Dans un environnement virtuel, le
logiciel sc11 à segmenter un serveur physique en de multiples
serveurs virtuels indépendants. Chacun de ces environnements
peut ensuite faire fonctionner son propre SE ou un SE différent,
si nécessaire. Pour l'opérateur, le SE se comporte comme s'il
f-Onctionnait sur un serveur physique
Caractéristiques ou paramètres de contrôle des
logiciels
Les paramètres ct options de divers logiciels de système
d'exploitation permettent de le personnnliser el d'activer des
caractéristiques comme la journali~alion des activités. Les
paramètres sont importants pour déterminer le fOnctionnement du
système parce qu'ils permettent la personnalisation d'un logiciel
standard pour qu'il s'adapte à divers environnements.
Les paramètres de contrôle du logiciel sont liés ù :
• La gestion des données;
• La gestion des ressources;
• La gestion des tâches:
• La hiérarchisation des priorités.
La sélection des paramètres doit convenir il la charge de travail el
à la structure de l'environnement de contrôle de J'entreprise. La
vérification des caractéristiques ou des paramètres de contrôle
d'un logiciel est la façon la plus ctficace de déterminer comment
les contrôles fonctionnent dans un système d'exploitation.
L'implantation ou la surveillance inappropriée des systemes
d'exploitation peut entraîner la non-détection d'erreurs et la
corruption des données traitées; de plus, elle peut conduire à un
accès non autmisé et à une joumalisation inexacte de l'utilisation
du systeme.
Problèmes d'Intégrité du logiciel
L'intégrité du système d'exploitation consiste en une exigence
ct une habileté très importantes du système d'exploitation ct
requiert l'utilisation de caractélistiques matérielles et logicielles
particulières pour:
.. Protéger le système contre des modifications volontaires ou
(lccidentelles:
.. Assurer que les programmes privilégiés ct les programmes des
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
utilisateurs ne peuvent entrer en conf-lit;
" Pennettrc un isolement de processus effîcace afin qu'il
garantisse :
--Que des processus multiples qui fonctionnent simultanément
n'entrent pas en conflit, par inadveti<lnce ou pour des raisons
de conception, et qu'ils sont protégés contre l'écriture de l'un
sur la mémoire de l'autre (p. ex., changement d'instructions.
partage des ressources. etc.);
-!}application de la règle des privilèges moindres lorsque des
processus qui n'ont pas davantage de privilèges que nécessaire
afin d'effectuer des tâches et des modules font appel à des
routines possédant plus de privilèges, seulement si et pour
aussi longtemps que nécessaire.
Pour maintenir l'intégrité du système et des donnees, il est
nécessaire de définir. de mettre en œuvre et de surveiller
correctement et constamment l'environnement de travail ct les
autorisations accordées. La direction des SI est responsable de
l'implantation de techniques d'autorisation appropriées afin
d'empêcher que des utilisateurs non privilégiés acquièrent
la capacité d'exécuter des instructions privilégiées et, par
conséquent, qu'ils prennent le contrOle de toute la machine.
Par exemple, les systèmes zJOS d'IBM pour ordinateurs centraux
sont personnalisés au moment de la génération de système
(SYSGEN). Quand ces systèmes sont démarrés (chargement de
programme initial), des options et des paramètres importants
sont lus à pmtir de l'information conservée dans un répertoire du
système principal (qu'on appelle fichier séquentiel partitionné
SYS l.PARMLIB). Le répertoire précise les pammètres
d'initialisation critiques qui sont utilisés pour satisfaire aux
exigences d'installation du centre de traitement de l'iniürmation
(c.-à-d. un autre logiciel de base activé pour planifier le travail,
la sécurité, lajournalisation des activités, etc.). Ces options,
si elles ne sont pas contrôlées, procurent à l'utilisateur non
privilégié un 1noyen d'accéder à l'état administrateur du système
d'exploitation. Cauditcur des SI doit réviser les répertoires
ou fichiers de configuration du système, ct cc, dans tous les
systèmes d'exploitation en ce qui a trait aux options de contrôle
utilisées pour protéger l'état administrateur.
De même, les systèmes d'exploitation micro-infonnatisés client-
serveur Windows, UNfX ct Linux possèdent des fichiers et
répertoires de configuration de système particuliers. L'existence
de dêtàuts de programme- ou d'erreurs de configuration,
de contrôle et de mise ù jour des systèmes en fonction des
plus récents correctîtf> de sécurité les rend vulnCrab!es à
être compromis par des pirates. Les options et paramètres
importants du système Windows sont définis dans des fichiers
de configuration particuliers qu'on appelle« base de registre,~,
Ainsi, la base de registre est un aspect important de l'audit des
SI. La détection de tout changement qui survient dans la base de
registre est cruciale afin de maintenir l'intégrité, la confidentialité
ct la disponibilité des systèmes. Les mêmes problèmes sont
présents dans les systèmes d'exploitation de l'environnement
UNIX. Les fichiers et répertoires de configuration du système
liés aux opérations du noyau, au démarrage du système, au
partage de fichier réseau et {1 d'autres services à distance doivent
être adéquatement sécurisés ct vérifiés pour leur exactitude.
301
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
Options de journal/satlon des activités et de production
de rapports
Les activités relatives au traitement informatisé peuvent être
journalisées aux fins de l'analyse des fonctions du système. Voici
certains des domaines qui peuvent être analysés selon le journal
d'activités:
.. Les versions des fichiers de données utilisées pour le traitemcnl;
• Les accès aux données sensibles;
• Les programmes à date fixée et exécutés;
• Les utilitaires ou l'utilisation des aides de service;
., Les activités du système d'exploitation afin d'assurer que son
intégrité n'a pas été compromise à la suite de modilïcations
inappropriées des paramètres et des bibliothèques du système;
• Les bases de données afin de:
-·Déterminer l'efricience de la structure de la base de données;
-- Évaluer la sécurité de la base de données;
~·Valider la documentation de l'ABD;
--Déterminer si les normes de l'cntrep1ise ont été respectées.
• Le contrôle de l'accès afin de:
·~ l~valuer les contrôles d'accès aux fichiers ou aux bases de
données critiques ct aux programmes;
- Üvaluer les installations de sécurité qui sont actives dans les
systèmes de communication. les SGBD et les applications.
De nombreux intrus tenteront d·altérer les journaux afin de
dissimuler leurs activités. Une journalisation sécuritaire est aussi
nécessaire afîn de préserver l'authenticité des preuves au cas où
les journaux doivent servir à des fins légales. Par conséquent,
il est impotiant que les journaux soient protégés contre les
altérations. Pour ce fhire. un moyen habituel consiste à saisir, à
centraliser et à analyser les journaux sur un serveur sécurisé en
utilisant un logiciel de gestion d'information et d'événements de
sécurité (G!ES).
4.5.2 LOGICIEL DE CONTRÔLE D'ACCÈS
Un logiciel de contrôle d'accès e:-:t conçu pour empêcher les
accès non autorisés aux données, l'utilisation non autorisée des
fOnctions ct programmes du système et les modifications ou
mises à jour non autorisées des données. Il est aussi destiné à
détecter ou empêcher les tentatives non autorisées d'accéder aux
ressources de 1'ordinateur. Pour en savoir davantage au sujet" du
logiciel de contrôle d'accès, consultez le chapitre 5, Protection
des éléments d'actif informationnel.
4.5.3 LOGICIEL DE COMMUNICATION DE DONNÉES
Un logiciel de communication des données est utilisé pour
transmettre des messages ou des données d'un emplacement
ù un autre, soit localement ou à distance. Par exemple, une
interrogation de base de données provenant d'un utilisateur
est transmise à partir du terminal de cet utilisateur vers une
application en ligne, puis vers un SGBD sous la forme de
messages traités par le logiciel de communication de données. De
même, les réponses qui parviennent à l'utilisateur sont traitées
d'une manière semblable (c.-à~d. qu'elles pmtent du SGBD vers
l'application en ligne, puis de retour au terminal de l'utilisateur).
Un système de communication des données typique est fOrmé de
trois composants :
302
e . .M.
...certifted !nformatloo
Systems Autlltor
-----+--·-~
. '""''''"""'
~"''"""'
! . L'émetteur (source)
2. La voie de transmission (canal ou ligne)
3. Le récepteur
Une communication qui ne sc fait que dans un seul sens est
appelée communication unidirectionnelle. Dans le cas de
la communication bidirectionnelle, chacune des extrémités
peut fonctionner à la tOis comme source ou récepteur et les
données peuvent être transmises sur le même canal dans les
deux directions. Le système de communication des données
sc préoccupe seulement de la tmnsmission correcte entre deux
points. JI n'agit pas sur le contenu de l'information.
Un système de communicalion des données sc divise en de
multiples couches fonctionnelles. Dans chacune des couches, Je
logiciel interface avec le matériel afin de réaliser un ensemble
précis de fonctions. Tous les systèmes de communication des
données possèdent au moins une couche physique et une couche
liaison de données. (Référez-vous à la section 4.6.4 Normes et
protocole de réseau pour de 1'information sur les couches de
communication des données.)
Les applications destinées à la communication fonctionnent dans
les environnements de réseau local (LAN) ct de réseau étendu
(WAN) afin de supporter:
• Les systèmes de transfe11 électronique de fOnds (TEF);
• Les systèmes de gestion de bases de données;
• Les services à la clientèle informatisés/échanges de données
informatisées (EDI);
., Les fomms Internet et les courriels.
Le système de communication des données interface avec
le système d'exploitation, les programmes d'application, les
systèmes de base de données, les systèmes basés sur la méthode
d'adresse de télécommunication, le système de contrôle de
réseau, le système de planification des tâches ct les consoles
système.
4.5.4 GESTION DES DONNÉES
L'Ensemble de connaissances sur fa gestion des données
(EDCGD) définit la gestion des données ainsi :«la planification
ct l'exécution de politiques, pratiques et projets qui acquièrent,
contrôlent, protègent, fournissent et améliorent la valeur des actifs
des données et de l'infOrmation.'>
La gestion des données fait pmiic intégrante de J'architecture des
données, laquelle est un élément clé de l'architecture d'entreprise.
Selon COBIT 5 (AP003.02 Définir rarchitecture de référence),
l'architecture de référence décrit les architectures courante ct
ciblée pour les domaines des affaires, de l'intOrmation, des
données. de l'application et de la technologie. De plus, un
«dictionnaire des données de l'entreprise devrait être maintenu
afin de tàv01iser une compréhension commune et un .système
de classification qui comprend des détails sur le propriétaire
des données, la définition des niveaux de sécurité appropriés,
ainsi que sur les exigences en matière de conservadon et de
destruction des données. >1
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
Qualité des données
La qualité des données est un élément essentiel de la gestion des
données, La qualité compte trois sous-dimensions: intrinsèque,
contextuelle et sécuritéiacœssibilité, Chacune sc divise en
plusieurs c1itêres qui sont définis à la figure 4.11,
Cycle de vie des données
Un cycle de vie consiste en une série d'étapes qui caractérise
Je cours de l'existence d'un investissement organisationnel. La
gestion du cycle de vic des données décrit les étapes que suivent
les données tout au long de l'existence d'une organisation. La
figure 4.12 montre comment l'outil habilitant de J'infOrmation de
COBIT 5 distingue les différentes phases du cycle de vic:
• Plan- La phase au cours de laquelle la création, l'acquisition
ct l'utilisation de la ressource d'infonnation sont préparées.
Les activités de cette phase incluent la compréhension de
l'inf-Ormation utilisée dans les divers processus d'affaires,
la détermination de la valeur de 1'actif d'information ct
sa classification associée, la définition des objectifs et la
planification de J'architecture informationnelle.
• Conception·- La phase au cours de laquelle est réalisé
un travail plus détaillé visant à préciser la présentation de
l'infOrmation et le fonctionnement des systèmes de traitement
de l'information. Les activités de cette phase peuvent se
rapporter à l'élaboration de normes et de définition (p. ex.,
définitions des données, collection des données, procédures de
stockage et caractéristiques des métadonnécs).
• J!:Iaboration et acquisition-- La phase au cours de laquelle la
source d'infOrmation est acquise. Les activités de cette phase
peuvent comprendre la création d'enregistrements de données,
1'achat de données el Je chargement de fichiers externes.
• Utilisation et opération ~ Cette phase comprend :
--Stockage- La phase au cours de laquelle l'infonnation est
conservée de façon électronique ou sur papier (ou simplement
dans la mémoire humaine). Les activités de cette phase peuvent
comprendre le stockage d'inf()rmation sous forme électronique
(p. ex., fichiers électroniques, bases de données, entrepôts de
données) ou en version papier.
- Pat1age --La phase au cours de laquelle l'information est. mise
à la disposition pour une utilisation grâce à une méthode de
distribution. Les activités de cette phase peuvent comprendre
des processus inclus dans la livraison de l'information à
des endroits où elle peut êiTe consultée et utilisée (p. ex., la
distribution de documents par courriel). Pour l'infOrmation
conservée sur support électronique, cette phase du cycle de
vic peut largement chevaucher la phase de stockage (p. ex.,
le partage de l'infonnntion grâce à un accès à une base de
données, à des serveurs de fichiers ou de documents).
Utilisation-·· La phase au cours de laquelle !"information est
utilisée pour atteindre les objectif'> (ceux qui sont liés aux
Tl, donc à l'entreprise). Les activités de cette phase peuvent
comprendre tout type d'utilisation de l'information (p. ex.,
la prise de décision de gestion, l'exécution de processus
automatisés), et peuvent également inclure des activités comme
l'extraction d'informatio11 et la conversion d'infom1ation d'une
fOrme ~i une autre. l:utilisation de l'information telle que définie
dans le modèle de l'infOrmation peut être prévue en fonction
des besoins des parties prenantes en matière d'information
lorsqu'elles accomplissent leurs rôles ct leurs activités, et
lorsqu'elles interagissent les unes avec les autres.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
• Surveillance--- La phase au cours de laquelle on veille à ce que
ta ressource d'information continue de fonctionner correctement
(p. ex,, pour qu'elle soit valable). Les activités de cette phase
peuvent comprendre la mise à jour de l'information ainsi que
d'autres types d'activités de gestion de l'infOrmation: par
exemple, l'amélioration, le nettoyage, la fusion, la suppression
des données d'information en double dans les entrepôts de
données.
• Élimination -- La phase au cours de laquelle la source
d'infOrmation est transfërée ou conservée pour une
période déterminée, détruite ou traitée en tant qu'archive si
nécessaire. Les activités de cette phase peuvent comprendre la
conservation, l'archivage ou la destruction de l'information,
L'auditeur des Sl doit s'assurer que la qualité des données permet
à l'organisation d'atteindre ses objectifS stratégiques. Les données
sont-elles saisies et traitées confOrmément aux normes exigées?
L'auditeur des SI doit aussi s'assurer que la configuration des
applications ct des systèmes de gestion des bases de données de
l'organisation est harmonisée aux objecti[<; organisationnels. Par
exemple. les données sont-elles archivées, conservées ct détruites
confonnément à la politique de conservation des données?
4.5.5 SYSTÈME DE GESTION DE BASE DE DONNÉES
Un logiciel de SGBD aide à organiser, à contrôler et à utiliser les
données requises par les programmes d'application, Un SGBD
offre la possibilité de créer ct de maintenir une base de données
bien organisée. La réduction de la redondance des donné-cs,
la diminution du temps d'accès ct la sécurisation des données
sensibles représentent certaines des fonctions principales du
système.
Les données du SGBD sont organisées selon des modèles
multi-niveaux ct, au niveau Je plus bas, se trouvent des éléments
de données de base comme les champs (p, ex., un numéro
d'assurance sociale poUJTait être un champ} Les niveaux au-
dessus de chaque champ ont des propriétés qui ditTèrcnl selon
J'architecture de la base de données.
Le SGBD comprend un dictionnaire de données qui détermine les
champs, leurs caractéristiques et leur utilisation. Les dictionnaires
de données actifs requièrent des entrées pour tous les éléments
de données et ils secondent l'application dans le traitement des
éléments de donné-es comme la validation des caractéristiques
ou des fOrmats d'impression. Les dictionnaires passifS sont
uniquement un référentiel d'information qui peut être visualisé ou
imprimé.
Un SUBD peut contrôler J'accès de l'utilisateur aux niveaux
suivants:
• Lutilisateur et la base de données;
• Le programme et la base de données;
• Les transactions et la base de données:
• Le programme et les champs de données:
• t:utilisateur et la transaction;
• l:utilisateur d les champs de données.
Voici certains des avantages d'un SGBD :
• L'indépendance des données pour les systèmes d'applications;
• La facilité de support et la tlexibilltê à satisfaire les exigences
303
 Chapitre 4 - Exploitation; Entretien et Gestion
Section deux : Contenu des Services des Systèmes d;lnformation

Figure 4.11 -ObjectifS d'iriformalion/Ctilères de gualité

___ La mesure Selon laqüelle !'information est
~xactitude f;orrecte el fiable.

llb)llfllillîté ___ la mesure Selon !aqueue !'infmmation es!

impartiale et e~empte de préjugês,

__ • la mesuro se{Oll laquene J'întonnation est

La mesure selon (:rédlbllité considérée. comme étant vérîdique ·et crédible'.
laquelle les valeurs
des données sont
conformes aux valeurs ___ la mesure·selon 1-agu~He le contenu ou la
réelles ou véritables. RépuJalion source d'infommtio!i sont hautement considéréS.

La mesure selonlaqu~Ue aucune information

n'e&1 manquante.et .9u'el!e est suffieyamment
étotr'êe pour !a tâche.

La rhesüre selon laqu'elle l'lnîoiTnation est

suffisamment à jour poor la tâche.

La·mesure SelOn Jaquene.l'intûrmatipn· esl

représentée de' façon compa~e:
La
laquelle l' i 1. ·· LtfmeSure selon·Jaquene Y!nform~tlon est
s'applique à !a tâche . • • présentée dans Je même 1onnat.
de l'utilisateur de
l'information et est La .m.èsure seloo·18.qtieHe· !'_infbtm~.liOn ·est
présentée d'une dontlt}~ .M utilïsantl(ts·.Por~S·tangag~, syînbotes
manière intelligible et tm!té?-. et les définitlonswnt claires.
et claire, sachant
que la qualité de
J'information dépend La·mesure selon laquelle l'information
du contexte de son
- tacile~wnt comprise.
utilisation.

La tn'esure selon !aqùel!e l'irifOrmatlon est

-disponible.tm temps opportun, ou facilement et
rapidement récupérabl.e.

La mesure selon La mesure selon taque!Je l'accès à l'lnformatÎon

laquelle l'information ~est t_imité de
manière appropr)êe aux parties
est disponible ou peut autorisées.
être obtenue.
Source ; !SACA, COBIT 5: Enabling lnfomwfion, É. -U., 2013, figure 20

:Figure 4.12- ÇYcle de vie de l'information

Surveiller Archiver

Maintenir Dêtruire

Source : ISACA, COBIT 5: Enabfing Information, É. -U., 2013, figure 23

304 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e . .M.
Cer1Jf!Cd Information
Systems Autlitor
"'~"'-"'"'''"""'
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
relatives aux modifications des données;
• C efficience du traitement des transactions;
• La réduction de la redondance des données;
• La capacité d'optimiser la cohérence des données;
• La capacité de minimiser les coùts de maintenance grâce au
partage des données;
• Loccasion de met1rc en œuvre les normes liées aux données ou
à la programmation:
• L'occasion de mettre en œuvre la sécurité des données;
• La disponibilité des vérifications de l'intégrité des données
stockées;
• Ln facilitation de l'accès ponctuel des utilisateurs aux données,
en particulier par l'entremise du langage d'interrogation ou des
générateurs d'application créés.
Architecture d'un SGBD
Les éléments de données nécessaires à la définition d'une base
de données sc nomment métadonnées. Elles comportent des
données à propos des éléments de données utilisés pour définir
les champs logiques ct physiques, les fichiers, les relations entre
les données, les interrogations, etc. Les métadonnées sont de trois
types : schéma conceptuel, schéma externe et schéma interne. Si
les schémas ne sont pas ajustés pour fOnctionner correctement
ensemble, le SGBD pourrait ne pas être adéquat pour répondre
aux besoins des utilisateurs.
Architecture détaillée des métadonnées du SGBD
Dans chaque niveau se trouve une composante du langage de
définition de données (LOD) qui sert à créer la représentation du
schéma nécessaire pour interpréter l'interrogation de l'utilisateur
et y répondre. Au niveau externe, un SGBD accommodera
habituellement de multiples LDD pour plusieurs langages de
programmation d'applications compatibles avec les SGBD.
Le niveau conceptuel fournira le mappagc approprié entre le!->
schémas externe et interne. Les schémas externes sont localisés
indépendamment du schéma interne.
Dictionnaire de données/système annuaire
Un dictionnaire de données ou un système annuaire (DO/SA)
aide à définir el stocker les formulnires sources et objets de toutes
les définitions de données, et ce, pour les schémas externes,
conceptuels et internes ainsi que pour tous les mappages associés.
Le dictionnaire des données contient un index et une description
de tous les éléments stockés dans la base de données. Lannuairc
décrit l'emplacement des données et la méthode d'accès.
Le DIJ/SA füumit les capacités fonctionnelles suivantes :
• Un processeur de langage de définition des données qui permet
à l'administrateur de la base de données de créer ou de modifier
une définition de données relative aux mappages entre les
schémas externe et conceptuel;
• La validation de la définition mise de l'avant afin d'assurer
l'intégrité des métadonnées;
• La prévention des accès non autorisés aux métadonnées ou de
leur manipulation:
• Des installations pour l'interrogation ct la présentation de
rapports qui permettent à l'ABD de faire des inteJTogations au
sujet de la définition des données.
Le DO/SA peut être utilisé pm· plusieurs SGBD; ce f..1isant,
l'utilisation d'un DD/SA pourrait réduire les conséquences de
Manuel de Préparation CISA 26e édition
ISACA. Tous droits réservés.
Section deux : Contenu
passer d'un SGBD à un autre. Voici certains des avantages liés à
l'utilisation d'un DD/SA :
• Améliorer la documentation;
• Fournir des critères de validation communs;
• Fnciliter la programmation en réduisant les besoins de définition
des données;
• Normaliser les méthodes de programmation.
Structure de bases de données
Il existe trois types principaux de structures de bases de données:
hiérarchique, en réseau et relationnelle. La plupart des SGBD
possèdent des caractéristiques de sécmité interne qui interfacent
avec les mécanismes ou le progiciel de contrôle d'accès au
système d'exploitation. Une combinaison des caractétistiques de
sécurité du SGBD et des fOnctions de sécurité du progiciel est
souvent utilisée afin d'englober toutes les fonctions de sécurité
nécessaires. Voici les types de structures SGBD.
Modèle de base de données hiérarchique- Dans ce modèle,
il existe une hiérarchie parent-enfant des segments de données.
Afin de créer des relations enlre eux, ce modèle s'inspire des
relations parent-enfant. Ce sont des mappages 1: N (un-à-
plusieurs) entre les types d'enregistrements représentés par
des arborescences logiques, comme le montre la figure 4.13.
Un segment enfant se limite à un seul segment parent; donc,
la duplication des données est nécessaire pour exprimer les
relations vers de multiples parents. Les segments subordonnés
sont extraits par l'entremise du segment parent. Les pointeurs
inversés sont interdits. Lorsque les relations entre les données
sont hiérarchisées, il est facile d'implanter cl de modifier la base
de données et d'y faire des recherches. Le registre de Microsoft
Windows est un exemple de base de données hiérarchique.
Elles sont également utilisées dans les systèmes d'information
géographique.
Motlèle de base de données en réseau -.. Dans le modèle en
réseau, la structure de base des données s'appelle un ensemble.
Un ensemble est composé d'un type d'enregistrement maître,
d'un type d'enregistrement membre et d'un nom. Un type
d'enregistrement membre peut avoir un rôle dans plus d'un
ensemble; ainsi. une relation vers plusieurs enregistrements
maîtres est permise. Un type d'enregistrement maître peut
aussi être un membre ou un maître dans un autre ensemble.
Habituellement, un ensemble définit une relation 1:N, quoiqu'une
relation de type 1:1 soit permise. De telles structures peuvent
être extrêmement complexes et difficiles à comprendre, modifier
ou reconstruire en cas de défbillance, cc qui représente un
inconvénient du modèle en réseau. Cc modèle est rarement
utilisé dans les environnements actuels. Voir la figure 4.14.
Les modèles hiérarchiques et en réseau ne supportent pas les
interrogations de haut niveau. Les programmes utilisateur doivent
naviguer dans les structures de données.
Modèle de base de données relationnelle-- Un exemple de
base de données relationnelle est donné :lia figure 4.15. Le
modèle relationnel est basé sur la théorie des ensembles et tes
calculs relationnels. Une base de données relationnelle rend
possible la définition des stTuctures de données, les opérations
de stockage ct d'extraction et les contraintes d'intégrité. Dans
une telle base de données, les données et les relations entre
305
Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
e Ccrt!fled Information
Systems Audîtor"
---!-----
"'""""""'''""'""

celles-ci sont organisées en tables. Une table est un ensemble
de rangées, aussi connues sous le nom de n-uplet, ct chaque
n-uplet d'une table renferme les mêmes colonnes. Les colonnes,
appelées domaines ou nttributs, correspondent aux champs. Les
n-uplets équivalent aux enregistrements d'une structure de fichier
conventionnelle. Les bnses de données relationnelles sont utilisées
dans les progiciels de gestion intégrés (PGI) les plus courants. Les
systèmes de gestion de base de données relationnelle (SGBDR)
courants comprennent, entre autres, Oracle"';, IBM 1(; DB2J!' et
Microsoft SQL Server.
Les tables relationnelles possèdent les propriétés suivantes :
• Les valeurs sont atomiques.
• Chaque rangée est unique.
• Les valeurs des colonnes sont de même catégorie.
• La séquence des colonnes est snns importanec.
• La séquence des rangées est sans imp011ancc.
.. Chaque colonne pmic un nom unique.
Certains champs sont désignés comme champs principaux;
ainsi, la recherche de valeurs précises de ce champ est plus
rapide à cause de l'utilisation de l'indexation. Si des champs
dans deux tables diftërentes prennent leurs valeurs dans le même
ensemble, une jointure peut être efl.èctuée afin de sélectionner
des enregistrements associés dans les deux tables en faisant
correspondre leurs valeurs dans ces champs. Ceci peut s'étendre
à la jointure de tables multiples sur des champs multiples. Ces
relations ne sont spécifiées que lors de l'extraction: donc, les
bases de données relationnelles sont dynamiques. Le modèle
relationnel est indépendant de l'implantation physique de la
structure des données et possède de nombreux avantages que
n'ont pas les modèles hiérarchique et en réseau. Grücc aux bases
de données relationnelles, il est plus facile :
• Pour les utilisateurs de comprendre et d'implanter un système
physique de base de données;
• De faire la conversion <l partir d'autres structures de bases de
données;
"De mettre de !'avant des projections et des jointures (c.-à-d.

Figure l!.~3- Structure d'UJ!e base île données ljjérarchlgue ~

Figure 11.14-Structure d'une base de llonnées en réseau

/
/

//
~'
,,J-
( Ser~ice
inlormatique ~.,_.,

' ,,
···-...,,
' '
' ( John
\
,1
( Jane 1
',,

/\\
/ [\ / \

)(
/

'
{ /

\ .. ,_
/

)
.
'\
(
/

Ordinateur Orchnateur
101
/ \ "/ )/( 201
)

-,11\'•
', r ,,.. Ma~ /
LOU
[
1 l
1 . )
\ (
~

Ordin~teur
) ( Ordinateur
\/ /
\ . 301
/
401
/
/

306 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d lnformation
1
Section deux : Contenu

, Eigure 4.15- Structure d'Une base de données relationnelle

Service GestionnfJire
/ID Service Gestronnmre
Nom Service
Type Service

PCOD
Taille disque dur

réfërcncer les groupes d'éléments de données reliés qui ne sont
pas stockés ensemble);
• De créer de nouvelles relations pour les applications;
• De mettre en œuvre un contrôle d'accès aux données sensibles;
• De modifier la base de données.
Une caractéristique clé des bases de données relationnelles
consiste en l'utilisation de règles de<< normalisation» pour
minimiser la quantité d'information requise dans les tables afin
de satisfaire les interrogations structurées et non structurées des
utilisateurs, Les règles de normalisation généralement suivies
comprennent entre autres :
.. Un cas donné d'objet de données possède une seule valeur pour
chaque attribut,
• Les attributs représentent des éléments de données élémentaires;
ils ne doivent contenir nucunc structure intemc,
• Chaque n-uplet (élément) consiste en une clé primaire
qui identifie une certaine entité ninsi qu'un ensemble de
valeurs d'attributs, de zéro ou plus, qui sont mutuellement
indépendantes et qui décrivent, d'une certaine fUçon, l'entité
(entièrement dépendante de la clé primaire),
• Toute clé étrangère doit avoir une valeur nulle ou doit avoir une
valeur existante qui fait le lien avec d'autres tables; c'est ce
qu'on appelle l'intég1ité référentielle,
relationnelles), Ainsi, toutes les fonctions de la programmation
orientée objet peuvent ëtre appliquées, y compris l' encapsulation
(c,-à-d, la création de types ou de classes de données, incluant
les objets) ct l'hérîtage (c,-à-d, que les classes héritent de
caractéristiques issues d'autres classes), Cela engendre des objets
qui contiennent à la fOis un code exécutable ct des données, Le
stockage actuel de l'o~jet dans la base de données est réalisé
par l'attribution d'un identifiant unique à chaque objet, Ces
idcntifiants sont chargés dans la mémoire virtuelle lorsqu'ils sont
référencés. cc qui permet de les trouver rapidement Le SCJBDOO
a trouvé son créneau dnns des domaines tels que les bases de
données liées i1 l'ingénierie, aux sciences et à la géographie, JI
est fréquemment utilisé lorsque la base de données est composée
de graphiques, de diagrammes ou de sons qui ne peuvent être
fàcilcment définis ou interrogés dans des bases de données
relationnelles,
figure 4.16- Organisation d'me base de dOnnées orienté\! Objet

Systèmes de gestion de base de données orientés objet ,,

(SGBDOO) -"La figure 4.16 présente un exemple d'un tel
système, Dans un SGBDOO, l'information est stockée en tant
qu'objet (comme dans la programmation orientée objet) plutôt
qu'en tant que donnée (comme dans les bases de données

Manuel de Préparation CISA 26• édition 307

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d lnformation
NoSQL l.cs bases de données NoSQL ont été développées
pour répondre à la croissance du volume de données stockées
dans l'lnternet, soit les mCgadonnées. Beaucoup de ces données
sont non structurées. Ce sont des données audio, vidéo. des
gazouillis, des journaux, des blogucs, etc. Ces données ne
peuvent divisées en composants, comme J'exigent les bases de
données relationnelles. Toutefois les bases de données NoSQL
peuvent prendre en charge le SQL, d'où le terme« Not only
SQL )) Les bases de données NoSQL peuvent prendre en
charge les technologies orientées objet (comme le SGBDOO) et
d'autres technologies de bases de données, comme indiqué au
tableau 4.17.
Tableau 4,17 -Technologies des bases de données NoSQL
Modèle de Description
données
Valeur de clé Tous les éléments de la base de données sont
stockés en tant que nom d'attribut (clé) associé à
une valeur.
Orientée colonnes Toutes les valeurs d'une colonne sont
rassemblées suivies de toutes les valeurs de la
colonne suivante, puis des valeurs de la colonne
suivante, etc.
Orientée graphe Les bases de données axées sur la théorie des
graphes, soit des modèles mathématiques des
relations entre les objets.
Orientée Elles gèrent, stockent et extraient de l'information
orientée documents. Cela est possible grâce à des
documents
méthodes de stockage comme XML et JSON.
Les bases de données NoSQL présentent des avantages tels que le
partitionnement, soit la capacité de partitionner horizontalement
la base de données parmi les serveurs afin de répartir la charge
de travail (cc qui est important dans le cas des mégadonnés),
et les schémas dynamiques qui n'exigent pas de définir le
schéma avant d'ajouter des données (comme dans les bases de
données relationnelles), Les bases de données NoSQL courantes
comprennent, entre autres, MongoDB ct Cassandra.
Contrôles de la base de données
Il est primordial que l'intégrité ct la disponibilité de la base de
données soient maintenues. Ceci est assuré grâce aux contrôles
suivants:
• L'établissement ct la mise en œuvre de normes de définition.
• L'établissement ct l'implantation de procédures de sauvegarde et
dt:: récupération afin d'assurer la disponibilité.
• Létablissemcnt des niveaux de contrôle d'accès nécessaires,
y compris les accès plivilégiés, aux éléments de données, aux
tables et aux fichiers afin d'empêcher un accès acc-identel ou
non autolisé.
• L'établissement de contrôles afin de s'assurer que seul le
personnel autorisé puisse mettre la base de données à jour.
• L'établissement' de contrôles afin de tmiter les problèmes
d'accès concurrents comme Je désir d'utilisateurs multiples
de mettre à jour les mêmes éléments de données en même
temps (c.-ù-d. la validation de transaction, verrouillage
d'enregistrements ou de fichiers).
• L:étabJissement de contrôles afin d'assurer l'exactitude,
l'exhaustivité et la cohérence des éléments de données et des
relations dans la bas:e de données. Il est important que ces
308
1
e '
." . H.
ified Information
Systems Aurlitor
~~~--
contrôles soient, si possible, compris dans les dérînitions de la
table ou des colonnes. De cette façon, il est impossible que ces
règles soient violées tl cause de défauts de programmation ou
par l'utilisation d'utilitaires lors de la manipulation des données,
• L'utilisntion de points de contrôle de la base de données aux
jonctions du flot de travail afin de minimiser la perte de données
et les efforts de récupération pour redémarrer le traitement après
une défaillance du système.
• L'exécution de la réorganisation de la base de données afin
de réduire l'espace disque inutilisé et de vérifier les relations
définies entre les données.
• Le respect des procédures de restructuration de la base de
données lors des modifications logiques, physiques et de
procédures.
• L'utilisation d'outils de présentation de rapports relatifs à la
perfOrmance de !a base de données afin de surveiller ct de
maintenir l'efficience de celle-ci (p. ex., l'espace de stockage
disponible, la taille de la mémoire tampon, l'utilisation de
I'UCf, la configuration de la mémoire à disque et les conditions
d'interblocage).
• La minimisation de l'aptitude à utiliser les outils hors réseau ou
d'autres utilitaires (c.-à-d. ceux à l'extérieur des contrôles de
sécmité, pour accéder à la base de données).
4.5.6 PROGRAMMES UTILITAIRES
Les programmes utilitaires sont des logiciels de base utilisés pour
effectuer la maintenance ct des routines fréquemment sollicitées
lors des opérations de traitement courantes. Les programmes
utilitaires peuvent être classés selon l'utilisation en cinq domaines
fonctionnels :
1. La comprehension des systèmes d'applications (générateur de
diagrammes, programme d"analyse du profil de transactions,
programme d'analyse du chemin d'exécution ct dictionnaire de
données);
2. L;évaluation de la qualité des données ou essais sur celle-ci
(utilitaire de manipulation de données, utilitaire de vidage de
mémoire, utilitaire de comparaison de données et fimction
d'interrogation);
3. La mise à l'essai des capacités du programme à fonctionner
correctement et tl maintenir !"intégrité des données (générateur
de données de test, installation de débogage en ligne, analyseur
de sortie et simulateur de réseau):
4. L'assistance à la conception plus rapide de programmes
(utilitaire de visualisation, copie de bibliothèque, éditeur de
texte, fonction de programmation en ligne et générateur de
code);
5. t:amélioration de l'ellicîence opérationnelle (appareils de
surveillance de I'UCT ct de l'utilisation de la mémoire ct
programmes d'analyse des lignes de communication).
Les systèmes infOrmatisés plus petits (c.-à-d.les PC ct systèmes
d'exploitation de serveur) sont souvent dotés d'utilitaires
spécifiques afin de :
• Effectuer la vérification, le nettoyage et la défragmcntation du
disque dur et des unités de stockage amovibles;
• Initialiser les volumes de données amovibles et les volumes de
lecteur de disque ou amovibles;
• Sauvegarder ou restaurer les images du système;
• Reconstruire ct restaurer (logiquement) les fichiers annulés;
• ri ester les unités et péiiphétiques du système.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certified !nfnrmatkm
Systems Audfl.or'
------!--···
"''""""'"'"·'""''"''
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
Plusieurs de ces programmes utilitaires peuvent fonctionner à
l'extérieur du système de sécurité ou peuvent fonctionner sans
laisser une piste d'audit liée aux activités. Par conséquent, l'accès
à ces utilitaires sensibles et puissants de mê1ne que leur utilisation
doivent être bien contrôlés et limités.
4.5.7 PROBLÈMES !lE LICENCES !lE LOGICIELS
Les lois relatives aux droits d'auteur des logiciels doivent
êlTe respectées afin d'éviter à une entreprise d'avoir à payer
des pénalités liées aux violations du droit d'auteur et d'éviter
l'embarras public d'être identifiée comme une entreprise qui
utilise illégalement un logiciel,
Un con1Tat de licence établit les termes et conditions de licence
d'un logiciel ( C,-à-d, disponible légalement pour utilisation), du
développeur du logiciel (propriétaire) à l'utilisateur, Les contrats
de licence sont de deux types: gratuits (tableau 4.18) et payants
(tableau 4.19).
Tabfeau 4.18- Types de contrat de licence gralûit
Type Description
Code source libre Le logiciel peut être utilisé, copié, étudié, modifié
et redistribué au besoin. Habituellement, un
logiciel à code source libre est accompagné du
programme source et d'une copie de la licence
d'utilisation du logiciel (p. ex., le GNU General
Public license). Linux en est un exemple bien
connu.
Gratuiciel Le logiciel est gratuit, mais le code source ne peut
être redistribué. Adobe Acrobat Reader" en est un
exemple bien connu.
Partagiciel Au départ, le logiciel peut être gratuit. Toutefois,
il ne peut être utilisé que sur une base d'essai
ou il présente des fonctionnalrtés limitées
comparativement à !a version commerciale
complète (on le nomme pariais version d'essai,
version de démonstration ou version d'évaluation).
Tableau 4.19 -Types de coiilfiit de Jlcence payant
Type Description
Par unité centrale Selon le pouvoir du serveur, en particulier le
de traitement (UCT) nombre d'UCT. Pourrait inclure le nombre de
cœurs d'UCT.
Par siège Selon le nombre d'utilisateurs uniques du
système.
Utilisateurs Selon le nombre total d'utilisateurs qui se servent
simultanés du logiciel durant une période prédéfinie.
Utilisation Selon le taux d'utilisation de I'UCT ou le nombre
d'utilisateurs actifs à un moment donné.
Par poste de travail Selon le nombre de postes de travail individuels
(et NON d'utilisateurs) qui sont connectés au
logiciel.
Entreprise Permet habituellement un usage illimité du logiciel
dans l'ensemble d'une organisation, sans besoin
d'appliquer l'une ou l'autre des règles ci-dessus,
bien qu'il pourrait y avoir des restrictions.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rês.ervés.
Section deux : Contenu
Pour détecter les violations de licences des logiciels, l'auditeur
des SI doit:
Vérifier la liste de toutes les applications et de tous les logiciels
de base standard, utilisés et possédant une licence.
Obtenir des copies de tous les contrats relatifs aux logiciels
afin de déterminer la nature des licences d'utilisation, qu'elle
soit une licence d'entreprise illimitee. une licence par poste de
travail ou des copies individuelles.
Analyser tout le réseau pour dresser la lisle des logiciels
installés.
Si nécessaire, examiner une liste des caractéristiques du
serveur, y compris les UCT et les cœurs,
Comparer les licences d'utilisation avec le logiciel actuellement
installé, en notant toute violation.
Les options disponibles pour empêcher les violations des licences
des logiciels comprennent :
• Un processus de gestion des actifs logiciels adéquat (voir la
section 4,3 Gestion des actifs des Tl);
• La centralisation du contrôle, de la distribution ainsi que de
l'installation de logiciels (dont rendre les utilisateurs inaptes il
installer des logiciels, quand c'est possible);
• La nécessité que tous les PC consistent en des postes de tmvail
restreints avec lecteurs de disque. ports US8 ou autres qui sont
désactivés ou verrouillés;
• L'installation de logiciel de comptage sur le réseau local et
l'exigence qu~ tous les PC accèdent aux logiciels par son
entren1ise;
• L'analyse régulière des extrémités de réseaux d'utilisateurs pour
s'assurer que les copies de logiciel non autorisées n'ont pas été
chargées (pour ce faire, compnrer les logiciels chargés avec la
liste des actif'i logiciels);
• Mettre en application des politiques et procédures documentées
exigeant que les utilisateurs signent une entente indiquant de ne
pas installer de logiciel sans l'aut01isation de la direction ct sans
contrat de licence du logiciel.
Les licences d'utilisation de logiciel sont avant tout une
confOrmité contractuelle. Autrement dît. les organisations
conviennent de respecter les modalités émises par l'éditeur de
logiciels, avec ou sans compensation financière. Dans certaines
circonstances, un auditeur des SI pourrait demander l'avis d'un
expert juridique pour confirmer la conformité,
Notez que ceJiaines dispositions de reprise après sinistre peuvent
nécessiter des licences supplémentaires ct requérir l'hébergement
de logiciels de mesure supplémentaires. Consultez la section 4.8
Plan de reprise après sinistre pour obtenir plus d'information.
4.5.8 GESTION !lU CODE SOURCE
Le code source est le langage dans lequel est rédigé un
programme, Il est traduit en code objet par les assembleurs ct
compilateurs, puis dicte le fonctionnement à l'ordinateur. De
par sa nature même, le code source peut contenir de la propriété
intellectuelle, Il doit donc être protégé et son accès doit être
restreint. L"accès organisationnel au code source peut vmier
en fonction de l'application et de la nature de l'entente avec Je
fournisseur. Si aucun code source n'est foumi, il serait important
de signer un contrat d'entiercement S'il s'agit d'un progiciel,
l'accès au code source peut être accordé en vertu d'une licence
309
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
pour permettre des modifications pe-rsonnalîsées. Si le logiciel est
fait sur mesure ou élaboré en régie, l'organisation aura libre accès
au code source. Dans tous les cas, le code source est soumis au
cycle de vic du développement des logiciels (voir la section 3.5.2
Description des phases traditionnelles du cycle de développement
de systèmes). Ln gestion du code source est étroitement liée à la
gestion des modifications, à la gestion des versions, à J'assurance
de la qualité et à gestion de la sécurité de lïnfûrmation.
Le code source actuel doit être géré à l'nide du système de
contrôle des versions (SCY). fi·équemment appelé le logiciel
de contrOle des révisions (LCR). Ceux-ci maintiennent un
entrepôt central de données, lequel permet aux programmeurs de
vérifier un programme source pour y apporter des changements.
À son tour, la vérification de la source crée une nouvelle
version du programme. Un SCY permet lJ synchronisation des
modifications appo1i·écs à ln source avec les modifications des
autres développeurs, incluant la résolution de conflits lorsque les
modifications ont été faites dans la même section de la source.
Un SCY permet également l'embranchement, une copie du tronc
(code principal original_) qui existe de fnçon indépendante afin
de rendre possible ln personnalisation des différents clients, pays,
emplacements, etc.
Un exemple d'un SCY populaire est ApacheTM Subversion'I'.J.
Git est un système de contrôle des versions distribué (SCVD).
Alors que Subversion gère un seul entrepôt centralisé, un SCVD
possède plusieurs entrepôts. Dans un SCVD, l'entrepôt complet
peut être répliqué localement avec des modifications ~1ttribuécs
à l'entrepôt maître lorsque nécessaire. Ainsi, les développeurs
peuvent travailler à distance, sans être connectés.
Parmi les avantages des SCV :
• Le contrôle de l'accès au code source;
• Le suivi des modifications au code source;
• La possibilité d'un développement simultané;
• La possibilité de rétablir des versions antécédentes;
• La possibilité d'embranchement.
L'auditeur des SI doil tmüours être au courant des éléments
suivants :
• Les personnes qui ont accès au code source;
• Les personnes en mesure d'engager le code (c.-à-d. de l'amener
en production);
• Le rapprochement du code source du programme avec le::; objets
du programme;
• !_~harmonisation de la gestion des modifications et des versions;
• Les copies de sauvegarde du code source. y compris celles hors
site et les contrats d'entierccmcnt.
4.5.9 INFORMATIQUE INDIVIDUELLE
L'infOrmatique individuelle réfère à l'aptitude des utilisateurs à
concevoir et à exécuter leur propre système d'information grâce à
l'ulilisation de produits logiciels.
L'infOrmatique individuelle présente des avantages, en ce sens
que les utilisateurs peuvent développer et déployer rapidement
des applications, allégeant la pression sur le service des Tl.
Cependant, le manque de participation du service des Tl engendre
aussi un risque associé, car les applications pourraient ne pas
310
e , H
Certlfied Information
Systems Auditor"
~;-,~--
être soumises à un examen indépendant et, souvent, elles ne sont
pas créées dans le cadre d'une méthodologie de développement
formelle.
Ct:: la peut sc sold~r par des applications qui:
• Peuvent contenir des erreurs ct générer des résultats incorrects~
• Ne sont pas soumises à la gestion des modifications ou à ln
gestion des versions, engendrant des copies multiples ct padüîs
di lférentes;
• Ne sont pas sécurisées;
• Ne sont pas sauvegardées.
L'auditeur des SI doit s'assurer de l'existence de politiques
relatives à l'utilisation de l'informatique individuelle. Un
inventaire (voir la section 4.3 Gestion des actifs de Tl) de toutes
les applications de cc type doit exister et inclure celles qui sont
suffisamment critiques pour être soumises aux mêmes contrôles
que les autres applications.
4.6 INFRASTRUCTURE DU RÉSEAU DES SI
Les réseaux des SI ont été conçus pour répondre au besoin
de pmiager les ressources d'information qui se trouvent
sur différents appareils informatiques ct qui ont permis aux
entreprises d'améliorer leur procédés d'affaires et de réaliser
d'impotiants gains de productivité.
Généralement, les lignes de transmission ou les liaisons de
télécommunication des réseaux sont numériques, quoique des
lignes analogiques puissent encore être utilisées. Elles sont
classées selon le type de fournisseur ou le type de technologie. En
règle générale, on les divise entre :
• Circuit spécialisé (aussi appelé lignes louées);
• Circuit commuté.
Un circuit spécialisé est une ligne de télécommunication
symétrique reliant deux emplacements. Chaque côté de la ligne
est branché à l'autre de façon permanente. Les circuits spécialisés
peuvent être utilisés pour les services téléphoniques, de données
ou Internet.
Un circuit commuté ne relie pas deux emplacements de
façon pennancnte ct est installé sur demande selon la méthode
d'adressage. Il y a deux principaux mécanismes de commutation :
• La commutation de circuits;
• La commutation par paquets.
Le mécanisme de commutation de circuits est généralement
utilisé pour un réseau téléphonique (service téléphonique
traditionnel [POTSJ, réseau numérique à intégration de services
[RNIS]). Les circuits commutés permettent des chaînes
de connexion qui peuvent être mises en place au besoin ct
désactivées lorsque la communication est complétée. Ceci
fonctionne de façon semblable à une ligne de téléphone ordinaire
pour la communication vocale. Le RNIS est un bon exemple
de commutation de circuits. Lorsqu'un routeur a des données
pour un site distant, le circuit commuté est mis en place avec
le numéro de circuit du réseau distant. Dans le ens de circuits
RNIS, l'appareil appelle au numéro de téléphone du circuit RNIS
distnnt. Lorsque les deux résenux sont connectés et authentifiés,
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
le transJCrt de données peut avoir lieu. Lorsque la transmission de
données est complète, on peut rndtre fin à l'appel.
La commutation par paquets est une technologie pour laquelle
les tlti!isatcurs partagent les ressources de l'entreprise de
télécommunications. Comme ceci permet à l'entreprise d'utiliser
son infrastructure de façon plus efficace, le coût pour le client
est généralement beaucoup plus bas qu'avec les lignes louées.
Dans un système de commutation par paquets, les réseaux sont
branchés au réseau de l'entreprise de télécommunications,
réseau pmiagé par de nombreux clients. Centreprise de
télécommunications peut alors créer des circuits virtuels entre
les sites des clients, par lesquels des paquets de données sont
échangés sur tout le réseau. La section partagée du réseau de
l'entreprise de télécommunications est souvent appelée« nuage».
Voici quelques exemples de réseaux à commutation par paquets :
mode de transfert asynchrone (ATM). relais de trame, service de
données multîmégabits commuté (SMDS) et X.25.
Les méthodes de transmission des signaux sur des lignes de
transmission ou des liaisons de télécommunication analogues sont
soit à base de bande ou à large bande, tel qu'expliqué plus bas:
• Base de bande~ Les signaux sont introduits directement sur le
lieu de communication (aucune modulation ni modification aux
fréquences du signal). En général, un seul canal est disponible
sur ce lien pour la transmission des signaux. Par conséquent,
la capacité entière de 1a voie de transmission est utilisée pour
transmettre un signal de données, et la communication peut
avancer dans une seule direction à la fois (communicatlon
bidirectionnelle à l'alternat), Les stations sont connectées au
support de transmission par des appareils appelés émetteurs-
récepteurs qui fonctionnent en alternance en tant qu'émetteur et
récepteur.
• Réseau à large bande~ Différentes fréquences porteuses,
définies à l'intérieur de la bnnde disponibl~:, peuvent acheminer
des signaux analogues, comme ceux produits pnr des
processeurs d'images ou par un modem de données, comme
s'ils étaient placés sur des canaux de bnse de bnnde séparés.
On évite lïntcrfërcncc en séparant les fi·équences porteuses
adjacentes avec un écart qui dépend des exigences de la bande
des signaux tmnsmis. La possibilité de guider les cannux
indépendants multiples sur un média monoportcur améliore
considérablement l'etricacité des connexions à distance. On
appelle connexion bidirectionnelle simultanée la condition
dans laquelle la transmission ct la réception des données ou des
contrôles se déroulent simultanément entre deux stations.
4.6.1 ARCHITECTURES DU RÉSEAU D'ENTREPRISE
Les réseaux modernes font partie d'une grande solution
d'architecture de réseaux informatiques à haute vitesse locaux et
de zone étendue qui desservent les environnements basés sur le
modèle client-serveur des entreprises. Cette architecture est gérée
de façon centrale ct entre les réseaux. De telles architectures
incluent le groupage des types communs de fonctions des TI dans
des segments de réseaux, chacun étant identifiable et spécialisé
uniquement pour une tâche. Par exemple, les segments ou les
blocs réseau peuvent inclure des serveurs d'application frontale
sur le Web (pubhcs ou privés), des serveurs d'application et
de base de données, et des serveurs d'ordinateur central qui
utilisent un logiciel d'émulation de terminal pour permettre aux
Manuel de Préparation CISA 26" édition
ISACA. Tous droits reserves.
Section deux : Contenu
utilisateurs finaux d'avoir accès ri ces systèmes dorsaux basés
sur des systèmes existants. À leur tour, les utilisateurs finaux
peuvent être groupés à l'intérieur de leur propre réseau RVA, mais
avec des capacités d'accès rapide pour incorporer les ressources
d'information. Quelques entTcprises implantent des architectures
orientées sur le service dans lesquelles les composantes
logicielles Web, à l'aide du protocole SOAP el du lnngagc
XML, interagissent en connexion isolée et distribuée à travers
le réseau. Dans cet environnement, l'information est hautement
accessible et disponible en tout temps et de partout, et est gérée
de façon centrale afin d'offrir un dépannage et une gestion de la
performance hautement efficace pour atieindre une utilisation
optimale des ressources du réseau.
Afin de comprendre les solutions d'architecture de réseau
oftè1ies du point de vue commercial, de la pe1formance et de
la sécurité, un auditeur des sr doit comprendre le~ technologies
de l'information associées à la conception et au développement
d'une infmstructure de télécommunication (p. ex .. les
caractéristiques du LAN et du WAN). La télécommunication
est la transmission électronique de données, de sons et d'images
entre des systèmes finaux connectés (deux ordinateurs ou plus
qui agissent à titre d'expéditeur et de destinataire). Ce processus
est activé par un sous~~ystème de communication, par exemple
une carte réseau qui interfàce 1'ordinateur de chaque utilisateur
final à un média commun de transmission, el des appareils
réseau tels que des ponts, des commutateurs et des routeurs, pour
brnncher h::s ordinateurs qui résident sur différents réseaux.
4.6.2 TYPES DE RÉSEAUX
Les types de réseaux communs à toutes les entreprises se
définissent comme suit :
• Réseaux personnels (PAN), Persona! Arca Networks ~
Généralement, un PAN est un réseau de micro~ordinateurs
utilisé pour les communications entre appareils informatiques
(incluant les téléphones, le~ tablettes, les imprimantes, les
appareils photos, les numériseurs à balayage, etc.) utilisés
par une personne. La portée d'un RP sc situe normalement à
lïntérieur d'un rayon de 33 pieds (environ 10 mètres). Les RP
peuvent être utilisés pour la communication entre les appareils
personnels ou pour se brancher ù un réseau de plus haut niveau
et à rntcrnct.
- Les RP peuvent être branchés avec des bus informatiques
tels que I'USB,Ie Fi re \Vire ct d'autres normes. Si les RP
sont implantés sans câble, ils sont appelés RP sans fil. Il est
également rendu possible d'obtenir des RP sans fil grâce à
des technologies réseaux comme la nonne Fast !rDA ct la
technologie sans fil Bluetooth.
-Un RP qui utilise la technologie sans fil Bluetooth est aussi
connu comme un picoréseau et est composé d'un nombre
d'appareils actif., pouvant aller jusqu'à 8 dans une relation
maître-esclave. Le premier appareil Bluetooth dans le
picoréseau est le maître et tous les autres appareils sont les
esclaves qui communiquent avec le maître. Un picoréseau
possède généralement une pmiée de 38,2 pieds ( 10 mètres),
même si on peut atteindre une portée de 328 pieds ( 100
mètres) dans des circonstances idéales.
• Les réseaux locaux {LAN) sont des réseaux d'ordinateurs qui
couvrent une zone limitée comme une maison, un bureau ou un
campus. Les caractéristiques des LAN sont des débits élevés
311
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
de transfert de données et une portée géographique réduite.
I:Ethernet et le Wi-Fi (WLAN) sont les deux technologies les
plus couramment utilisées.
• Les r·éseaux de stockage (SAN) constituent l'adaptation d'un
réseau local et sont conçus pour la connexion d'appareils de
mémoire aux serveurs et aux autres appareils informatiques. Les
SAN centralisent le processus de stockage ct d'administration
des données.
• Les réseaux étendus (WAN) sont des réseaux d'ordinateurs
qui couvrent une vaste zone comme une ville, une r0gion, un
pays ou un lien international. Internet est Je plus grand exemple
de WAN. Les WAN sont utilisés pour brancher les LAN et
d'autres types de réseaux ensemble pour que les utilisateurs et
les ordinateurs situés à un endroit puissent communiquer avec
les utilisateurs et les ordinateurs d'autres endroits. Beaucoup
de WAN sont mis sm· pied pour une organisation en pmiiculicr
et sont privés. D'autres, mis sur pied par les fOurnisseurs de
services Internet (lSP), fournissent une connexion entre le LAN
d'une organisation et Internet. Les WAN peuvent aussi être sans
fil (WWAN).
• Les réseaux métropolitains (MAN) sont des WAN limités
à une ville ou à une région; la plupart du temps, les MAN se
caractérisent par un débit de transfe1t de données plus rapide
que les WAN.
4.6.3 SERVICES RÉSEAU
Les services réseau sont des caractéristiques fonctionnelles
rendues possibles grâce aux applications du système
d'exploitation. Ils permettent l'utilisation ordonnée des
ressources sur le réseau. Plutôt que de posséder un seul système
d'exploitation gui contrôle ses propres ressources et les pru1age
avec les programmes qui les demandent, le réseau repose sur des
nonnes et sur un protocole ou un ensemble de règles spécifique,
passés et utilisés par le logiciel système de base des nombreux
appareils du réseau qui sont en mesure de supporter les services
réseau individuels. Les applications d'utilisateurs et d'allàires
peuvent faire appel aux services réseau par l'entremise d'appels
ou d'inteJi·àces spécifiques. Les points suivants sont des services
d'application réseau utilisés couramment dans les environnements
en réseau des entreprises :
Système de fichiers ré-seau·· Permet aux utilisateurs de
partager des fichiers, des imprimantes et autres ressources par
réseau.
• Ser-vices de courriel Fournissent la capacité d'envoyer un
message non structuré à un autre individu ou à un groupe
de personnes, en passant' par un terminal ou un ordinateur
personnel connecté à un réseau de communication.
• Services d'impression -- Fournissent la capacité de gérer et
d'exécuter des services de demandes d'impression à partir
d'autres appareils du réseau, normalement en passant par un
serveur d'impression sur un réseau.
• Services d'accès à distance·- f-Ournissent des capacités d'accès
à distance-lorsqu'un appareil infmmatique se manifeste, comme
s'il était lié directement à Phôte éloigné.
• Services d'annuaire- Stockent l'information des ressources
variées sur le réseau et aide les appareils du réseau à trouver
des services; ils sont semblables ù un annuaire téléphonique
conventionnel. Les services d'annuaire aident aussi les
administrateurs de réseau à gérer l'accès des utilisateurs aux
ressources du réseau.
312
e . H.
Certifiedlnformation
Systems Audi!Cf"
··'-----+------··-
"''~'~'""''"'
• Gestion du réseau --· Fournît un ensemble de fonctions pour
contrôler et entretenir le réseau. La gestion du réseau fournit de
l'information détaillée sur l'état de toutes les composantes du
réseau comme l'état des lignes, le terminal actif, la longueur des
listes de messages en attente, le ratio d'erreur sur une ligne ct le
trafic sur une ligne.
-- Elle permet aux ordinateurs de partager de 1'infOrmation
ct des ressources mt sein d'un réseau ct tOurnilla fiabilité du
réseau.
·· Elle fournit à l'opérateur un signal d'avertissement hâtif des
problèmes du réseau avant qu'ils n'aflèctent la fiabilité du
réseau. permettant à l'opérateurdc prendre rapidement des
actions ou des mesures préventives.
• Protocole DHCJ> (Dynamic 1--lost Configu1·ation Protocol)
-Un protocole utilisé par les ordinateurs en réseau (clients)
pour obtenir les adresses 1Pet d'autres paramètres comme la
passerelle par déf:1ut, les masques de sous-réseau ct les adresses
JP des systèmes de noms de domaine (ONS) d'un serveur
DHCP. Le serVCLir DHCP assure que t-outes les adresses IP
sont uniques (c.-à-d. qu'aucune adresse IP n'est attribuée à un
second client tant que l'attribution du premier client est valide
lh~ contrat de location n'est pas expiré]). Ainsi, la gestion
du bassin d'adresses IP est faite par le serveur et non par un
administrateur réseau humain.
• Système de noms de domaine (DNS) -Traduit les noms des
nœuds de réseau en adresses réseau (IP).
4.6.4 NORMES ET PROTOCOLES DU RÉSEAU
Les normes de l'architecture du réseau fàcilitent le processus de
création d'un environnement intégré dans lequel les applications
peuvent fonctionner en fournissant un modèle de référence que
les entreprises peuvent utîliser pour structurer des procédés de
télécommunications entre ordinateurs et réseaux.
En plus de celui d'olfl·ir la commodité d'utiliser des architectures
compatibles, un des avantages majeurs des normes du réseau
est qu"elles aident les entreprises à répondre au besoin de
concevoir et d'implanter un réseau de LAN et de WAN intégré,
efficace, fiable, extensible et sécurisé avec une connectivité
externe (Internet public). Il s'agit d'un défi majeur en raison des
exigences de :
• Interopérabilité ·-La connexion des divers systèmes pour
soutenir la communication parmi des technologies bien
distinctes où les différents sites peuvent utiliser divers types de
médias qui peuvent Hmction11er à des vitesses différentes.
• Disponibilité··· Signifie que les utilisateurs finaux possèdent
un service 24 heures p;u·jour, 7 jours sur 7 continu. fiable et
sécuritaire.
.. Flexibilité--- Nécessaire pour accommoder l'expansion du
réseau et les exigences des nouvelles applications ct. des
nouveaux services.
• Maintenabilité --Signifie qu'une organisation oflî·c le soutien
et le dépannage centralisés sur les systèmes hétérogènes, mais
fOrtement intégrés.
Pour accomplir ces tâches, les entreprises doivent posséder
l'habilité de définir les caractéristiques pour les types de réseaux
qui seront établis (p. ex., LAN/RE) lors de la création d'un
environnement intégré dans lequel leurs applications peuvent
fonctionner. Les entreprises doivent aussi fOurnir un soutien
Manuel de Préparation CfSA 26" édition
JSACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
et le dépannage centralisé sur les systèmes hétérogènes, mais
fortement intégrés.
4.6.5 ARCHITECTURE DU MODÈlE DE RÉFÉRENCE
OSI
Le but des normes d'architecture réseau est de faciliter cc
processus en fOurnissant un modèle de rêfèrt::ncc que les
organisations peuvent utiliser pour développer les procédés de
communication de réseau et entre les ordinateurs respectivement.
La norme de perfOrmance de cc processus, le modèle de
référence d'interconnexion de systèmes ouverts (OS!), a été
développée par ISO en 1984. L;OSJ se veut une preuve d 1un
modèle de concept composé de sept couches, chacune spécifiant
les tâches ou les fonctions particulières spécialisées. Chaque
couche est autonome et relativement indépendante des autres
couches en ce qui concerne sa fOnction particulière. Cela permet
aux solutions offe1ies par· une couche d'être mises à jour sans
l
avoir des conséquences défavombles sur les autres couches.
:·----- ·-----·-·····-~--~---·----···------
~.
Remarque : Bien qu'il soit avantageux pour un auditeur des
S. de connaître Je modèle de référence OSl, le c.andidat au titre
CISA ne sera pas interrogé sur les détaîls de cette nmme à
1'examen.
-"--~·····--·---·--···~--·--·---"''''"""~--·-··-···~----"'--"-""'""'-~--·"------
l!objectlfdu modèle de référence est de fournir un ensemble
de protocoles utilisé pour élaborer des protocoles de réseau
de données ct d'autres nonnes fàcilitant l'interopérabilité de
l'équipement multiconstructcur. Le programme OSI est inspiré
d'un besoin pour des normes de réscautique internationales ct a
été conçu pour faciliter les communications entre les systèmes
matériels et logiciels malgré les ditlCrences d'architectures sous-
jacentes.
Il est important de noter que dans lt: modèle OS!, chaque couche
ne communique pas seulement avec les couches supérieures ou
inférieures dans la pile locale, mais aussi avec la même couche
du système distant Par exemple, la couche d'application du
système local communique avec la couche d'application du
système distant. Tous les détails de la manière dont les données
sont traitées avec plus de profondeur dans la pile sont cachés à la
couche d'application. C'est vrai pour luus les niveaux du modèle.
Chaque couche semble posséder une connexion directe (virtuelle)
avec la même couche du système distant
Ln couche d'application fournit une interface standard pour
les applications qui doivent communiquer avec les appareils
du réseau (p. ex., imprimer des fichiers sur une imp1imante
connectée à un réseau. envoyer un couJTicl ou stocker les données
sur un fichier serveur). La couche d'appllcation fournit donc
une interface au réseau. De plus, la couche d'application peut
communiquer les ressources disponibles de l'ordinateur au reste
du réseau. Il ne faut pas confondre la couche d'application avec
le logiciel d'application. Les logiciels d'application utilisent
11intcrface de la couche d'application pour avoir accès aux
ressources connectées au réseau.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
La couche de présentation transforme les données pour fournir
une interface standard pour la couche d'application et fournit
les services de communication communs comme le chiffrement
la compression de texte ct le reformatage (p. ex., la conversion ,
du code d'échange décimal codé binaire étendu [EBCDIC] en
code ASCII). La couche de presentation convertit les données
sortantes en un fOrmat acceptable par la nonne du réseau et tàit
ensuite passer les données à la couche de session. De la même
manière, la couche de présentation conve1tit les données reçues
de la couche de session en un fOrmat acceptable pour la couche
d'application.
La couche de session contrôle les dialogues (sessions) entre les
ordin~tcurs. Elle établit, gère ct termine les connexions entre la
couche d'application locale et distante. Toutes les conversations,
les échanges de données ct les dialogues entre les couches
d'application sont gérés par la couche de session.
La couche de transport fournit un transfert des données fiable
ct transparent entre les extrémités, la reprise sur incident de bout
en bout ct le contrôle de flux. La couche de transport assure que
toutes les données qui sont envoyées par la couche de session sont
reçues avec succès par la couche de transport du système distant.
La couche de transpo1i s'assure qu'un accusé de réception est
envoyé pour chaque paquet de données reçu de la couche de
transport distante, et donc qu'un accusé de réception est reçu de
la couche de transport distante pour chaque paquet envoyé. Si un
accusé de réception n'est pas reçu pour un paquet, le paquet sera
envoyé de nouwau.
La couche réseau crée un circuit virtuel entre la couche de
transport sur l'appareillocal ct la couche de transport sur
l'appareil distant. Il s'agit de la couche de 1~ pile qui comprend
les adresses IP ct qui s'occupe du routage et du réacheminement.
Cette couche prépare les paquets pour la couche de liaison des
données.
La couche de liaison des données prévoit le transfert fiable des
données à travers une liaison physique. Elle reçoit les paquets
de données de la couche réseau, les encapsule en des trames
ct les envoie comme un train de bits à la couche physique. Ces
trames sont composées des données originales tout comme des
champs de contrôle nécessaires pour prévoir la synchronisation,
la détection d'erreurs et !c contrôle de flux. La détection d'erreurs
se fait à l'aide d'un contrôle par redondance cyclique (CRC)
qui est cnlculé et ensuite ajouté à chaque trame de données. La
couche de liaison de données destinalaire calcule la valeur du
CRC pour la portion de données de la trame reçue et supprime la
trame si les valeurs calculées et reçues sont différentes. Le calcul
du CRC détectera toutes les erreurs sur un seul bit et la plupart
des erreurs sur plusieurs bits.
Un train de bits reçu de la couche physique est converti de façon
similaire aux paquets de données et envoyé à la couche réseau. La
couche de liaison des données sc connecte logiquement à un autre
appareil du même réseau en utilisant une adresse MAC. Chaque
appareil du réseau possède sa propre adresse d'équipement MAC
qui lui est assignée au moment de la fabrication. L'adresse MAC
peut être remplacée, mais cette pratique n'est pas recommandée.
La couche de liaison de données « écoute >) normalement les
313
Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
e . Certifred Information
M Svstems Autlitoc·
"'"""""c"'"""'"'

données qui sont destinées à son adresse MAC Une exception Cette approche supporte la communication entre systèmes
impot1ante à cette règle est que 1ïnterface réseau peut être (relation posteHà-poste) dans laquelle chaque couche du côté de
configurée comme une intc1tàce c< espion>), qui écoutera toutes l'expéditeur fOurnit l'informntion à sa couche homologue du
!es données que la couche physique lui envoie. côté destinataire. Cc processus est aussi caractérisé comme un
processus de données transversales, cc qui provoque les actions
La couche physique fournit l'équipement qui émet ct reçoit le suivantes:
train de bits en tant que signaux électriques, optiques ou radio .. Les données voyagent en descendant par les couches de
sur le médium ou le transpmieur approprié. Cette couche définit l'ensemble terminal.
les câbles, les connecteurs, les cartes et les aspects physiques de • L:infonnation de contrôle du protocole (en-tête/queue de bande)
l'équipement requis pour brancher physiquement un appareil est utilisée comme une enveloppe dans chaque couche pour
au réseau. La correction et la détection d'erreurs ne sont pas rassembler les infOrmations de contrôle.
normalement implantées dans la couche physique. avec quelques • Les données voyagent vers le haut en passant par les couches de
exceptions notables. Les téléphones cellulaires et les systèmes la partie destinataire/destination.
numériques de micro-ondes implantent généralement une "L'inibrmation de contrôle du protocole (en-tête/queue de bande)
certaine tOnne de code de correction d'erreur, qui non seulement est enlevée lorsque l'infOrmation passe.
détecte les erreurs, mais les corrige vraiment. La forme la plus
perfectionnée est utilisée par la National Aeronautics and Space Un modèle traditionnel d'OS! expliquant se processus est décrit
Administration (NASA) des États-Unis pour communiquer avec dans la figure 4.20.
ses sondes spatiales.
4.6.6 APPLICATION DU MODÈLE OSI DANS LES
L'ISO a fOrmulé le modèle OS I pour établir des normes pour les
distributeurs qui mettent au point des protocoles qui soutiennent
ARCHITECTURES DU RÉSEAU
l'architecture du système ouvert. L'objectif est de rendre les Les concepts du modèle OSI sont utilisCs dans la conception et
diflèrents systèmes exclusif-; capables de fonctionner sans heurt le développement des architectures de réseau des entreprises.
à l'intérieur du même réseau. !:implantation réelle des fonctions Cela comprend les LAN, les WAN, les MAN et l'utilisation du
définies dans chaque couche est basée sur des protocoles conçus protocole TCP-IP public basé sur Internet. Les sections suivantes
pour chaque couche. Un protocole est un ensemble de règles et fournissent un exposé technique détaillé sur chncun et expliquent
de procédures sur lesquelles on s'est entendu et que l'on doit comment le modèle de référence OSI s'applique aux diverses
suivre lors de l'implantation des tâches associées avec une couche architectures. La discussion mettra l'accent sur:
donnée du modèle OS!. • Réseau local (LAN)
• Réseau étendu (WAN)
Le but du modèle OSJ est de tûurnir une intertàce standard pour • Réseaux sans fil
chaque couche et de s'assurer que chaque couche ne dépend pas • Infrastructure d'Internet publique"<< mondiale>>
de la manière dont les autres couches sont implantées. • Administration et contrôle du réseau
• Applications dans un environnement en réseau
• Informatique à la demande

Figure 4.20 - Modèle traditionnel d'OSJ

( Processus ) . ( Processus
d'application Transm1ssion Données d'utilisateur Transmission d'i!_ppllcation
sorta~te enirante

Couche d'application Couche d'application

Unités de données
"'
~ Couche de présentation l'il
" Unités de données Couc1m de présentation Œ;V
Couche de session Sll Unités de données Couche de session
'"' "'
Couche de transport Co"cl"''"' ê"ldeo<l.•
Couche de transport
IPomôpt>l
' "' >fl''l '" $11 Pli N' Unités de données

Couche réseau c'"'"""'h· i:WCI<et"J

M Unités de données C.;tu'llt• 1\,dJ<:
"""''" '''"·"' 1 Wl
'" ~~~
'" ' "'"'"' "'"'·'"
Couche réseau

8 Couche de liaison de données ''"~"'""

"''""'"" ':.::;::' !IJIII~I/11 "' '" '" '"' Unites de données OH '"'""""" 1•·""""'"'
' ' "Wo:> ""'"''''"' Couche de liaison de données ~
Couche physique l'lof'"i"' 11qÜ.1>'' Train ùe bits Phï'"l"" 1\ljo.q>te Couche physique
1 1

Méùia physique du médium do communication

AH o= Applicat'1011 SH"' Session NH =Réseau DLF "' Liaison de données

PH "' Présentation TH"' TraHsport OLH =Liaison de données

314 Manuel de Préparation CISA 26" édition

ISACA. Tous droits reservés.
e li.
Certifted Information
~=·~:,,,:~o-~·
Chapitre 4 - Exploitation, Entretien et Gestion
1
des Services des Systèmes d lnformation
Réseau local (LAN)
Un LAN couvre une petite région locale (de quelques appareils
dans une pièce unique à un réseau présent dans quelques
bâtiments). L'augmentation de l'oltfc en bandes passantes à prix
raisonnable a réduit l'effort de conception requis pour fOurnir des
solutions de LAN rentables pour les entrep1ises de toute taille.
Les nouveaux LAN sont presque toujours implantés en
utilisant un Ethemet commuté (802.3). Le câble à paire
torsadée (1 00-Basc-T ou mieux et LAN sans fîl) connecte les
commutateurs de plancher aux postes de travail et aux ordinateurs
de la zone immédiate. Les commutateurs de plancher peuvent être
connectés avec d'autres câbles 1000-Base-T ou à fibre optique.
Dans de plus grosses entreprises, les commutateurs de plancher
peuvent être connectés à des commutateurs plus gros et plus
rapides qui ont pour but d'acheminer adéquatement les données
d'un commutateur à l'autre.
Puisque les LAN deviennent plus gros et que le trafic augmente,
il devient de plus en plus imp01iant de planifier méthodiquement
la configuration logique du réseau. Les planificateurs du réseau
doivent être hautement qualifiés et très infonnés. Leurs outils
incluent des contrôles de trafic qui leur permettent de contrôler
les volumes de trafic sur les liaisons essentielles. Le suivi des
volumes de trafic, du taux d'erreur et des temps de réponse sont
en tout point aussi important sur les gros LAN qu'ils le sont sur
des serveurs et des ordinateurs centraux distribués.
PRINCIPES ET CARACTÉRISTIQUiêS DE LA
CONCEPTION D'UN LAN
Pour n1ettrc en place un LAN, une entreprise doit évaluer les
coûts, la vitesse, la flexibilité et la fiabilité. Les problèmes
incluent :
• I.:évaluatîon du média pour transmettre matériellement les
données~
• L'évaluation des méthodes pour le média physique du réseau;
.. La compréhension, du point de vue de la performance et de
la sécurité, de la manière dont les données seront transmises
dans tout le réseau et de la façon dont le réseau LAN réel est
organisé et structuré en ce qui concerne l'optimalisation de la
performance des appareils qui y sont bmnchés.
CARACTÉRISTIQUES DU MÉDIA l'IIYSIQUE DU
RltSEAlJ
Les médias physiques utilisés pour connecter divers types
d'appareils informatiques entre eux dans un réseau incluent :
• Des paires torsndécs;
• Les fibres optiques pour les architectures de haute capacité et
spécifiques;
• Infrarouge et radio (sans fil).
Génémlement, le câble de paire torsadée est encore le média le
plus souvent utilisé pour les LAN; cependant, elle est de plus en
plus remplacée par l'usage de média sans fil pour la connectivité
des LAN. Le type ct les caractéristiques du média physique
(p. ex., la vitesse, la sensibilité aux dérangements externes, la
perte et la propagation de signal, la sécurité) ne touchent pas
seulement le coût d'implantation ct de soutien, mais ont aussi un
impact sur la capacité, ln flexibilité ct la fiabilité du réseau.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
Les LAN peuvent être implantés en utilisant divers types de
média incluant
" Circuits en cuivre (pail"c torsadée)·~ Deux câbles isolés
tmtillés ensemble, avec le flux actuel qui passe par eux en
direction inverse. Cela réduit le risque de diaphonie entre les
paires dans le même groupement et permet une sensibilité plus
faible aux dérangements électromagnétiques (circuit à paire
torsadée blindée) à l'intérîeurde chaque paire. Les circuits
à paires torsadées peuvent aussi être utilisés pour quelques
réseaux dédiés de données. De nos jours, les normes communes
pour les circuits à paires torsadées sont CATS, CAT6 et CA'f7.
Les entrep1ises doivent acheter des câbles cert·ifiés provenant
de fournisseurs réputés et diviser les sections problématiques
avec des commutateurs. De plus, il faut obtenir l'assurance
que la longueur maximale des câbles ne sera pas dépassée,
puisque cela provoquerait des pannes intcnnittentes. Un
désavantage des câbles de paire torsadée non blindée est qu ïls
ne sont pas immunisés contre les cifets des perturbations
électromagnétiques ct doivent fonctionner dans des conduits
dédiés situés loin des sources de perturbation potentielle,
comme les lampes fluorescentes. Il faut éviter les passages
parallèles de càbles sur de longues distances puisque les signaux
sur un câble peuvent causer une interférence avec les signaux
des câbles adjacents; il s'agit d'une condition de perturbation
électromagnétique connue sous le nom de diaphonie.
• S.ystèmes de transmission par fibre optique-- Les fibres
de verre sont utilisées pour transporter les signaux binaires
comme les jets de lumière. Les systèmes de transmission par
fibre optique jouissent d\me faible perte de tmnsmission si on
les compare aux circuits à paires torsadées. Les fibres optiques
n'émettent pas d'énergie et ne conduisent pas l'électricité.
De plus, elles ne sont pas touchées par la perturbation
électromagnétique et présentent un risque beaucoup moindre
de problèmes de sécmité tel que les t.'lbles d'écoute. La fibre
optique est un médium plus fragile et convient mieux aux
applications dans lesquelles les changements ne sont pas
fréquents. La fibre optique est plus petite ct légère que les
câbles métalliques possédant la même capacité. La fibre s'avère
être Je choix préféré pour des passages de gros volume et de
longue distance. On peut par exemple l'utiliser pour connecter
les commutateurs de plancher aux commutateurs de données de
l'entreprise. De plus, les câbles de fibre optique sont souvent
utilisés pour connecter les serveurs aux SAN.
" Systèmes de radiofréquences (sans fil)- Les données sont
communiquées entre les appareils en utilisant des systèmes de
faible puissance qui diffusent (ou émeltent) et reçoivent des
signaux êlcctromagnétiques représentant les données.
TOI'OLOGŒS ET PROTOCOLES DU LAN
Les topologies du LAN définissent comment les réseaux sont
organisés d'un point de vue physique, alors que les protocoles
définissent comment !'information tmnsmise sur le réseau est
interprétée par les systèmes.
La topologie physique était, auparavant, liée de très près aux
protocoles qui étaient utilisés pour transférer l'information à
travers le câble. Ce n'est plus le cas. Pour la technologie actuelle,
la topologie physique est menée par la f.'lcîlité de la construction,
de la Habilité et du caractère pratique. Parmi les topologies
physiques qui ont été utilisées couramment- bus, en anneau et en
315
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
étoile··· seule celle en doile est. utilisée pour de grandes étendues
dans de nouvelles constructions. La figure 4.21 illustre les
topologies physiques couramment utilisées.
TECHNOLOGIES D'ACCÈS A{) SUPPORT DU LAN
Les t·echnologies d'accès au support du LAN utilisées pour
évaluer le média de transmission physique sont essentiellement
soit I'Ethernet ou le passage de jeton. Ces technologies donnent
aux appareils un accès partagé au réseau, tout en prévenant aussi
qu'un seul appareil ne monopolise le réseau.
L'Ethcrnet a évolué depuis sa configuration miginalc en bus,
qui offrait une vitesse de 10 Mb/s avec deux versions de câbles
coaxiaux (légers et lourds), vers une configuration en étoile qui
utilisait au dépati le 10-Basc-T (l'Ethcrnet qui utilise un câble de
paire torsadée) et qui utilise maintenant la version la plus moderne
de nos jours: Ethernet Rapide (lOO Mb/s) et Gigabit Ethcrnet (1
Gb/s).
Un aspect essentiel de toutes télécommunications est de
déterminer qui est le destinataire du message. À cc niveau, en
prenant en considération l'Ethernct Rapide et le Gigabit Ethernet,
une adresse MAC est utilisée pour spécifier le destinataire.
Chacune des interfaces réseaux fabriquée sans exception possède
une adresse MAC unique, qui est utilisée uniquement pour le
dernier bond dans toute communication (consultez la section
sur le protocole TCP/1 P ct sa relation au modèle de référence
OSI pour voir comment cela s'applique aux adresses réelles, par
exemple 192.168.45). Chaque carte réseau connectée au réseau
écoute chaque conversation sur le réseau. Normalement, un pilote
(logiciel) de la carte réseau ne recueille que les données qui lui
sont adressées. Une carte réseau qui a été placée en mode espion
lira les toutes les données qui passent par le réseau (incluant les
noms d'utilisateurs elles mots de passe).
Carrangement bus initial fournit un débit efficace de 5 Mb/s
parmi tous les systèmes connectés à un segment bus. Les
segments bus peuvent être connectés ensemble avec des répéteurs
ou des ponts. Les répéteurs régénèrent les signaux, ce qui permet
une portée plus longue pour le réseau. Les ponts connectent de
multiples bus ensemble, en bloquant tout trafic qui ne peut pas
fl"gure 4.21 -Topologies physiques couramment utilisées
316
e '. M
ertificd lnfo~tion
Systems Awl1tor"
.-----+----·-
~''""''"'''"""'
être livré sur un segment donné. Les ponts possèdent aussi une
autre fonction essentielle, celle de diviser le réseau en plusieurs
domaines de collision.
t:Ethernet est un protocole d'accès multiple avec écoute de
porteuse et de détection de collision (CSMA/CD). Il s'agit d'une
façon de faire analogue à une voiture qui tente de tourner dans une
rue. La vision du conducteur est limitée à la rue devant lui. S'il
ne voit rien, le conducteur va tenter de tourner dans la rue. Si le
conducteur entre en collision avec un autre véhicule, il va reculer
et réessayer plus tard. Il doit être évident que si la rue était très
achalandée, beaucoup de collisions se produiraient. De la même
manière, si tout Je trafic vient d'une seule maison, beaucoup de
voitures pourraient donc circuler efficacement. Si des voitures
proviennent de beaucoup de maisons différentes, le volume de
trafic général pouvant être traité est donc beaucoup plus bas. C'est
de cette manière que I'Ethernet sc compatie dans un arrangement
bus.
J..;utilisation de câble coaxial dans cet exemple est très
probléma1iqtte. Le câble lui-même est un point de panne unique
d'un appareil. L'ajout d'une nouvelle station ne résoudrait pas le
problème et il existe un manque distinct de flexibilité avec une
telle implantation.
Afin de répondre à ce problème, on a conçu une nouvelle
implantation physique qui utilise un câble téléphonique de
paire torsadée. Ce médium est beaucoup moins cher que le
câble coaxial et peut être implanté en utilisant la topologie en
éloi le. La première implantation possède tous les points de la
connexion en étoile jumelés avec un appareil non intelligent
appelé concentrateur, qui est, au fOnd, un ensemble de
connecteurs permettant à tous les câbles d'être liés ensemble.
L:ensemblc de circuits à l'intérieur du conccntrateur déconnecte
électroniquement toute branche qui n'est pas active. Un problèrnc
sur une seule branche peut encore causer des problèmes sur
l'ensemble du réseau, mais l'ensemble des circuits est plus
simple et un technicien peut facilement isoler le problème dans
le concentrateur. Cependant, le problème de congestion du trafic
existe toujours.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
Le remplacement des concentnltcurs pm des commutateurs a
constitué une avancée technologique majeure. Un commutateur
est un nppareil intelligent qui fournit essentiellement un chemin
privé pour chaque paire de connexions sur le commutateur. Si A
transfère des données à B, il peut Je faire sans savoir que C soit
obligé de transtërer des données à D. D'ailleur,:;, les transfe1is
de A à D peuvent être traités sans craindre une collision. C'est
analogue à un tèu de signalisation dans un LAN. Dans ce cas. les
collisions ne sont qu'un problème si plusieurs voitures se dirigent
vers la même destination et un feu de signalisation peut régler ce
problème.
Alors que le volume de trafic en provenance ou en direction de
n'importe quel appareil donné est encore limité aux contraintes
instaurées par la technologie utilisée (p. ex., 10, 100, 1000 Mols),
ce volume peut être maintenu entre les paires d'appareils. De plus,
le problème de collisions est éliminé puisque le commutateur
s'assure qu'elles ne peuvent pas se produire. Un paquet peut être
retardé lorsqu'il attend que d'autre trafic ne libèœ J'intersection
mais il ne n'éprouve jamais un délai causé par une collision ou n'a
jamais besoin d'être envoyé de nouveau.
Du point de vue de la sécurité, les commutateurs proposent une
autre amélioration importante. Chaque appareil du réseau ne peut
voir que le trafic qui est destiné à son adresse MAC et ne peut pas
écouter les conversations sur le trafic du réseau qui sont destinées
à d'autres destinations.
De nos jours, les commutateurs sont tellement bon marché qu'il
y a peu de raisons pour continuer it utiliser les concentrateurs.
Les commutateurs qui fournissent aux appareils individuels un
service de 100 Mb/s et fournissent une connexion de 1Gb/s aux
commutateurs de haut niveau ne sont pas rares. Les commutateurs
fournissent de plus en plus de fonctionnalité supplémentaire
pouvant être utilisée pour implanter la politique de sécurité de
1'entreprise.
Une autre technologie de support d'nccès utilisée dans les LAN
est la méthode d'accès à l'anneau itjeton, qui utilise les r~seaux
en anneau. Les réseaux en anneau sont normalement implantés en
tant qu'anneaux physiques.
Les appareils qui utilisent cette méthode ont accès au réseau sur
la base d'une trame unique, appel Ce jeton, qui est distribuée dans
le réseau. Le but du jeton est qu'il s'attache à un utilisateur ou à
un appareil lors de la transmission des messages/données au bon
destinataire. Lorsqu'il n'est pas attaché ni à un utilisateur ni ù
un appareil, l'en-tête d'un jeton libre, le champ de données et les
composantes de queue de bande sont vides et remplies par les
appareils qui doivent être tmnsmis. Les technologies à jetons ont
presque disparu des réseaux d'aujourd'hui.
COMPOSANTES Dll LAN
L. es composantes qui sont couramment associées avec les LAN
sont les répéteurs, les concentrateurs, les ponts, les commutateurs
et· les rouleurs :
Les répéteurs sont des appareils de couche physique qui
augmentent la portée d'un réseau, ou qui connectent deux
segments de réseau séparés ensemble. Les répéteurs reçoivent
Manuel de Préparation C/SA 26" édition
ISACA. Tous droïts réservés.
Section deux : Contenu
!es signaux provenant d'un segment de réseau et les amplifient
(régénèrent) afin de compenser pour les signaux (analogiques ou
numériques) défom1és par les pe1ies de transmission causées par
la diminution de la force du signal au cours de la tmnsmission (c.~
à-d. 1'at1énuation ).
Les concentratcurs sont un appareil de couche physique qui sert
de centre d'un réseau possédant une topologie en étoile ou un
concentrateur réseau. Les concentratcurs peuvent ètre actifs (s'ils
reproduisent les signaux qui sont envoyés par eux) ou passifs (s ïls
divisent simplem~nl les signaux).
Les ponts sont une couche d'appareils de liaison de données
élaborés pour connecter des LAN ou pour créer deux segments
de réseau séparés de LAN ou de WAN à partir d'un seul segment
pour réduire les domaines de collision. Les deux segment.'>
fonctionnent comme des !.. AN ditfércnts sous le niveau de la
liaison de données du modèle de référence OS!. mais à pmi ir de
ce niveau et des niveaux supérieurs, ils sc comportent comme un
seul réseau logique. Les ponts agissent comme des appareils de
stockage et de retransmission dans les trames qui se déplacent
vers leur destination. Cela se fait en analysant l'en-tête MAC
d'un paquet de données, qui représente l'adresse matérielle d'une
carte réseau. Les ponts peuvent aussi filtrer les trames basées sur
l'infOrmation de la couche de liaison des données. Par exemple,
ils peuvent empêcher des trames envoyées à partir d'adresses
MAC prédéfinies de pénétrer dans un réseau particulier. Les
ponts sont des logiciels, ct ils sont moins etlïcaces que les autres
appareils d'équipements similaires comme les commutateurs. Pnr
conséquent, les ponts ne sont pas une composante majeure des
conceptions des réseaux d'entreprises de nos jours.
Les commutateur de couche liaison de données sont
des appareils de liaison de données qui peuvent diviser et
interconnecter les segments réseaux et aident à réduire les
domaines de collision dans les réseaux Ethcrnct. De plus, les
commutateurs emmagasinent ct retransmettent les trames, filtrent
et retransmettent les paquets parmi les segments réseaux, en se
basant sur la source MAC de la couche de liaison de données et
des adresses destinataires, comme les ponts et les concentrateurs
Hmt à la couche liaison de données. ToutefOis, les commutateurs
foumisgent une fonctionnalité plus robuste que les ponl.:;, en
passant par l'utilisation plus sophistiquée de protocoles de couche
de liaison de données qui sont implantés par le biais de- systèmes
spécialisés appelés circuits intégrés à application spécifique
(Cl AS). Les avantages de cette technologie sont: l'efficacité de
la performance obtenue avec une réduction des coûts, un temps
d'attente ou un temps mort diminué, et un plus grand nombre de
ports sur un commutateur avec des capacités de bande passante de
haute vltesse dédiées (p. ex., plusieurs pmis sur un commutateur
sont disponibles avec la vitesse d'Ethernct 10/100 ou Gigabit
Ethcrnet).
Les commutateurs peuvent aussi s'appliquer aux spécifications de
la technologie des WAN.
Les routeurs sont semblables aux ponts ct aux commutateurs
puisqu'ils relient deux ou plusieurs segments de réseau physique
séparés. Les segments de réseau qui :->ont reliés par le rouleur
restent toutefois séparés logiquement et peuvent fonctionner
317
Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
comme des réseaux indépendants. Les routeurs fOnctionnent
sur la couche de réseau OSI en examinant des adresses réseaux
(c.-ù-d. acheminer l'information chiffrée dans un paquet IP).
En examinant l'adresse If~ le routeur peut prendre des décisions
intelligentes pour acheminer le paquet à destination. Les
route urs sont di ftërenls des commutateurs situés sur la couche
de liaison de données du fait qu'ils utilisent des adresses réseaux
logiques. utilisent des adresses/segments réseaux dîtlërents pour
tous les ports, bloquent l'information de diffusion, empêchent
d'acheminer Je trafic à des adresses inconnues el filtrent le trafic
en sc basant sur l'information réseau ou l'information de l'hôte.
Souvent, les routeurs ne sont pas aussi efficaces que les
commutateurs puisqu'ils sont généralement des appareils
logiciels et qu'ils examinent chaque paquet qui passe par eux,
ce qui peut créer des goulots d'étranglement significatifs à
l'intérieur d'un réseau. Par conséquent, on doit porter une
attention particulière à J'endroit où l'on place les routeurs dans un
réseau. Cela signifie qu'il vaut mieux utiliser les commutateurs
dans la conception du réseau, ainsi qu'appliquer le~ principes
d'équilibrage de charge avec les autres routeurs pour les aspects
d'efficacité de la performance.
Les avancements dans la technologie des commutateurs ont
aussi donné des capacités d'exploitation aux commutateurs
aux niveaux de la couche réseau ct de la couche de transport du
modèle de référence OSI. Un commutateur de niveau 3 va plus
loin que la couche liaison de données, puisqu'il agit comme un
routeur sur la couche réseau du modèle OSJ. Le commutateur
de niveau 3 observe Je protocole de réseautage du paquet entrant
(p. ex., le pro1ocole lP). Le commutateur compare l'adresse IP
destinataire avec In liste des adresses dans ses tables, afin de
calculer activement la meilleure manière pour acheminer un
paquet à destination. Cela crée un« circuit virtuel)) (c.-il-d.
que le commutateur a la capacité de segmenter le LAN ct crée
un chemin d'accès entre !'appareil récepteur et émetteur pour
envoyer les données). Ensuite, il fait suivre le paquet à l'adresse
du destinalaire. Cela fournit l'avantage supplémenlairc de réduire
la taille des domaines de diffusion du n~seau. Un domaine de
diffusion est le ou les segments d1un domaine dans lequel tous les
appareils connectés peuvent être abordés en même temps par un
message qui utilise une plage d'adressage d'un réseau commun
spécial, que l'on sumomme adresse de diffusion. Cela est
nécessaire pmu· des fonctions spécifiques de gestion de réseau. À
mesure que le domaine de diiJusion grossit, la perfOrmance peul
devenir inefficace et des problèmes majeurs de sécurité peuvenl
survenir concernant les fuites d 1information dans un réseau
(p. ex., l'énumération des domaines réseau, des ordinateurs
spécifiques dans un domaine). Les domaines de diHlision
devaient être limités ou liés aux volets/groupes fondionnels
d'affaires au sein d'une entreprise afin de réduire le risque de
fuites vers des récipiendaires non autorisés, où les systèmes
peuvent êlrc ciblés ct où on peut en exploiter les vulnérabilités.
La différence majeure entre un routeur et un commutaleur de
niveau 3 est que le routcur effectue la commutation de paquet à
l'aide d'un microprocesseur, Jandis que le commutateur de niveau
3 eflèctue la commutation à l'aide de matériel ASIC.
Lors de la création de domaines de diffusion sépar6s, les
commutateurs de niveau 3 peuvent aussi fàvoriscr le concept
318
e Cerlined lnformatioo
Sr.,.iems Auditor"
"''"'CA"""'''''"""
d'établir un réseau local viliuel (VLAN). Un VLAN constitue
un groupe d'appareils sur un ou plusieurs LAN segmentés
logiquemcnL Un VLAN est mis en place en configurant les ports
sur un commutateur, pour que les appareils connectés à ces ports
puissent c.:ommuniquer comme s'ils étaient connectés au même
segment du réseau physique, même si les appareils sc trouvent
sur des segments de LAN différents. Un VLAN est basé sur les
connexions logiques plutôt que sur les connexions physiques,
ct permet donc une plus grande flexibilité. Cette flexibilité
permet aux administrateurs de restreindre l'accès aux ressources
réseaux par les utîlîsateurs uniquement à celles spécifiées ct aux
ressources de segment du réseau pour une performance optimale.
Dans la commutation de niveau 4, on tient compte de quelques
renseignements d'application en plus des adresses de la couche
réseau. Pour le protocole IP, cette information comprend les
numéros de port des protocoles tels que le protocole UDP et Je
protocole TC P. Contrairement aux commulateurs de niveau 3, ces
dispositifS sont plus exigeant en termes de ressources puisqu'ils
doivent stocker les renseignements du protocole basés sur
l'application. On ne stocke que l'information sur les adresses aux
niveaux de couche de liaison de données et de couche réseau.
Un commutateur de couche 4 (couche transport) permet une
commutation à base de règles. Avec cette fonctionnalité, les
commutateurs de la couche 4 peuvent libérer un serveur en
répmiissant le trafic entre un groupe de serveurs, en fOnction
de 1'inf(mnation sur les sessions individuelles et de l'état de ces
dernières.
Les commutateurs des couches 4-7 sont aussi appelés
commutateurs de contenu, commutateurs de services liés au
contenu, commutateurs Web ou commutateurs d'application.
On les utilise généralemcnl pour l'équilibrage. de charge entre
groupes de serveurs. L'équilibrage de charge peut être basé sur
HTTP, HTTPS ou YPN, ou pour toute application de trafic TCP/
IP utilisant un port donné. Les commutateurs de contenu peuvent
également servir à l'exécution d'opérations courantes comme
le chiffrement ou le décryptage SSL pour réduire la charge des
serveurs recevant Je trafic, et pour centraliser la gestion des
certificats numériques.
Le-s passerelles sont des appareils agissant à titre de
convertisseurs de protocoles. Généralement, ils connectent et
convertissent entre les LAN et l'ordinateur central, ou entre les
LAN et internet, au niveau de la couche d'application du modèle
de référence OS!. Selon le type de passerelle, l'opéralion se
déroule sur diverses couches d'OS!. La forme la plus courante de
passerelle est l'architecture unifiée de réseau (SNA), qui convertit
entre un protocole TCP/IP, NctBIOS ou un protocole !PX et
l'ordinateur central.
CRITÈRES DE SÉLECTION DE LA TECHNOLOGIE
LAN
Voici quelques-uns des critères de sélection les plus importants :
• Quelles sont les applications?
• Quels sont les besoins en bande passrmte?
e11 Quel domaine doit étœ couvert et quelles sont les contraintes
physiques?
• Quel est le budget?
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e Certified lr!furmalioll
Systems Audttor
:;;;;:;;,--;t;:;;-
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information Section deux : Contenu

• Quels sont les besoins en gestion à distance? de câble de fibre optique, ce qui offre une capacité hautement
• Quels sont les besoins de sécwité? accrue et une fiabilité largement améliorée, à un coüt par
• Quelle est la redondance/résilience de réseau requise? mille du canal correspondant à une infime fraction du coüt
des circuits de micro-ondes qui possèdent la même capacité.
Réseau étendu (WAN) Toutes les nouvelles constructions de micro-ondes utilisent
Un WAN est un réseau de communication de données qui des signaux numériques, qui foumissent des taux de données
transmet les renseignements en utilisant des LAN dispersés hautement accrus ct des taux d'erreurs réduits lorsqu'on les
géographiquement comme ceux situés à l'intérieur des sites compare avec les ensembles de circuits analogues. Les circuits
d'usines, des villes ou des nations. radios de micro-ondes ~ont encore utilisés couramment sur
les lignes à<~ petits trafics» dans lesquels il n'est pas rentnblc
Voici quelques caractéristiques des WAN: d'installer la fibre. La plupart des compagnies d'électricité
• Ils sont applicables aux couches physiques ct de liaison de utiliseront leurs faisceaux hertziens pour relier leurs systèmes
données du modèle de référence OS!. de télésurveillance et d'acquisition de données. La conception
• Le flux de données peut être unidirectionnel (transmission des circuits de micro-ondes doit prendre en considération la
unidirectionnelle), bidirectionnel à J'altemat (une direction à la topologie physique de la zone ct le climat. Les antennes de
lDis) ou bidirectionnel simultané (les deux directions en même micro-ondes doivent être en mesure de se« voir>' entre elles.
temps sans délai de renversement). Les conditions climatiques comme la pluie peuvent avoir des
• Les lignes de communication peuvent être soit commutées ou elfcts défavorables sur les lignes de micro-ondes.
dédiées. • Systèmes de faisceaux hertziens par satellite- Ils contiennent
plusieurs sections destinataire/amplificateur/émetteur appelées
IMI'LANTATION DES WAN transpondeur. Chaque transpondeur possède une bande passante
De nos jours, les câbles de fibre optique sont souvent utilisés de 36 mégaher1z (MHz), fonctionne à une fréquence légèrement
pour les connexions réseaux de grande capacité, à la fois entre les différente, possède des sites émetteurs individuels et envoie
édifices et entre les villes. D'autres systèmes pouvant être utilisés des faisceaux étroits de signaux de micro-ondes au satellite.
peuvent inclure : Tout comme les micro-ondes, les signaux satellites peuvent
• Réseaux hertziens-- Les réseaux he1iziens foumisscnt une être affectés par la température. Même s'ils peuvent transporter
transmission en visibilité directe de la voix ct des données dans des quantités importantes d'information en même temps, ils
l'air. Depuis longtemps, les circuits de micro-ondes analogues possèdent le désavantage de le faire dans un délai plus long
ont f-Ourni la majorité des transmissions de données ct de voix en comparaison à tous les médias précédents, en raison du
sur une grande distance à faible vitesse. Cette technologie était « passage » de la terre au satellite ct le retour (que 1'on estime à
utilisée car elle offrait une allernative à f~tible coût aux systèmes environ 300 millisecondes).
à ondes po1icuses sur câbles à faible capacité de l'époque.
Beaucoup des systèmes de micro-ondes à« gros trafic», si ce Le tableau 4.22 présente les avantages et les inconvénients
n'est pas la plupart, ont depuis été remplacés par les systèmes de chaque médium de couche physique disponible pour les
c
Tableau 4.22- Mèdias de ltansmissiPn
'
Cuivre • Utilisé pour de courtes distances •Bon marché • Facile à mettre sous écoute
(<200 pieds [60,96 mètres]) •Simple à installer • Facile à raccorder
• Soutient la voix elles données • Facile à se procurer •Diaphonie
• Simple à modifier • Perturbation
•Bruit
Câble coaxial • Soutient les données et les vidéos • Facile à installer •Épais
•Simple •Cher
•Facile à se procurer • Ne soutient pas beaucoup de LAN
• Sensible à la distance
• Difficile à modifier
Fibre optique • Utilisé pour les longues distances • Grande capacité de bande passante •Cher
•Soutient la voix, les données, les • Sécuritaire • Difficile à raccorder
images et les vidéos • Difficile de mettre sous écoute • Difficile à modifier
•Pas de diaphonie
• Plus petit et léger que le cuivre
Systèmes de •Utilisé pour de courtes distances •Bon marché • Facile à mettre sous écoute
radiocommunication • Perturbation
•Bruît
Réseaux hertziens • Ligne de vision d'onde porteuse pour • Bon marcllé • Facile à mettre sous écoute
les signaux de données •Simple à installer • Perturbation
• Disponible •Bruit
Systèmes de faisceaux • Utilise les transpondeurs pour envoyer • Grande bande passante et différentes • Perturbation
hertziens par satellite l'information fréquences •Bruit
• Facile à mettre sous écoute

Manuel de Préparation CISA 26" édition 319

ISACA. Tous droits reservés.
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
réseaux. Ces caractéristiques physiques s'appliquent aussi aux
technologies des WAN.
TECHNIQUES DE TRANSMISSION DE MESSAGE DU
WAN
Les techniques de transmission de message incluent :
• Commutation de message - Envoie un message complet fl un
point de concentration pour le stockage et l'acheminement au
point destinataire dès que le chemin de télécommunications est
disponible. Le coùt de la transmission est basé sur la longueur
du message.
• Commutation de paquet·- Un moyen sophistiqué pour
optimiser la capacité de transmission des réseaux. On
réalise cette transmission en divisant le message en unités
de transmission, appelées paquets, et en les acheminant
individuellement dans le réseau, selon la disponibilité d 1un
canal pour chaque paquet. Les mots de passe et tous les
types de données peuvent être inclus dans le paquet. Le coût
de transmission est établi par paquet et non par message,
destination ou distance. Des procédures sophistiquées de
contrôle d'erreur et de flux sont appliquées ù chaque lien dans le
réseau.
• Commutation de circuit Un canal physique de
communication est établi entre l'équipement de c.:ommunication,
en passant par un réseau de circuit commuté. Ce réseau peut
être, par exemple, point ù point (p. ex., liaison louée), un réseau
téléphonique public commuté (RTCP) ou un réseau numérique
à intégration de services (RNIS). Une fois la connexion établie,
elle est uniquement utilisée par deux utilisateurs pour la durée
de l'appel. Le réseau ne fournit aucun contrôle d'erreur ou
de flux sur les données transmises. Cette tâche revient donc à
l'uti 1isateur.
• Circuits virtuels - Un circuit logique entre deux appareils de
réseau qui permet les communications de données fiables. On
retrouve deux types: les circuits virtuels commutés (CVC) et
les circuits virtuels permanents (CVP). Les CVC établissent
dynamiquement une conncctivité sur demande et les CVP
établissent une connexion permanente.
• Service de téléconsultation des WAN- Les services de
téléconsu!tation qui utilisent la connectivité asynchrone et
synchrone sont largement disponibles et bien adaptés pour les
entreprises ayant un grand nombre d'utilisateurs mobiles. Leurs
désavantages sont une faible bande passante et une perfOrmance
limitée.
APPAREILS l!TILIS~:s DANS LES WAN
Les appareils suivants, qui fonctionnent généralement sur la
couche physique ou de liaison de données du modèle de référence
OSI, sont spécifiques à l'environnement des WAN.
Un commutateur WAN est un appareil de la couche de liaison
de données utilisé pour l'implantation de diverses technologies de
WAN comme le mode de transfert asynchrone (ATM), Je relais de
trame point à point et le RNIS. Ces appareils sont généralement
associés aux réseaux porteurs qui fournissent des services
spécifiques de commutation WAN et des services de rouleurs aux
organisations à l'aide de connexions T~ 1/E-l ou T..J/E-3.
Les rouleurs sont des appareils qui fOnctionnent sur la couche
réseau du modèle de référence osr et qui fournissent une
320
e '. erlif!ed lllfonnalîoo
Systems Audrtor"
~'""-"'""'''""'""
interface entre les différents segments réseaux sur un réseau
interne ou qui connectent le réseau interne à un réseau externe.
Les modems (modulateur/démodulateur) sont des appareils
d'équipement de communication des données qui rendent possible
l'utilisation de lignes analogiques (généralement k réseau de
téléphone public) comme média de transmission pour les réseaux
digitaux. Les modems convertissent les signaux informatiques
numériques en signaux de données analogues ct des données
analogues en données numériques. Lorsqu'une liaison est établie,
les modems qui fonctionnent à chaque extrémité négocient
automatiquement. la norme la plus rapide et la plus sécuritaire
que la liaison et les modems eux-mêmes peuvent utiliser, en
établissant !a vitesse, la parité, les algorithmes de chiffrement et !a
compression.
À des fins de tmnsmission, les modems démontent les octets en
une séquence de bits qui sont envoyés séquentiellemcnt à la ligne.
Du côté receveur, ces bits doivent être réassemblés e-n octets.
Une tâche principale des modems des deux côtés est de
maintenir leur synchronisation pour que l'appareil récepteur
connaisse l'endroit où chaque octet commence ct sc termine.
Deux méthodes peuvent être utilisées pour répondre à cet
objectif:
• Transmission synchrone·-· Les bits sont transmis sans
interruption à une vitesse constante. Le modem envoyeur
utilise une police spécifique lorsqu'il commence la
transmission d'un bloc de données pour<~ synchroniser"
l'appareil destinataire. Ce mode petmct une efficacité
maximale, mais seulement si les blocs ne sont pas trop petits.
Des règles techniques spécifiques doivent être suivies pour
maintenir la synchronisation.
• Transmission asynchrone -· L!appareil de transmission
identifie le commencement et la fin d'un octet en envoyant un
bit de «commencement H et de « fin >> avant et après chaque
octet de données. !_:efficacité de la ligne est basse, mais la
norme asynchrone est simple, et fonctionne bien pour les
modes de transmission en mode caractère ct en mode bloc.
Les liens de communication peuvent se fnire des deux côtés.
Veuillez vous référer au tableau 4.23.
Les serveurs d'accès fournissent un contrôle d'accès centralisé
pour la gestion des services de téléconsultation à distance.
Le dispositif de transmission de camd/dispositif de
transmission numérique s'interface à la couche physique du
modèle de référence OS!. l'équipement terminal de traitement
de données (ETTD) à l'équipement de terminaison de circuit de
données (ETCD), pour les réseaux de transport commutés.
Les multiplexeurs sont des appareils de la couche physique
utilisés lorsqu'un circuit physique possède plus de capacité de
bande passante que ce qui est requis par les signaux individuels.
Le multiplexeur peut allouer une portion de sa bande passante
to1a!e ct utiliser chaque portion comme une ligne de signal
séparée. Il peut aussi relier plusieurs lignes à basse vitesse
à une ligne à haute vitesse afin d'améliorer ses capacités de
transmission.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information Section deux : Contenu

Les méthodes pour le multiplexagc des données incluent les
points suivants :
• Mult'iplexage par répartition dans le temps (MRT)- Les
renseignements de chaque canal de données se voient allouer
de la bande passante en tànction des intervalles de temps
préassignés, peu importe qu'il y ait ou non des données à
transmettre.
• Multiplcxagc par répartition dans le temps asynchrone
(MRTA)- Les renseignements des canaux de données se
voient allouer de la bande passante, si nécessaire, par le biais
d'intervalles de temps a'isignés de façon dynamique.
• Multiplex<Ige par répartition en fréquence (MRF) Les
renseignements de chaque canal de données sc voient allouer
de la bande passante en fonction de la fréquence de signal du
trafic.
• Multiplexage statistique-- La bande passante est assignée
dynamiquement à n'importe quel canal de données qui
possède l'intOnmltion à transmettre.
TECHNOLOGIES WAN
Les sections qui suivent décrivent quelques types de technologies
WAN courantes utilisées pour gérer les liens de communication.
Protocole PPP
Le protocole PPP fonctionne dans la couche de liaison
de données. Le protocole PPP fournît un seul chemin de
communication WAN préétabli depuis les locaux des abonnés
jusqu'à un réseau distant normalement atteint par un réseau
porteur tel que celui d'une compagnie de téléphone. Le protocole
PPP est une solution d'accès à distance largement disponible qui

Tableau 4.23- ASSociation 051 au protOcole TCP/IP

Unité de
données
Couches du
conceptuelles protocole Fonctions de Fonctions de
Modèle ISO TCP/IP (POUl Protocoles TCP/IP Équipement couche couche
7 Application Application Données HTIP Passerelle Fournit une Services de fichiers,
Protocole FTP interface utilisateur d'impression, de
Protocole SMTP messagerie, de
TFTP base de données et
NFS d'application
6 Présentation Protocole NSP Présente les Services de
Protocole SNMP données chiffrement de
Protocole Telnet données, de
LPO Gère le traitement compression et de
XWindows comme le traduction
ONS chiffrement
DHCP/BootP
5 Session Garde séparées Contrôle de
les données dialogue
de différentes
applications
4 Transport Transport Segment Protocole TCP Commutateur de Fournit une livraison Connectivité de
Protocole UDP couche 4 fiable ou non fiable bout en bout
3 Réseau Interface Paquet ICMP Rouleur Fournit une adresse Routage
réseau ARP logique que les
RARP Commutateur de rouleurs utilisent
Protocole IP couche 3 pour le choix du
cl1emin
2 Liaison de Interface lAN Trame Ethernet Commutateur de Combine les Trame
données ouWAN Ethernet rapide couche 2 paquets en bits et
FDDI les bits en trames
Anneau à jeton Passerelle
Protocole PPP Offre un accès au
AP sans fil média à l'aide d'une
adresse MAC
Carte réseau
Effectue une
détection d'erreurs,
et non une
correction d'erreurs
1 Physique Bits Concentrateur Déplace les btts Topologie physique
entre les appareils
Répéteur
Spécifie la tension,
Carte réseau la vitesse du câble
et les broches de
sortie des câbles

Manuel de Préparation CISA 26• édition 321

ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
Section deux : Contenu des Services des Systèmes d'Information
soutient les liaisons asynchrones et synchrones, et qui fonctionne
sur une grande étendue de média. Puisque le protocole PPP est
plus stable que l'ancien protocole SLIP, il est la norme d'Internet
pour la transmission de p<1quets IP sur les lignes séries. Le
protocole PPP se sert de deux protocoles de base pour cette
opération. Le premier, le protocole de contrôle des liaisons,
est utilisé dans l'établissement, la configuration et le test de la
connexion des liaisons de données. Le second, le protocole de
gcRtion de ré..<;eau, établit et configure les différents protocoles de
couche réseau (p. ex., le protocole JPX). Les caractéristiques du
protocole PPP incluent l'avis de l'adresse, l'authentification, le
suppmt pour les protocoles multiples et le contrôle des liaisons.
Protocole X.25
En tant que paquet commuté ou d'implantation de circuit
virtuel, le protocole X.25 est une norme de télécommunication
(UIT·T) qui définit comment les connexions entre I'ETfi) et les
télécommunications de données ou le ETCD sont maintenues
pour l'accès à un terminal distant et les communications
infOrmatiques dans les réseaux public de transmission de données.
l~laboré en 1976, le protocole X.25 fOnctionne sur les trois
couches inférieures du modèle de référence OSI, mais n'est ph1s
vraiment disponible de nos jours p1incipalemcnt parce qu'il est
exigeant en termes de ressources pour fournir des capacités de
contrôle des erreurs.
Relais de trame
En tant que paquet commuté ou d'implantation de circuit
vi11uel, le relais de trame est un protocole de couche de liaison
de données pour les appareils de commutation qui utilisent une
technique d'encapsulation standard pour traiter des circuilo:;
virtuels multiples entre les appareils connectés, La méthode
d'encapsulation est une procédure de commande à haut niveau
pour les liaisons séries synchrones qui utilisent des caractères et
des sommes de contrôle des trames. Le relais de trame est plus
efi'îcace que le protocole X.25, le protocole pour lequel il est
généralement considéré comme un remplacement. À 1'opposé
du protocole X.25, le relais de trame repose plus sur les couches
supérieures des protocoles pour les procédés importants de
gestion des erreurs dans les transmissions de données. Le relais
de trame est une technologie de LAN moins chère et largement
disponible utilisée dans les connexions point à point des WAN.
Réseau numérique à intégration de services
En tant qu'implémentation de circuit commuté, un RNJS offre des
services de communication de la voix, de données et de vidéos
intégrées et forme une architecture pour les télécommunications
partout dans Je monde. Ce service intègre la voix, les données et
les communications vidéos par la commutation numérique et la
transmission sur les lignes de transport numé1iques publiques.
Les technologies RNIS gui sont maintenant implantées sont
des RNIS;:) bande étroite (de base et primaire, non agrégés); les
RNlS à large bande n'ontjamais été implantés il grande échelle.
Des canaux séparés sont utilisés pour l'information des clicnl<;
(c.-à-d. B, voies porteuses : voix, données et vidéo) ct envoient
des signaux et des înfommtions de contrôle (c.-à-d. D, canaux de
données). Le RNIS utilise un protocole à couches de nœuds de
paquets, basé sur la norme X.25 de I'UIT-T. À l'opposé du relais
de trame, il est disponible pour tous de façon modérée.
322
Mode de transfert asynchrone
En tant qu'implantation de paquets commutés qui fonctionnt::
sur la couche de liaison de données, le mode de transfert
asynchrone (ATM) est basé sur !"utilisation d'une commutation
de cellules (un bloc de données d'une taille fixe) et sur la norme
de technologie de multiplexage qui combinent les avantages de la
commutation de circuit (la capacité garantie ct le délai constant
de transmission) avec ceux de la commutation de paquets (la
flexibilité ct l'efficacité pour le trafic intetmittent). Parce que
l'ATM est asynchrone, les intervalles de temps sont disponibles
sur demande avec de l'information qui identifie les sources des
transmissions contenues dans \'en-tête de chaque cellule d'ATM.
L'ATM est considéré comme étant relativement coüteux en tant
qu'une option de ligne louée dédiée en comparaison avec d'autres
options de WAN.
Commutation multiprotocolc par étiquette
La commutation multiprotocolc pm· étiquette (M PLS) fournit
un mécanisme pour ta stTucture de trafic du réseau ingénierie
qui est indépendant des tables de routage. La MPLS désigne des
étiquclles courtes pour les paquets réseaux qui déctivent comment
les acheminer dans le réseau. Ln MPLS est indépendante de tout
protocole de routage ct peut être utilisée pour les paquets d'envoi
individuel.
Dans l'acheminement traditionnel de la couche liaison, tandis
qu'un paquet voyage d'un routeur au suivant, une décision
d'acheminement indépendante est faite à chaque bond. L'en-tête
de la couche réseau 1Pest analysé et le bond suivant est choisi
en fonction de cette analyse et de l'information contenue dans
la table de routage. Dans un environnement MPLS, l'analyse de
l'en-tête du paquet est effectuée seulement une fois, lorsqu'un
paquet entre dans le nuage MPLS. Le paquet est ensuite assigné
à un flux de données, qui est identifié par une étiquette: un
petit nombre (20 bits) d'une longueur fixe au commencement
du paquet. Les étiquettes sont utilisées comme des index de
consultation dm1s la table d'acheminement des étiquettes. Cette
table stocke l'information d'acheminement pour chaque étiquette.
De l'information supplémentaire, comme les valeurs de classe de
service qui peuvent être utilisées pour prioriser 1'acheminement
de paquets, peut être associée à une étiquette.
Lignes d'abonnés numériques
Le DSL est un foumisseur de services de réseau qui utilise
une technologie de modem sur les lignes de téléphonie à paire
torsadée existantes pour transporter des données de haute bande
passante comme du multimédia ct des vidéos. Les caractéristiques
des lignes d'abonnés numériques (DSL.) incluent:
e Un accès au réseau public dédié, point à point sur la ligne
d'abonné. Le-s lignes d'abonnés sont généralement<< la dernière
étape» entre le bureau central d'un fournisseur de services de
réseau et le site d'un client.
• Livre des taux de données de haute bande passante aux clients
dispersés à un faible coùt en passant par les infrastructures de
télécommunication existantes.
• L'accès permanent, ce qui élimine le réglage d'appel et le rend
idéal pour Internet/intranet et l'accès à distance au LAN.
Les services de lignes d'abonnés numériques (DSL) varient en
vitesse et type de modulation :
• Ligne d'abonné numérique ac;ymétrîque (ADSL)
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . Certifled Information
Systems Auditor
··---1--
"''""'"'''"''''"""'
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
• Ligne d'abonné numérique ù débit symétrique (SDSL)
• Ligne d'abonné numérique à haut débit (HDSL et HDSL-2)
• Ligne d'abonné numérique à haut débit version 2 (I-IDSL-2)
• Ligne d'abonné numérique à haut débit symétrique (Sf-IDSL)
• G.SHDSL (Une norme internationale pour la DSL symétrique,
aussi appelée G.OO 1.2)
• Ligne d'abomté numérique ù très haul débit (VDSL)
Réseaux privés virtuels (VPN)
Un VPN étend le réseau d'entreprise de f-açon sécuritaire par le
biais de paquets chiffrés envoyés à l'aide de connexions virtuelles
sur Internet à des bureaux éloignés, aux travailleurs à domicile,
aux vendeurs et aux partenaires d'affaires. Au lieu d'utiliser de
coûteuses lignes louées dédiées. les VPN prennent avantage de
l'infrastructl1re publique partout dans le monde. Ils permettent
ainsi aux utillsatcurs à distance de faire des appels locaux (plutôt
que de composer un numéro à un tarif interurbain) ou en utilisant
un modem cflble Internet ou des connexions DSL pour une
connectivité au réseau public abordable.
Les VPN sont indépendant<; des platcformes. Tout système
infOrmatique configuré pour fonctionner sur un réseau IP peut
être connecté par un VPN sans aucune modification, sauf pour
l'installation de logiciel distant.
On retrouve trois types de VPN :
1. VPN d'accès à dis1ancc Utilisé pour connecter les
télétravailleurs et les utilisateurs de cellulaires au WAN d'une
~ntrcprise de façon sécuritaire. Cela permet de réduire les
obstacles au télCtravail en s'assurant que l'infOm1ation est
protégée de fàçon raisonnable sur l'Internet ouvert.
2. VPN d'intranet·- Utilisé pour connecter les bureaux des
divisions au sein d 1UI1 WAN d'entreprise.
3" VPN d'extranct --Utilisé pour donner aux partenaires
commerciaux un accès limité au réseau d'entrepiise de chacun,
par exemple un filbricant d1automobîle avec ses fournisseurs.
La seule différence entre un VPN traditionnel inteme (intranet) ct
un VPN externe (extranct) est la façon dont le VPN est géré. Avec
un VPN sur intran~t, toutes les ressources réseaux ct de VPN sont
gérées par une seule entreprise. Lorsque le VPN d'une entreprise
est utilisé pour un extranct, le contrôle de la gestion devient
faible. Par conséquent, on recommande, dans le cas d'un VPN
d'extranct, que chaque entreprise participante gère son propre
VPN et le contrôle.
Les VPN permettent :
• Aux gestionnaires de réseaux d'augmenter la portée du réseau
commercial d'une manière rentable;
• Aux utilisateurs de réseaux à distance d'avoir facilement accès à
leur entreprise commerciale d'une manière sécuritairc;
• Aux entreprises de communiquer d'une façon sécuritairc avec
leurs partenaires commerciaux;
• À la gestion de la chaîne logistique d'être efficiente et efficace;
• Aux fOurnisseurs de services d'augmenter leurs affaires en
fournissant une impo1iante bande passante incrémentie\le avec
des services de valeur ajoutée.
Caction de déterminer quelles ressources du réseau doivent
être reliées par un VPN dépend des applications utilisées sur les
divers systèmes, Les exigences souvent utilisées pour déterminer
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
la <.:onnectivité réseau incluent les politiques de sécurité, les
modèles d'a-ff'aircs, les serveurs d'accès intranet, les exigences
d'applications, le partage de données et les serveurs d'accès
d'applications.
Le processus de chiffrement des paquets, qui fait elu VPN
un progrJmme de protection elficaœ, utilise la norme
d'association de sécurité du groupe de travail !ETE L'IPScc
est mis en œuvre en deux modes. En mode tunnel, IPSec
permet de chifll·er l'ensemble du paquet, y compris l'en-tête.
En mode transport, IPSec chiffre seulement la portion de
données du paquet. Un VPN donné peut utiliser le mode tunnel
IPSec ou le mode transport JPSec avec d'autres méthodes
de chiffrement pour les pmiies non-données du paquet.
~.- ..·----·---- -----·----··----,
emarque: Pour connaître les implications de sécmité des VPN ·
~t pour obtenir de l'infOrmation sur le chiffrement de l'association
te sécurité et des VPN, veuillez vous référer à 1a section 5.6.1
udil de l'accès ù distance.
Réseaux sans fil
Les technologies sans fil, au sens le plus simple, permettent à
un ou ù plusieurs appareils de communiquer sans connexion
physique, c'est-à-dire sans avoir recours à un réseau ou à du
câblage périphé1ique. Le sans-fil est une technologie qui permet
aux en1reprises d'adopter des solutions de commerce électronique
qui possèdent une croissance potentielle considérable. Les
technologies sans fil utilisent les transmissions par fréquence
radio/les signaux électromagnétiques comme moyen pour
transmettre les données, alors que les autres technologies utilisent
des signaux électriques par cübles. Les technologies sans fil
vmient des systèmes complexes (comme les réseaux étendus sans
fil, les réseaux locaux sans fil et les cellulaires) à des appareils
simples (comme des écouteurs sans fil, des microphones ou
d'autres appareils qui ne tmitent pas ou n'emmagasinent pas
l'information). Ils incluent aussi les appareils Bluetooth avec
un émetteur-récepteur de fi·équences miniradio ct des appareils
infrarouges tels que les télécommandes, quelques claviers ct
souris d'ordinateur sans fil, et les écouteurs sans fil stéréo haute
fidélité. Tous exigent une ligne de vue directe entre l'émetteur et
le récepteur pour fCrmer la liaison.
·routcfois, adopter une technologie .sans fil amène son lot
d'éléments nouveaux qui doivent être abordés. Par exemple, les
applications existantes peuvent devoir subir un rattrapage pour
l'utilisation des interfaces sans fil. De plus, on doit prendre des
décisions concernant la conncctivîté générale: pour faciliter
Je développement d'applications mobiles entièrement sans fil
ou d'autres applications qui reposent sur la synchronisation du
transfCrt de données entre les systèmes informatiques mobiles
et l'infrastructure commerciale. D'autres problèmes incluent
une bande passante étroite, le manque de normes à point et les
questions de sécurité et de confidentialité non résolues.
Les réseaux sans fil agissent comme mécanisme de transport
entre les appareils et les réseaux câblés traditionnels ct parmi
eux. Les réseaux sans fil sont nombreux ct variés, mais ils sont
tl·équemment classés en quatre groupes selon leur portée de
couverture :
323
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
• Les \VAN;
• Les LAN:
• Les réseaux personnels;
• Réseaux ad hoc sans fil.
WANSANS FIL
Le réseau tage des WAN est le processus de relier diflërcnts
réseaux qui se trouvent dans une grande région géographique
pour permettre un plus grand partage ct une plus grande
connectivité des ressources des Tl. Alors que les ordinateurs
sont souvent connectés aux WAN traditionnels en utilisant
des solutions de réseautage par câbles (comme les systèmes
téléphoniques), les WAN sans fil sont connectés par les
technologies radio, satellite ct de téléphone portable.
Les WAN sans fil qui utilisent les technologies radio, satellite
et de téléphone portable peuvent compléter et rivaliser avec les
systèmes de réseautage par câbles plus traditionnels. Cela inclut
les technologies qui possèdent une grande couveJture comme
la tcclmologie d'évolution à long terme (LTE), la technologie
d'accès WiMAX, la transmission de données par paquets sur
réseau cellulaire (CDPD), le système mondial de communication
avec les mobiles (GSM) et Mobitex.
Pour CCJiaines entreprises, par exemple celles situées dans des
zones rurales où l'établissement de câbles coûte trop cher, la
technologie sans fil s'avère être la seule solution de réseautage.
Pour d'autres, le réseautage du WAN fOurnit une grande
flexibilité du système, tout comme la chance de contrôler les
coût'> lorsque l'équipement leur appartient.
L'implantation d'un WAN sans fil demande une attention
patiiculière pour la planification et Je sondage du r6scau. Il faut
également tenir compte des frais totaux de propriété engendrés
par le passage à ce système de réseautage qui évolue rapidement.
LAN SANS FIL
Les LAN sans fil permettent une plus grande flexibilité et
portabilité que les LAN ciiblés traditionnels. À l'opposé du
LAN traditionnel qui exige un câble pour connecter rordinateur
d'un utilisateur à un réseau, un LAN sans fil connecte les
ordinateurs, les tablettes, les téléphones intelligents ct les autres
composantes au réseau en utilhmnt un appareîl de point d'accès.
Un point d'accès, ou un concentratcur sans fil communiquent
avec les appareils équipés avec des adaptateurs réseaux sans fi1 à
l'intérieur d'une portée spécifique du point d'accès; il connecte
à un LAN Ethcrnet câblé par un port R.l-45. Les appareils de
point d'accès possèdent généralement des zones de couverture
pouvant atteindre 300 pieds (environ 100 mètTes). Cetie zone
de couve1ture se nomme cellule ou port-ée. Les utilisateurs sc
déplacent librement au sein de la cellule avec leur ordinateur
portable ou d'autres appareils du réseau. Les cellules de
point d'accès peuvent être reliées ensemble pour permettre à
l'utilisateur de« flâner >1 dans un édiricc ou entre les édifices. Les
LAN sans fil incluent 802. tt. HyperLAN, Home RF cl plusieurs
autres. On désigne souvent les LAN sans fil« zone d'accès sans
fil ~).
Les technologies de LAN sans fil observent une variété de
nOJmes cl otTrent divers niveaux de caractéristiques de sécurité.
Les avantages principaux des nonnes sont d'encourager la
production de masse et de permettre les produits de multiples
324
e CertlfiOO lnhmna!ioo
Systems Audltor"
;:;·;~
distributeurs dïnter fOnctionner. La norme la plus utilisée est la
802. tt de lïEEE.
Ï~~~~~~~~: Le c~.J!t~i~a~
[e-es au ti~~-c:·J~SA ~~;sera ~~~6~a!ué~
nonnes de l'IEEE a 1
--··-····--~··
examen. ~--...
--·-·~···-·-·-···----·----------"'-·----------~~
J
...
La norme 802.11 fait référence à la famille de caractéristiques
pour la technologie sans fil du LAN. La norme 802.11 spécifie
une interfhcc en liaison radio entre un client sans fil et. une station
de base ou entre deux clients sans fil.
CONFIDENTIALITÉ ÉQUIVALENTE AlJX
TRANSMISSIONS PAR FIL ET ACCI~S SANS FIL
I'ROTÉm: (\VPA/WI'A2)
Le chiffrement \VEP de la norme 802. Il de l'IEEE utilise des
clés symétriques p1ivées ce qui signifie que la carte réseau
de l'utilîsateur tïnal et le point d'accès doivent posséder la
même clé. Cela entraîne des difficultés qui ont souvent un
impact dans la distribution de nouvelles clés à chaque carte
réseau. En conséquence, les clés demeurent inchangées sur les
réseaux pendant de longues périodes. Avec les clés statiques,
plusieurs outils de piratage informatique percent facilement les
mécanismes de chiffl·ement relativement faibles du WEP.
À cause du problème de la réutilisation de la clé et d'autres
failles, la version normalisée actuelle du WEP n'offre pas une
sécurité assez forte pour les applications commerciales. Des
protocoles de sécurité plus récents, comme Je 802.11 i (WPA2)
et le Wi-Fi Protected Access (WPA), utilîsent cependant des
techniques de cryptographie de clé publique afin de foumir une
authentification ct un chiffrement efficace entre les utilisateurs et
les points d'accès.
Rf:SEAliX PERSONNELS SANS FIL
Les réseaux personnels sans fil sont des réseaux sans fil à COll lie
pmiéc qui connectent les appareils sans fil ensemble. La forme
prédominante de la tcclmologic des réseaux sans fil est Bluetooth,
qui relie les appareils sans fil sur de très courtes distances. La
manière la plus ancienne de connecter des appareils dans un
réseau personnel sans fil est la communication infrarouge.
Bluetooth est une norme de source ouve1ie qui emprunte
beaucoup de caractéristiques aux normes sans tïl existantes,
comme la 802.1 t de l'IEEE, !'!rDA, les télécommunications
mnné1iques européennes sans fil (DEC'T), le Piano de Motorola
ct lcTCP/11~ afin de connecter des appareils portables sans fil à
l'aide de fréquences radio de faible portée.
Ln technologie Bluetooth est un protocole sans fil qui connecte
les appareils dans une portée pouvant atteindre 49 pieds ( 15
mètres) et est devenue une caractéristique sur quelques tablettes,
cellulaires, claviers d 1ordinatcur, souris, imprimantes, etc. Il
s'agit d'un système qui change les fréquences d'un moment ii
l'autre en utilisant une technique nommée sauts de fréquence.
La technologie Bluetooth est utilisée dans les systèmes
informatiques, spécialement avec les ordinateurs portatif..:;,
comme moyen de remplacement des câbles physiques ct des
connexions infrarouges, qui sont limités à la ligne de vue. Les
appareils Bluetooth se détectent entre eux lorsqu'ils sont à portée
et ils mettent automatiquement en place une connexion d'arrière-
plan.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . M
CertifJed lnflllmation
S}'stems Auditor"
'"'"""''"'''""'""
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d"lnformation
La technologie Bluctooth permet une haute vitesse de données
(entre l Mbs et 2 Mbs), mais est conçue seulement pour
l'échange de données poste-à-poste. Une autre forme de la
l'echnologie de réseau personnel sans fil, appelée ZigBee, otTre
des vitesses de données plus lentes (250 Kb/s) que Bluetooth,
mais elle est moins chère et nécessite beaucoup moins d'énergie
pour fOnctionner que Bluetooth.
RÉSEAUX AD HOC
Les réseaux ad hoc sont des réseaux conçus pour connecter
les appareils distants comme les cellulaires, les ordinateurs
portables ct les tablettes de façon dynamique. Ces réseaux sont
appelés ad hoc à cause de leurs topologies réseaux changeantes.
Alors que les LAN sans -fil et les réseaux personnels sans fil
utilisent une infrastructure réseau fixe, les r0seaux ad hoc
maintiennent des configuratîons réseaux aléatoires, qui se
basent sur un système de routeurs mobiles connectés par des
liaisons sans f1l pour permettre aux appareils de communiquer.
les réseaux Bluetooth peuvent agir comme des réseaux ad
hoc, comme des routcurs mobiles qui contrôlent les topologies
réseaux changeantes de ces réseaux. Les routeurs peuvent aussi
contrôler le flux de données entre les appareils qui sont en mesure
de soutenir des liaisons directes entre eux. Puisque les appareils
sc déplacent d'une manière imprévisible, ces réseaux doivent
être reconfigurés pour s'ajuster à la topologie dynamique. Le
protocole de routage employé dans la technologie Bluetooth
permet aux route urs d'établir ct de maintenir ces réseaux
changeants.
Le routeur mobile est couramment intégré dans un appareil
portatif. Ce routeur mobile, lorsqu'il est configuré, s'assure qu'un
appareil distant' mobile comme un téléphone cellulaire reste
connecté au réseau. Le rouleur maintient la connexion ct contrôle
le flux de communication.
ACCÈS INTERNET SUR LES APPAREILS MOBILES
Les téléphones intelligents ct autres appareils mobiles accèdent
à Internet en se connectant à des LAN sans fil. Ces appareils
peuvent aussi se connecter à l'Internet par le biais de réseaux
mobiles.
Le protocole d'application sans fil (WAP) a été le premier
protocole à le permettre, soit de se connecter à llntcrnet par le
réseau mobile de deuxième génération, mais Je premier de type
numérique (2G) utilisant le langage WML (Wireless Markup
LangLL:'lge). Cette filçon de faire a ëté remplacée par les réseaux
de troisième génération (JG) et de quatrième génération (4G).
Le 3G a fait progresser les temps d'accès à l'Internet et les
vitesses de téléchargement. Le 4G est un réseau à commutation
de paquets IP qui intègre la voix sur IP (VolP) ct la télé mobile, et
qui a accru davantage les vitesses. Ces développements ont aussi
mené à des changements dans la façon d'accéder au contenu
lnterne1 avec des applications prises en charge ainsi qu'un accès
par le biais d'un navigateur Internet.
Les points suivants sont des problèmes généraux et des
expositions liés à un accès sans fil ou mobile :
L'interception d'information sensible --l;information
est transmise dans l'air, ce qui augmente le potentiel que
des renseignements non protégés soient interceptés par des
individus non autorisés.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
La perte ou le vol d'appareils·-· Les appareils ont tendance à
être relativement petits, ce qui les rend plus facile à voler ou à
perdre.
La perte des données contenue dans l'appo1reil ~- L. e vol ou la
perte peut provoquer une perte des données qui ont été stockées
dans l'appareil. Cela pourrait équivaloir à plusieurs gigaoctets
selon la capacité de l'appareil. Si le chiffrement est faible ou
s'il n'est pas appliqué, un pirate informatique peut accéder à
l'infOrmation, car celle-ci ne pourrait êtTe protégée que par un
mot de passe ou un numéro d'idcntifîcation personnel (NIP).
• La mauvaise utilisation des appareils -- Les appareils peuvent
être utilisés pour rassembler de 1' information ou intercepter de
l'information qui est distribuée sur des réseaux sans fil pour des
intérêts financi~rs ou personnels.
• Les distractions causées par les appareils- L'utilisation
d'appareils peut distraire l'utilisateur. Si ces appareils sont
utilisés dans des situations où toute l'attention d'une personne
est requise (p. ex., conduire une voiture), ils pourraient entraîner
une augmentation des accidents.
• Les eiTcts possibles de l'utilisation de l'appareil sur la
santé--- Les risques pour la sécurité et la santé n'ont pas encore
été identifiés. Cependant, il y a un bon nombre d'inquiétudes en
ce qui concerne les radiations électromagnétiques, spécialement
pour les appareils qui doivent être tenus à côté de la tête.
• Les vulnérabilités du SE- Le SE peut comprendre des
vulnérabilités qui permettent l'accès à l'appareil. À titre
d'exemple, les vulnérabilités permettent le déblocage
d'appareils.
• Les applications Les applications peuvent renfermer des
vulnérabilités ou un programme malveillant qui pourraient
permettre l'accès à des données ou à l'appareil même. Les
appareils débloqués peuvent être plus sensibles à cette situation,
car les applications pourraient ne pas provenir de sources stu·cs.
• LJauthenHfication de l'utilisateur sans fil -· Il faut une
meilleure authentification de l'utilisateur ct des outils
d'autorisation au niveau des appareils. La technologie actuelle
n'en est qu'à ses balbutiements.
• La sécurité des fichiers- Les téléphones sans fil ct les
tablettes n'utilisent pas le type de sécurité d'accès aux fichiers
que les autres platefonnes informatiques peuvent fournir.
• Le chiffrement de sécurité du ""'EP --La sécurité du WEP
dépend pmiiculièrement de la longueur de la clé de chiffrement
et de l'utilisation du WEP statique lbeaucoup d'utilisateurs sur
un LAN sans fil partagent la même clé) ou de WEP dynamique
(par utilisateur, par session, un WEP dynamique attaché à
l'ouverture de session réseau). Les clés de chiftl·cment de 64 bit
qui sont utilisées dans le chiffrement du WEP standard peuvent
être résolues tacitement par la puissance de calcul actuellement
disponible. Le WEP statique, utilisé dans beaucoup de LAN
sans fïl à des fins de l'lexibihté, est en fait un risque de sécurité
important, puisque la clé statique peut être facilement perdue
ou résolue, et, si c'est le cas, tous les renseignements sont
disponibles pour être visionnés et utilisés. Un pirate qui possède
la clé WEP pourrait aussi analyser les paquets qui sont envoyés
et les décrypter. Aujourd'hui, le WEP est rarement utilisé, parce
qu'il a été déconseillé. La clé WPA2 est ln solution privilégiée
pour les réseaux sans fil.
Infrastructure d'Internet publique " mondiale "
Internet est composé de réseaux distribués pmiout dans le monde
et interconnectés au moyen de chemins d'accès qui pennettent
325
Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
e Certifff!d !nforrnalioo
Syslems Audilor'"
"'''"'"'""'"'"'"'"

l'échange d'information, de données et de fichiers. ttrc branché
à Internet signifie d'en faire logiquement pm1ie. En utilisant les
chemins d'accès, un ordinateur connecté peut envoyer ou recevoir
des paquets de données à pmiir ou à destination de n 'imp01ic quel
autre appareil sur Internet
Aujourd'hui, llll'ernet est un réseau de réseaux immense et
mondial, qui s'étend des réseaux d'une université à des LAN
d'entreprises ou à des gros services en 1igne. 1nternet n ·est pas
dirigé ou contrôlé par une seule personne, un seul groupe ou une
seule organisation. Le seul élément contrôlé de façon centrale est
la disponibilité et la désignation d'adresses Internet et des noms
d'hôtes symboliques qui leur sont attachées. Les adresses et les
noms sont utilisés pour localiser les réseaux de source ou de
destination.
Les utilisateurs peuvent accéder à l'Internet par le biais
d'appareils sans fil ou d'un fournisseur de service Internet. Les
routcurs qui connectent les réseaux effectuent la plupart du travail
de direction du trafic sur Internet. Les réseaux sont connectés
de différentes manières, y compris par lignes téléphoniques,
lignes téléphoniques RNIS (réseau numérique à intégration des
services), lignes louées, câbles de fibres optiques ct satellites.
Les réseaux situés d.ans une région géogrë~phique pmiiculière
sont connectés à des réseaux régionaux plus gros. Les réseaux
régionaux sont reliés par des réseaux fédérateurs de haute vitesse
(des connexions qui peuvent envoyer des données à des vitesses
extrêmement rapides). Lorsque les données sont envoyées d'un
réseau régional ù un autre, ils voyagent d'abord à un point d'accès
au réseau. Les points d'accès au réseau acheminent ensuite les
données aux réseaux fédérateurs de haute vitesse. Les données
sont envoyées par le réseau fëdératcur à un ëJutre réseau régional
et ensuite à un réseau spéci tique ct un ordinateur au sein de ce
réseau régional.
TCP/IP ET SA RELATION AVIèC Llè MODÈLE I)E
R~;F~:RENCE OSI
La suite de protocole utilisée comme la norme de jàcto pour
Internet est connue sous l'appellation TCP/IP. Le protocole
TCP/IP comprend à la fois les protocoles orientés réseau ct les
protocoles de soutien d'application. Le tableau 4.23 illustre
quelques nonnes associées au protocole TCP/IP ct où ils cadrent
dans le modèle ISO. Il est intéressant de noter que l'ensemble
des protocoles TCP/IP ont été conçus avant le cadre ISO/OS!;
par conséquent, il n'y a aucune correspondance directe entre les
nonnes TCP/IP et les couches du résenu.
SERVICES WEB TCP/IP INTERNET
La manière !a plus courante utilisée pour accéder aux ressources
sur Internet est d'utiliser un service d'application Internet World
Widc Web (WWWJ TCP/IP.
L'adresse URL identifie l'adresse sur Je Web où se trouve une
ressource spécifique. Pour avoir accès à un site Web, l'utilisateur
doit entrer l'emplacement du site dans l'espace URL de son
navigateur, ou encore cliquer sur le lien hypertexte qui l'enverra
il !'emplncement. Le nnvignteur Web regarde l'adresse JP du site,
ct envoie une demande pour l'URL par le protocole HTTP. Ce
protocole définit comment le navigateur Web et le serveur Web
communiquent ensemble.
Les URL contiennent plusieurs parties, comme le montre la
figure 4.24.
Une adresse URL peut aussi être utilisée pour accéder ù d'autres
services TCP/IP Internet:
• fip:!kwtca. mg
• telnet://isaca.Oig
L'adresse URL est l'emplacement de ressources spécifiques
(p. ex., pages, données) ou de services sur l'Internet.
Dans l'exemple, la ressource est une page Web nommée
«certification)) et on la trouve sur le serveur Web de I'ISACA.
Cette demande est envoyée sur l'Internet et les rouleurs

fi!ll®4.2!1- composants a•.une aaresse URl!

httrp: //
Î
Le schéma donne les détails

..,
que le protocole doit utiliser.
Voici d'autres schémas:
• https

"telnet
www.isaca.org
t
Identifie le serveur (www) et le nom de
domaine (isaca.org) à contacter•; il est
possible d'utiliser une adresse IP au Heu
d'un nom de domaine.
/certifications

Identifie un rêpertoire précis, une page

d'accueil, un document ou tout autre objet
sur le serveur.

• !1 est normal d'utit1ser le serveur (• www" dans ce ca<;-ci) pour identifier la sorte de ressource lnlernel à
conlacler, ou pour communiquer avec plusieurs serveurs ayant te mème nom de domaine (p. ex., isaca.org).
coniiJW webl, wcb2, !tpl, ftp2.

326 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
translèrent ln demande au serveur Web destinataire, qui active
le protocole http et traite la requête. Lorsque le serveur trouve
la page d'accueil, le document ou l'objet demandé panni ses
ressources, il envoie la requête de nouveau au serveur Web. Dans
k cas d'une page J-ITML, l'information renvoyée contient des
données ct des caractéris1iques de tOrmatage. Elles sont sous la
forme d'un programme qui est exécuté par le navigateur Web
client et produit l'écran atTiché pour l'utilisateur. Après que la
page soit envoyée par le serveur, la connexion HTfP est fermée et
peut être ouverte de nouveau. La figure 4.25 affiche le chemin.
Les scripts CGI sont des programmes logiciels exécutables
ct indépendants de la machine fonctionnant sur le serveur,
qui peuvent être appelés el exécutés par un serveur Web. Les
scripts CG! effectuent une sé1ie spécifique de tâches, comme le
traitcme11t des entrées reçues d'un client qui a saisi l'information
sur un fonnulalrc d'une page Web. Les scripts CGJ sont codés en
langages comme Perl ou C. Notez que les scripts CGI doivent être
évalués attentiven1ent puisqu'ils fOnctionnent dans un serveur; un
bogue dans les scripts peut permettre à un utilisateur d'avoir un
accès non autmisé au serveur, et à partir de là, éventuellement au
réseau de l'entreprise.
Vn témoin est un message conservé par le navigateur Web qui
sert à identifier les utilisateurs et, le cas échéant, à leur préparer
des pages Web personnalisées. Selon le navigateur, l'implantation
peut vatier, mais le processus est comme suit: lorsqu'il entre
pour la première fois sur un site Web qui utilise les témoins, un
utilisateur peut sc faire demander de passer par un processus
d'enregistrement, par exemple remplir un formulaire pour fournir
des renseignements. y compris son nom ct ses intérêts. Le serveur
Web renverra un témoin avec l'information (un message texte
avec un en-tète http), qui sera conservée comme un message
texte par le navigateur. Par la suite, peu importe à quel moment
le navigateur de l'utilisateur demande une page de ce serveur
FiJIUre 4.25 - Exemple ile voie d'accès
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
pan-iculier, le message du témoin est renvoyé au serveur de
fhçon à ce que la vision personnalisée, basée sur les intérêts et
les préférences pmticulièrcs de l'utilisateur, puisse être produite.
Les témoins sont une fonctionnalité très importante puisque le
protocole http ne supporte pas de façon innée le concept d'une
session. Les témoins permettent au serveur Web de distinguer si
un utilisateur connu ou nouveau est connecté et de faire un suivi
de l'infOrmation qui a déjà été envoyée à cet utilisateur. Toutefois,
l'implantation de témoins par 1c navigateur Web a soulevé des
questions entourant la sécurité et la confidentialité; par exemple,
un témoin pouvait provoquer des brèches dans la sécurité et
entraîner le vol de renseignements personnels comme les mots de
passe qui servent à valider J'identité de l'utilisateur el ù autoriser
des services Web restreints.
Les applets exposent la machine de l'utilisateur à des risques
s'ils ne sont pas bien maîtrisés par le navigateur. Par exemple, le
navigateur de l'utilisateur doit être configuré de façon à interdire
l'accès aux renseignements d'une machine sans avoir obtenu
l'autorisation de l'utilisateur.
Les servlets sont des applets Java ou de petits programmes
qui fonctionnent dans un environnement de serveur Web. Un
servlet Java est semblable à un programme CGL À l'opposé du
programme CGI, une fois qu'îl est lancé, il reste dans la mémoire
d peut remplir de multiples requêtes, ce qui permet d'épargner du
temps d'exécution et d'accélérer les services.
Un signet est un marqueur ou une adresse qui identifie un
document ou un emplacement spécifique dans un document
TERMINOLOGIE GÉNÉRALE D'INTERNET
Les termes suivants sont reliés à l'utilisation d'Internet:
• Connexion directe- Les LAN ou les gros ordinateurs, comme
les ordinateurs centraux, qui peuvent être directement connectés
il Internet. Lorsqu'un LAN est connecté à Internet, tous les
serveurWe~
!le riSACA
327
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
ordinateurs du réseau peuvent profiter d'un accès corn pl et à
Internet.
• Système de noms de domaine (ONS)--- Base de données
hiérarchique, distribuée sur Internet, qui assure la traduction cks
noms en adresses IP (et vice versa) afin de localiser des services
tels que les serveurs Web ou de courrier aectronique.
• Pmt'ocolc FTP-- Protocole utilisé pour transférer des fichiers sur
un réseau TCP/IP (fntemet, UNIX, etc.). Ces fichiers peuvent être
de beaucoup de types, incluant des programmes que !'utilisateur fait
fonctionner sur son ordinateur, des fïchiers avec des graphiques,
des sons et de la musique. ou des fichiers textes qui peuvent être
lus. La plupart des fichiers Internet sont téléchargés en utilisant le
FTP. Le FTP peut aussi être utilisé pour téléverser des fichiers d'un
ordinateur à un autre sur Internet Pour ouvrir une session sur un site
FTP et télécharger des fichiers. un compte (ou un nom d'utilisateur)
ct un mot de passe doivent être saisis avant que le serveur ou le
système ne pcnm:tte à J'utilisateur de télécharger ou de téléverscr
des fichiers. Quelques sites permettent à n'importe qui d'entrer ct
de télécharger des fichiers. On fait souvent référence à ces sites
comme des sites FTP anonymes. Comme sa définition l'indique,
un FTP anonyme exige seulement une identification et un mot de
passe fictif pour transférer des fichiers. Les sites FTP anonymes
peuvent être potentiellement dangereux si J'administrateur réseau
qui met en place le site ne comprend pas entièrement le risque
associé à un FTP anonyme. Si les fichiers des droits d'accès n'ont
pas été spécifiés, l'utilisateur du FTP anonyme peut aussi téléverscr
des fichiers librement sur le serveur, œ qui introduit de nouveaux
fichiers ou qui modifie des fichiers existants.
• Liaison Internet-- La connexion entre les utilisateurs d'Internet et
le FSL
• Fournisseur de service Internet (FSI)- Un tiers qui fournit
aux personnes ct aux entreprises un accès à l'Internet ainsi qu'un
éventail de services liés à l'Internet.
• Point d'accès au réseau (PAR)-- Un point de concentration
du trafic, normalement !e point de convergence pour les accès
Intemet par plusieurs fOurnisseurs de services Internet.
• Services en ligne-· Tous les services majeurs en ligne permettent
aux utilisateurs d'exploiter la puissance totale d'Internet. Aucun
réglage spécial n'est requis. Lorsque les utilisateurs se connectent
aux services en ligne, ils sont en mesure d'utiliser les ressources
Internet, ce qui inclut naviguer sur le Web.
• Protocole "lèlnet- Un protocole d'émulation de terminal
standard utilisé pour les connexions à des terminaux distants,
ce qui permet aux utilisateurs d'ouvrir une session dans l~s
systèmes à distance ct d'utiliser les ressources comme si elles
étaient locales. Un auditeur des Si doit noter que le trafic
standard Tel net n'est pas chiffré par défllllt, et prendre en
considération cc 1isque dans toute utilisation de production
Tel net.
• Protocole SSH- Un pro1ocolc réseau qui utilise la
cryptographie pour sécuriser la communication, la connexion
à distance à une ligne de commande et l'exécution à distance
d"une commande entre deux ordinateurs en réseau.
• Protocole SMTP -- Le protocole de courriel standard sur
l'Internet.
FLOT DE DONNÉES TRANSFRONTALIER
Le flot de données transfrontalicr fait rétèrcncc à la transmission
de données entre deux pays. Des renseignements comme les
courricls, les factures, les avis de paiement, etc., peuvent être
transmis par des câbles sub-océaniques, téléphoniques, des
liaisons de télévision et des satellites. Le choix d'un autre
mode de transmission doit tenir compte du coüt ct des délais de
transmission possibles. Le pays d'01igine ou le pays destinataire
328
e CerlifJed Information
Systems Al.lditor'
-
"'""""'~"'""'""
.
peuvent avoir plusieurs lois applicables au flot de données
transfrontalier et qui doivent être abordées. La conformité
ct la protection légale, tout comme la sécurité ct l'intég1ité
des données, sont source d'inquiétude avec les transmissions
transfrontalièrcs.
La confidentialité pose aussi problème puisque les lois qui
régissent la protection et l'ae-cès aux renseignements personnels
peuvent. différer ou être contradictoires entre le pays d'origine ct
celui de destination.
Ce1tains pays ont également des lois en ce qui conceme le
chiffrement des données ou de l'information envoyées par
communications transfrontalièrcs, ce qui touche, par conséquent,
la sécuritC et la protection des donnees pouvant être échangées
entre les pays.
Il s'agit d'un problème pmiiculièrement important dans les
communications lntemct, car l'itinéraire de l'information est
déterminé par les routeurs, n'est pas fixe ct peut donc traverser la
frontière d'un pays même en connectant deux ordinateurs situ~s
dans le même pays.
Administration et contrôle du réseau
L'administration du réseau assure que le réseau fonctionne
correctement d'un point de vue de la performance et de la
sécurité. Ces tâches comprennent; surveiller l'usage et le débit,
équilibrer la charge, réagir aux violations de la sécurité et aux
conditions de défaillance, snuvegarder et recouvrer les données et
apporter des changements pour l'extensibilité au fur et à mesure
que l'utilisation du réseau prend de l'expansion. Par conséquent,
une connaissance appropriée de la structure et de la topologie
du réseau, des protocoles utilisés et des outils d'administration
disponibles est exigée.
Le logiciel utilisé pour contrôler le réseau et appliquer les
changements doit être uniquement accessible par l'administrateur
réseau. Ce logiciel est le logiciel du système d'exploitation du
réseau qui est nssocîé avec les appareils spécifiques du réseau,
principalement les commutateurs et les routeurs.
Les systèmes d'exploitation du réseau fournissent beaucoup
de fonctions qui visent à construire Je réseau comme un
environnement informatique unifié, contrôlé et uniforme, qui
inclut:
• Le support de l'accès au terminal local et à di~tancc pour les
hôtes et les serveurs;
• Le support des ressources communes du réseau, comme les
fichiers et les services d'impression;
• L~établissement de liens pour les hôtes et les serveurs.
Les systèmes d'exploitation du réseau possèdent les
caractéristiques orientées utilisateur suivantes:
• Permettre l'accès transparent aux diverses ressources des hôtes
du réseau.
• Vérifier l'autorisation de l'utilisateur pour des ressources
particulières.
• Médier et simplifier l'accès aux ressources à distance pour le
rendre aussi simple que l'accès nux ressources locales.
• Établir une ouve1iurc de session unifOrme ct des procedures
Manuel de Préparation CISA 26' édition
ISACA. Tous droits rêservês.
e . Certifled Information
M Systems Audflor"
"";::>.tJtCo't.<•""-~
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
d'ouverture de session dans tout le réseau.
• Rendre la documentation du réseau à jour disponible en lîgn0.
• Permettre le plus d' opërations fiables possible sur un seul
hôte ou serveur, particulièrement lorsque des groupes d'hôtes
équivalents sont utilisés.
MESURE DE LA PERFORMANCE Dll RÉSEAIJ
Les principales mesures de la petformancc d'un réseau sont le
temps d'attente et le débit. Le nombre d'erreurs du réseau ct le
nombre de retransmissions sont aussi mesurés dans le but de
comprendre la petformance du réseau.
• Temps d'attente ·-Le délaî subi par le message ou le paquet
entre la source ct la destination. Le temps d'attente survient
parce que l'information doit traverser différents appareils
{temps de commutation et de routage) ct, à un degré moindre,
parœ que les signaux doivent voyager sur une ce11ainc distance
(délai de propagation). Lorsqu'un appareil réseau est occupé,
les paquets doivent attendre, être mis en attente dans une
mémoire tampon ou être laissés de côté. Une façon très simple
de mesurer Je temps d'attente dans un réseau TCP/IP est
d'utiliser le sondeur PING.
• llébit -·La quantité de travail utile effectué par un système par
unité de temps. En télécommunications, il s'agit du nombre
d'octets par seconde pass<mt par un canal.
PROBLI~MES DE GESTION D!J RÉSEAU
ll est beaucoup plus courant de nos jours de voir des WAN
communiquer avec un mélange de LAN et de trafic d'architecture
unifiée de réseau hôte, ou avec du trafic orienté vers les
LAN purs. Presque toutes les entreprises normalisent leurs
télécommunications, leurs infrastntctures sur le protocole TCP/IP
et leurs modems-rouleurs.
Cette tendance vers une approche de conception technique
différente est aussi mise en évidence par le nom spécifique (c.-
à-d. WAN), qui désigne les réseaux de télécommunications dans
un environnement TCPIIP. Un WAN doit être contrôlé et géré
de façon semblable à un LAN. Dans son effort de modelage de
communication, !"ISO a défini cinq tâches de base reliées à la
gestion du réseau :
• GesHon des défauts- Détecte les appareils qui présentent une
sorte de faute technique.
• Gestion de la configuration-- Permet aux utilisateurs de
connaître, de définir et de modifier à distance la configuration
de n'importe quel appareil.
• Ressources comptables "-Conserve les enregistrements de
l'utilisation des ressources dans le '~/AN (qui utilise quoi).
• Gestion de la pt>rformance- Contrôle les niveaux d'utilisation
et établit des alarmes lorsqu 'un seuil a été dépassé.
• Gestion de la sécurité-" Détecte le trafic ou les utilisateurs
suspects, et génère des alarmes de façon appropriée.
OUTILS DE GESTION Dll RÉSEAU
Dans un environnement d'înter-réseautage de modems d'une
entreprise, toutes les tüches susmentionnées peuvent être
accomplies par un ensemble d'outils appelés de façon générique
oullls de gestion de réseau.
Les rapports de temps de réponse identifient le temps
nécessaire au système hôte pour résoudre une commande entrée
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
Section deux : Contenu
par un utilisateur dans un terminal. Le temps de réponse est
important puisque les utilisateurs finaux aux prises avec des
temps de réponse lents seront réticents à utiliser les ressources des
SI à leur plein potentiel. Ces rapports identifient généralement
les temps de réponse moyens, les pires et les meilleurs sur un
intervalle donné pour les lignes ou les systèmes individuels de
télécommunication. Ces rapports doivent être révisés par la
direction des SI et le personnel de soutien du système afin d'avoir
un suivi des problèmes potentiels. Si le temps de réponse est lent,
toutes les causes possibles, par exemple le goulot d'étranglement
du canal d'entrée-sortie, l'utilisation de la bande passante et la
capacité de Puni té centrale, doivent être examinées~ des solutions
diverses doivent être analysées et il hmt prendre une action
correctrice appropriée et justifiée financièrement.
Les rapports de temps d'arrêt font un suivi de la disponibilité
des lignes et des circuits de télécommunications. Les interruptions
causées par une défaillance électrique ou de la ligne, la surcharge
de trafic, les erreurs d'opérateur ou n'importe quelle autre
condition anormale sont identifiées dans ce rapport. Si le temps
d'arrêt est excessif~ la direction des SI doit envisager les solutions
suivantes:
• Cajout ou le remplacement de lignes de télécommunications.
• Cadoptîon d'une liaison de transmission plus fiable (comme les
lignes dédiées en comparaison avec les lignes partagées).
, L'installation de blocs d'alimentation de sauvegarde.
• Camélioration des contrôles d'accès.
• Un suivi serré de l'utilisation de la ligne pour faire de
meilleures prévisions des besoins de l'utilisateur. à la fois à
court et à long termes.
Les contrôles en ligne vérifient la justesse et les erreurs de
la transmission de données. Le contrôle peut être etlèctué
par contrôle en écho (les données reçues sont renvoyées à
1'expéditeur pour être vérifiées) ct en vérifiant 1'état de toutes les
transmissions pour s'assurer que les messages ne sont ni perdus,
ni envoyés plus d'une fOis.
Les contrôles réseaux affichant en temps réel les nœuds et l'état
du réseau.
Les analyseurs de (protocole) réseau sont des outils de
diagnostic attachés à une liaison réseau qui utilisent l'intelligence
des protocoles réseau pour contrôler les paquets qui circulent dans
la liaison et produisent les rappotis d'utilisation du réseau. Les
analyseurs de réseau sont généralement basés sur le matériel ct
fOnctionnent au niveau de la liaison de données ou du réseau. La
soJiie inclut les informations suivantes :
• Les protocoles en usage.
• Le type de paquets qui se promènent dans les liaisons
contrôlées.
• L'analyse du volume de trafic.
• Les erreurs de matériel, le bruit et les problèmes de logiciel.
• D'autTes statistiques de performance (p. ex., le pourcentage de
la bande passante utilisée).
• Les problèmes ct les solutions possibles.
Protocole SNMP- Ce protocole basé sur le TCP/fP suit de près
et contrôle les différentes variables dans tout le réseau, gère les
configurations ct rassemble des statistiques sur la performance
329
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
ct la sécurité. Une console maîtresse interroge tous les appareils
du réseau sur une base régulière et affiche leur état global. Un
logiciel de protocole SNMP est en mesure d'accepter des requêtes
d'opérateurs spécifiques en temps réeL Le logiciel de protocole
SNMP, qui est basé sur les instructions de J'opérateur, envoie des
commandes spécifiques ù un appareil qui accepte le protocole
SNMP et récupère l'information requise. Afin d'exécuter
toutes ces tâches, chaque appareil (routcurs. commutateurs,
concentrateurs, ordinateurs personnels, serveurs) doit posséder un
agent du protocole SNMP qui fOnctionne. Les communications
courantes du protocole SNMP se produisent entre tous les agents
et la console.
Rapports du centre d'assistance"- Préparés par le centre
d'assistance, qui emploie ou est soutenu par des techniciens des
TI tOnnés pour résoudre les problèmes qui surviennent dans
l'utilisation normale des SI. Si un utilisateur final éprouve des
problèmes, il peut communiquer avec le centre d'assistance
pour obtenir de l'aide. Les installations du centre d'assistm1ce
sont essentielles à l'environnement des télécommunications
puisqu'elles fournissent aux utilisateurs finaux des moyens
faciles d'identifier et de résoudre les problèmes rapidement, avant
qu'ils n'aient un impact majeur sur la performance des SI et sur
l'utilisation de:;; ressources de l'utilisateur final. Les rapports
préparés par le centre d'assistance fOurnissent un historique des
problèmes et leur solution.
Applications dans un environnement en réseau
On retrouve diflërents types d'applications utilisées dans une
architecture en réseau.
TECHNOLOGIE CLIENT-SERVEUR
Le modèle client-serveur est une architecture réseau dans
laquelle chaque ordinateur ou processus sur le réseau est soit un
serveur (une source de services et de données) ou un client (un
utilisateur de ces services et données qui se fie aux serveurs pour
les obtenir). Dans une technologie client-serveur, la puissance de
calcul disponible peut être distTibuée et partagée parmi les postes
de travail clients. l:utilisation de la technologie client-serveur
est l'une des tendances les plus populaires dans la construction
d'applications destinées aux environnements en réseau. Souvent,
dans un environnement réseau client-serveur, le serveur fournit
les fimctions de dist1ibution des données et de sécurité aux m.Jü·es
ordinateurs qui font fOnctionner diverses npplications de façon
indépendnnte.
L'architecture client-serveur possède de nombreux avantages,
comme la distribution du travail parmi les serveurs ct l'exécution
d'autant de travail informatique que possible sur les postes
de tTavail clients pour sauvegarder la bande passante et la
puissance de calcul du serveur. Des tâches importantes, comme
la manipulation et la modification de données, peuvent être
effectuées localement et sans avoir besoin de contrôler les
ressources de l'unité de traitement principale. De cette façon, les
applications peuvent fOnctionner plus etricacement.
Pour réaliser ces avantages, les systèmes d'application du modèle
client-serveur sont séparés en pièces ou en tâches. Les systèmes
sont divisés de façon à ce que le traitement puisse s'effectuer
sur des machines diffërentes (p. ex., serveurs ct clients). Chaque
330
e '" . ilied !nlonnatiofl
Systems Autlitor'
'·''"""'''"'"'""""
composante du traitement dépend mutuellement des autres. Le
fait que les tâches soient réalisées chez le client et sur le serveur
représente la différence principale entre le traitement client~
serveur ct le traitement traditionnel de l'ordinateur œnfral/
distribué.
Le client habituel est un ordinateur personnel seul ou un poste de
travail. La présentation est normalement fournie par un logiciel de
traitement amélioré visuellement, aussi appelé interface utilisateur
graphique. Les clients peuvent être lourds ou lêger. Un client léger
(que l'on appelle parfois client mince) est un ordinateur client
ou un logiciel client qui dépend d'abord du serveur central pour
les activités de tTaitcment et qui se concentre principalement sur
le transport des données entrantes et des données sortantes entre
1'utilisateur et le serveur éloigné. Beaucoup d'appareils cie clients
légers font uniquement fOnctionner les navigateurs Web ou les
logiciels de bureaux éloignés, cc qui signifie que tout le traitement
important se f:1it sur le serveur. En revanche, un client lourd ou
gros e!Tcctue autant de traitement que possible et ne transmet
les données que pour les télécommunications ct le stockage au
serveur.
Le serveur consiste en un ou plusieurs ordinateurs multiusagers.
Les fOnctions des serveurs incluent n'importe quel rôle soutenu
de f..1çon centrale, comme le partage de fichiers, le partage
d'imprimantes, l'accès à la base de données et sa gestion, les
services de communication, les services de courriels et la logique
d'applications de traitement. Des fonctions multiples peuvent être
soutenues par un seul serveur.
L'architecture client-serveur peut être à deux niveaux, lesquels se
composent habituellement de :
• Un client lourd, centré sur les t..-'iches IUG et exécutant la logique
de l'application.
Un groupe (un ou plus) de serveurs de base de données.
Les principaux désnvantages de ce modèle sont la nécessité de
maintenir la synchronisation des programmes sur les clients (pour
s'assurer qu'ils exécutent la même logique) et son extensibilité.
L" architecture clienl-scrveur est normalement basée sur (au moins)
trois niveaux de tâches int(mnatiques ( c.-à-d. des architectures ù
trois niveaux). Une architecture à trois niveaux est composée de:
• Un client léger qui accomplit des tâches d'interface utilisateur
graphique (souvent, mais pas toujours, un navigateur Web).
•Un groupe de serveurs d'application (un ou plus) qui t:1it
fOnctionner la logique applicative.
• Un groupe (un ou plus) de serveurs de base de données.
Cette architecture ne possède pas les limites des applications à
deux niveaux et possède d'autres avantages comme:
• Des clients légers, qui sont moins complexes ct coûteux ù acheter
et à entretenir.
• Plus de flexibilité ûusqu'à plusieurs milliers d'utilisateurs
simultanés) puisque la charge est équilibrée entre les différents
serveurs. Cela améliore la performance ct la fiabilité globales du
système puisqu'une part accrue de la charge de traitement peut
être gérée en même temps.
• Elle peut être implantée dans des applicatîons pour utilisation
à l'interne seulement ou dans des applications de commerce
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e . Certified Information
M Systems Autlitor'
"''"""''""'''""'"'
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
électronique (dans cc cas, on pourrait retrouver un autre niveau
représenté par le serveur Web).
• Toute la logique de programme est séparée du reste du code (par
des serveurs d'application).
Les conceptions qui conticnnen1 plus de deux niveaux sont
appelées multi-niveaux ou 11-niveaux.
Les applications de l'architecture sont plus complexes à construire
ct plus difficiles ù entretenir.
Dans un environnement à n-nivcaux, chaque instance du logiciel
client peut envoyer une requête de données à un ou plusieurs
rése;.lux connectés. À leur tour, les serveurs peuvent accepter
ces requêtes, les traiter ct retourner l'information demandée
au client. Cc concept peut être appliqué à différents types
cl' applications, l'architecture demeurant fondamentalement la
même. L'interaction entre le client et le serveur est souvent décrite
en utilisant des diagrammes de séquence. Les diagrammes de
séquence sont normalisés dans le langage UML.
Remarque: La présence d'un intergiciel t.•st implicite dans
les architectures t) n-nîveaux. Il ne soutient pas seulement les
communications entre les cJienL<; et les serveurs, mais aussi
les caractéristiques les plus avancées comme l 'êquilîbrage de
charge et. la reprise, l'emplacement dynamique des composantes
et l'établissement de connexions synchrones ou de messages
asynchrones basés sur les files d'attente.
INTERGICŒL (MIDDLEWARE)
Lintcrgiciel est le terme spécifique de client-serveur utilisé
pour décrire une classe unique de logiciel employée pnr les
applications client-serveur. L'intergiciel sert de colle entre deux
applications autrement distinctes, et fournit les services tels que
l'identification, l'authentification, l'autorisatîon.les annuaires
et la sécurité. Cc logiciel sc situe entre une app!icntion ct le
réseau et gère l'interaction entre l'interface utilisateur graphique
fi·ontalc et les serveurs de données dorsaux. Cintergiciel facilite
les connexions client-serveur dans le réseau ct permet aux
applications clients d'avoir accès aux bases de données éloignées
et aux fichiers de l'ordinateur central et de les mettre à jour.
Les intcrgicicls sont couramment utilisés pour:
• Contrôles de traitement des fransactions Progmmmc qui
traite ct contrôle les transactions de la base de données et qui est
d'abord utilisé pour l'équilibrage de charge.
• Appel de procédure à distance {RPC) ··-Un protocole qui
permet à un programme sur l'ordinalcur client d'exécuter un
autre progmmme sur un ordinateur éloigné (normalement un
serveur).
• Technologie de gestionnaire ORB (ORB)- L'utilisation
d'objets commerciaux partagés et réutili::mblcs dans un
environnement informatique dishibué.
- Cela fournit la capacité de soutenir l'interopérabilité parmi les
langages et les plateformes et d'augmenter la maintcnabillté et
l'adaptabilité du système. Des exemples de telles technologies
sont COR BA et le COM/DCOM de Microsoft.
• Se1·veurs de messagerie électronique-· Programmes qui
p1iorisent, mettent en file d'attente ou traitent de façon
asynchrone les messages en utilisant un serveur dédié.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
Les risques et les contrôles associés à un ordinateur central dans
un environnement client-serveur sont :
• Risques·-- 1.: intégrité du système peut en contrepartie être
touchée par Je but même de l'ordinateur central, qui est conçu
pour soutenir des environnements d'exploitation multiples
qui interagissent de façon simultanée. Le manque de logiciel
approprié pour contrôler la portabilité des données ou des
programmes à travers de multiples plate formes pourrait
entraîner une perte de données ou de l'intégrité du progmmmc.
• Contrôles La direction doit implanter des contrôles correctifs
pour assurer l'intégrité des environnements client-serveur.
La direction doit s'assurer que les systèmes sont testés et
approuvés adéquatement, que les modifications sont autorisées
et implantées convenablement et que les procédures appropriées
de gestion de versions sont suivies.
Informatique à la demande
Cinformatique à la demande (ODC), aussi appelée informatique
utilitaire, constitue un modèle informatique dans lequel les
ressources du système d'information sont allouées aux utilisateurs
en fOnction de leurs besoins actuels. Les ressources peuvent
être disponibles au sein de l'organisation ou livrées par un
fournisseur de service externe. À tout moment, un utilisateur (ou
une organisation) peut avoir besoin de plus de bande passante,
de cycles de l'unité centrale, de mémoire, de disponibilité de
l'application ou de toute autre ressources à un plus grand degré
qu'un autre utilisateur. Lorsque cette situation se produit, la
ressource peut être enlevée à l'utilisateur qui en a le moins besoin
pour être mise à la disposition de l'util1sateur dont le besoin est
immédiat.
Un avantage de I'ODC est qu'une organisation qui impartit
ses besoins informatiques n'est pas tenue de payer pour un
supplément de capacité. La confidentialité de 1'infonnatîon
maintenue par le fournisseur externe représente toutefois une
préoccupation.
4.7 AUDIT DES OPÉRATIONS ET DE
!.:INFRASTRUCTURE
L'évolution de l'infia..;;;tructure technologique et la manière de s'en
servir a mené à (a transformation des procédures de réalisation
des audits ct des révisions particulières louchant le maté1iel, les
systèmes d'exploitation, les bases de données, les réseaux, les
opérations liées aux SI ct l'établissement de rapports concernant
la gestion de problèmes. Les sections suivantes énumèrent les
domaines importants à réviser lors d'un audit.
4. 7.1 ARCHITECTURE D'ENTREPRISE ET AUDIT
L'architecture d'entreprise implique la documentation des actifs
des Tl de l'organisation d'une façon structurée, afin de faciliter la
compréhension, la gestion et la planification des investissements
des Tl. Une architecture d'entreprise repose souvent sur la
représentation de l'état actuel et de 1'état futur optimisé (p. ex.,
feuille de route).
L'architecture d'entreprise pour les Tl correspond à une
description des éléments fondamentaux sous-jacents à la
conception des composants des Tl de l'entreprise, des relations
331
 Chapitre 4 - Exploitation; Entretien et Gestion
Section deux : Contenu des Services des Systèmes d;lnformation
entre chacun et de la manière dont ils appuient les objectif<; de
l'entreprise.
Lors de l'audit de l'infrastructure et des opérations, 1'auditeur
des SI doit suivre !"architecture d'entreprise globale et s'en servir
comme principale source d'information. De plus, l'auditeur des
SI doit s'assurer que les systèmes sont conformes à l'architecture
d'entreprise et qu'ils répondent aux o~jectif"i de l'entreprise.
4.7.2 RÉVISIONS DU MATÉRIEL
Lors de l'audit de l'inft·astructurc et des opérations, les
révisions du matériel doivent inclure les domaines indiqués au
tableau 4.26.
4.7.3 RÉVISIONS DES SYSTÈMES D'EXPLOITATION
Lors de l'audit de la conception, de l'acquisition ou de la
maintenance d'un logiciel d'exploitation, les détails mentionnés
au tableau 4.27 doivent être plis en considération.
4.7.4 RÉVISIONS DE LA BASE DE DONNÉES
Lors de l'audit d'une base de données, l'auditeur des SI
doit revoir les mesures de contrôles des SI supportées pm la
conception, l'accès, l'administration, les interfaces, la pmiabilité
ct. la ba<;e de données, comme l'illustre le tableau 4.28.
4.7.5 RÉVISIONS DE !:INFRASTRUCTURE ET DE
!:IMPLANTATION DU RÉSEAU
L'auditeur des SI doit revoir les mesures de contrôle impliquées
dans l'implantation de réseaux pour s'assurer que les normes
sont en place pour la conception et la sélection d'une architecture
réseau, ainsi que pour s'assurer que les coûts d'acquisition et
d'exploitation du réseau ne soient pa') supérieurs aux profits.
La nature unique de chacun des réseaux rend la définition des
procédures d'audit normalisées ardue. Les réseaux modernes sc
mêlent à plusieurs types d'appareils et de topologies (PAN, LAN,
WAN, WAN sans fil. LAN sans fil, LAN virtuel, etc.).
Afin de réaliser une révision elficnce, l'auditeur des SI doit
identifier :
• la topologie du réseau ct la conception du réseau;
• les composantes importantes du réseau (les serveurs, les
route urs, les commutateurs, les concentmteurs. les modems ct
les appareils sans fil, etc.);
• les réseaux limitrophes interconnectés;
•l'utilisation du réseau (incluant les types de trafic importants et
les principales applications en utilisation à travers le réseau);
•la passerelle du réseau menant à Internet;
•l'administmteur cl l'opérateur du réseau;
•les groupes d'utilisateurs du réseau les plus importants;
• les normes ou procédures de sécurité définies.
De plus, l'auditeur des SI doit avoir une compréhension des
éléments suivants :
• Les tâches accomplies par les administrateurs ct les opérateurs
du réseau;
• Les procédures et normes propres au service ou ù la division de
l'entreprise concernant la conception du réseau, le soutien de
332
ce dernier, les règles d'affectation des noms et la sécurité des
données;
• Les moyens ct les méthodes de transmission du réseau, ce qui
inclut les ponts, les routeurs, les passerelles, les commutateurs et
d'autres composantes pertinentes.
La compréhension des renseignements précédents est propice ù
une évaluation adéquate par 1'auditeur des menaces impo1tantes
relatives au réseau, de la probabilité que ces menaces se
produisent ct de leurs conséquences potentielles. L'évaluation des
risques associés au réseau tem1inée, 1'auditeur du domaine des
SI doit évaluer les mesures de contrôle utilisées pour réduire les
nsques.
Les mesures de contrôle physiques doivent protéger les
composantes du réseau (matériel et logiciel) ainsi que les
points d'accès en limitant l'accès aux individus autorisés par
les gestionnnires. À la différence de la plupart des ordinateurs
centraux, les ordinateurs qui fOnt partie d'un réseau mixte sont
habituellement décentralisés. Il est plus facile d'endommager ou
de voler des données d'entreprise emmagasinées dans un serveur
de fichiers que des données &ms un ordinateur central. C'est
pourquoi les données d'entrepri~e, notamment dans les serveurs
de fichiers, doivent être protégées physiquement. L'auditeur des
SI doit revoir les domaines mentionnés au tableau 4.29.
4.7.6 RÉVISION DES OPÉRATIONS RELATIVES AUX SI
Parce que les environnements de traitement varient grandement
d'une installation à l'autre, une visite des installations destinées
au traitement de l'information offre à 1'auditeur du domaine
des SI la chance d'acquérir une meilleure compréhension des
tâches, des procédures et de l'environnement de contrôle liés aux
opérations.
Les procédures d'audit doivent inclure les éléments mentionnés au
tableau 4.30.
4. 7. 7 RÉVISIONS DE LA PLANIFICATION
Le tableau 4.31 décrit une approche d'audit qui doit être
considérée lors de la planification de la charge de tmvail et du
personnel.
4.7.8 RÉVISIONS DES RAPPORTS DE GESTION DES
PROBLÈMES
I.~approche d'audit illustrée au tableau 4.32 doit être considérée
lors de la révision des rapports de gestion des problèmes.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certif!OO Information
Systems Auditor"
"'"'"'""''''"'"""
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information Section deux : Contenu

Tableau 4.211- Révisions du matétiel

Domaines à réviser
• Plan d'acquisition de
matériel
• Acquisition de matériel
• Gestion des actifs de Tl
• Gestion et surveillance de
la capacité
• Horaire d'entretien préventif • La fréquence d'entretien recommandée par les fournisseurs de matériel est-elle respectée?
• ~entretien est-il effectué en dehors des périodes de grande activité?
• ~entretien préventif est-il effectué à des moments autres que lorsque le système traite des applications critiques?
Questions à prendre en considération
• Le plan est-il harmonisé avec les exigences d'affaires?
• Le plan est-il harmonisé avec l'architecture d'entreprise?
• Le plan est-il comparé régulièrement aux plans d'entreprise pour assurer une synchronisation continue avec les
exigences de l'entreprise?
• Le plan est-il synchronisé avec les plans de SI?
• A-t-on élaboré des critères pour l'acquisition de matériel?
• ~environnement peut-il accueillir le matériel actuellement en place et le nouveau matériel devant être ajouté selon les
directives du plan d'acquisition de matériel approuvé?
• Les spécifications matérielles et logicielles, les exigences d'installation et le délai d'approvisionnement associés aux
acquisitions prévues sont-ils documentés adéquatement?
• ~acquisition correspond-elle au plan d'acquisition de matériel?
• Le personnel de gestion des SI a-t-il publié des énoncés de politique relatifs à l'acquisition et à l'utilisation du matériel,
et ces énoncés ont-ils été communiqués aux utilisateurs?
• A-t-on établi des procédures et formulaires pour faciliter le processus d'approbation des acquisitions?
• Les requêtes sont-elles accompagnées d'une analyse coûts-avantages?
• Les achats sont-ils traités par le service des achats pour simplifier le processus, éviter les doublons, garantir la
conformité aux exigences des appels d'offres et de la réglementation et profiter d'avantages relatifs à la qualité et à la
quantité tels que des rabais pour achat en gros?
• Le matériel a-t-il été étiqueté?
• Un propriétaire a-t-il été désigné?
• Où le matériel sera-t-il situé?
• Avons-nous conservé une copie des contrats/licences d'utilisation de logiciel?
• Les critères utilisés dans le plan de surveillance de la performance du matériel sont-ils fondés sur des données
historiques et des analyses obtenues des journaux de dépannage de SI, des horaires de traitement, des rapports du
système de comptabilisation de travaux et des horaires et rapports d'entretien préventif?
• Procède-t-on à une révision continue de la performance et de la capacité du matériel et des logiciels d'exploitation?
• La surveillance est-elle adéquate dans le cas d'équipement programmé pour contacter son fabricant (sans
intervention manuelle ni humaine) en cas de panne?

• Rapports de disponibilité et
d'utilisation du matériel
• Journal de dépannage
• Rapports du système de
comptabilisation de travaux
• ~établissement du calendrier est-il adéquat pour répondre aux échéanciers de la charge de travail et aux besoins des
uitilisateurs?
• ~établissement du calendrier est-il sufiisamment souple pour faire place à l'entretien préventif requis du matériel?
• Les ressources de SI sont-elles disponibles promptement pour les programmes d'application critiques?
• Le personnel de gestion des SI a-t-il passé en revue les défaillances du matériel, les réexécuitions, les arrêts du
système anormaux et les actions de l'opérateur?

Manuel de Préparation CISA 26" édition 333

ISACA. Tous droits réservés.
Section deux : Contenu
Domaines à réviser
• Procédures de sélection de
logiciel d'exploitation
• Etude de faisabilité
• Processus de sélection
• Sécurité du logiciel
d'exploitation
• Gestion des actifs de Tl
• Implantation du logiciel
d'exploitation
• Documentation d'autorisation
• Documentation du système
• Activités d'entretien du logiciel
d'exploitation
• Contrôles du changement du
logiciel d'exploitation
• Contrôles sur l'installation du
logiciel d'exploitation modifié
334
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
e . Certified!nforma!ion
M Systems AI.Klitor·
""'"·='-"''"""'""
Talîleau 4.27- Révisions des syStèmes d'el!IIIOitation
Questions à prendre en considération
• Sont-elles harmonisées à l'architecture d'entreprise?
• Correspondent-elles aux plans de SI à court et à long terme?
• Satisfont-elles aux exigences de SI?
• Sont-elles adéquatement harmonisées aux objectifs de l'entreprise?
• Comprennent-elles des exigences de traitement et de contrôle des SI?
• Comprennent-elles un survol des capacités du logiciel et des options de contrôle?
• Les objectifs et fonctions de système proposés correspondent-ils à la requête ou proposition?
• Les mêmes critères de sélection sont-ils appliqués à toutes les propositions?
• ~analyse coûts-avantages des procédures de logiciel d'exploitation a-t-elle pris en considération :
-les coûts financiers directs associés au produit?
-le coût d'entretien du produit?
- les exigences concernant le matériel et la capacité du produit?
-les besoins relatifs à la formation et au soutien technique?
-l'impact du produit sur la fiabilité du traitement?
- les conséquences sur la sécurité des données?
-la stabilité financière des activités du fournisseur?
• A-t-on établi des procédures pour restreindre la possibilité de contourner les contrôles d'accès de sécurité
logiques?
• A-t-on implanté des procédures pour limiter l'accès aux capacités d'interruption du système?
• A-t-on implanté des procédures pour gérer les correctifs au logiciel et garder le logiciel du système à jour?
• Les mécanismes de sécurité physique et logique existants sont-ils adéquats pour restreindre l'accès aux pupitres
maitres?
• Les mots de passe pour l'installation du logiciel d'exploitation fournis par le vendeur ont-ils été modifiés au
moment de l'installation?
• Un responsable a-t-il été désigné?
• A-t-on conservé une copie des contrats et ANS?
• Quel est le contrat de licence? S'y conforme-t-on?
• Les contrôles sont-ils adéquats pour les :
- procédures de changement?
-procédures d'autorisation?
- caractéristiques de la sécurité liée aux accès?
- besoins en documentation?
- documentation des tests pour le système?
-journaux d'audit?
-contrôles d'accès au logiciel en production?
• Les additions, suppressions ou modifications aux autorisations d'accès ont-elles été documentées?
• Existe-t-il de la documentation pour toute tentative d'intrusion? Dans l'affirmative, y a-t-il eu un suivi?
• Les domaines suivants sont-ils documentés adéquatement:
- Ënoncés de contrôle d'installation?
-Tables de paramètres?
- Définitions de sortie?
-Registres/rapports d'activité?
• Existe-t-il de la documerrtation pour toute modification apportée au logiciel d'exploitation?
• Les versions actuelles du logiciel sont-elles supportées par le fournisseur?
• ~accès aux bibliothèques contenant le logiciel d'exploitation est-illimité aux individus pour qui cet accès est
nécessaire?
• Les changements au logiciel sont-ils testés et documentés adéquatement avant l'implantation?
• Les logiciels sont-ils dûment autorisés avant d'être déplacés de l'environnement de test à l'environnement de
production?
• Les niveaux de logiciel adéquats ont-ils tous été implantés?
• Les mises à jour des versions précédentes ont-elles eu lieu?
• Les modifications au logiciel d'exploitation sont-elles prévues à des moments où le changement aura le moins
d'impact sur le traitement des SI?
• A-t-on établi un plan écrit pour tester les changements au logiciel d'exploitation?
• Les procédures de test conviennent-elles pour s'assurer de façon raisonnable que les changements apportés au
système permettent la correction des problèmes connus et ne créent pas de nouveaux problèmes?
• Les tests sont-ils effectués tel que prévu?
• Les problèmes découverts pendant les tests ont-ils été résolus et les changements ont-ils été testés?
• Des procédures de traitement de secours ou de reprise ont-elles été mises en place en cas de panne de
production?
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information Section deux : Contenu

" '
Tableau 4,28- ReVIsions de la base de données
Domaines à réviser Questions à prendre en considération
• Schéma logique • Toutes les entités contenues dans le diagramme entité-relation existent-elles en tant que tables ou vues?
• Les relations sont-elles toutes représentées par des clés étrangères?
• Les contraintes sont-elles précisées clairement?
• Les valeurs nulles pour les clés étrangères sont-elles permises uniquement lorsqu'elles concordent avec la cardinalité
exprimée dans le modèle entité-relation?
• Schéma physique • !:allocation de l'espace (d'emmagasinage) inrtial et supplémentaire pour les tables, les journaux, les répertoires et les
zones provisoires a-t-elle été exécurtée en fonction des exigences?
• Des index classés par clé primaire ou clé de fréquence d'accès sont-ils présents?
• Si la base de données n'est pas normalisée, la justification est-elle acceptée?
• Rapports de temps • Les index sont-ils utilisés pour minimiser le temps d'accès?
d'accès • Les index sont-ils construits adéquatement?
• Si des recherches ouvertes non basées sur les index ont lieu, sont-elles justifiées?
• Contrôles de sécurité de • Les niveaux de sécurité pour tous les utilisateurs et leurs rôles sont-ils identifiés à l'intérieur de la base de données, et les
la base de données droits d'accès pour tous les urtilisateurs ou groupes d'utilisateurs sont-ils justifiés?
• Des règles d'intégrité référentielle existent-elles et sont-elles respectées?
• Comment un déclencheur est-il créé et quand s'active-t-il?
• Existe-t-il un système de détermination des mots de passe? Un système de changement de mots de passe existe-Hl et
est-il respecté?
• Combien d'utilisateurs ont reçu le privilège d'administrateur de système? Ces utilisateurs ont-ils besoin de ce privilège
pour exécuter leur travail?
• Un utilitaire d'audrt a-t-il été activé? Les pistes d'audit sont-elles surveillées?
• Les ressources des bases de données peuvent-elles être accédées sans utiliser de commande SGBD et d'énoncés SOL?
• !:autorité d'administrateur de système est-elle accordée au planificateur de travaux?
• Les mots de passe réels sont-ils intégrés dans les emplois et scripts de l'utilitaire de base de données?
• Le chiffrement est-il activé là où c'est nécessaire?
• Les copies des données de production sont-elles autorisées?
• Les copies des données de production sont-elles modifiées ou masquées pour protéger les données sensibles?
• Interfaces avec autres • !:intégrité et la confidentialité des données sont-elles préservées lors des procédures d'importation et d'exportation des
programmes ou données?
logiciels • Des mécanismes et procédures ont-ils été mis en place pour assurer la gestion adéquate de la constance et de l'intégrité
pendant les accès simultanés?
• Procédures et contrôles • Des procédures de sauvegarde et de reprise après sinistre existent-elles pour assurer la fiabilité et la disponibilité de la
de sauvegarde et de base de données?
reprise après sinistre • Existe-t-il des contrôles techniques pour assurer la disponibilité et/ou la récupération rapide de la base de données?
• Mesures de contrôle • !:accès aux données partagées est-il approprié?
des SI soutenues par • Des procédures de modification convenables sont-elles urtilisées pour assurer l'intégrité du logiciel de gestion de la base
une base de données de données?
• La redondance des données est-elle minimisée par le système de gestion de base de données? Lorsque des données
redondantes existent, une concordance adéquate est-elle maintenue dans le dictionnaire des données du système ou
toute autre documentation?
• !:intégrité du dictionnaire de données du système de gestion de la base de données est-elle maintenue?
• Gestion des actifs de Tl • Un responsable a-t-il été désigné?
• A-t-on conservé une copie des contrats et ANS?
• Quel est le contrat de licence? S'y conforme-t-on?

Manuel de Préparation CISA 26• édition 335

ISACA. Tous droits n!servés.
Section deux : Contenu
Chapitre 4 - Exploitation., Entretien et Gestion
des Services des Systèmes d"lnformation
e '
.. ertlfied !nfcrmalloo
A Systems Auditer'
'"'"""''"''"~"'

• Périphériques de réseau • Les périphériques de réseau sont-ils situés dans une installation sécurisée dont l'accès est restreint à l'administrateur du
• Serveur de fichiers réseau?
• Documentation • Les installations des serveurs de fichiers du réseau sont-elles verrouillées ou autrement sécurisées afin de prévenir le
retrait de cartes, de circuits intégrés ou de l'ordinateur lui-même?
' est-il · au besoin?
• Registres de clés • Les clés pour accéder aux installations des serveurs de fichiers du réseau font-elles l'objet d'un contrôle pour prévenir le
risque d'accès non autorisé?
• Les clés sont-elles remises uniquement à des personnes appropriées (p. ex., l'administrateur de réseau et le personnel de
soutien)?
• Choisir un échantillon de clés détenues par des personnes sans autorisation d'accès aux installations de serveurs de
fichiers du réseau et à l'annoire de répartition afin d'établir que ces clés ne permettent pas l'accès à ces installations.
• Armoire de répartition • Le câblage est-il sécurisé physiquement?
du réseau et de câblage • Le câblage est-il étiqueté au besoin?
de transmission

• Installations du serveur • La température et l'humidité sont-elles contrôlées adéquatement?

• Des dispositifs de protection contre l'électricité statique sont-ils en place?
• Des dispositifs de protectton en cas de surtension électrique sont-ils en place?
• Un système d'extinction des incendies est-il en place et testé ou inspecté régulièrement?
• Des extincteurs d'incendies inspectés régulièrement se trouvent-ils à proximité?
• Les principaux composants du réseau sont-ils munis d'une alimentation sans coupure qui permettra au réseau de
fonctionner en cas de variations d'alimentation mineures ou d'être mis hors fonction progressivement si une panne
d'électricité prolongée se produisait?
• Un isolement électromagnétique a-t-il été mis en place?
• La source d'alimentation électrique des composants du réseau est-elle contrôlée adéquatement pour assurer qu'elle
demeure conforme aux spécifications du fabricant?
• Les supports de sauvegarde sont-ils protégés de tout dommage pouvant être causé par l'environnement?
• Les installations du serveur sont-elles libres de poussière, de fumées et autres matières, en particulier la nourriture?

• Mots de passe • Les utilisateurs reçoivent-ils un mot de passe unique?

• Les utilisateurs doivent-ils changer leur mot de passe de façon périodique?
• Les mots de sont-ils encodés pour ne à l'écran lors de la saisie?
• Accès au réseau par les • Caccès au réseau par les utilisateurs nécessite-t-il une autorisation écrite et est-il accordé selon des principes d'accès
utilisateurs sélectif en fonction des responsabilités de l'individu?
• Les postes de travail réseau sont-ils automatiquement désactivés après une courte période d'inactivité?
• Caccès à distance au compte du superviseur de système est-il interdit?
• Toutes les tentatives d'ouverture de session dans le compte du superviseur sont-elles entrées dans le système
informatique?
• Les activités des comptes de supervision ou d'administration sont-elles sujettes à des révisions indépendantes?
• Le superviseur du réseau maintient-il de l'information à jour concernanttoutes les lignes de communication reliées à
l'extérieur?
• Demande de • Les demandes de modification des accès au réseau sont-elles autorisées par un gestionnaire approprié? Des formulaires
modification des accès standards sont-ils utilisés?
au réseau • Les demandes d'ajouts, de modifications et de suppressions à l'accès logique au réseau sont-elles documentées?
• Plans de test • Des plans adéquats de tests d'implantation, de conversion et pour le réseau distribué de

• Rapport de sécurité • Les accès sont-ils tous autorisés?

• Les rapports de sécurité sont-ils révisés adéquatement et promptement?
• Dans le cas d'utilisateurs non autorisés, les de suivi sont-elles

336 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e Certifœd Information
Systems Auditor'
;:;·,~-
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information Section deux : Contenu

Tableau 4.29- 8évîsions de l'inftâstrticlüre êl de l'implantation du réseau

Domaines à réviser Questions à prendre en considération
• Mécanismes de sécurité • Tous les fichiers ou ensembles de données sensibles du réseau ont-ils été identifiés. et toutes leurs exigences de sécurité
ont-elles été déterminées?
• Tous les changements au logiciel de système d'exploitation utilisé par le réseau et effectués par la gestion des SI (ou aux
sites d'utilisation) sont-ils contrôlés? Ces changements peuvent-ils être décelés promptement par l'administrateur du
réseau ou le personnel responsable du réseau?
• Les individus ont-ils uniquement accès aux applications, aux processeurs de transactions et aux ensembles de données
pour lesquels ils détiennent une autorisation?
• Les commandes systèmes touchant plus d'un site de réseau sont-elles limitées à un terminal et à une personne dûment
autorisée et possédant la cote de sécurité appropriée et les permissions de contrôle global du réseau?
• A-t-on eu recours au chiffrement des données sensibles du réseau?
• Des procédures ont-elles été mises en place pour permettre un contrôle efficace du matériel et des logiciels utilisés par
les unités administratives desservies par le réseau de traitement distribué?
• Les politiques et procédures de sécurité sont-elles appropriées pour un environnement :
-Hautement distribué?- La sécurité est-elle assurée par des gestionnaires des utilisateurs?
-Distribué?- La sécurité est-elle gamntie par les gestionnaires des utilisateurs tout en se conformant aux lignes
directrices présentées par les gestionnaires du service des SI?
-Mixte?- La sécurité est-elle assurée par les gestionnaires des utilisateurs, même si elle demeure dans l'ensemble la
responsabilité des gestionnaires du service des SI?
-Centralisé?- La sécurité est-elle sous la direction de la gestion des SI, et le personnel de gestion des SI maintient-il une
relation étroite avec les gestionnaires des utilisateurs?
- Hautement centralisé? - La sécurité est-elle totalement assurée par les gestionnaires du service des SI?
• Procédures • Existe-t-il des procédures pour faire en sorte que la compatibilité des données s'applique adéquatement à tous les
d'exploitation du réseau ensembles de données du réseau et que l'on a établi des exigences en matière de sécurité?
• A-t-on mis en place des mécanismes adéquats de réinitialisation et de reprise à chaque site utilisateur desservi par le
réseau de traitement distribué?
• Le réseau distribué des SI a-t-il été conçu pour faire en sorte de réduire au minimum l'impact d'une panne à un des sites
sur l'apport d'un service continu aux autres sites desservis par le réseau?
• Ya-t-il des dispositions pour assurer le respect des lois et des réglementations gouvernant la transmission des données?
• Entrevue avec la • La personne est-elle consciente des risques associés à l'accès physique et logique devant être minimisés?
personne responsable • La personne est-elle consciente du besoin de surveiller activement les ouvertures de session et de rendre compte des
de la sécurité du réseau changements aux employés?
• La personne sait-elle comment maintenir et surveiller l'accès?
• Entrevue avec les • Les utilisateurs connaissent-ils les politiques de gestion concernant la sécurité du réseau et la confidentialité?
utilisateurs

Manuel de Préparation CISA 26• édition 337

ISACA, Tous dmîts réservés.
Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
e Certif!Cd lnformalion
Systems Alldifor·
,,~;..,,,,,,.,,

!Tableau 4.00- RéVisions des opérations relatives aux SI

Domaines à réviser Questions à prendre en considération
• Observation du • Des contrôles sont-ils en place pour assurer l'efficacité des activités et le respect des normes et politiques établies?
personnels des SI • Une supervision adéquate est-elle présente?
• Des contrôle sont-ils en place concernant la révision de la gestion des SI, l'intégrité des données et la sécurité?
• Accès de l'opérateur • ~accès aux bibliothèques de fichiers et de documentation est-illimité aux opérateurs?
• Les responsabilités reliées à l'exploitation du système informatique et des périphériques afférents sont-elles limitées?
• ~accès aux programmes de correction et aux problèmes de données est-il restreint?
• !:accès aux utilitaires qui permettent d'apporter des correctifs aux logiciels ou aux données doit-il être restreint?
• !:accès au code source de producüon et aux bibliothèques de données (y compris les procédures de fonctionnement) est-
illimité?
• Manuels d'opération • Les consignes sont-elles adéquates pour englober :
-Le fonctionnement de l'ordinateur et de l'équipement périphérique?
-Les procédures de démarrage et d'arrêt?
-Les mesures à prendre en cas de panne de machine ou de programme?
- Les registres à conserver?
- Les tâches de routine et les activités restreintes?
• Accès à la bibliothèque • Empêche-t-on le bibliothécaire d'accéder au matériel informatique?
• Le bibliothécaire a-t-il accès uniquement au système de gestion des bandes?
• Permet-on uniquement au personnel autorisé d'accéder aux installations de la bibliothèque?
• Le retrait des fichiers est-il restreint par le logiciel de planification de la production?
• Le bibliothécaire s'occupe-t-il de la réception et du retour des supports extérieurs entrant dans la bibliothèque?
• Conserve-t-on des enregistrements des entrées et sorties des fichiers de données et des supports?
• Le contenu et la • Les supports de stockage de fichiers hors ligne contenant les programmes et les données d'exploitation sont-ils
localisation du stockage clairement identifiés selon leur contenu?
hors ligne • Les bibliothèques hors ligne sont-elles situées à l'extérieur de la salle informatique?
• Les politiques et procédures sont-elles adéquates pour:
-l'administration de la bibliothèque hors ligne?
-l'inscription ou la désinscription dans le médium, ce qui inclut le besoin d'autorisations de signatures?
-l'identification, l'étiquetage, la livraison et la récupération des fichiers de sauvegarde hors ligne?
-le chiffrement des fichiers de sauvegarde hors site (surtout s'ils sont déplacés physiquement entre les emplacements)?
-la réalisation de l'inventaire des supports en ligne et hors ligne du système, incluant les lieux de stockage spécifiques de
chaque bande?
-le retrait et la destruction sécurisés des supports, y compris les exigences relatives aux signatures d'autorisation?
• Procédures de • A-t-on établi des procédures afin de contrôler la réception et l'émission des fichiers et des supports de stockage
manipulation des secondaire vers d'autres endroits ou en provenance de ces derniers?
fichiers • utilise-t-on des étiquettes de bande internes pour faire en sorte que les bons supports sont montés pour le traitement?
• Ces procédures sont-elles adéquates et conformes à l'intention et à l'autorisation de la direction?
• Ces procédures sont-elles respectées?
• Saisie de données • Les documents d'entrée sont-ils autorisés et contiennent-ils les signatures appropriées?
• Les sommes des lots sont-elles réconciliées?
• Procède-t-on à une répartition des tâches entre la personne qui effectue la saisie de données et la personne qui révise les
données saisies pour en assurer l'exactitude et y détecter les erreurs?
• Des rapports de contrôle sont-ils produits? Les rapports sont-ils exacts? Les rapports sont-ils maintenus et révisés?
• Opérations d'extinction • !:accès à distance à la console maîtresse, souvent accordé aux opérateurs de réserve en cas d'imprévu, tel qu'une
défaillance du système automatisé. Les mécanismes de sécurité suffisent-ils à empêcher une utilisation non autorisée?
• Existe-t-il des plans de reprise après sinistre permettant une identification appropriée du sinistre s'étant produit dans une
installation sans personnel?
• Le logiciel d'exploitation automatisé et la procédure de substitution manuelle sont-ils documentés et testés adéquatement
au site de reprise?
• Des contrôles de modification de programme et d'accès adéquats sont-ils présents?
• Procède-t-on régulièrement à des tests des logiciels, surtout après l'application de modifications ou de mises à jour?
• A-t-on la certitude que le logiciel ne contient pas d'erreurs cachées et que l'opérateur est avisé de toutes les erreurs?

338 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information Section deux : Contenu

Tableau 4.31 -Révisions de la planification

Domaines à réviser
• Applications régulièrement prévues • Les éléments sont-ils inclus dans les ANS?
• Échéance pour l'entrée
• Temps de préparation des données
• Temps de traitement estimé
• Échéance d'aboutissement
• Procédures de cueillette, de
production de rapports et
d'analyse des indicateurs clés de
performance
• Planification du travail
• Planification du travail quotidien
• Journaux de la console
d'explortation
• Journaux de traitement des
exceptions
• Travaux de reprise
• Personnel
Questions à prendre en considération
• Les éléments fonctionnent-ils confonnément aux ANS?
• Les applications essentielles ont-elles été identifiées, et ont-elles reçu le plus haut niveau de primité?
• Des priorrtés de traitement ont-elles été établies pour d'autres applications, et ces priorités sont-elles
justifiées?
• La planification des travaux de reprise ou urgents correspond-elle au degré de priorité qu'on leur a attribué?
• Les procédures de planification facilitent-elles l'utilisation optimale des ressources informatiques tout en
répondant aux besoins du service?
• Les opérateurs tiennent-ils des registres des tâches à traiter et des fichiers de données requis?
• Les opérateurs prévoient-ils des tâches à réaliser de façon prédéterminée et les exécutent-ils à l'aide d'un
logiciel de planification automatisée ou d'un horaire manuel?
• Est-ce que le nombre d'employés affectés à chaque quart de travail suffit pour gérer la charge de travail?
• Le calendrier de travaux quotidien sert-il de piste d'audit? Le calendrier indique-t-il aux opérateurs
informatiques de chaque quart de travailles travaux à réaliser, l'ordre dans lequel les programmes doivent être
mis en fonction et les moments où les travaux moins importants peuvent être exécutés?
• À la fin d'un quart de travail, chaque opérateur doit-il remettre au planificateur des travaux ou au prochain
groupe de travailleurs un état d'avancement des travaux et un document présentant les raisons pour lesquelles
le travail planifié n'a pas été complété?
• Les travaux ont-ils été réalisés et complétés dans le respect de l'échéancier?
• Sinon, les raisons sont-elles valides?
• Les opérateurs obtiennent-ils l'autorisation écrite ou électronique des propriétaires lors de la planification de
travaux sur demande?
• Les opérateurs enregistrent-ils toutes les demandes de traitement des exceptions?
• Les opérateurs vérifient-ils la demande de trartement des exceptions afin de s'assurer que les procédures
utilisées sont appropriées?
• Les nouvelles exécutions de travaux sont-elles toutes autorisées correctement et enregistrées à des fins de
vérification de la part de la direction des SI?
• Les procédures établies pour la reprise des travaux assurent-elles que les bons fichiers d'entrée sont utilisés et
que les travaux ultérieurs dans la séquence sont aussi repris au besoin?
• Le personnel capable d'affecter ou de modifier les calendriers ou les priorrtés de travaux est-il autorisé à le
faire?

-
Tableau 4;32- Révisions iles rapportS de gestion des problèmes
Domaines à réviser Questions à prendre en considération
• Rencontres avec des • A-t-on élaboré des procédures documentées pour aider le personnel d'exploitation des SI à enregistrer, analyser et
membres du personnel résoudre promptement les problèmes ou à les transmettre aux échelons supérieurs, conformément aux attentes et à
des opérations des SI l'autorisation de la direction?
• Procédures utilisées par • Les procédures d'enregistrement, d'évaluation et de résolution ou de transmission des problèmes d'exploitation ou de
le service des Tl traitement sont-elles adéquates?
• Documentation relative • Les procédures utilisées par le service des Tl pour recueillir des statistiques concernant la performance de traitement en
aux opérations ligne sont-elles adéquates, et l'analyse est-elle juste et complète?
• Tous les problèmes iden@és lors des opérations de SI sont-ils enregistrés pour vérification et résolution?
• Registres de • Des problèmes surviennent-ils pendant le traitement?
performance • Les raisons expliquant les délais de trartement du programme d'application sont-elles valides?
• Entrées dans les • Les problèmes récurrents et d'importance sont-ils identifiés, et prend-on des mesures pour les empêcher de se répéter?
journaux d'erreurs en • Les problèmes de traitement sont-ils résolus promptement, de taçon complète et raisonnable?
cours • Existe-t-il des problèmes récurrents qui ne sont pas rapportés aux gestionnaires des SI?
• Journaux du service de
dépannage

Manuel de Préparation CISA 26• édition 339

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
4.8 PLAN DE REPRISE APRÈS SINISTRE
Le plan de reprise après sinistre (PRS) qui nppuie les activités
d'entreprise et la fourniture des services de TI, est un élément
d'un système de contrôle interne établi pour gérer la disponibilité
ct restaurer les processus et services de Tl critiques en cas de
perturbation. {;objectif de œ processus continu de planification
est d'assurer que des contrôles rentables sont en place pour
prévenir les perturbations potentielles aux Tl et restaurer
les capacités de TI de l'organisation en cas de perturbation.
L:importance de la disponibilité des systèmes d'application
et services de Tl individuels dépend du rôle stratégique des
processus d'entreprise qu'ils soutiennent. L'impo1iancc et Je
camctère urgent de œs processus d'cntTeprise et des services
et applications de TI a::;sociés peuvent être définis en effectuant
une analyse d'impact sur les a1Taires (AJA) ct en att1ibuant des
objectifs de point de reprise (OPR) ct de temps de reprise (OTR).
La disponibilité des données de l'entreprise et la capacité de les
traiter ct de !cs gérer sont essentielles au développement durable
ct même à la survie de toute entreprise. Par conséquent, la
planification antisinistrc est un élément important des processus
de gestion des risques et de planification de ln conlinuité des
activités (PCA ).
Le PRS est un processus continu. Une fois que la critîcitédes
processus d'entreprise et des services, systèmes ct données de Tl
qui les appuient a été définie, ces derniers sont passés en revue
et repris en considération périodiquement. Le PRS entraîne au
moins deux résultats impo1iants :
• Des changements à !"infrastructure de TI (serveurs, réseaux,
systèmes de stockage des données, etc.), des changements
aux processus de soutien (augmentation de la maturité), aux
procédures et à la structure organisationnelle (nouveau relevé
des effectif<> ou nouveaux rôles). Ces changements sont
combinés dans des programmes couvrant de trois à cinq ans,
souvent appelés stratégies de reprise après sinistre des Tl.
• Des plans de rep1ise établis dans le cadre de ce processus qui
détermineront la réponse aux incidents, qu'il s'agisse d'une
simple urgence ou d'un désastre de grandes proportions. Ces
plans vont des procédures simples à l'échelle du service aux
plans modulaires multinivcaux qui couvrent de multiples
emplacements et domaines d'activité.
!:objectif ultime du processus de PRS est d'otl'rir une réponse en
cas d'incidents susceptibles d'avoir un impact sur les gens, sur
" Figure 4.33 -Relation entre rom et I'OPR
1h
• Sauvegardes • Sauvegardes • Duplication
sur tJandes sur disques • Dupl!cat!on en
• Envoi de registres • Copies instantanées temps réel
• Reproduction
retardée
340
e C.erlifled lnlurmaUon
Systems Autlltor'
;~::;,..~
les opérations ct sur ln capacité à livrer les biens, ainsi que de sc
conformer aux exigences réglementaires.
Le PRS peut être assujetti à diverses exigences en matière de
conformité, tout dépendant de l'emplacement géographique, de
la nature des activités et du cadre jmidique et réglementaires. Les
organisations embauchent des tiers qui mènent des activités pour
leur compte, ct ces tiers sont eux aussi tenus de sc confOrmer. La
plupart des exigences de conf01111Îté sont axées sur l'assurance de
la continuité des services~ cependant, la sécurité des personnes est
l'aspect le plus imp01iant. À titre d'exemple, en cas d'incendie,
l'évacuation sécuritaire passe avant la restauration du service.
La présente section porte sur les activités clés qu'une organisation
doit effectuer pour planifier et gérer de façon proactivc les
conséquences d'un sinistre.
4.8.1 OBJECTIF DE POINT DE REPRISE ET OBJECTIF
DE TEMPS DE REPRISE
L'OPR est déterminé en fonction du niveau de perte de données
acceptable lors d'une interruption des opérations. Il indique le
point de reprise au plus tôt acceptable pour récupérer les données.
Par exemple, si le processus peut se permettre de perdre les
données jusqu'à quatre heures avant le sinistre, alors la dernière
sauvegarde disponible doit être etTectuée quatre heures avant le
sinistre oul'intermption, ct les transactions effectuées lors de
l'OPR et de l'interruption doivent être entrées après la reprise des
opérations (une étape intitulée rattrapage des données).
L'OPR quantifie de iàçon efficace la quantité tolérable de
données perdues en cas d'interruption. Il est presque impossible
de récupérer entièrement les données. Même après avoir entré des
données supplémentaires, certaines données seront tout de même
perdues et seront considérées comme des données orphelines.
L'OPR a un impact direct sur la technologie utilisée pour la
sauvegarde et la récupération des données (voir la figure 4.33).
l?OTR est détenniné en fonction de la péliode d'arrêt acceptable
en cas d'interruption des opérntions. Il indique le premier point
dans le temps où les opérations commerciales (et les systèmes
de Tl qui les appuient) doivent avoir repris après le sinistre. Le
tableau 4.33 montre la relation entre I'OTR et I'OPR et donne
des exemples de technologies utilisées pour atteindre ces derniers.
Ces deux concepts sont basés sur des paramètres de temps. Plus
• Grappes actives- • Grappes actives- • Éléments de
actives passives secours non
• Ë!êments de immédiat
secours immédiat
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
les exigences relatives au temps sont près du centre (0-1 heure),
plus les stratégies de reprise des opérations seront coüteuses.
Si I'OPR est en minutes (la perte de données acceptable la plus
faible possible), alors la duplication en temps réel ou le miroîtage
des données devront être mis en place comme stratégie de reprise.
Si I'OTR est en minutes {temps d'indisponibilité le plus court
possible), alors un centre de secours immédiat, des serveurs
dédiés de rechange (et autre équipement) et la mise en grappe
doivent être utilisés.
La tolérance au sinistre conespond au laps de temps pendant
lcquell'enlreprise peul se passer des services essentiels des 'l'f.
Par consêquent, plus l'OTR est bas, plus la tolérance au sinistre
est basse.
COTR influence la technologie utilisée pour rendre les
applications et systèmes de TI disponibles- quoi utiliser pour
la rep1ise (centre de secours intermédiaire, centre de secours
immédiat grappes, etc.). L'OPR concemc généralement les
solutions de protection des données (sauvegarde et reprise,
reproduction synchrone ou asynchrone des données).
r::---·-··------- --·-· ··-········-··--····--····-··----·-·1
IKcmarque : Le candidat. au Litre CJSA doit connaître les
meilleures ~iratêgies de reprise des opérations à utiliser avec les
diftèrents pan1mètres d'OTR et d'OPR.
---------------·------"--·--·----·-----·..--'----
En plus de l'OTR et de I'OPR, d'autres pammètrcs sont importants
pour élaborer des stratégies de reprise des opérations. Ils
comprennent :
• Plage d'interruption- Le lemps d'attente maximal que
l'organis..1.tion peut se pennettrc depuis le moment de la panne
jusqu'au rétablissement des services ou des applications
e_<;,o;;entielles. Après ce temps, l'entreprise ne peut plus sc permettre
les pet1es résultant de l'interruption ct qul sc sont cun1u!écs depuis
le début de l'interruption.
• Les objectifs de prestation des services (OPS)- Le niveau
de services à aHcindre en 1mxte de processw~ de remplacement,
jusqu'au retour à la normale. Ce niveau est directement lié aux
besoins Je l'entreprise.
• Interruption maximale tolérable- Le temps maximal de
tOnctionnement en mode de remplnccment que peut se permettre
une organis.:1.tion. Après ce temps, diflërents problèmes peuvent
survenir, surtout si les OPS de remplacement sont plus f'àibles que
les OPS habituels, ct que !Information en attente de mise à jour
peut devenir ingérablc.
4.8.2 STRATÉGIES DE REPRISE DES OPÉRATIONS
Une stratégie de reptise des opérations détermine la meilleure
f.1çon de rétablir un système (un ou plusieurs) en cas
d'interruption ou de sinistre et offre un soutien sur la base duquel
les procédures de reprise détaillées peuvent être développées.
Différentes stratégies doivent être élaborées, ct toutes les
solutions de rechange doivent être présentées à la direction
générale. La direction générale doit sélectionner les stratégies les
plus approptiées à partir des choix présentés et doit en accepter
les Iisques inhérents. Les stratégies choisies doivent être utilisées
pour développer plus en détaille PCA.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
Le choix d'une stratégie de reprise des opérations repose sur les
éléments suivants :
• la cri ti cité du processus de gestion et les applications soutenant
les processus;
• les coüts;
• le temps requis pour le rétablissement;
• la sécurité.
Il existe plusieurs stratégies de rétablissement des ressources
d'information ctitiqucs. La plus efficace est celle dont les
coUts hês au temps de rep1ise sont acceptables ct raisonnables
en comparaison aux impacts et aux probabilités d'occurrences
déterminées dans l'analyse de l'impact des risques de l'entreprise.
Les coûts de reprise des opérations incluent les coüts de
préparation aux possibles pe1iurbations (p. ex., les coûts f-ïxes
d'achat, d'entTctien ct de mise à l'essai régulière des ordinateurs
redondants ainsi que de maintien de l'acheminement des réseaux
alternatifs) ct les coüts variables de mise en œuvre de ces
éléments advenant Je cas d'une perturbation. Ces derniers coüts
sont généralement assurés. mais les premiers ne le sont pas.
Toutefois, les primes liées à l'assurance en cas de sinistre seront
habituellement plus faibles s'il existe un plan adéquat.
1
Habituellement, chacune des plateformcs des Tl qui prend en
JI charge une application soutenant une fonction essentielle de
l'entreprise exige une stratégie de reprise. Il existe plusieurs
stratégies de rechange. Pour choisir la plus appropriée en termes
de coûts de reprise et de coüts réels, il faut sc fonder sur le niveau
de risque relatif détenniné dans l'analyse de 1'impact des risques
de l'entreprise. Les stratégies de reprise des opérations basées
sur le niveau de risque déterminé pour la rcp1ise incluent le
développement d'installations suivantes:
• centTe de secours immédiat;
• centre de secours intermédiaire;
• salle blanche (ou vide);
• centre de traitement informatique redondant;
• centre mobile;
• accord de réciprocité avec d'autres organisations.
~
e.·marque ; Le ca.n.did.at au titre CJSA doit c.onnaître ces 1
ratégies de reprise et savoir qu.:md les utiliser. 1
····--·-····-·-·------··--- --··---~-- ____ _j
4.8.3 AUTRES SOlUTIONS DE REPRISE DES
OPÉRATIONS
Lorsque les installations de production habituelles deviennent non
disponibles, l'entrep1ise peut utiliser des installations de rechange
pour continuer le traitement essentiel jusqu'à la restauration des
installations p1incipales. Le tableau 4.34 montre les solutions les
plus communes.
341
 Chapitre 4 - Exploitation, Entretien et Gestion
Section deux : Contenu des Services des Systèmes d'Information
Tableau 4.34- Autres $Oiiilions de reprise des opérations
Les salles blanches sont des installations offrant de l'espace et une
infrastructure de base adéquate pour soutenir la reprise des opérations,
mais pas d'équipement de Tl ou de communications, de programmes, de
données ou de soutien administratif. Un plan qui prescrit l'utilisation d'une
salle blanche doit aussi prévoir l'acquisition et l'installation du matériel
informatique, des logiciels et de J'équipement de bureau nécessaires pour
soutenir les applications critiques lors de J'activation du plan. Pour employer
une analogie sportive, une salle blanche est comme un substitut sur le banc,
qui attend de prendre part au match.
Les sites mobiles sont des installations de traitement modulaires montées
sur des véhicules transportables, prêtes à être livrées et montées à un
emplacement qui peut être spécifié lors de l'activation. Un plan qui prévoit
J'utilisation d'un site mobile doit préciser les emplacements susceptibles
d'être utilisés. Le plan doit permettre un droit d'accès au site choisi par Je
fournisseur et par l'entreprise. Le plan doit aussi prévoir la fourniture de
toute infrastructure d'appoint nécessaire pour soutenir le site, comme des
routes d'accès, de l'eau, un service d'élimination de déchets, de l'électricité
et des moyens de communication.
Les salles rouges sont des infrastructures complètes, mais partiellement
configurées en ce qui concerne les Tl, habituellement dotées de connexions
réseau et d'équipement périphérique essentiel comme des lecteurs de
disques ou de rubans et des contrôleurs. L'équipement peut être moins
pertormant que l'équipement de production habituel, mais être tout de
même adéquat pour maintenir les applications critiques de façon temporaire.
Généralement, les employés sont transférés à la salle rouge et des versions
actuelles des programmes et des données doivent être chargés avant que
les opérations puissent y reprendre. Pour reprendre l'analogie sportive, la
salle rouge est comme un substitut qui s'échauffe en vue d'entrer dans le
match.
Les centres de secours immédiat sont des installations offrant de
l'espace et une infrastructure de base ainsi que tout le matériel de Tl et de
communications nécessaire pour soutenir les applications critiques, en plus
des meubles et de l'équipement nécessaire pour Je personnel. Les centres
de secours immédiat maintiennent généralement des versions installées
des programmes nécessaires pour soutenir les applications critiques. Les
données peuvent aussi être copiées au centre de secours immédiat en
temps réel ou quasi~réel. Si ce n'est pas le cas, les copies de sauvegarde
des données les plus récentes doivent être chargées avant de reprendre les
applications critiques. Bien que du personnel puisse être affecté aux centres
de secours immédiat, les employés y sont généralement transférés à partir
du site principal pour soutenir les opérations lors de l'activation. Pour revenir
encore une fois à notre analogie sportive, le centre de secours immédiat est
un substitut sur les lignes de côté, prêt à prendre part au match.
Les sites miroirs sont des sites entièrement redondants où les données
du site de production sont reproduites en temps réel. Ils sont pleinement
équipés et dotés de personnel, et peuvent assumer le traitement critique
sans que les utilisateurs remarquent d'interruption.
Les accords de réciprocité sont des ententes entre des entreprises
distinctes, mais semblables, qui consentent à partager temporairement
leurs installations de Tl dans l'éventualité où l'une d'entre elles perdrait ses
capacités de traitement. Les accords de réciprocité ne sont pas considérés
comme une option viable à cause des contraintes relatives au maintien de la
compatibilité matérielle et logicielle entre les entreprises, des complications
présentées par les règles de sécurité et de confidentialité pendant les
opérations partagées et de la difficulté de faire respecter les accords si un
conflit survenait au moment de l'activation du plan.
Les accords de réciprocité avec d'autres organisations, bien que cette
méthode soit utilisée moins fréquemment, sont des accords entre deux
organisations ou plus détenant de l'équipement ou des applications uniques.
Dans un accord type, les participants se promettent mutuellement assistance
en cas d'urgence.
342
Les solutions qui otlh.::nt le temps de repdsc le plus rapide
requièrent le plus de ressources dédiées sur une base continue,
et sont donc les plus coûteuses pour !"entreprise. En comparant
les coûts d'entreprise associés à l'interruption des processus
essentiels (définis dans l'AJA) aux coùts des diverses solutions
de traitement, la direction pourra fixer un OTR optimal et choisir
une solution de reprise appropriée.
Le site de secours doit être choisi en tenant compte du Htit qu'il
doit se trouver hors de la zone géographique touchee par tout
événement perturbateur jugé possible selon le plan. L'impact
et la nature des événements perturbateurs doivent être pris en
considération pour déterminer une distance adéquate du site
primaire; la distance de séparation ne doit pas être choisie
arbitrairement.
Peu importe le type de traitement de secours choisi, Je plan devra
comprendre des dispositions pour établir une communication
en réseau avec l'autre site. Le plan doit prévoir des solutions
redondantes pour faire en sorte que les communications puissent
être établies avec le site de secours à la suite d'une interruption du
traitement normal provoquée par n'importe quelle cause prévue.
Le site de traitement de secours peut être fourni par un tiers ou
par l'entreprise au moyen de ses propres ressources. Lorsque
les installations appatiicnnent à l'entreprise, les priorités et les
conf'lits peuvent être prévus ct résolus rapidement par la haute
direction. Lorsque les installations sont fournies par un tiers,
J'entreprise doit avoir des contrat.;; clairement rédigés pour
assurer qu'elle aura accès aux ressources dont elle a besoin
sans délai après un sinistre. li faut lenir compte de la probabilité
qu'au même moment où l'entreprise aura besoin d'utiliser les
installations de traitement, d'autres entreprises de la région
pourraient aussi tenter de restaurer leurs processus criliques.
Dispositions contractuelles
Les dispositions contractuelles liées à l'utilisation des
installations de tierce partie doivent couvrir les éléments
suivants:
• Configurations Les configurations matérielles et logicielles
des installations sont-elles adéquates pour répondre aux besoins
de l'entreprise? Y a-t-il des dispositions pour mettre à jour les
configurations et effectuer des tests pour confirmer qu'elles
demeurent adéquates au fil du temps?
• Sinistre"··- La définition d'un sinistre est-elle sutrisammcnt large
pour répondre aux besoins anticipés?
.. Accès- L:utilisation des installations est-elle exclusive, ou le
client doit~il pm1ager l'espace disponible si plusieurs clients
déclarent un sinistre simultanément? L'entreprise a-t-elle
l'assurance absolue qu'elle aura un accès adéquat au site
ct aux ressources dans l'éventualité d'un sinistre? L:accord
précise-t-il comment les conflits d'accès seront résolus de fàçon
satisfaisante?
• Priorité-- L'accord offre-t-il à l'entreprise une priorité
satisfl1isante à la suite d'un sinistre? L'accord empêche-
t-ille pm1age des ressources nécessaires nvcc des entités
gouvernementales qui pourraient réclamer la p1ioJité à la suite
d'un sinistre?
• Disponibilité-· Les installations seront-elles à la disposition de
l'entrep1ise sans délai lorsque le besoin se présentera?
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
• Vitesse de disponibilit'é _,_Combien de temps après un sinistre
les installations seront-elles disponibles?
• Membres par inst-allation L'accord limite-t-il le nombre de
membres par installation?
• Membres par domaine-- Caccord limîte-t-ille nombre de
membres par édifice ou par domaine?
• Priorité- Qui obtient la p1iorité en cas de sinistre régional
ou commun? Y a-t-il des installations supplémentaires
pour sccotuir ces installations d'urgence? L'utilisation des
installations est-elle exclusive, ou le client doit-il partager
l'espace disponible si plusieurs clients déclarent un sinistre
simultanément? Le foumisseur possède-t-il plus d'une
installation disponibh: pour les membres?
.. Assurance··- La couverture d'assurance est-elle adéquate pour
les employés de l'entrep1ise au centre informatique de secours?
L'assurance existante remboursera-t-elle ces trais?
• Période d'utilisation-·· Pendant combien de temps l'installation
peut-elle être utilisée? Cette période est-elle convenable? Quel
soutien technique sera fourni par l'opérateur du centre? Est-cc
approplié?
• Communications·-· Les communications sont-elles
convenables? Les connexions de communication au centre
infonnatique de secours sont-elles suffisantes pour pennettrc la
communication illimitée avec l'installation de remplacement si
nécessaire?
• Garanties- Quelles gamntics olfre le fournisseur relativement
à la disponibilité et à la qualité des installations? Y a-t-il
des limitations de responsabilité (il y en a généralement), et
l'entreprise est-elle prête à les assumer?
• Audit- Y a-t-il une clause prévoyant un droit d'audit de
l'installation pour évaluer la sécUJité logique, physique et
environnementale?
• Test- Quels droits de tests sont inclus dans Je contrat? Vérifiez
auprès de la compagnie d'assurances pour déterminer toute
réduction des primes à venir en raison de la disponibilité du
centre informatique de secours.
• Fiabilité- Le fournisseur peut-il attester de la fiabillté du
centre? Idéalement, le fOurnisseur doit posséder un système
d'alimentation sans coupure, doit avoir un nombre de membres
limité, doit présenter une bonne gestion technique et doit offrir
la garantie de compatibilité du matériel informatique et des
logiciels.
• Sécurité- Le sile peut-il être sécurisé adéquatement pour se
conformer à la politique de sécurité de l'entreprise?
Obtention de matériel de secours
Les entreprises qui prévoient utiliser une salle blanche ou rouge
doivent inclure dans leur plan des dispositions pour acquérir
du matériel et des logiciels afin d'équiper les sites lors de
l'activation. Les entreprises peuvent acquérir et entreposer le
matériel et les logiciels nécessaires à l'avance ou prévoir les
acquérir lorsqu'elles en auront besoin. Un fàcteur clé dans la
décision est la nature des systèmes utilisés: s'agit-il de systèmes
standards qu'on peut facilement remplacer en cas de besoin ou de
systèmes uniques, spécialisés, désuets et par conséquent difficiles
à trouver sans préavis? Si l'entreprise dépend de matériel qui
n'est pas facilement disponible pour soutenir ses applications
essentielles, les plans doivent inclure des dispositions pour
l'acquisition de matériel à temps pour se conformer à J'OTR.
Ce t:1cteur peut obliger les entreprises à acquérir les composants
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
critiques ù l'avance et à les entreposer pour qu'ils soient
disponibles au besoin.
De plus, une partie de la reprise des activités aux installations
des Tl impliquera les télécommunications, pour lesquelles les
stratégies considérées doivent inclure :
• La prévention des perturbations du réseau, cc qui comprend :
--l'acheminement de secours:
~l'acheminement multiple;
-- la diversité du réseau sur de grandes distances;
- la protection de la boucle locale;
~- la restauration de la voix;
-la disponibilité des circuits appropriés ct de la bande passante
adéquate.
• La planification de reprise des activités des serveurs après le
sinistre.
Résilience des applications et méthodes de reprise
après sinistre
Protéger une application contre les sinistres sous-entend de
flmmir des moyens de la restaurer le plus rapidement possible.
La mise en grappe permet de faire cela. Une grappe est un type
de logiciel (agent) installé sur chaque serveur (nœud) sur lequel
l'application tourne, ct qui comprend un logiciel de gestion
permettant de contrôler et d'ajuster le comportement de la grappe.
La mise en grappe protège contre les points de déf~lillance unique
(une ressource dont la pe1ie entraînerait une rupture de service ou
de production).
Il existe deux principaux types de grappes d'application:
active-passive et active-active. Dans les grappes actives-
passives, l'application toume sur seulement un des nœuds
(actif), alors que les autres nœuds (passî(<;) servent seulement
en cas de panne de l'application sur le nœud actif. Dans ce cas.
les agents de la grappe surveillent constamment l'application
protégée et la redémarrent rapidement sur t'un des nœuds
restants. Cc type de grappe ne requiert aucune configuration
spéciale du côté de l'application (c.-à-d. que l'application n'a
pas besoin de reconnaître la grappe). Par conséquent, c'est l'un
des principaux moyens d·assurcr la disponibilité et la reprise
après sinistre de l'application. Dans les grappes actives-actives,
l'application tourne sur chaque nœud de la grappe. Dans cette
configuration, les agents de la grappe coordonnent le traitement
de l'infommtion entre tous les nœuds, assurant l'équilibre de la
charge et coordonnant J'accès simultané aux données. Lors de
l'échec d'une application dans une telle grappe, les utilisateurs
n'observent généralement aucun temps d'indisponibilité (il est
possible que les transactions non complétées soient manquantes).
Les grappes actives-actives nécessitent que l'application soit
conçue pour exploiter les capacités de la grappe (par exemple,
si la transaction n'est pas complétée sur le nœud en panne,
certains des nœuds restants tenteront d'exécuter la transaction
de nouveau). Ces grappes sont moins courantes que celles
à configuration active-passive et permettent une reprise de
l'application, un équilibrage des charges et une adaptation
rapides. Cc type de grappe exerce une plus grande demande sur le
temps d'attente du réseau. Très souvent, les organisations utilisent
une combinaison de configurations de grappes, par exemple
active-active pour un site de traitement donné et active-passive
entre les sites. Cette combinaison protège les applicalîons contre
343
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
les pannes logicielles ou matérielles locales (active-active) et
contre les pannes de site (active-passive). Les grappes couvrant
une seule ville sont appelees grappes locales, et celles couvrant
plusieurs villes, pays et continents sont appelées grappes
étendues. Bien qu'il soit possible de développer des logiciels de
grappe à l'interne, cela n'est pas rentable, ct un grand nombre de
solution;;; sont otTertcs par les principaux fburnisscurs de logiciels.
Souvent, les applications mises en grappe nécessitent que les
données soient partagé-es entre tous les nœuds de la grappe. Les
grappes actives-actives requièrent généralement que le même
stockage soit disponible pour tous les nœuds; les grappes actives-
passives sont moins exigeantes et requièrent que les donnCes
soient copiées du nœud actif vers les autres.
Résilience des données stockées et méthodes de
rétablissement après sinistre
Le réseau redondant de disques indépendants (ou non
dispendieux) (RAID) est la méthode la plus simple et courante
de protéger les données contre un point de déf~lillance unique, en
l'occuiTCncc, une panne dc disque. Le RAID permet d'améliorer
la perfOrmance et les capacités de tolérance aux défaillances à
l'aide de matériel ou de logiciels infànnatiques, en répartissant
les données sur une sétie de disques dans le but d'améliorer
simultanément la performance et la sauvegarde des fichiers
impmiants. Ces systèmes offrent la possibilité d'effectuer hors
lieu et à peu de frais des copies miroir des données.
Plusieurs méthodes, catégorisées en 11 niveaux {les plus
populaires étant les niveaux 0 [bande], 1 [miroir], leurs
combinaisons [0+ 1 ou I+OJ et 5), sont définies pour combiner
plusieurs lecteurs de disques en cc gui semble n'en être qu'un seul
du point de vue du système. Le RAID constitue une amélioration
à la solution« disque unique)), puisqu'il offre une meilleure
performance ou une redondance des données.
Remarque: Le candidat au titre C1SA ne sera pas évalué sur les
éléments spécif1que.~ des niveaux du RAID.
De nombreux fournisseurs offrent des matrices de stockage- de
l'équipement qui masque toutes les complexités de la formation
d'un volume logique à partir de disques physiques, éliminant
complètement Je besoin d'effectuer des configurations de bas
niveau, En géné-ral, ces réseaux de stockage correspondent
aux p1incipaux niveaux du RAID; toutefois, le personnel
des Tl responsable a toujours J'obligation de comprendre les
implications des diverses configurations de RAID.
Afin de protéger les données contre les pannes de site et assurer
la réussite de la reprise des applications (avec ou sans grappes),
les réseaux de stockage offrent des fonctions de duplication des
données, garantissant que les données sauvegardées sur le disque
d'un site apparaissent également à l'autre site. Tout dépendant
de la bande passante disponible et du temps d'attente du réseau)
la duplication des données peut être synchrone (c.-:1-d. que
1'écriture sur le disque local n'est pas confirmée tant que les
données n'ont pas aussi été inscrites sur le disque de J'autre site),
asynchrone (les données sont copiées selon un horaire déterminé)
ou adaptative (passage d'un mode à l'autre selon la charge du
réseau).
344
e . Ccrtified Information
.M. systems Auditor"
'-'""c.<"Co<M<>'""
La duplication fOndée sur le réseau (matériel) est entièrement
transparente du point de vue de l'application (c.-:1-d. qu'aucune
disposition particulière n'est nécessaire relativement au système
d'exploitation ou à l'application).
S'il n'y a pas de disque de réseau, les données stockées sur les
volumes du serveur local (RAID ou non) peuvent quand même
être copiées à un site distant à l'aide de solutions de duplication
gérées par le système central. Elles fonctionnent de façon
semblable aux solutions matérielles.
Résilience des réseaux de télécommunication et
méthodes de rétablissement après sinistre
Le plan doit tenir compte des réseaux de télécommunication de
l'organisation. De nos jours, les réseaux de télécommunication sont
essentiels au fonctionnement des grandes ct petites entreprises. Par
conséquent, la procédure pour en assurer le fonctionnement en tout
temps doit être prioritaire.
Les réseaux de télécommunication peuvent être touchés par les
mêmes catastrophes naturelles que les cenü~s de données, mais
sonl en plus vulnérables à plusieurs sinistres spécifiques aux
télécommunications. Ces événements incluent les sinistres aux
stations centrales de commutation, la coupure de câbles, les pannes
et eJTcurs des logiciels de communication, les brèches de sécurité
liées au piratage (pîmtes téléphoniques) ainsi qu'un certain nombre
d'erreurs humaines. il est de la responsabilité de l'organisation, ct
non des entreprises de services locaux, d'assurer en permanence
les capacités de communication. Les entreprises de services
locaux ne sont pa-; tenues d'oni·ir des services de secours, bien
que plusieurs d'entre elles aient établis des plans de sauvegarde
des principaux éléments de leurs systèmes. Par conséquent,
l'organisation doit prévoir un plan de sauvegarde de ses installations
de télécommunication.
Pour maintenir les processus essentiels de J'entreprise, le PCA du
centre de traitement intürmat·ique doit prévoir le fonctionnement
des capacités de télécommunication adéquates. Les capacités
de télécommunication à prendre en compte sont les circuits
téléphoniques vocaux, les WAN (connexions aux centres de données
répartis). les réseaux locaux (LAN) (connexions aux groupes de
tmvail sur ordinateur personnel) ainsi que les foumîsseurs ci'EDI
de tierce partie. Il f..1ut détenniner les exigences au chapitœ de la
capacité critique pour les différents seuils d'intenuption de chaque
capacité de télécommunication, par exemple 2, 8 ou 24 heures.
Les systèmes d'alimentation sans coupure devraient sulfi1~ pour
pennettre le IOnclionnement de l'équipement de télécommunication
ct de l'équipement infOrmatique.
Les méthodes de protection des réseaux sont les suivantes :
• Redondance-· Présente plusieurs solutions, dont les suivantes:
-·Fournir une capacité supplémentaire ct se doter d··un plan pour
1'utiliser au cas où la capacité de transmission principale ne
serait pas disponible. Dans le cas d'un réseau local, un second
câble pourrait êtTe installé via une route de remplacement aux
fins d'utilisation, advenant le cas où le câble principal serait
endommagé.
--Fournir plusieurs voies d'accès entre les routeurs.
-Utiliser des protocoles de routage dynamique, tels que l'Open
Shortest Path First (OSPF) et I'Enhanced lntmior Gateway
Routing Protocol (EIGRP).
Manuel de Préparation CISA 26' édition
ISACA. Tous droits l"éservés.
e • Certif!OO Information
""' Systems Auditer'
;;;~-
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d lnformation
1
--Fournir des appareils de rétablissement du réseau pour éviter
lc:s points de défectuosité uniques dans les route urs, les
commutateurs, les coupe-feu, etc.
-- Sauvegarder les fichiers de configuration aux fins de
récupération en cas de pannes d'appareils de réseau. tels
que les routcurs ct les commutateurs. Par exemple, les
organisations devraient utiliser les serveurs Trivial File
Transport Protocol (TFTP). La plupart des appareils de réseau
prennent en charge le TFTP pour sauvegarder et récupérer les
données de configuration.
• Réacheminement- Une méthode d'acheminement de
l'information par l'intermédiaire d'un autre moyen, comme
les câbles de cuivre ou la fibre optique. Cela sous-entend
l'utilisation de différents réseaux, circuits ou points finaux
en cas d'indisponibilité du réseau habituel. La plupart des
fi:mrnisseurs locaux déploient des anneaux de fibre optique
contrarotatifs. Ces anneaux possèdent des câbles de fibres
optiques qui transmettent l'information dans deux directions
différentes ct dans des gaines de cflble séparées pour assurer une
meilleure protection. Actuellement, ces anneaux transmettent
l'information à partir d'une station centrale de commutation.
Toutef-Ois, avec l'expansion du réseau, on prévoit la création
d'une seconde centrale dans le circuit. Certains fournisseurs
offrent d'autres routes vers ditlèrcnts points de présence
ou diffërcntes stations centrales. Comme autres exemples,
mentionnons le circuit commuté au lieu des circuits dédiés;
un téléphone cellulaire ct des communications par micro-
ondes au lieu des circuits terrestres; des courriers au lieu des
tmnsmissions électroniques.
• Acheminement divers -· Méthode de routage du trafic grâce ù
des installations de càbles à conducteurs séparés ou de câbles
doubles. [.;acheminement peut être réalisé à l'aide de câbles dont
les enveloppes sont diffërentes ou doubles. Si des enveloppes
diftërcntes sont utilisées, le câble peut être dans le même
canal de communication ct, cc faisant, être sujet aux mêmes
interruptions que le câble qu'il soutient. L'abonné au service
de communication peut dupliquer les installations grâce à des
routes alternatives, bien que l'entrée chez le client et à partir
des locaux du client peut sc faire à pmtir du même canal de
communication. L?nbonné peut obtenir les acheminements divers
ct alternatifs par l'entremise du transmetteur local, y compris les
installations d'entrée double. Cependant, ce type d'accès est lent
et coûteux. La plupart des transmetteurs offrent des installations
pour les acheminements alternatifs et divers, quoique la
mnjorité des services soient transmis par des moyens terrestres.
Habituellement, ces instnllations de câblage sont situées dans
le sol ou dnns le sous-sol du bâtiment. Les installations dans
le sol sont toutefois vulnérables à cause du vieillissement des
infrastructures urbaines. De plus, les installations de câblage
partagent hnbituellemcnt le même espace que les systèmes
mécanique et électrique. Ce faisnnt, une en·eur humnine ou des
catastrophes peuvent les exposer à des risques.
• Diversité du réseau sur de longues distances-·- Plusieurs
ti:mmisscurs d'installations de reprise ofli-cnt la chversité
du réseau sur de grandes distances et utihsent des circuits
T 1 panni les fournisseurs importants de rb;eaux de longues
distances. Ceci assure l'accès à grande distance advenant le
cas qu'un fournisseur subisse une panne de réseau. Plusieurs
des plus importants fournisseurs ont installé un logiciel de
réacheminement automatique ainsi que des lignes redondantes
qui assurent le rétablissement immédiat du réseau en cas de bris
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rêservês.
Section deux : Contenu
de ligne. L'auditeur des SI doit s'nssurer que l'installation de
reprise possède ces capacités essentielles de télécommunication.
• Protection des circuits du dernier Jdlomèt"re ~- Plusieurs
installations de reprise offrent une combinaison redondante de
fournisseurs locaux Tl ou El, de micro-ondes et/ou de câbles
coaxiaux pour accéder à la boucle de communication locale.
Ceci permet à l'installation d'avoir accès si un sinistre frappe
un fournisseur local de télécommunication. Le routage de
remplacement d'un fournisseur local est également utilisé.
• Restauration de la voix- Puisque plusieurs industries de
services, d'entreprises finnncièrcs el d'entreprises de vente de
détail dépendent des communications vocales, il est possible
d'utiliser un câblage redondant et un protocole voix par IP
(VoiP) pour rétablir le système.
4.8.4 ÉLABORATION DES PLANS DE REPRISE APRÈS
SINISTRE
Comme il fait partie de l'ensemble du processus de PCA, le PRS
de Tl suit le même cheminement. Après l'exécution d'une AIA et
d'une évaluation des risques (ou autre méthode de détem1ination
des risques ct de l'etTicacité des contrôles d'atténuation),
la stratégie de reprise après sinistre des Tl est élaborée.
L'implantation de cette stratégie nécessite que des changements
soient apporiés aux :
• Sy,tème' de Tl;
• Réseaux;
" Sites de traitement des Tl;
• Structures organisationnelles (dénombrement des elfectifs,
rôles, postes);
" Processus et procédures de Tl.
Un PRS de Tl est un ensemble bien structuré de processus et de
procédures visant à rendre les efl'orts de réponse et de reprise en
cas de sinistre rapides, rentables et etficaccs, afin de réaliser une
synergie entre les équipes de reprise. Le plan doit être documenté
et écrit dans un langage simple ct facile à comprendre pour tous.
Contenu du PRS de Tl
Le PRS de Tl comprend typiquement :
• les procédures de déclaration d'un sinistre (procédures de
recours à la hiérarchie);
• les critères d'activation du plan (c.-à-d. dnns quelles
circonstances le sinistre est déclaré, quand le PRS de Tl est
appliqué, quels scènatios sont couverts par le plan fpcrte
du système de Tl, perte du site de traitement, perte du lieu
d'aftl1iresJ);
• ses !lens avec les plans d'ensemble (pnr exemple, plan
d'intervention d'urgence, plan de gestion de crise ou PCA de
différents domaines d'activité);
• la personne (ou les personnes) responsable(s) de chaque
fonction dans l'exécution du plan;
• les équipes de reprise et leurs responsabilités;
• les listes de coordonnées ct de communication (coordonnées des
membres de l'équipe de reprise, des gestionnaires de la reprise,
des parties prenantes, etc.);
.. l'explication étape par étape de tout le processus de reprise (où
et quand la reprise doit avoir lieu [même site ou site de secours},
cc qui doit être récupéré [systèmes de Tl, réseaux, etc.], 1'ordre
de la reprise);
345
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
• les procédures de reprise (pour chaque système ou composante
de Tl). Remarque : le degré de délaîls à cet égard varie
énormément et dépend des pratiques de !"organisation;
• les coordonnées des vendeurs et fournisseurs impottants;
• la détermination claire des diverses ressources requises pour la
replise ct la poursuite des opérations de 1'organisation.
li est courant de déterminer des équipes responsables pour
certaines tâches à accomplir en cas de sinistre. Certaines équipes
importantes devraient être formées (leurs responsabilités
sont décrites à la section 4.8.5 Organisation et affectation des
responsabilités). Des copies du plan doivent être conservées
hors lieu. Le plan doit être structuré pour que ses pa1iies soient
facilement gérées par diflërentes équipes.
Scénarios de PRS des Tl
Même si ch::ttwe sinistre est unique, le plan devrait définir quels
scénarios sont couverts. par exemple :
• Pe1ie de connectivité réseau;
• Perte d'un système de Tl clé;
• Perte du site de traitement (salle des serveurs);
• Perte de données critiques;
• Pe1ie d'un bureau;
• Perte d'un fournisseur de services clé (p. ex., infonuagique).
Cette section est généralement assez courte; toutefois, il est
important de sc rappeler que les meilleurs plans tiennent toujours
compte des pires scénarios (période critique pour les ventes, fin
d'une période de rappOii, etc.).
Procédures de récupération
Tout dépendant du type de sinistre, l'ordre des efforts de reprise
pourrait varier; toutefois, le plan devrait comprendre une vue
d'ensemble simple. de haut niveau, pour chaque scéna1io de
sinistre majeur, avec des références aux procédures de reprise
détaillées.
4.8.5 ORGANISATION ET AFFECTATION DES
RESPONSABILITÉS
Le PRS doit indiquer les équipes ainsi que les responsabilités qui
leur sont anectées en cas d'incident ou de sinistre. Pour mettre en
œuvre les stratégies de rétablissement élaborées pour la reprise
des opérations et la prise de décisions clés, il faut que le personnel
des SI et les utilisateurs finaux soient désignés. Ces personnes
dirigent habituellement des équipes formées pour exécuter une
fonction ou une tâche essentielle décrite dans Je plan. En fonction
de la taille des opérations de l'entreprise, ces équipes peuvent
être constituées d'une seule ou plusieurs personnes. Le travail
des équipes repose sur le degré d'interruption du service et
sur les types d'actif._.:; perdus ou endommagés. Il est suggéré de
développer une matrice sur la corrélation entre les équipes dont
la pat1'icipation est requise et le degré d'interruption ou le travail
évalué comme requis pour rétablir les systèmes.
Les équipes de reprise/continuité/réponse peuvent comprendre
une ou plusieurs des équipes suivantes :
• Équipe de réaction aux incidents-- Cette équipe est chargée
de recevoir l'information sur chaque incident pouvant être
considéré comme une menace aux actifs et aux processus. Cet1e
méthode peut être utile pour coordonner les activités en cas
346
e Certified lnforma1ioo
Systems Auditer"
"''·,..,.'"'""""'
d'incident ou pour eHèctuer une analyse rétrospective. Cana lyse
des incidents aide également à mettre à jour les plans de reprise
des opérations.
• l~quipe de mesures d'urgence-- Les membres de cette équipe
sont les premiers répondants et les agents de sécurité-incendie
dont les fonctions consistent à gérer les incendies et les autres
scénarios d'interventions en cas d'urgenœ. L'une de leurs
principales tâches est d'évacuer de façon ordonnée le personnel
et d'assurer la sécurité de la vie humaine.
• f~quipc de sécurité de l'inlbrmation --La mission principale de
cette équipe est d'élaborer des plans par étapes pour maintenir
un niveau de sécurité de l'information et des ressources des
Tl semblable à cc qui était en place à l'installation plincipale
avant l'événement et d'implanter des mesures de sécurité dans
le centre informatique de secours. De plus, cette équipe doit
constamment surveiller la sécurité des systèmes et des liens de
communication, résoudre tout conflit de sécurité pouvant nuire
au rétablissemcnl rapide du système ct assurer l'installation et le
fonctionnement approprié des logiciels de sécurité. L'équipe est
aussi responsable de la sécurité des actifs de l'organisation lors
elu désordre suivant un sinistre.
• Équipe d'évaluation des dommages Cette équipe est chargée
d'évaluer le degré de dommages subis à la suite du sinistre.
Cette équipe doit être composée de personnes possédant
la capacité d'évaluer les dommages et d'estimer le temps
nécessaire à la repdse des opérations à l'emplacement touché.
L'équipe doit être composée de personnel pouvant utiliser
l'équipement de test, possédant une bonne connaissance des
systèmes et des réseaux ct connaissant les réglementations
et procédures de sCcurité applicables. De plus, eJic a la
responsabilité de détennincr les causes du sinistre et les
conséquences liées aux dommages ct au temps d'arrêt prévu.
• Équipe de gestion des urgences- Les membres de celte équipe
sont responsables de la coordination des activités des autres
équipes de reprise/continuité/réponse et des décisions clés à
prendre. Ils déterminent la mise en action du PCA. Ils doivent
également s'occuper de la gestion des finances liées à la reprise,
des questions juridiques relalives au sinistre, des relations
publiques et des demandes des médias.
Cette equipe a pour fonction de superviser les opérations liées au
sinistre et de coordonner les activités suivantes :
·-· l.a récupération des données c1itiques et essentielles à
l'installation de stockage hors lieu.
L'installation et/ou la mise à l'essai des logiciels d'exploitation
et des applications à l'installnlion de reprise (centre de secours
immédiat et salle blanche),
-La détermination, l'achat et l'installation du maté1iel à
l'installation de reprise.
-~ L opération à partir de l'installation de reprise.
Le réachcminement des communications du réseau étendu
(WAN).
···· Le rétablissement du réseau local utilisateur/système.
-·Le transport des utilisateurs à l'installation de reprise.
-~ La récupération des bases de données.
··· Capprovisionncment en foumitures de bureau nécessaires, c.-
à-d. les formulaires spéciaux, les chèques, le papier.
-La gestion ct le paiement des dépenses de déplacement des
employés ù l'installation de reprise.
-La coordination de l'utilisation des systèmes et des horaires de
travail des employés.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Cert!fied lnformatioo
Systems Al.!ditor"
"'"'""'''"''''~'"'
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
• l!:quipe de stockage hors lieu - Cette équipe est chargée de se
procurer, d'emballer ct d'expédier les médias d'enregistrement
et les données aux installations de reprise ainsi que d'établir
et de superviser le calendrier de stockage hO!"$ lieu de
l'information créée lors des opérations aux installations de
reprise.
• Équipe de logiciels--- Cette équipe est responsable du
rétablissement des ensembles de systèmes, du chargement et du
test des logiciels d'exploitation et de la résolution des problèmes
reliés aux système.s.
• Équipe d'applications-~ Cette équipe se rend à l'installation de
reprise et rétablît les ensembles d'utilisateurs et les applications
sur le système de secours. Tout au long du rétablissement des
opérations, cette équipe peut avoir la responsabilité de surveiller
la performance des applications et l'intégrité des bases de
données.
• Équipe des opérations d'urgence- Cette équipe comprend des
opérateurs de service ct des chetS d'équipe qui demeureront à
l'lnstal!ation de reprise ct géreront les opérations des systèmes
durant la durée du sinistre et des projets de reprise. Léquipe
peut égalemcnl coordonner lïnstallation du maté1ieL s'il n'y
a pas de centre de secours immédiat ou d'autres installations
comprenant déjà l'équipement.
• ltquipe de rétablissement du réseau-· Cette équipe est
responsable du réacheminement des communications vocales
et des données ainsi que du rétablissement du contrôle du
réseau hôte ct de l'accès à l'installation de rep1ise. Responsable
également d'offiir un soutien continu pour les communications
de données et d'assurer l'intégrité des communications.
• Équipe des communications-· Cetle équipe se rend à
l'installation de reprise où elle travaille avec l'équipe de
rétablissement du réseau à distance afin d'établir un réseau
utilisateur/système. Cette équipe est aussi responsable d'obtenir
et dïnstaller le matériel de communication à l'installation de
reprise des opérations et de travailler avec les entreprises de
services locaux de téléphonie ct les fournisseurs de passerelles.
• Équipe de transport--- La mission de cette équipe consiste
à trouver une installation de reprise. si l'entreprise n'en a pas
dqjà trouvé une, el à coordonner le transport des employés de
l'entreprise à cct1c installation éloignée. t;équipe peut aussi
aider à contacter les employés afin de les informer des nouveaux
emplacements de travail; elle peut élaborer un horaire de travail
et s'occuper de l'hébergement des employés.
• Équipe du matériel des utilisateurs··· Cette équipe gère la
livraison ct l'installatlon des lcnninaux des utilisateurs, des
imprimantes, des machines à écrire, des photocopieurs et de tout
autre équipement nécessaire. Cette équipe offre également un
soutien à l'équipe des communications ct participe au travail de
récupération du matériel.
" l~quipe de préparation et d'enregistrement des données
··Travaillant à partir de terminaux connectés à l'installation
de reprise, l'équipe met à jour les bases de données des
applications. Cette équipe supervise également le travail
d'entrée des données du personnel supplémentaire et participe
aux efforts de récupération des enregistrements en obtenant les
principaux documents et les autres sources d'inttm11ation.
• Équipe de soutien administratif·- Cette équipe offre un
.soutien administratif !lUX autres équipes et agit en tant que centre
de répartition des messages pour l'installation de replise. Cette
équipe peut aussi contrôler les finances ct les fonctions liées à la
paie ainsi que la gestion continue des installations.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
• Équipe tPapprovisionnement --Cette équipe soutient l'équipe
du matériel des utilisateurs en contactant les fournisseurs et
en coordonnant la logistique nécessaire à !'approvisionnement
continu des fournitures de bureau ct des fournitures
informatiques requises.
"Itquipe de récupération-.. Cette équipe gëre le projet
de rclocalisation. Cette équipe procède également à une
évaluation plus approfondie des dommages aux installations
ct ù l'équipement; elle offfe à l'équipe de gestion des urgences
l'information requise pour déterminer si les efforts doivent
être di1igés vers la reconstruction ou vers la relocalîsation; elle
donne l'infOrmation nécessaire pour soumettre des réclamations
d'assurances (les assurances constituent la principale source de
revenus pour payer le travail de rétablissement des systèmes);
elle coordonne le travail nécessaire pour la récupération
immédiate des enregistrements, comme la restauration des
documents sur papier et des médias électroniques.
• Équipe de relocalisation ···Cette équipe coordonne le
processus de migration du centre de secours immédiat vers
un nouvel emplacement ou vers l'emplaœmcnt initial rétabli.
Ceci implique la relocalisation des opérations de traitement
des SI, des communications et des opérations des utilisateurs.
Cette équipe surveille également la transition vers le retour à la
normale des services.
• Équipe de coordination -- Cette équipe est responsable de
coordonner le travail de récupération dans les divers bureaux
situés ù différents endroits géographiques. Lorsque des fonctions
de TI importantes ont été cxternalisées à des emplacements
géographiques lointains, cette équipe agit ù titre de point de
coordination entre l'organisation et les fournisseurs de services
à J'externe.
• Équipe des questions juridiques~ Cette équipe est responsable
de gérer les problèmes juridiques qui surviennent à la suite de
tout incident ou de toute indisponibilité des services (p. ex.,
selon les nouvelles lois en vigueur dans plusieurs pays,
l'organisation est responsable de sécuriser les actifS des TI ct des
dommages causés aux parties innocentes en cas d'incident).
• Itquipe de test de reprise des opérations~ Cette équipe est
responsable de lester les divers plans développés et d'analyser
les résultats.
• ~:quipe de formation-" Cette équipe est responsable de la
formation des utilisnteurs sur les procédures de continuité des
activités et de reprise après sinistre.
---------------
Rt.•marquc: Cauditeurdes Sl doit connaître ces responsabilités.
ToutefOis. le candîdal au titre CISA ne sera pas évalué sur ces
tâches spécifiques puisqu'elles varient d'une organisation à
l'autre.
4.8.6 SAUVEGARDE ET RÉTABLISSEMENT
Pour s'assurer que les activités essentielles d'une organisation
(et des applications de soutien) ne seront pas intenompues dans
l'éventualité d'un sinistre, des supports de stockage secondaires
sont utilisés pour sauvegarder les fichiers d'applications
logicielles et les données associées aux fins de secours. Ces
supports de stockage secondaires prennent la forme de supports
amovibles (cartouches de ruban, CD, DVD), de disques miroirs
(locaux ou à distance) ou de stockage en réseau. Généralement,
les supports amovibles sont gravés à un endroit et entreposés
dans une ou plusieurs installations physiques à distance (qu'on
347
 Chapitre 4 - Exploitation, Entretien et Gestion
Section deux : Contenu des Services des Systèmes d'Information
appelle bibliothèques de sauvegarde hors lieu). Le nombre et
l'emplacement de ces installations de stockage à distance se
basent sur la disponibilité d'utilisation et le degré de risque
d'interruption des activités perçu. Maintenir l'inventaire
(_catalogue) des installations de stockago à distance peut se faire
automatiquement (solutions de mise en voute) ou manuellement
Dans œ dernier cas, c'est le bibliothécaire qui est responsable de
la mise à jour du contenu des bibliothèques, du contrôle de l'accès
aux supports informatiques de la bibliothèque et de la rotation des
suppo1is entœ les diverses bibliothèques, au besoin. A mesurt.:: que
la quantité d'information augmente, tenir un inventaire manuel
des rubans de sauvegmde (locaux ou à distance) devient de plus
en plus difficile; cette tâche est graduellement remplacée par des
solutions intégrées de sauvegarde et de rétablissement qui gèrent
les catalogues de copies de sauvegarde locales et ù distance.
Contrôles des bibliothèques hors site
Lorsqu'une catastrophe frappe, la bibliothèque de sauvegarde
hors site devient souvent la seule copie restante des données
de l'organisation. Pour s'assurer que ces données ne seront pas
perdues, il est très important de mettre en œuvre des mesures
de contrôle strictes, tant physiques que logiques, protégeant
les données. Un accès non autorisé ù l'infOrmation ou la perte
ou modification des données (soit sur le site, soit pendant le
transport) pourrait nuire à la capacité des systèmes d'information
de soutenir les processus d'entreprise critiques, mettant ainsi à
risque l'avenir de 1'organisation.
Les mesures de contrôle des bibliothèques de stockage hors site
sont les suivantes ;
• Sécuriser l'accès physique au contenu de la bibliothèque, pour
faire en s01ie que seul le personnel autorisé y a accès.
• Chiffrer les supports de secours, surtout lors des déplacements.
• S'assurer que la construction physique peut tolérer le fèu, la
chaleur et l'eau.
• Situer la bibliothèque loin du centre des données, préférablement
ù un emplacement qui ne sem pas sujet au même sinistre, afin
d'atténuer Je risque qu'un sinistre touche les deux installations.
• S'assurer qu'un inventaire de tous les supports de stockage et
des fichiers emmagasinés dans la bibliothèque est maintenu
pour la période de conservation précisée.
• S'assurer qu'un registre de tous les suppo1is de stockage et des
fichiers entrés et sortis de la bibliothèque est maintenu pour la
période de conservation ou d'expiration précisée.
• S'assurer qu'un catalogue de l'information concernant les
versions et l'emplacement des fichiers de données est maintenu
pour la période de conservation précisée, ct protéger le journal
contre une divulgation non autorisée.
La pé1iode de conservation des divers registres doit être conforme
à la politique de conservation de l'entreprise.
Sécurité et contrôle des Installations hors site
Le centre de traitement infommtique hors site doit être aussi
sécuritaire et contrôlé que l'installation d'o1igine. Des mesures
de contrôle pour les accès physiques doivent être mises en place,
par exemple des p01ies verrouillées, l'absence de lènêtres et une
surveillance active. L'installation hors lieu ne doit pas êtTe fadlement
visible de l'extérieur pour éviter Je sabotage intentiOJmcl de
l'installation hors lieu, advenant que la destmction de 1'installation
348
initiale ait été causée par un acte malveillant. L'installation hors
lieu ne doit pas être exposée aux mêmes désastres que l'installation
d'origine.
Les installations hors site doivent faire l'objet d'une surveillance
environnementale constante et de contrôles équivalents à ceux du
site d'origine, ou correspondre aux normes dictées par les exigences
d'aOTiires. Ceci comprend la surveillance du taux d'humidité, de
la température et de J'air <Jmbîant en vue d'obtenir des conditions
optimales pour entreposer des supports optiques et magnétiques
et, au besoin, des serveurs, des postes de travail, des réseaux de
stockage et des bibliothèques de rubans. Pour assurer ln régulation
des conditions ambiantes de l'installation, il faut une alimentation
sans coupure (UPS) dont Je système est installé sur une surface
surélevée, un détecteur de fumée et d'eau, des mécanismes de
contTôle ct de suivi de la température et de J'humidité ainsi qu'un
système d'extinction des incendies en bon état. Les dispositions pour
1'entreposage des registres en copie papier ne doivent pas créer de
risque d'incendie. Des mesures de contrôle supplémentaiJ~S doivent
être mises en œuvre au besoin JXmr répondre à des exigences
juridiques, réglementaires ou d'entrep1isc précises.
Sauvegarde des médias et de la documentation
La disponibilité des données appropriées constitue un élément
crucial du PRS (à l'installation principale ou à l'installation
hors lieu). La duplication des données et de la documentation
imp01iantes, y compris le stockage hors lieu des données de
sauvegarde et des documents sur papier, est une condition
indispensable pour assurer tout type de reprise.
Dans le cas où l'information est traitée et stockée dans un
environnement confidentiel sur le site p1incipal et que la copie
de sécurité est entreposée dans un endroit sécuritaire semblable,
alors des mesures doivent être mises en œuvre pour s'assurer que
le moyen utilisé pour transporter les donnCes, qu'il s'agisse d'une
unité de sauvegarde physique ou de miroitagc des données sur le
réseau, protège adéquatement l'information.
JYpes de dispositifs et de supports de sauvegarde
Les dispositifs et supports de sauvegarde sont choisis en fonction
de plusieurs f.'lcteurs :
• Normalisation-- Les technologies très spécialisëes nécessitent
un grand soutien tant au site p1incipal qu'aux installations hors
site, ce qui fait augmenter les coûts.
• Capacité·- Le support de sauvegarde doit avoir une capacité
adéquate afin de réduire Je nombre de supports nécessaires pour
mettre en œuvre un jeu de sauvegarde.
• Vitesse-·· Les processus de sauvegarde et de rétablissement
doivent être complétés dans des délais acceptables pour se
conformer aux exigences d'aff.1ires.
• Prix- Les dispositifs de sauvegarde ne représentent qu'une
partie des coüts; il faut aussi prêter attention au plix des
supports,
Différents types de dispositifs et de supports sont disponibles. La
technologie choisie doit correspondre nux besoins de J'entTep1ise.
Le tableau 4.3.5 fournit quelques exemples.
Manuel de Préparation CISA 26" édition
JSACA. Tous droits réservés.
e. Certffied . lnlnrmation
.M. Systems Auditor'
;;;~-
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information Section deux : Contenu

de bandes conventionnelle, sauf que les données sont stockées

Tableau 4.35- Jy~ de SUPP!!i:IS
Grandes quantités,
Petites quantités, changements
Portabilité peu de changemen1s fréquen1s
Support amovible CD, DVD, disques Systèmes de
durs amovibles sauvegarde sur bande
ou disques (stockage de données
électroniques numériques, bande
audionumérique
[BAN], bande linéaire
numérique, AIT, LTO)
Support fixe Sauvegarde sur
disque (bibliothèques
de bandes virtuelles
[VTL]), copies
instantanées,
duplication gérée par
le système central ou
sur matrice de disques
Les systèmes de sauvegarde sur bande modernes sont des
bibliothèques pouvant contenir des centaines de dérouleurs
de bandes et plusieurs milliers de t-'entes pour bandes. Ces
bibliothèques peuvent être équipées de bras robotisés et de
lecteurs de codes à barres. Les lecteurs de codes à barres servent
à déterminer rapidement le contenu des bandes de sauvegarde.
En l'absence d'un lecteur à codes à barres, la bande doit être
manuellement insérée dans le dérouleur pour que son en-tête
soit lu et comparé au catalogue de sauvegarde avant la lecture
du contenu de la bande. Un lecteur de codes à bancs accélère
cc processus ·-- le catalogue de sauvegarde contient les numéros
de bande inscrits sur le code à barres et il n'est pas nécessaire
d'insérer les bandes dans le dérouleur. Les bras robotisés rendent
le processus de balayage du code à barres et de transport de la
bande jusqu'au dérouleur considérablement plus rapide. Les
bibliothèques de bandes sont gérées par des applications de
sauvegarde et de rétablissement oftC1ies par la plupart des grandes
sociétés de logiciels. Ces applications :
• gèrent les tâches de sauvegarde et de rétablissement selon les
politiques s'appliquant à ces dernières;
• tiennent à jour le catalogue de sauvegarde (local et à distance);
• contlûlent les bibliothèques de bandes.
La caractéristique la plus importante des dérouleurs de bandes
est leur interf-ace de données. Les dérouleurs modernes sont
munis d'inte1iàces à technologie d'interconnexion Fibcr
Channel (FC) ou d'intcri'accs série SCSI, alors que !es interfaces
parallèles SCSI conventionnelles sont graduellement retirées. Les
bibliothèques de bandes sont soit branchées au réseau de stockage
SAN (par le FC), soit connectées au serveur de sauvegarde et
rétablissement par des branchements SAS ou iSCSI. En général.
les bibliothèques de bandes ont des interfaces de réseau local pour
l'entretien et les diagnostics.
Il existe différents types de systèmes de sauvegarde sur disque:
• Bibliothèques de bandes virtuelles (VTL)- Ces systèmes
consistent en du stockage sur disque (généralement des matrices
de disques de milieu de gamme) et des logiciels qui contrôlent
la sauvegarde ct le rétablissement des jeux de données. Du point
de vue de l'utilisateur exteme (logiciel de sauvegarde et de
rétablissement), les VTL se comportent comme une bibliothèque
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
"
sur une matrice de disques. Souvent, aux fins de reprise après
sinistre, le contenu d'une VTL est copié depuis le site principal
vers un site de secours à l'aide de la duplication matérielle
fournie par une matTicc de disques.
• Duplication gérée par le système central Cette duplication
s'exécute au niveau du système central (serveur), par un logiciel
spécial qui tourne sur ce serveur ct le serveur cible. Elle peut se
faire en temps réel (mode synchrone. les données ne sont pas
inscrites au site principal tant que le site de secours n'envoie
pas de confirmation que la copie des données a bien été inscrite
sur son disque) ou avec un léger délai (mode asynchrone, les
données sont transférées au site de secours après un court délai).
Il est possible de se procurer les progiciels auprès des principaux
fournisseurs de logiciels.
• Duplication sur matrice de disques La même chose qu'une
duplication gérée par le système central, sauf que la duplication
se produit au niveau de la matrice de disques, complètement
à l'écart des serveurs ct des applications. Cette fonction est
offerte par tous les grands Jburnisseurs de matériel offrant des
matrices de disques de milieu de gamme ct haut de gamme. La
duplication peut se faire par Je réseau de stockage ou le réseau
local.
• Copies instantanées~· Cette technologie est tTès souple et
permet la création de différents types de copies temporaires de
volumes ou de systèmes de fichiers. Tout dépendant du type de
copie instantanée, une copie intégrale est créée à chaque tbis
ou seuls les blocs de données ou fichiers qui ont été modifiés
sont stockés. Cette technologie est particulièrement rentable
ct eftïcace lorsqu'elle est utilisée conjointement à un logiciel
de sauvegarde ct de rétablissement. Par exemple, une copie
instantanée est créée, puis transférée à un serveur différent;
une sauvegarde complète est réalisée, empêchant la surcharge
du système de production. Un autre exemple est de copier les
données vers le site distant, de faire des copies instantanées
du sile distant ct de les utiliser pour la sauvegarde et le
rétablissement; on utilise alors l'équipement du serveur au site
de secours.
Dans un environnement ayant recours à la virtualisation de
serveurs, les systèmes de sauvegarde sur disque peuvent fournir
une excellente solution de reprise après sinistre, car l'ensemble
des serveurs virtuels peut être répliqué dans le site de reprise.
Le degré de sécurité des copies des données destinées ù
l'installation hors site doit être le même que celui des fichiers
initiaux. Les conditions de mise en place et de transport à
l'installation hors lieu doivent donc répondre aux normes de
sécurité réservées aux données les plus sensibles du média de
sauvegarde.
Procédure de sauvegarde périodique
Des copies de sauvegarde des données et des fichiers doivent
être effectuées régulièrement en se confOrmant à l'OPR. La
date de sauvegarde peut varier en fonction des applications
ou des logiciels. Par exemple, les emplacements (dossiers ou
volumes) où les donnees d'application sont stockées doivent étre
sauvegardés régulièrement puisque les données sont fréquemment
modifiées par les transactions quotidiennes. Les emplacements
où les configurations d'application et les fichiers logiciels
(application ou système d'exploitation) sont sauvegardés sont mis
349
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
à jour moins fréquemment -- seulement lorsque les configurations
sont modifiées ou qu'un correctif est apphqué. Souvent, les
systèmes en ligne ou en temps réel qui exécutent un grand volume
de traitement de transactions nécessitent qu ·on crée des copies
de sauvegarde chaque soir ou chaque heure, ou qu'on effectue
une duplication des données à un centre de traitement à distance
distinct
En général, les sauvegardes périodiques peuvent être planifiées
fi1cilement à l'aide d'un système automatisé de gestion des
médias/sauvegardes et d'un logiciel automatisé de planification
des tâches. Cutilisation d'une solution intégrée pour les
procédures de sauvegarde, de rétablissement et de gestion des
supports préviendra les cycle~ de sauvegarde fautifs ou ratés à
cause d'une erreur de l'opérateur.
Les plans décrivant la sauvegarde de cetiaînes données sont inclus
dans les procédures de sauvegarde.
Les solutions de sauvegarde et de rétablissement modernes
comprennent des éléments logiciels spéciaux appelés « agents )),
qui sont installés sur les serveurs et postes de travail protégés. Ces
agents recueillent les données (fichiers de données, fichiers de
configuration, fichiers d'application logicielle) et les envoient aux
serveurs de sauvegarde et de rétablissement, qui convertissent les
données pour leur stockage ultérieur sur ruban ou sur disque. Les
mêmes agents servent au rétablissement des données.
Fréquence de rotation
11 faut que les changements continuels apportés aux données et
aux logiciels puissent être sauvegardés. Une copie du dossier ou
registre, à un moment donné dans le temps, est conservée aux
fins de sauvegarde. Toutes les modifications ou transactions qui
ont lieu dans l'intervalle entre la copie ct le moment présent sont
également conservées.
Voici les éléments à prendre en considération pour établir un
calendrier de sauvegarde des fichiers ;
.. la fréquence du cycle de sauvegarde et Je degré de conservation
doivent être déterminés pour chaque application;
.. les procédures de sauvegarde doivent permettre de prévoir les
échecs à toutes les étapes du cycle de traitement;
.. les fichiers maîtres des systèmes patrimoniaux doivent
être copiés ct entreposés à des intervalles appropriés, par
exemple à la fin d'un processus de mise à jour, pour assurer la
synchronisation entre les fichiers et les systèmes;
.. les fichiers de transactions doivent correspondre aux fichiers
maîtres pour qu'un précédent fichier maître puisse être
entièrement mis à jour pour recréer un fichier maître courant;
• les systèmes de gestion de base de données (SGBD)
nécessitent des procédures de sauvegarde spécialisées,
généralement fournies en tant que fonction intégrée au SGBD
ou en tant qu'élément spécial du logiciel de sauvegarde cf de
rétablissement (agent) conçu patiiculièrement pour cette marque
ct cette version de la base de données.
• il faudra peut être sécuriser la licence d'utilisation de certains
logiciels à l'installation de remplacement; il faudra le prévoir à
l'avance~
• la sauvegarde des logiciels personnalisés doit inclure les
bibliothèques de codes objets ct de codes sources ainsi que des
350
e. H.
Cerlifledlnfoona.\ion
Systems Auditor'
~'~''""'"''''""'""'
dispositions pour mettre à jour les rustines des programmes sur
une base régulière à toutes les installations de remplacement.
• Du matériel de secours doit être disponible aux installntions
hors site et être compatible avec les supports de sauvegarde. De
plus, pour la conservation à long terme, il est nécessaire d'avoir
des accords de soutien technique et d'entretien garantissant
que le matériel de secours fonctionnera correctement dans
l'éventualité d'un rétablissement.
De même, toute documentation requise pour eHèctuer les
opérations systématiques et permanentes de l'entreprise doit être
cntrcposêes dans une installation de sauvegarde hors lieu. Ceci
comprend les documents sources requis pour le rétablissement
de la base de données de production. Comme pour les fichiers
de données, les copies entreposées dans un cndrolt sécuritaire
à 1'cxté1icur de l Installation principale doivent être tenues à
jour pour que les données puissent être utiles. Il est important
de se rappeler qu'une sauvegarde adéquate est une condition
indispensable pour assurer une reprise des opérations réussie.
Types de médias et de documentation soumis à la
rotation
Sans lo<J'Îcicls, le matériel informatique n'a que peu d'utilité.
l.es logiciels, dont les systèmes d'exploitation, les langages de
programmation, les compilateurs, les programmes utilitaires et
d'applications, sans oublier les copies de documents papier~-· tels que
les guides d'utilisation, manuels d'utilisatew~ dossiers, fichiers de
données, bases de données, etc.- doivent êtTe maintenm; et stockés
hors site dans leur statut courant. Cette infunnation fournit les matières
premières et les produit.-; finis nécessaires au cycle de traitement des SI
et doivent être stockés hors site.
Le tableau 4.36 décrit la documentation qui doit être enregistrée
et stockée dans lill endroit sécuritaire à l'extérîcur des lieux.
Tableau 4.36 -Entreposage à l'eidêrieur des lieux
Classification Description
Procédures Manuels d'utilisation des applications, instructions sur
d'exploitation le contrôle du flux de travaux, manuels des systèmes
d'exploitation et procédures spéciales.
Documentation Organigrammes, listes de codes de programmes
des systèmes sources, descriptions des logiques de programmes,
et des énoncés de langage de contrôle des tâches spéciales,
programmes conditions d'erreurs et guides d'utilisateurs.
Procédures Toute procédure ou instruction exceptionnelle, comme le
spéciales traitement des exceptions, les variations de traitement
et le traitement d'urgence.
Documents Copies, photocopies, microfiches, microfilms de rapports
sources ou sommaires requis pour l'audit, analyses historiques,
d'entrée pertormance des tâches essentielles, respect des
et de sortie prescriptions juridiques ou envoi de demandes de
règlement aux assurances.
Plan de Copie du plan intégral aux fins de références.
continuité des
activités
Les données sensibles qui sont entreposées dans un endroit
sécurîtaire à l'extérieur des lieux doivent être placées dans un
contenant pour supports magnétiques résistant aux incendies.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certitied lnlormatkm
Systems Audttor·
"'"""'C"'''"''"'
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
Lorsque les données sont envoyées à l'installation de reprise des
opérations après un sinistre, elles devraient être stockées dans un
contenant pour supports magnétiques scellé.
Chaque organisation doit établir une politique écrite pour gérer le
matériel entreposé et la durée de l'entreposage. Les calendriers de
sauvegarde et la rotation des médias utilisés à J'installation hors
lieu sont importants. La rotation peut être effectuée à l'aide d'un
logiciel de gestion.
Méthodes de sauvegarde
Il existe trois gmndes méthodes de sauvegarde: complète.
incrémentîelle et différentielle. Chacune a ses avantages et ses
inconvénients. Les méthodes sont généralement combinées afin de
se compléter.
SAUVEGARDE COMPLÈTE
Ce type de méthode de S..'luvegarde copie tous les fichiers et dossiers
au suppmi de sauvegarde, créant un jeu de sauvegarde unique
(composé d'un suppoti ou plus, selon la capacité du support).
1.: avantage p1incipal est que les données sont stockées à un seul en
droit dans l'éventualité d'un rétablissement, mais cette méthode
nécessite (ilvantagc de temps ct de capacité de stockage.
SAUVEGARDE INCRÉMENTIELLE
Une sauvegarde încrémenticlle copie les fichiers et dossiers
qui ont été modifiés ou ajoutés depuis la dernière sauvegarde
complète ou incrémentielle. Si vous effectuez une sauvegarde
complète le premier jour, votre sauvegarde incrémentie!le le
deuxième jour copiera les changements apportés entre le premier
et le deuxième jour. Le troisième jour, elle copiera uniquement
les changements apportés entre le deuxième et le troisième jour,
et ainsi de suite. La sauvegarde incrémentiellc est une méthode
plus rapide nécessitant une moins grande capacité de stockage,
mais elle requiert que tous les jeux de sauvegarde restaurent tous
les changements depuis la dernière sauvegarde complète. Le
rétablissement prendra donc plus de temps.
Le tableau 4.37 illustre une méthode de sauvegarde complète
et incrémentielle. Le jour 1, une sauvegarde complète a eu lieu
et tous les fichiers ont été copiés au support de sauvegarde. Les
jours 2 à 7, des sauvegardes incrémentielles ont eu lieu. Le jour 2,
le fichier l a changé. Le jour 3, le fichier 2 a changé. Le jour 4, le
fichier 3 a changé. Le jour 5, le fichier 4 a changé. L.. e X montre
quels fichiers ont été sauvegardés.
SAUVEGARDE ()IFFÉR~:NTŒLLiè
Une sauvegarde différentielle copie tous les fichiers ct dossiers
qui ont été ajoutés ou modifiés depuis l'exécution d'une
sauvegarde complète. Ce type de sauvegarde est plus rapide
Manuel de Préparation CISA Z6• édition
ISACA. Tous droits réservés.
Section deux : Contenu
et nécessite moins de capacité de stockage qu'une sauvegarde
complète, et requic1i uniquement les derniers jeux de sauvegarde
complète ct diflèrentielle pour effectuer un rétablissement
intégral. Son délai de rét..'lblissement est aussi court qu'avec la
sauvegarde incrémentielle, mais il requiert davantage de capacité
de stockage qu'une sauvegarde incrémentiellc puisque les
données sauvegardées sont cumulatives.
Le tableau 4.38 illustre une méthode de sauvegarde complète ct
différentielle. Le jour l, une sauvegarde complète a lieu. Les jours
2 ù 7, des sauvegardes différentielles ont lieu. Le jour 2, le fichier
1 a changé. Le jour 3, le fichier 2 a changé. Le jour 4, le fichier
3 a changé. Le jour 5, le fichier 4 a changé. Le X montre quels
fichiers ont été sauvegardés.
À noter que lors d'une sauvegarde diflërentielle, tous les fichiers ou
dossiers qui ont été modifiés depuis la sauvegarde complète sont
copiés à répétition sur le suppo11 de sauvegarde.
Méthode de rotation
Bien qu'il existe plusieurs techniques de rotation des supports
intbrrnatiques, l'une des plus populaires s'appelle la méthode Grand-
père-Père-Fils. Selon cette méthode, des sauvegardes quotidiennes
(fils) sont effectuées tout au long de la semaine. La sauvegarde du
d~mier jour devient la sauvegarde de la semaine (père). Une rotation
des premières copies de sauvegarde quotidiennes est alors eHèctuée
et les suppo11s informatiques sont réutilisés pour la sauvegarde
quotidienne de la deuxième semaine. À la fin du mois, la dernière
sauvegarde hebdomadaire est entreposée et devient la sauvegarde
de ce mois (grand-père). Une rotation des premières copies de
sauvegarde hebdomadaires est alors effectuée et les supports
informatiques sont réutilisés au cours des mois suivants. À la fin
de l'année, la sauvegarde du demier mois devient la sauvegarde
de l'année. Habituellement, les bandes magnétiques mensuelles et
<1nnuc!lcs (ou les autTes supports informatiques) sont entreposées et
ne sont pm; soumises au cycle de rotation. Voir les tableaux 4.39 et
4.40 pour des exemples de cycles de rotation typiques.
351
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
e Certilied!nfu~tinn
Systems Audit(!("
---!--
"'~''"'"'"'""'"''

des registres de réception et d'expédit-ion doivent ètrc maintenus

pour aider le suivi en cas de perte.

Semaine 1 Bande Bande Bande 4.8.7 MÉTHODES DETEST DE REPRISE APRÈS

1 2 3 SINISTRE
Basées sur l'évaluation du risque ct l'analyse de l'impact sur les
Semaine 2 Bande Bande Bande Bande Bande atlaires (Al A), les applications critiques et l'infrastructure sont
1 2 3 4 5 désignées pour les essais. Ces éléments doivent être intégrés dans
un horaire de test.
Semaine 3 Bande Bande Bande Bande Bande
1 2 3 4 5 La mise à l'essai de tous les aspects du PRS est le fllcteur le plus
impo11ant du succès en cas de situation d'urgence. Cobjectif
Semaine 4 Bande Bande Bande
rnincipal de la mise à l'essai consiste à exécuter les plans qui
1 2 3
entraîneront une récupération réussie de l'infraSITucturc et des
processus d'all'àires essentiels. Les tests doivent être axés sur:
Semaine 5 Bande Bande Bande Bande Bande
• La détermination des écarts
1 2 3 4 5
"La vêJification des hypothèses
• La mise à l'essai des échéances
• L'efficacité des stratégies
• Le rendement du personnel
Tableau ll.iiO- EXemple Bde cycle de rotation jypique • !;exactitude et l'actualité Je l'information du plan

Mer Jeu Les tests lhvorîsent la collaboration et la coordination entre

les équipes en plus d'être un outil de formation utile. De
S1 F F F F p
nombreuses organisations exigent une mise à l'essai complète
-- p,,, sur une base annuelle. En outre, les tests doivent être considérés
S2 F F F F p lors de l'ach~vement de la révision ou d'une révision majeure
Père de chaque plan provisoire ou des plans complémentaires et
F F . F F p lors du remplacement de membres importants du personnel, de
S3
Grand-père changement de technologie ou de l'environnement d'affaires/de

S4 F F F
. -' GP
réglementation.

Les tests doivent être soigneusement planifiés et contrôlés pour

Il est primordial que les copies de sauvegarde ayant fUit l'objet
de rotations dans un endroit sée uri taire à l'extérieur des lieux ne
soient pas réutilisées jusqu'à leur remplacement à l'installation
hors lieu. Par exemple, la copie de sauvegarde de la semaine 1
ne doit pas revenir de l'installation d'entreposage hors lieu tant
que ln copie de sauvegarde mensuelle n'y a pas été entreposée.
On peut adapter cette méthode en fonction des sauvegardes
trimeslrielles à eflCctuer et en f-Onction de la quantité de données
redondantes souhaitées par l'organisation.
éviter de soumettre l'entreprise à un risque accru. Pour que
tous les plans soient testés régulièren1cntl 1'auditeur des SI doit
connaître l'horaire des tests et les tests devant être réalisés pour
toutes les fonctions critiques.
Tous les test..;; doivent être dûment documentés par des rapports
de prétest, de test et de post-test. La documentation des tests doit
étre révisée par l'auditeur des Sl. La sécurité de l'information doit
aussi être validée durant le test pour s'assurer qu'elle n'est pa<>
compromise.

Tenue de registres pour le stockage hors site
Un inventaire du matériel consigné à l'installation d'entreposage
hors lieu doit être dressé. Cet inventaire doit contenir
l'information suivante:
• nom de l'ensemble de données, numéro de série du volume,
date de création, période comptable et numéro de contenant de
stockage hors lieu de tous les médias de sauvegarde;
• nom du document, emplacement, système pertinent et date de la
dernière mise à jour de toute la documentation essentielle.
Pour l'organisation, les plans de reprise non testés induisent
une probabilité inacceptable de non-f'Onctionnement des plans.
Comme des plans de tests engendrent des coüts en matière de
temps et de ressources, une organisation doit planifier et définir
soigneusement les objectifs des tests pour s'assurer d'en tirer
des avantages mesurables. Une Jhis les objectifs définis, un tiers
indépendant, comme J'auditeur des SL doit être présent pour
surveiller ct évaluer !e test. L'étnpc de l'évaluation doit conduire à
une liste de recommandations visant à améliorer le plan.

Les systèmes automatisés de gestion des supports sont Bref, la méthode de test doit comprendre :
généralement dotés d'options qui assistent J'enregistrement et le • L'élaboration des objectifs du test;
maintien de cette information- des autocollants à code à barres • Cexécution du test;
pour les rubans magnétiques et des bras robotisés munis de • L'évaluation du test;
lecteurs à code à barres pour les bibliothèqttes de rubans. Si les • !.:élaboration de recommandations visant à améliorer l'efficacité
supports de sauvegarde sont transportés entre les établissements, des processus de test et des plans de reprise;

352 Manuel de Préparation C/SA 26" édition

ISACA. Tous droits réservés.
e . H.
Certif!Cd lllformatioo
Systems ALJditor"
;,;~-
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information Section deux : Contenu

" La mise en œuvre d'un processus de suivi qui assurera

Figure 4'141 - Pr!l!lressiQndes lilSI:S de reprise aprèS sinistre
l'application des recommandations.

Il est fort peu probable qu'aucune recommandation ne soit émise lL Simulation théorique
des plans
.lJ
et que tout fonctionne selon le plan. Si c'est le cas, il aura peut-

;=~-=~·~·· ~==··
être fallu planifier un test plus rigoureux.

'LSimulaiion_thffi?rique
Types de tests avec scenanos
Les tests de reprise après sinistre comprennent les types suivants : catastrophes fictifs
.. Révision de la liste de contrôle- 11 s'agit d'une étape
--=== :1__-=-=......J···l
t11~;;~;;;nfl!c~~;;~~e-
préliminaire au véritable test. Les listes de contrôle de la reprise
sont distribuées à tous les membres d'une équipe de reprise est de !'infrastructure et des
mposants de communir:ation
pour qu'ils les révisent et s'assurent qu'elles sont actuelles. du plan de reprise J
• Révision structurée~ Les membres de l'équipe mettent
physiquement en œuvre les plans sur papier et révisent
chacune des étapes pour évaluer leur efficacité, pour cibler les
! la reprise des applications
améliorations, les contraintes et les déficiences. critiques
• Test de simulation~ L'équipe de reprise simule un scenario de
désastre sans activer le tTaitement au site de reprise.
• Test parallèle ·- Le site de reprise est mis dans lill état de
---··----- -·--·--·····l
Tr,st de l'infrastructure, des
préparation opérationnelle, alors que les opérations au site
principal suivent leur cours normal.
[ applications critiques et de
!'impliçation des uülisateurs finaux!
_________
·---·---·---- __)

• Test d'interruption complète-- Au site principal, les

opérations sont interrompues puis transférées au site de reprise Tests de pleine restauration
conformément au plan de reprise. Cette forme de test est la et reprise en incluant du personnel
non familier avec les systèmes
plus rigoureuse, mais elle est dispendieuse ct potentiellement
perturbatrice.

Les tests doivent commencer simplement et se complexifier Tests impromptus

graduellement, en élargissant les objectifs ct les critères de succès
des tests précédents. pour renforcer la confiance et minimiser le
risqué pour l'entreprise. La figure 4.41 montre comment les tests
peuvent devenir de plus en plus complexes.
La plupart des tests de reprise ne constituent pas des mises ù
l'essai à grande échelle de toutes les opérations de !"entreprise.
Ceci ne devrait toutefois pas empêcher les mises à l'essai
complètes ou partielles, car l'un des objectif.-; du test de reprise
après sinistre est de déterminer le niveau de lünctionncment du
plan ou les parties qui doivent être améliorées. Les tests surprise
sont avantageux, car ils ressemblent aux interventions en cas
d'incident réel. Cependant, ils peuvent être très perturbateurs
pour la production et les opérations, ct ils peuvent aliéner les
personnes aflè:ctées, d'une quelconque façon. par ces tests.
La mise à l'essai doit être effectuée ù un moment qui ne nui rn
pas aux opérations normales, comme lors des longs conges.
li est impmiant que les équipes clés de reprise des opérations
participent au processus de mise ô l'essai ct aient le temps
nécessaire pour s'impliquer à fond. La mise à l'essai doit
permettre d'évaluer tous les éléments essentiels du plan ct
simuler les conditions réelles de traitement, même si elle sc
déroule hors des heures normales d'opération. Idéalement. les
tests d'interruption complète doivent être cftCctués annuc11cment,
après que les plans individuels ont été testés séparément et que les
résultats ont été satisfaisants.
Tests
La mise ill'ess.:.'li doit viser la réalisation des tâches suivantes:
• Vérifier l'achèvement et la précision du plan d'intervention et
de reprise.
• Évaluer le rendement du personnel qui participe à l'exercice.
• [~val uer le niveau réel de formation et de connaissance des
personnes qui ne font pas pmiie de l'équipe de reprise/
intervention.
• Évaluer la coordination parmi les membres de l'équipe et les
fournisseurs externes.
• Mesurer la capacité de l'installation de remplacement à
dfcctucr Je traitement presc1it.
• !'~valuer la capacité de récupération des enregistrements
essentiels.
• I~valuer J'état de l'équipement et des foumitures déménagés à
l'installation de replise ainsi que la quantité.
• Mesurer la performance globale des activités de traitement
des systèmes d'information et opérationnels liées au
fonctionnement de l'entité commerciale.
Pour effectuer la mise à l'essai, chacune des phases suivantes doit
être exécutée :
• Prétest --Le prétest consiste en une série d'actions nécessaires
à la préparation du test actuel, ce qui comprend Je transport et
l'installation de l'équipement sauvegarde requis, l'obtention de
l'accès au site de reprise, l'accès à la documentation de reprise,
etc.
• Test- Le test correspond au déroulement réel du lest de reprise

Manuel de Préparation CISA 26"' édition 353

ISACA. Tous droits réservés.
 Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
après sinistTe. Les activités opérationnelles courantes sont
exécutées pour évaluer les objectifs spécifiques du plan. Les
applications sont basculées; la saisie des données et k traitement
des affaires doivent avoir lieu. Les évaluateurs doivent examiner
les membres du personnel pendant qu'ils exécutent les tâches
désignées. Il s'agit du véritable test de la préparation à répondre
ù une urgence.
• Post-test- Le post-test constitue le nettoyage des activités Je
groupe. Cette phase comprend la restauration des applications
à l'emplacement primaire et le retour de toutes les ressources
à leur place, le débranchement de l'équipement, le retour
des membres du personnel à leur emplacement normal et la
suppression de toutes les données de l'entreprise des systèmes
tiers. Le net1oyagc post-test consiste également à évaluer
IDnnellement le plan d à mettre en œuvre les améliorations
indiquées.
Au cours de chaque phase du test, il faut maintenir la
documentation détaillée des observations, des problèmes et de
leurs solutions. Chaque équipe doit avoir un registre comportant
les étapes spécifiques et les infonnations enregistrées. Cet
important historique peut faciliter la récupération réelle au cours
d'un véritable sinistre. Il contribue également à la réalisation
d'une analyse détaillée des forces et des faiblesses du plan.
Résultats de tests
Des mesures de succès du plan doivent être élaborées et utilisées
afin de pouvoir évaluer le plan en fonction des objectifs énoncés.
Les résultats doivent être enregistrés et évalués quantitativement,
par opposition à une évaluation basée uniquement sur des
descriptions verbales. Les mesures doivent ètre utilisées non
seulement pour mesurer J'efficacité du plan, mais plus important
encore, pour l'améliorer. Bien que les mesures varient en
fonction du test et de l'organisation, les lypes de mesures suivants
s'appliquent habituellement:
• Temps- Le temps écoulé pour l'achèvement des tâches
prévues. Cet élément est essentiel pour préc-iser le temps
d'intervention estimé pour chaque tâche dans le processus
d'escalade. I.:OTR a-t-il été atteint?
• Données~ Toutes les données requises ont-elles été récupérées?
L'OTR a-t-il été atteint? Le point de reprise était-il harmonisé
(s'il y avait lîeu) dans toutes les applications interreliées?
• Somme- La somme de travail effectué à l'installation
de secours par le personnel administratif et la somme des
opérations de traitement des systèmes d'information. Le site de
reprise permet-il d'at1cindrc le dêbit de trnitemcnt requis?
• Pourcentage ct/ou nombre- Le nombre de systèmes c1itJques
récupérês avec succès peut être évalué selon le nombre de
transactions traitées.
• Précision- La précision des données entrées à 1Installation de
rcp1ise part·apport à la précision habituelle (en pourcentage). La
précision des cycles de traitement courants peut être déterminée
en comparant les résultats obtenus avec ceux de la même
période de traitement, sous des conditions normales.
4.8.8 INVOQUER LES PLANS DE REPRISE APRÈS
SINISTRE
La correspondance doit être très étroite entre Je PCA ct le PRS.
Comme indiqué dans la section 2. 12.5 Gestion des incidents
ct plan de continuité des activités. une personne désignée doit
354
e C.erlifred lnforma!ion
S;tstems AOOitor·
"""""'~'''"""'
être avisée de tous les incidents pertinents dès que survient un
événement déclencheur. Celte personne devrait alors respecter un
protocole de recours à la hiérarchie préétabli (p. ex. téléphoner
à un porte-parole, alerter la haute direction ct demander
l'intervention des agences de réglementation), qui peut être
suivi de l'invocation d'un plan de reprise comme le PRS des
technologies de l'inlürmation.
Les équipes nécessaires (voir la section 4.8.5 Organisation et
affectation des responsabilités) doivent ensuite être mobilisées
et infOrmées de l'évaluation de l'incident pour confirmer à quel
scénario de test il ressemble le plus. En void des exemples :
• Perte de connectivité réseau
• Perte d'un système de Tl clé
• Perle du site de traitement (salle des serveurs)
• Pe1ie de données c1itiques
• Pe11e d'un bureau. etc.
• Perte d'un fOurnisseur de service impo1iant (p. ex., nuage)
Remarquez qu'il peut y avoir plus d'une façon d'intervenir lors
d'lm incident donné. Elles devraient être évaluées pour retenir
celle qui est la plus susceptible de fournir l'OPR requis cl J'OTR
sélectionné. Par !a suite, les procédures de reprise documentées
doivent être suivies. Il convient de noter que !es procédures
de reprise pourraient ne pas comprendre toutes les étapes de
reprise exigées, car la mise à l'essai pourrait ne pas avoir été
complète ou le scénario une correspondance parfaite. Lors de tels
incidents, les équipes d'intervention peuvent avoir à évaluer leurs
options à chaque étape. Toutes les décisions prises doivent être
documentées et appliquées pour mettre à jour les procédures de
reprise après le retour du service normal.
4.9 ÉTUDES DE CAS
[:étude de cas qui suit constitue un outil d'apprentissage qui sert
à mieux faire comprendre les concepts présentés dans le présent
chapitre.
4.9.1 ÉTUDE DE CASA
Cauditeur des SI a reçu récemment le mandat de réaliser une
évaluation de la sécurité du réseau interne et externe pour le
compte d'une entreprise qui traite des réclamations d'indemnité
pour cause de maladie. Centreprise possède une infrastructure
réseau complexe composé de plusieurs réseaux sans fil et locaux
ct d'un réseau en relais de trames qui traverse les tl·ontièrcs
internationales. De plus, elle possède un site Internet auquel
accèdent les médecins et les membres du personnel des hôpitaux.
Cc site Internet présente à la fois des zones et des sections qui
contiennent des renseignements relatif."' aux réclamations de fi-ais
médicaux et qui nécessiknt un identifiant ct un mol de passe pour
y accéder. Il existe aussi un site intranet qui permet aux employés
de vérifier l'état de leurs réclamations ùe frais médicaux ct
d'acheter des médicaments sur ordonnance à prix réduit à l'aide
d'une carte de crédit. Le réseau à relais de trames transporte des
données statistiques non encodées ni sensibles, lesquelles sont
envoyées à des organismes de réglementation, mais n Incluent
pas de renseignements permettant l'identification d'un client. La
dernière revue de la sécurité du réseau a été réalisée il y a plus de
cinq ans. Au moment de la demande à l'auditeur, on a remarqué
de nombreuses expositions au risque dans les zones rattachées à
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réserves.
 Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
la gestion des règles de coupe-feu et de la gestion des correctifS
appliqués aux serveurs d'applîcation. On a aussi constaté que
certaines applications Internet sont susceptibles de faire l'objet
d'un ajout SQL Il est important de remarquer que ni l'accès
sans fil. ni le pmiail intranet n'ont été installés au moment de
la dernière révision. Depuis, un nouveau coupe-feu a été mis en
place et la gestion des correct in.; est désormais assurée par un
mécanisme centralisé qui distribue les cotTectifs à travers tous
les serveurs. Les applications Internet ont été mises à jour de
manière à profiter des plus récentes technologies. Par ailleurs. un
système de détection d'intrusion a été ajouté et les rnpports qu'il
produit font !"objet d'un suivi régulier. Le trafic caractérisant le
réseau se compose de plusieurs protocoles ct un certain nombre
de systèmes informatiques existants demeurent en utilisation.
L'ensemble du trafic sensible retrouvé dans lntcmet est d'abord
encodé avant d'être CllVoyé. Le trafic présent dans la zone locale
interne et les réseaux sans fil sont encodés en hexadécimales;
ainsi, aucune donnée n'apparaît en texte en clair. Un certain
nombre d'appnreils utilisent également le système Bluetooth
pour la transmission des données entre les ANP et les ordinateurs
pm·tati f.<;;.
EruDE DECAS A : QUESTIONS
A1. Dans le cadre d'une évaluation de la sécurité d'un réseau
externe, laquelle des activités suivantes doit être réalisée en
PREMIER lieu?
A. Exploitation
B. Énumération
C. Reconnaissance
O. Étude de la vulnérabilité
A2. Lequel des éléments suivants est considéré comme le risque
le PLUS important pour l'entreprise?
A. Seule une partie du trafic retrouvé dans Internet est
encodé.
B. Le trafic dans les réseaux internes ne fait pas l'objet d'un
encodage.
C. Le ftux de données transfrontalières n'est pas encodé.
O. On utilise plusieurs protocoles.
Voir tes réponses et tes explications aux questions des études de cas à la fin du
chapitre (page 355).
4.9.2 ÉTUDE DE CAS B
On a demandé à l'auditeur des SI de représenter le service
d'audit interne au sein d'un groupe de travail visant à définir les
exîgcnœs d'un nouveau projet d'automatisation des succursales
pour une banque communautaire de 17 succursales. Le nouveau
système traiterait l'infOrmation sur les dépôts et les prêts ainsi
que d'autres renseignements confidentiels sur les clients. Les
succursales sont toutes situées dans une même région; par
conséquent le directeur de l'exploitation des succursales a
suggéré l'utilisation d'un réseau hertzien pour les connexions, en
raison de son faible coût d'exploitation et du fait qu'il s'agit d'un
réseau privé (et non public). Le directeur a également suggéré
fortement qu'il serait préférable de munir chaque succursale d'une
connexion coaxiale directe à Internet (utilisant le foumisscur de
télévision par câble local) comme système d'appoint, au cas où le
réseau hertzien tomberait en panne. La connexion Internet directe
serait également branchée à un point d'accès sans fil à chaque
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
succursale, pour offrir un accès sans fil gratuit aux clients. Le
directeur a aussi demandé que chaque succursale soit équipée
de serveurs de courricl et de serveurs d'applications qui seraient
gérés par le directeur des services administratifS de la succursale.
L'auditeur des SI a été avisé par le directeur des TI de la banque
que le fournisseur de service par câble chi lfrera toutes le-s données
transmises par la connexion coaxiale directe à Internet.
EruDE DE CAS B : QUESTIONS
B1. En passant en revue l'information relative à ce projet, quel
devrait être la préoccupation la PLUS importante concernant
l'utilisation de réseaux hertziens dans le scénario ci-dessus?
A. ~absence de chiffrement
B. ~absence d'extensibilité
C. La probabilité d'une panne de service
O. Les dépassements de coûts lors de l'implantation
B2. Lequel des éléments suivants réduirait le PLUS la probabilité
que les systèmes internes soient attaqués par le réseau sans
fil?
A. Balayer tous les dispositifs branchés à la recherche de
programmes malveillants.
B. Placer le réseau sans fil sur un sous-réseau avec coupe-
feu.
C. Obliger l'identification de l'utilisateur avant chaque accès
et émettre des alertes pour les tentatives d'ouverture de
session ratées.
O. Limiter l'accès aux heures d'affaires habituelles et aux
protocoles normaux.
Voir les répooses et tes explications aux questions des études de cas ala fin du
chapitre (page 356).
4.10 RÉPONSES AUX QUESTIONS DES
ÉTUDES DE CAS
RÉPONSES AUX QUESTIONS DE !:ÉTUDE DE CAS A
Al. C Il t3ut d'abord procéder à ln reconnaissance de
l'infom1atlon afin d'établir un tracé pour l'entreprise
cible (par exemple, les plages d'adresses IP Internet)
et la recherche de fuites de renseignements qui
entraîneraient !a divulgation par inadvertance
de détails techniques concernant le réseau de
l'entreprise. Oc telles fuites peuvent sc produire
à la suite d'affichages sur Internet lors desquels
un administrateur du réseau pose une question
concernant la manière de corriger un problème du
réseau et identifie l'entreprise, ou encore lorsque les
offres d'emplois atTichées nécessitent une expérience
spécifique avec l'utilisation d'un coupe-feu ou d'une
trousse de sécurité en particulier. Le recensement
implique le mappage des services du réseau, des
protocoles et des appareils et sc ferait normalement
à la suite de la recmmaissance initiale. l?exploration
et l'exploitation de la vulnérabilité se font lors des
dernières étapes de l'évaluation.
355
Section deux : Contenu
Chapitre 4 - Exploitation, Entretien et Gestion
des Services des Systèmes d'Information
e . 1-\.
Certified Information
Systems Aodilnr"
"'""'"-''"'""

Al. B Le réseau interne est utilisé pour transmettre

l'information sensible, par exemple les
renseignements sur les patients et les numéros
de cartes de crédit Puisque le réseau interne
comprend également cc qui se rappmic au sans fil,
ces facteurs créent un risque appréciable lorsque
de telles transmissions ne sont pas encodées. En
ce qui concerne les autres possibilités, tout le
trafic Internet n'a pas à être encodé. Le H1it que le
trafic confidentiel qui chemine dans Internet soit
encodé doit suffire. Puisque Je flux de données
transfrontalières ne contient pas de renseignements
sensibles, cela n'entraîne pas de risques importants.
L'utilisation de multiples protocoles s'avère typique
et n'entraîne pas de risques pali·iculiers pour
l'entreprise.

RÉPONSES AUX QUESTIONS DE !.:ÉTUDE DE CAS B

BI. A L'absence de chiffrement <.:onstituc la plus importante

préoccupation, car les réseaux he1tzicns sont faciles
à infiltrer. L:absence d'extensibilité et la probabilité
d'une panne de service ou d'un dépassement de coÙL<;
sont impmiantes, mais pas autant que d'assurer la
confidentialité ct l'intégrité des renseignements sur
les clients.

B2. B Isoler le réseau sans fil en le plaçant sur un sous-

réseau avec coupe-feu serait le meilleur moyen de
réduire la probabilité d'une attaque. La recherche
de programmes malveillants ne détecterait pas
l'utilisation d'outils d'investigation conçus
pour recueillir les mots de passe ou révéler les
vulnérabilités du réseau. Oblige-r l'identification
avant l'accès et limiter l'accès nux heures d'affaires
normales n'empêcherait pas la réussite d'une attaque.

356 Manuel de Préparation CISA 26" édition

ISACA. Tous droits reserves.
 e
Certified Information
Systems Auditor'
Chapitre 5 :
Protection des Actifs
Informationnels
An 1SACA' Certitication

Section un : Avant-propos
Définition .......................................................................................................................................................................................... 358
Objectifs ................................................................................................................................................................................•........... 358
'l'âches et énoncés de connaissances .............................................................................................................................•.•..•............ 358
Ressources suggérées pour approfondir l'étude ..............................................................................................................•............ 372
Questions d'autoévaluation ............................................................................................................................................................. 373
Réponses aux questions d'autoévaluation ..................................................................................................................................... 374

Section deux : Contenu

5.1 Résumé ..............•.........•.•....•.................................................................................................................................................... 377
5.2 Gestion de la sécurité de l'infor1nation ................................................................................................................................ 377
5.3 Accès logi<lues ......................................................................................................................................................................... 398
5.4 Sécurité de l'infrastructure du réseau ................................................................................................................................. 41 t
5.5 Audit du cadre de gestion de la sécurité de l'information ................................................................................................. 436
5.6 Audit de la sécurité de l'infrastructure réseau ................................................................................................................... 445
5.7 F:xpositions ct contrôles environnementaux ........................................................................................................................ 450
5.8 Expositions et contrôles d'accès physitiUC ........................................................................................................................... 454
5.9 Informatique mobile .............................................................................................................................................................. 457
5.10 Informatique Pair-à-pair ....................................................................................................................................................... 459
5.11 Messagerie instantanée .......................................................................................................................................................... 459
5.12 Médias sociaux ....................................................................................................................................................................... 459
5.13 lnfonuagique ........................................................................................................................................................................... 459
5.14 Fuit.e de données ...............................................•.•............•....•...•........••................•.....•...•......................•.•......•........................ 465
5.15 Risque et contrôles associés à la sécurité de l'informatique d'utilisateur final .............................................................. 466
5.16 Études de cas .......................................................................................................................................................................... 467
5.17 Réponses aux questions des études de cas ........................................................................................................................... 468

Manuel de Préparation CISA 26" édition 357

ISACA. Tous droits réservés.
Section un : Avant-propos .
Chapttre .
5 -Protection d es A ct11s
Section un :Avant-propos
DÉFINITION
Le présent chapitre aborde les éléments clés qui assurent 1~.
confidentialité, l'intégrité et la disponibilité (CID) des act.Jfs
informationnels. On y explique la conception, l'implantatton
et la surveillance des mesures de contrôle d'accès physique ct
logique. Le chapitre couvre aussi la sécurité de l'infrastructure
réseau, les contrôles environnementaux ainsi que les processus
et procédures utilisés pour classifier, saisir, stocker, récupérer,
transpoti:er des actifs informationnels confidentiels ct en
disposer. On y décrit les méthodes et procédures suivies par
les organisations, en insi:;tant sur le rôle de l'auditeur dans
l'évaluation de leur caractère adéquat ct de leur ctlïcacité.
OBJECTIFS
(_;o~jectif de ce domaine est d'assurer que le candidat au titre
CJSA comprend et peut fournir l'assurance que les politiques
de sécurité, les normes, les procédures et les contrôles
de l'entreprise assurent la confidentialité, l'intégrité et la
disponibilité des actifS informationnels.
Cette section représente 25% des questions de l'examen C\SA
(soit environ 38 questions).
TÂCHES ET ÉNONCÉS DE CONNAISSANCES
TÂCHES
Six tâches sont comprises dans le domaine couvrant la protection
des actif-S infOrmationnels:
T5. 1 Évaluer les politiques, nonnes ct proct!Jurcs de sécurité
de lïnfonnation et de confidentialité afin d'assurer
qu'elles soient exhaustives, alignées avec les pratiques
généralement acceptées ct conformes aux exigences
externes applicables.
T5.2 Évaluer la conception, la mise en œuvre, la maintenance,
la surveillance et le rapport des contrôles physiques
et environnementaux pour déterminer si les actitS
informationnels sont protégés adéquatement.
T5.3 Évaluer la conception, l'implantation, la maintenance.
la surveillance ct le rapport des contrôles logiques et de
système afin d'assurer la confidentialité, l'intégrité, la
disponibilité de l'information.
T5.4 Évaluer la conception, l'implantation ct la surveillance
des processus et procédures de classification des .
données aux politiques, normes, procédures et exigences
externes applicables de l'organisation.
T5.5 Évaluer les processus et les procédures utilisés pour
stocker, extraire, transporter l'information et éliminer
les actifs périmés afin de déterminer si les actifs
informntionnels sont adéquatement protégés.
T5.6 (:valuer le programme de sécurité de l'information afin
de déterminer son efficacité ct son alignement avec les
stratégies et les objectif..;; de l'organisation
ÉNONCÉS DE CONNAISSANCES
Le candidat au titre CISA doit avoir une bonne compréhension
de chacun des sujets ou domaines définis par les énoncés de
connaissances. Ces énoncés constituent fa base de l'examen.
358
"& 1ntorma
& t.tonne 1s e CISA: ~=:,.~~~~·
Certirled fnformaUon
Vinot-six énoncés de connaissances sonl' compris dans le domaine
de 1~ protection des actifs informationnels:
C5.1 Connaissance des pratiques généralement acceptées et
des exigencct' externes applicables (lois, règlements)
relatives à la protection des actif..;; infOnnationnels.
C5.2 Connaissance des principes de confidentialité.
C5.3 Connnissancc des techniques de conception, de mise en
œuvre, de maintenance, de surveillance ct de rappmi: des
contrôles de sécurité.
C5.4 Connaissance des contrôles physiques ct
environnementaux ainsi que- des pratiques de soutien
liées à la protection des actifs informationnels.
C5.5 Connaissance des contrôles d'accès physique aux
installations ct matériel autorisés pour l'identification,
l'authentification et la restriction de circulation des
utilisateurs.
C5.6 Connaissance des contrôles d'accès logiques aux
fonctions et aux données autorisées pour l'identification,
l'authentification et leur usage par des utilisateurs.
C5.7 Connaissance des contrôles de sécurité associés au
matériel, aux logiciels de base (p. ex., applications,
systèmes d'exploitation) ct systèmes de gestion de bases
de données.
C5.8 Conn::~issancc du risque ct des contrôles associés à la
virtualisation des systèmes.
C5.9 Connaissance du risque ct des contrôles associés il
J'utilisation d'appareils mobiles et sans fil, y compris les
appareils appmienant à des particuliers.
C5.10 Connaissance de la sécurité des communications vocales
(p. ex .• PBX, voix sur IP [VoiP]).
CS. 1 1 Connaissance des dispositif.s, protocoles ct techniques de
sécurité de réseau ct d'Intemct.
C5.12 Connaissance de la configuration, de l' implantat'lon, de
l'exploitation et de l'entretien des contrôles de sécurité
des réscalLx.
C5.13 Connaissnnce des techniques liées au chiffrement et
leurs utilisations.
C5.14 Connaissance des composantes de lïnf'rastructure à clé
publique ct des techniques de signature numérique.
C5.15 Connaissance du risque et des contrôles associés à
l'infOrmatique pair-à-pair, à la messagerie instantanée
ct aux technologies Web (p. ex., réseautage social,
babilbrds, blagues, infonuagique).
C5.16 Connaissance des nonnes de classification des données
relatives à la protection des ac! if..;; informationnels.
C5. 17 Connaissance des procédés et des procédures utilisés
pour emmagasiner, récupérer, transporter et disposer des
actif-; informationnels confidentiels.
CS. 18 Connaissance du risque et des contrôles associés aux
pertes de données.
C5. 19 Connaissance du risque de sécurité et des contrOles
relatif_" à l'utilisateur final.
C5.20 Connaissance des méthodes de mise en œuvre d'un
programme de sensibilisation à la sécmité.
C5.2 1 Connaissance des méthodes et techniques d'attaque
contre les systèmes d'information.
C5.22 Connaissance des outils de détection et de prévention
ainsi que des techniques de contrôle.
C5.23 Connaissance des techniques de tests de sécwité (p. ex ..
les tests de pénétration, le balayage de la vulnérabilité).
C5.24 Connaissance des processus liés à la surveillance et aux
réponses aux incidents de séclllité (p. ex., les procédures
ct paliers d'intervention, l'équipe de réponse aux
incidents d'urgence).
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rêservés.
 e . M
Certined.tnfn~lion
Systems Audrtor"
;::~-~
Chapitre 5- Protection des Actifs Informationnels Section un : Avant-propos

C5.25 Connaissance des processus utilisés dans les enquêtes de médecine légale et des procédures en matière de collecte et de
conservation sécurisée des données et des preuves (p. ex., chaîne de contrôle).
C5.26 Connaissance des facteurs de risque de fraude liés à la protection des actif.<> informationnels.

Relation entre les tâches et tes énoncés de connaissances

L'énoncé de tâche est ce que le candidat CISA est censé savoir faire. Les énoncés de connaissances délimitent chacun des domaines
que doit bien connaître le candidat au titre CISA pour exécuter des tâches. Les énoncés de tâches et de connaissances sont mis en
correspondance au tableau 5.1 dans la mesure où il est possible de le faire. Notez que bien qu'il y ait souvent chevauchement, chaque
énoncé de tâche correspondra généralement ::i plusieurs énoncés de connaissances.

Tableau 5.1 - Corre!lflondance des tâches et énonces de connaissances

Énoncés de tâches
T5.1 Évaluer les politiques, normes
et procédures de sécurité de
l'information et de confidentialité
afin d'assurer qu'elles soient
exhaustives, alignées avec
les pratiques généralement
acceptées et conformes aux
exigences externes applicables.
T5.2 Évaluer la conception, la mise
en œuvre, la maintenance,
la surveillance et le rapport
des contrôles physiques
et environnementaux pour
déterminer si les actifs
informationnels sont protégés
adéquatement
Énoncés de connaissances
C5.1 Connaissance des pratiques généralement acceptées et des exigences externes applicables (lois,
règlements) relatives à la protection des actifs informationnels.
C5.2 Connaissance des principes de confidentialité.
C5.3 Connaissance des techniques de conception, de mise en œuvre, de maintenance, de surveillance et de
rapport des contrôles de sécurité.
C5.4 Connaissance des contrôles physiques et environnementaux ainsi que des pratiques de soutien liées à la
protection des actifs informationnels.
C5.5 Connaissance des contrôles d'accès physique aux installations et matériel autorisés pour l'identification,
l'authentification et la restriction de circulation des utilisateurs.
C5.6 Connaissance des contrôles d'accès logiques aux fonctions et aux données autorisées pour l'identification,
l'authentification et leur usage par des utilisateurs.
C5.9 Connaissance du risque et des contrôles associés à l'utilisation d'appareils mobiles et sans fil, y compris
les appareils appartenant à des particuliers.
C5.15 Connaissance du risque et des contrôles associés à l'informatique pair-à-pair, à la messagerie instantanée
et aux technologies Web (p. ex., réseautage social, babillards, blogues, infonuagique).
C5.16 Connaissance des normes de classification des données relatives à la protection des actifs
informationnels.
C5.18 Connaissance du risque et des contrôles associés aux pertes de données.
C5.19 Connaissance du risque de sécurité et des contrôles relatifs à l'utilisateur finaL
C5.20 Connaissance des métllodes de mise en œuvre d'un programme de sensibilisation à la sécurité.
C5.25 Connaissance des processus utilisés dans les enquêtes de médecine légale et des procédures en matière
de collecte et de conservation sécurisée des données et des preuves (p. ex., chaîne de contrôle).
C5.26 Connaissance des facteurs de risque de fraude liés ala protection des actifs informationnels.
C5.1 Connaissance des pratiques généralement acceptées et des exigences externes applicables (lois,
règlements) relatives à la protection des actifs informationnels.
C5.2 Connaissance des principes de confidentialité.
C5.3 Connaissance des techniques de conception, de mise en œuvre, de maintenance, de surveillance et de
rapp01t des contrôles de sécurité.
C5.4 Connaissance des contrôles physiques et environnementaux ainsi que des pratiques de soutien liées à la
protection des actifs informationnels.
C5.5 Connaissance des contrôles d'accès physique aux installations et matériel autorisés pour l'identification,
l'authentification et la restriction de circulation des utilisateurs.
C5.7 Connaissance des contrôles de sécurité associés au matériel, aux logiciels de base (p. ex., applications,
systèmes d'exploitation) et systèmes de gestion de bases de données.
C5.10 Connaissance de la sécurité des communications vocales (p. ex., PBX, voix sur IP [VoiP]).
C5.17 Connaissance des procédés et des procédures utilisés pour emmagasiner, récupérer, transporter et
disposer des actifs informationnels confidentiels.
C5.18 Connaissance du risque et des contrôles associés aux pertes de données ..
C5.19 Connaissance du risque de sécurité et des contrôles relatifs à l'utilisateur final.
C5.22 Connaissance des outils de détection et de prévention ainsi que des techniques de contrôle.
C5.23 Connaissance des techniques de tests de sécurité (p. ex., les tests de pénétration, le balayage de la
vulnérabilité).
C5.26 Connaissance des facteurs de risque de fraude liés ala protection des actifs informationnels.

Manuel de Préparation CISA 26" édition 359

ISACA. Tous droits réservés.
Section un : Avant-propos
Tabl~au 5.1 - Côrrespondance des tâcheS et énoncés de connaissances {suite)
Énoncés de tâches
T5.3 Évaluer la conception,
l'implantation, la maintenance,
la surveillance et le rapport des
contrôles logiques et de système
afin d'assurer la confidentialité,
l'intégrité, la disponibilité de
l'information.
T5.4 Évaluer la conception,
l'implantation et la surveillance
des processus et procédures de
classrrication des données aux
politiques, normes, procédures et
exigences externes applicables de
l'organisation.
360
Chapitre 5 - Protection des Actifs Informationnels e•sA· Certlfled lnfo~matkm
H Systems AtKhtnr•
""'"""""''"""''
Énoncés de connaissances
C5.1 Connaissance des pratiques généralement acceptées et des exigences externes applicables (lois,
règlements) relatives à la protection des actifs informationnels.
C5.2 Connaissance des principes de confidentialité.
C5.3 Connaissance des techniques de conception, de mise en œuvre, de maintenance, de surveillance et de
rapport des contrôles de sécurité.
C5.6 Connaissance des contrôles d'accès logiques aux fonctions et aux données autorisées pour
l'identffication, l'authentification et leur usage par des uülisateurs.
C5.7 Connaissance des contrôles de sécurité associés au matériel, aux logiciels de base (p. ex., applications,
systèmes d'exploitation) et systèmes de gestion de bases de données.
C5.8 Connaissance du risque et des contrôles associés à la virtualisation des systèmes.
C5.9 Connaissance du risque et des contrôles associés à l'utilisation d'appareils mobiles et sans fil, y compris
les appareils appartenant à des particuliers.
C5.10 Connaissance de la sécurité des communications vocales (p. ex., PBX, voix sur IP [VoiP]).
C5.11 Connaissance des dispositifs, protocoles et techniques de sécurité de réseau et d'Internet.
C5.12 Connaissance de la configuration, de l'implantation, de l'exploitation et de l'entretien des contrôles de
sécunté des réseaux.
C5.13 Connaissance des techniques liées au chiffrement et leurs utilisations.
C5.14 Connaissance des composantes de l'infrastructure à clé publique et des techniques de signature
numérique.
C5.t5 Connaissance du risque et des contrôles associés à l'informatique pair-à-pair, à la messagerie
instantanée et aux technologies Web (p. ex., réseautage social, babillards, blagues, infonuagique).
C5.18 Connaissance du risque et des contrôles associés aux pertes de données.
C5.19 Connaissance du risque de sécurité et des contrôles relatifs à l'uülisateur final.
C5.21 Connaissance des méthodes et techniques d'attaque contre les systèmes d'information.
C5.22 Connaissance des ouüls de détection et de prévention ainsi que des techniques de contrôle.
C5.23 Connaissance des techniques de tests de sécurité (p. ex., les tests de pénétration, le balayage de la
vulnérabilité).
C5.26 Connaissance des facteurs de risque de fraude liés à la protection des actffs informationnels.
C5.1 Connaissance des pratiques généralement acceptées et des exigences externes applicables (lois,
règlements) relatives à la protection des actits informationnels.
C5.2 Connaissance des principes de confidentialité.
C5.3 Connaissance des techniques de conception, de mise en œuvre, de maintenance, de surveillance et de
rapport des contrôles de sécurité.
C5.9 Connaissance du risque et des contrôles associés à l'utilisation d'appareils mobiles et sans fil, y compris
les appareils appartenant à des particuliers.
C5.13 Connaissance des techniques liées au chiffrement et leurs utilisations.
C5.14 Connaissance des composantes de l'infrastructure à clé publique et des techniques de signature
numérique.
C5.15 Connaissance du risque et des contrôles associés à l'informatique pair-à-pair, à la messagerie
instantanée et aux technologies Web (p. ex., réseautage social, babillards, blagues, infonuagique).
C5.16 Connaissance des normes de classification des données relatives à la protection des actifs
informationnels.
C5.18 Connaissance du risque et des contrôles associés aux pertes de données.
C5.19 Connaissance du risque de sécurité et des contrôles relatifs à l'utilisateur final.
C5.25 Connaissance des processus utilisés dans les enquêtes de médecine légale et des procédures en
matière de collecte et de conservation sécurisée des données et des preuves (p. ex., chaîne de contrôle).
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . CertifJOOinlo~mauon
...._ Systems Am11tor'
"'"IJWCorl•!<"""
Chapitre 5 - Protection des Actifs Informationnels
Tableau 5.1 -COrrespondance des tâches et énoncés de connaissances (suffi!)
Énoncés de tâches
T5.5 Évaluer les processus et
les procédures utilisés pour
stocker, extraire, transporter
l'information et éliminer les actifs
périmés afin de déterminer si
les actifs informationnels sont
adéquatement protégés.
Manuel de Préparation C/SA 26• édition
ISACA. Tous droits rêservés.
Section un : Avant-propos
Énoncés de connaissances
C5.1 Connaissance des pratiques généralement acceptées et des exigences externes applicables (lois,
règlements) relatives à la protection des actits infonmationnels.
C5.2 Connaissance des plincipes de confidentialité.
C5.3 Connaissance des techniques de conception, de mise en œuvre, de maintenance, de surveillance et de
rapport des contrôles de séculité.
C5.4 Connaissance des contrôles physiques et environnementaux ainsi que des pratiques de soutien liées à
la protection des actifs informationnels.
C5.5 Connaissance des contrôles d'accès physique aux installations et matériel autolisés pour l'identification,
l'authentification et la restriction de circulation des utilisateurs.
C5.6 Connaissance des contrôles d'accès logiques aux fonctions et aux données autorisées pour
l'identification. l'authentification et leur usage par des utilisateurs.
C5.7 Connaissance des contrôles de séculité associés au matériel, aux logiciels de base (p. ex., applications,
systèmes d'explotiation) et systèmes de gestion de bases de données.
C5.8 Connaissance du lisque et des contrôles associés à la virtualisation des systèmes.
C5.9 Connaissance du risque et des contrôles associés à l'utilisation d'appareils mobiles et sans fil, y compris
les appareils appartenant à des particuliers.
C5.10 Connaissance de la sécurité des communications vocales (p. ex., PBX, voix sur IP [VoiP]).
C5.11 Connaissance des dispositifs, protocoles et techniques de sécurité de réseau et d'Internet.
C5.12 Connaissance de la configuration, de l'implantation, de l'exploitation et de l'entretien des contrôles de
sécurité des réseaux.
C5.13 Connaissance des techniques liées au chiffrement et leurs utilisations.
C5.14 Connaissance des composantes de l'infrastructure à clé publique et des techniques de signature
numérique.
C5.15 Connaissance du lisque et des contrôles associés à l'infonmatique pair-à-pair, à la messagerie
instantanée et aux technologies Web (p. ex., réseautage social, babillards, blagues, infonuagique).
C5.17 Connaissance des procédés et des procédures utilisés pour emmagasiner, récupérer, transporter et
disposer des actifs infonmationnels confidentiels.
C5.18 Connaissance du risque et des contrôles associés aux pertes de données.
C5.19 Connaissance du risque de sécurité et des contrôles relatifs à l'utilisateur final.
C5.21 Connaissance des méthodes et techniques d'attaque contre les systèmes d'information.
C5.22 Connaissance des outils de détection et de prévention ainsi que des techniques de contrôle.
C5.23 Cconnaissance des techniques de tests de sécurité (p. ex., les tests de pénétration, le balayage de la
vulnérabilité).
C5.25 Connaissance des processus utilisés dans les enquêtes de médecine légale et des procédures en
matière de collecte et de conservation sécurisée des données et des preuves (p. ex., chaîne de contrôle).
C5.26 Connaissance des facteurs de risque de fraude liés à la protection des actifs infonmationnels.
361
Section un : Avant-propos Chapitre 5 -Protection des Actifs Informationnels eiSA" M Certifred
Systems ~tioo
. .'"".
Audt!O(
::~-

Tablêâu 5.1 - Côrrespondam:e des tâches el énoncéS de connaissances (suitê} ~

Énoncés de tâches Énoncés de connaissances
T5.6 Évaluer le programme de sécurité C5.1 Connaissance des pratiques généralement acceptées et des exigences externes applicables (lois,
de l'information afin de déterminer règlements) relatives à la protection des actifs infonnationnels.
son efficacité et son alignement C5.2 Connaissance des principes de confidentialité.
avec les stratégies elles objectifs C5.3 Connaissance des techniques de conception, de mise en œuvre, de maintenance, de surveillance et de
de l'organisation. rapport des contrôles de sécur~é.
C5.4 Connaissance des contrôles physiques et environnementaux ainsi que des pratiques de soutien liées à
la protection des actifs informationnels.
C5.5 Connaissance des contrôles d'accès physique aux installations et matériel autorisés pour l'identification,
l'authentification et la restriction de circulation des utilisateurs.
C5.6 Connaissance des contrôles d'accès logiques aux fonctions et aux données autorisées pour
l'identification, l'autilentification et leur usage par des utilisateurs.
C5.7 Connaissance des contrôles de sécurité associés au matériel, aux logiciels de base (p. ex., applications,
systèmes d'exploitation) et systèmes de gestion de bases de données.
C5.8 Connaissance du risque et des contrôles associés à la virtualisation des systèmes.
C5.9 Connaissance du risque et des contrôles associés à l'utilisation d'appareils mobiles et sans fil, y compris
les appareils appartenant à des particuliers.
C5.11 Connaissance des disposfiifs, protocoles et techniques de sécurité de réseau et d'Internet.
C5.12 Connaissance de la configuration, de l'implantation, de l'exploitation et de l'entretien des contrôles de
sécurité des réseaux.
C5.13 Connaissance des techniques liées au chfiftement et leurs utilisations.
C5.14 Connaissance des composantes de l'infrastructure à dé publique et des techniques de signature
numérique.
C5.15 Connaissance du risque et des contrôles associés à l'informatique pair-à-pair, à la messagerie
instantanée et aux technologies Web (p. ex., réseautage social, babillards, blogues, infonuagique).
C5.18 Connaissance du nsque et des contrôles associés aux pertes de données.
C5.19 Connaissance du risque de sécurité et des contrôles relatifs à l'utilisateur final.
C5.20 Connaissance des méthodes de mise en œuvre d'un programme de sensibilisation à la sécurité.
C5.21 Connaissance des méthodes et techniques d'attaque contre les systèmes d'infonnation.
C5.22 Connaissance des outils de détection et de prévention ainsi que des techniques de contrôle.
C5.23 Connaissance des techniques de tests de sécurité (p. ex.. les tesfs de pénétration, le balayage de la
vulnérabilité).
C5.24 Connaissance des processus liés à la surveillance et aux réponses aux incidents de sécurité (p. ex .. les
procédures et paliers d'interventiOn, l'équipe de réponse aux incidents d'urgence).
C5.25 Connaissance des processus utilisés dans les enquêtes de médecine légale et des procédures en
matière de collecte et de conservation sécurisée des données et des preuves (p. ex., chaîne de
contrôle).
C5.26 Connaissance des facteurs de risque de fraude liés à la protection des actifs informationnels.

362 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e certlr!ed m1~tion
Systems AUd1tor"
""'""""'"·'..'"'"
'"" -
Chapitre 5 - Protection des Actifs Informationnels Section un : Avant-propos

Guide de référence sur les énoncés de connaissances

Chaque énoncé de connaissances est expliqué en fonction des concepts sous-jacents et de la pertinence de l'énoncé de connaissances
pour l'auditeur des SI. Le crmdidat à l'examen doit absolument comprendre les concepts. Les énoncés de connaissances représentent ce
que 1'aue! ile ur des SI doit savoir pour exécuter ses tâches. Par conséquent, seuls les énoncés de connaissances sont présentés dnns cette
section.

Les sections citées sous C5.l à C5.26 sont décrites plus en détail dans la section deux du présent chapitre.

C5.1 Connaissance des pratiques généralement acceptées et des exigences externes applicables (lois,
règlements) relatives à la protection des actifs Informationnels.
~licalion .' ' .. 1 '
Pour la protection des actifs informationnels, un certain nombre de pratiques Comprendre les 5.2.1 Ëléments clés de la gestion de la
sont généralement acceptées. ~auditeur des SI doit connaître ces pratiques. éléments de la gestion sécurité de l'information
Par exemple : de la séculité de 5.2.9 Facteurs essentiels au succès de la
• La sécurité doit être alignée avec les objectifs d'affaires. l'information. gestion de la sécurité de l'information
• La haute direction doit donner Je ton en matière de sécurité.
• Les responsabilités concernant la protection des actifs doivent être Savoir évaluer la 5.2.3 Classification des actifs
définies. classification d'actifs informationnels
• Des politiques et procédures doivent être mises en place pour : informationnels dans un
-S'assurer de la disponibilité continue des systèmes d'information.
contexte de sécurité de
-Garantir l'intéglité de l'information stockée dans les systèmes l'information.
informatiques et lors de son transit.
-Préserver la confidentialité des données sensibles lorsqu'elles sont
stockées et en transit.
-S'assurer de la conformité avec les lois, réglementations et normes
applicables.
• Un système de surveillance doit être en place afin d'assurer la conformité
aux politiques internes et aux exigences externes.
• Un processus de gestion du risque doit être en place.

C5.2 Connaissance des principes de confidentialité.

Explication 1 Concept$ clés 1 llèlèrence dans le Manuel2016
Les auditeurs des SI doivent être en mesure de s'assurer du respect des Comprendre les 5.2.8 Principes de confidentialité et rôle
exigences de confiance et d'obligation pour toute information en lien avec principes de protection des auditeurs des SI
une personne identifiée ou identifiable (c.-à-d.le sujet des données) en des renseignements
fonction de la politique applicable en matière de protection de la vie privée personnels.
ou des lois et réglementations applicables en matière de vie privée.
Connaître les lois et les
réglementations sur la
vie privée.
Comprendre comment la
conformité est assurée.

Manuel de Préparation CISA 26• édition 363

ISACA. Tous droits réservés.
Section un : Avant-propos Chapitre 5- Protection des Actifs Informationnels eiSA CertifiOO lnfo~lion
Systems Audilor"
-----+---
"'"""'""'""'.."'"

C5.3 Connaissance des techniques de conception, de mise en œuvre, de maintenance, de surveillance et de

rapport des contrôles de sécurité.
EXplication 1 Côncepl$ êlê$ 1 Référell!le dans lê Manllel2016
~auditeur des SI doit comprendre les différents types de contrôles internes et Comprendre les 1.4.2 Contrôles internes
comment ils s'appliquent La conception, l'implantation et la surveillance de la différents types de 5.2.5 Conception des contrôles de la
sécurité doit s'harmoniser aux objectifs d'entreprise. Il faut accorder la priorité contrôles (prévention, sécurité de l'information
aux éléments qui, si leur sécurité était compromise, auraient un impact concret détection et correction) 5.2.9 Facteurs essentiels au succès
(même s'il n'est pas toujours quantifiable) pour J'entreprise. Les contrôles et savoir quand les de la gestion de la sécurité de
entraînent généralement des dépenses pour J'entreprise, soit directement ou appliquer. l'information
par leur impact sur les activités, et les entreprises doivent s'assurer que le coût
Savoir évaluer la 5.2.3 Classification des actifs
des mesures de contrôle n'est pas plus important que celui du risque pour
classification d'actifs informationnels
l'entreprise. La priorité majeure doit être d'assurer que le risque qui aurait un
informationnels dans un
impact négatif important sur les activités est géré adéquatement.
contexte de sécurité de
l'information.
Comprendre la sécurité 5.4 Sécurité de l'infrastructure du
de l'information dans réseau
son application aux
composants clés
d'infrastructure du
réseau.

C5.4 Connaissance des contrôles physiques et environnementaux ainsi que des pratiques de soutien liées à la
protection des actifs Informationnels.
Ei(plication 1 Concept$ clés 1 Référence dans le Manuel2016
Certaines catastrophes naturelles ainsi que celles causées par l'homme Comprendre les 5.7 Expositions et contrôles
peuvent entraîner de grands dommages aux systèmes d'information et types de contrôles environnementaux
processus d'une entreprise. La plupart des centres de données ont des environnementaux
mécanismes pour prévenir, détecter ou atténuer l'impact de ces menaces. les plus utilisés et les
Toutefois, il est important que la disponibilité et le caractère satisfaisant bonnes pratiques pour
de ces contrôles soient testés régulièrement par la direction pour garantir leur déploiement et
qu'ils fonctionneront selon les attentes. ~auditeur des SI doit comprendre vérification périodique.
la nature de ces contrôles et les moyens de garantir qu'ils fonctionnent
correctement et sont adéquats pour protéger l'entreprise. Les contrôles
environnementaux comprennent généralement des détecteurs de fumée et
d'incendie, des systèmes d'extinction des incendies, des détecteurs d'eau et
des mécanismes de régulation de température et d'humidité. L'auditeur des
SI doit connaître les mérites relatifs des différents systèmes de suppression
des incendies et les circonstances dans lesquelles un système est plus
approprié qu'un autre.

C5.5 Connaissance des contrôles d'accès physique aux installations et matériel autorisés pour l'Identification,
l'authentification et la restriction de circulation des utilisateurs.
EXplication 1 Côncep!S tlés 1 Référence dans le Manuel2016
Les faiblesses de sécurité physiques peuvent entraîner des pertes financières, Comprendre les 5.8 Expositions et contrôles d'accès
des répercussions légales, la perte de crédibilité ou la perte de l'avantage contrôles d'accès physique
concurrentiel. Par conséquent, les actifs informatiOnnels doivent être protégés physique et les risQues
contre les attaques physiques, tels que le vandalisme et le vol, par des qu'ils soient contournés.
moyens de contrôle qui limitent l'accès aux zones vulnérables contenant de
l'équipement informatique ou des fichiers de données confidentielles. De
tels contrôles incluent généralement l'utilisation de verrous pour les portes
d'accès qui nécessitent un mot de passe, une clé, un jeton ou une identification
biométrique de la personne qui veut entrer. Dans les zones à sécurité élevée,
J'accès pourrait nécessiter une authentification par des méthodes muntples
ainsi que J'utilisation de mesures de sécurité rigoureuses de type sas de
sécurité. ~auditeur des SI doit comprendre la nature des contrôles physiques et
les moyens de les contourner ainsi que le concept de (( périmètre de sécurrté »
déterminant où de tels dispositifs devraient être placés et quel doit être leur
degré d'efficacité.

364 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e Certifred mto~mation
Systems Autl1tor·
-----1-----
~'~"'"'"''"""'"'
Chapitre 5 - Protection des Actifs Informationnels Section un : Avant-propos

C5.6 Connaissance des contrôles d'accès logiques aux fonctions et aux données autorisées pour l'identification,
l'authentification et leur usage par des utilisateurs.
EXplication 1 Concepts dés 1 Référence dans le Manuel2016
Les contrôles d'accès logiques servent à gérer et à protéger les actifs Comprendre les 5.3 Accès logiques
informationnels. Les contrôles metrent en œuvre et renforcent les éléments clés des
politiques et procédures conçues par la direction pour protéger les contrôles d'accès
actifs informationnels, et sont conçus pour réduire le risque à un niveau logiques.
acceptable pour l'entreprise. Les contrôles existent tant au niveau du
système d'exploitation que des applications. Il est donc important de
comprendre les contrôles d'accès logiques appliqués à des systèmes
qui peuvent fonctionner avec des plateformes d'exploitation multiples et
comprendre plus d'une application ou point d'authentification. La sécurité
logique est souvent déterminée en fonction des tâches des utilisateurs.
Le succès des contrôles d'accès logiques dépend de la fiabilité des
méthodes d'authentification (p. ex., mots de passe forts). Tous les accès
des utilisateurs aux systèmes et aux données doivent être en relation
avec le rôle de la personne. l:autorisation prend généralement la forme
de signatures (physiques ou électroniques) des autorités compétentes. La
force de l'authentification est proportionnelle à la qualité de la méthode
utilisée; une forte authentification peut inclure une authentification double ou
multifactorielle avec identifiant, mot de passe, jetons et biométrie.

C5. 7 Connaissance des contrôles de sécurité associés au matériel, aux logiciels de base (p. ex., applications,
systèmes d'exploitation) et systèmes de gestion de bases de données.
EXplication 1 COncepts cléS 1 Référence dans le Manuel2016
Les logiciels de contrôle d'accès utilisent à la fois l'identification et Comprendre les bonnes 4.4 Structure matérielle des systèmes
l'authentification (1 et A) :après l'authentification, le système ou l'application pratiques relatives d'information
limite l'accès en fonction du rôle de l'utilisateur.! et A constituent le à l'identification et à 4.5.1 Systèmes d'exploitation
processus selon lequel le système obtient l'identité de l'utilisateur et les l'authentification. 4.5.5 Systèmes de gestion de base de
preuves nécessaires pour l'authentifier, puis valide les deux éléments données
d'information. 5.3.5 Identification et authentification

1et A constituent un bloc essentiel de la sécurité informatique puisqu'ils sont

requis pour la plupart des types de contrôle d'accès et sont nécessaires pour
établir la responsabilité de l'utilisateur. Pour la plupart des systèmes, 1et A
représentent la première ligne de défense, car ils empêchent les accès non
autonsés (ou les procédés non autorisés) à un système informatique ou à
des actifs informationnels. l:accès logique peut être implanté de diverses
façons. l:auditeur des SI doit connaître les forces et faiblesses de diverses
architectures, par exemple l'identifiant unique (lU), au moyen de laquelle une
seule authentification accordera l'accès à toutes les applications autorisées,
la gestion de l'identité, l'authentification multifactorielle, etc. l:auditeur des
SI doit comprendre le risque associé aux dnférentes architectures et les
façons de s'y attaquer. Par exemple, l'lU pourrait permettre un accès non
autorisé à des applications et des données si un seul mot de passe était
compromis. Si on considère que ce risque est gérable, cela devrait inciter
l'implantation de l'authentification multifactorielle.

Manuel de Préparation CISA 26• édition 365

ISACA. Tous droits réservés.
Section un : Avant-propos Chapitre 5- Protection des Actifs Informationnels eiSA" Certlfiedlnfo~tion
""' 1-t. Systems Aud1!or'
~7,~·-·

C5.8 Connaissance du risque et des contrôles associés à la virtua/lsation des systèmes.

EXplication 1 'COncepts clés 1 Référence dans Je Manuel2016
La virtualisation fournit aux entreprises une occasion considérable Comprendre le 5.4.1 Sécurrté d'un réseau local
d'accroître leur efficacité tout en réduisant leurs coûts opérationnels de Tl. risque associé à la
Toutefois, la virtualisation introduit également des risques supplémentaires. virtualisation.
Les auditeurs des SI doivent comprendre les avantages et désavantages de
la virtualisation pour déterminer si l'entreprise a tenu compte des risques
applicables dans sa décision d'adopter, d'implanter et de maintenir cette
technologie.

À un haut niveau, la virtualisation permet à de multiples systèmes

d'exploitation ou invités de coexister sur le même serveur physique (hôte)
isolés l'un de l'autre. La virtualisation crée une couche entre l'équipement
et les systèmes d'exploitation invités pour gérer le traitement partagé et les
ressources en mémoire de l'hôte. Souvent, une console de gestion fournit un
accès administrateur pour gérer le système virtualisé.

Bien que la virtualisation offre des avantages considérables, elle comporte

également des risques qu'une entreprise doit gérer efficacement. Puisque
l'hôte d'un environnement virtualisé représente un point de défaillance
potentiel unique au sein du système, une attaque réussie contre l'hôte
pourrait avoir une portée et un impact considérables.

C5.9 Connaissance du risque et des contrôles associés à l'utilisation d'appareils mobiles et sans ffi, y compris les
appareils appartenant à des particuliers.
EXplîcation 1 lloncepts clés 1 Référence dans le Manuel2016
Les appareils mobiles et sans fil représentent une menace omniprésente Comprendre les bonnes 4.4.1 Composantes et architectures du
pour les actifs informationnels d'une entreprise et doivent être contrôlés pratiques pour sécuriser matériel informatique
adéquatement. Des politiques et procédures, ainsi que des mécanismes les données sur les 4.6.6 Application du modèle OSI dans les
de protection supplémentaires, doivent être en place pour assurer une appareils mobiles. architectures du réseau
plus grande protection des données sur les appareils mobiles puisqu'ils 5.9 Informatique mobile
seront très probablement utilisés dans des environnements où les contrôles
physiques sont inadéquats ou inexistants. La plupart des appareils portatifs,
y compris les tablettes, les téléphones intelligents, etc., sont faciles à égarer
ou à voler et requièrent donc l'utilisation de technologies de chiffrement
et de facteurs d'authentification rigoureux. li pourrart aussi être nécessaire
de catégoriser certaines données comme étant inappropriées pour être
stockées sur un appareil mobile. ~auditeur des SI doit comprendre que tous
les supports et dispositifs de ce type, y compris les lecteurs de musique
(MP3), pourraient aussi servir à voler des données et des programmes pour
une utilisation personnelle ou en retirer un profit.

C5.10 Connaissance de la sécurité des communications vocales (p. ex., PBX, voix sur IP [VoiP]).
Explication 1 COncepts clés 1 Référence dans Je Manuel2016
La complexîté et la convergence croissantes des communications vocales Comprendre le risque 5.4.7 Voix sur IP
et de données introduit des risques supplémentaires dont l'auditeur des SI et les contrôles 5.4.8 Autocommutateur privé
doit temr compte. Les environnements de voix par IP et PBX comprennent associés relatifs aux
un risque de sécurité, tant à l'intérieur qu'à l'extérieur de l'entreprise, qui communications vocales
doit être géré pour garantir la sécurité et la fiabilité des communications ainsi que l'impact
vocales. ~auditeur des SI doit comprendre suffisamment ces concepts pour de la voix par IP sur
déterminer le risque pour l'entreprise et identifier les contrôles appropriés. l'ensemble de la sécurité
du réseau.

366 Manuel de Préparation CISA 26" édition

ISACA_ Tous droits réservés.
e :~::,.~~~1"" Chapitre 5 - Protection des Actifs Informationnels Section un : Avant-propos

C5.11 Connaissance des dispositifs, protocoles et techniques de sécurité de réseau et d'Internet.

~Jicalion 1 e&ncepiS cléS 1 Référence dans le Manuel2016
~application et l'évaluation des technologies servant aatténuer les risques et Comprendre les 5.4.5 Chiffrement
à sécuriser les données dépend d'une bonne compréhension des dispositifs bonnes pratiques
de sécurité, de leurs fonctions et des protocoles servant à exécuter leurs pour l'implantation du
fonctionnalités. Une entreprise implante des applications de chiffrement pour chiffrement
garantir ta confidentialité des données importantes. Il existe divers protocoles de
chittrement pour sécuriser les communications Internet

De plus, le domaine de la sécurité regorge de teclmologies et de solutions

répondant à tout un éventail de besoins. Ces solutions comprennent les
coupe-feu, les systèmes de détection et de préven1ion des intrusions, les
dispositifS mandataires, les filtres Web, les filtres antivirus et antipourriel, les
fonctionnalités de protection contre les fuites de données, les mécanismes de Comprendre J'utilisation 4.6 Infrastructure du réseau des SI
contrôle de l'identité et de l'accès, l'accès adistance sécurisé et la sécurité sans et l'application des 5.3.5 Identification et authentification
fiL Comprendre la fonction de la solution et son application à l'infrastructure dispositifs de sécurité 5.4 Sécurité de J'infrastructure du réseau
sous-jacente exige une connaissance de l'infrastructure comme telle et des et des méthodes pour
protocoles utilisés. On ne s'attend pas à ce que l'auditeur des SI possède des sécuriser !es données.
connaissances techniques détaillées, mais plutôt une compréhension générale
des concepts, de leurs modes d'implantation et du risque qui pourrait résuller
pour l'entreprise.

C5.12 Connaissance de la configuration, de l'Implantation, de l'exploitation et de l'entretien des contrôles de

sécurité des réseaux.
EXplication 1 Concepts cléS 1 Référence dans le Manuel2016
Les entreprises peuvent, de façon efficace, prévenir et détecter la plupart Comprendre tes 5.4.4 Menaces et sécurité Internet
des attaques contre leurs réseaux en employant des contrôles de sécurité du menaces à la sécurité
périmètre. Les coupe-feu et les systèmes de détection des intrusions (IDS) du réseau et connaître
procurent une protection et de l'information d'alerte critique aux frontières les contrôles les plus
entre les réseaux sécurisés et non sécurisés. Une implantation et un appropriés pour les
entretien adéquats des coupe-feu et des IDS est essentielle pour la réussite atténuer.
d'un programme de sécurité exhaustif. ~auditeur des SI doit comprendre
le degré de protection contre les intrus offert aux différents emplacements
possibles des IDS ainsi que l'importance des politiques et procédures pour
déterminer les mesures devant être prises par le personnel de sécurité et le
personnel technique lorsqu'une intrusion est rapportée.

C5.13 Connaissance des techniques liées au chiffrement et leurs utilisations.

EXplicâtion 1 Cèncepts CléS 1 Référence dans le Manuel2016
Une des meilleures façons de protéger la confidentialité de l'information est Comprendre tes 5.4.5 Chiffrement
d'utiliser le chiffrement Les systèmes de chiffrement efficaces dépendent: bases des techniques
• De la force de l'algorithme, de la discrétion et du niveau de difficulté de chiffrement et
rattachés à la compromission d'une clé; les avantages et
• De l'absence de trappes d'accès par lesquelles un fichier encodé peut être désavantages relatifs de
décodé sans connaître la clé; chacune.
• De l'impossibilité de décoder un message en texte chiffré si une partie de
ce texte est décodée (attaque par texte connu);
• Des propriétés du texte en clair connu par un pirate.

Bien qu'on ne s'attende pas à ce que l'auditeur des SI soit un expert dans la
conception de ces algorithmes, J'auditeur doit comprendre de quelle manière
ces techniques sont utilisées ainsi que les avantages et désavantages
relatifs à chacune.

Manuel de Préparation CISA 26" édition 367

ISACA. Tous droits réservés.
Section un : Avant-propos Chapitre 5 - Protection des Actifs Informationnels e !::.:::.:::'·"""

C5.14 Connaissance des composantes de l'Infrastructure à clé publique et des techniques de signature
numérique.
" ~lication 1 Concepts cléS j Référence dans le Manuel2016
Le processus de clliffrement consiste à transformer un message en texte clair Comprendre les 5.4.5 Chiffrement
en texte séculisé par un code, appelé texte chiffré, qui ne peut être compris composantes clés de
sans une reconversion, au moyen d'un déchiffrement (processus inverse l'infrastructure à clé
du chiffrement), en texte clair. Les infrastructures à clé publique utilisent le publique et les façons de
chiffrement pour faciliter les tâches suivantes : les contrôler. ·
• Protéger les données des interceptions et de la manipulation non autmisée;
• Protéger des consultations et des manipulations non autorisées les
renseignements emmagasinés dans les ordinateurs;
• Empêcher et détecter la modification accidentelle ou intentionnelle des
données;
• Vérifier l'auti1enticrré d'une transaction ou d'un document (p. ex., lorsque
transmis par connexion Web dans le cadre de services bancaires en ligne, de
vente d'actions, etc.);
• Protéger les données dans de telles srtuations d'une divulgation non autorisée.

On ne s'attend pas à ce que l'auditeur des SI arr une compréhension détaillée

du chiffrement; toutefois, il doit comprendre les relations entre les types de
chiffrement (symétlique et asymétlique) et leurs algorithmes respectifs (p. ex.,
DES3, RSA) ainsi que les concepts et composantes de base de l'infrastructure
à clé publique pour l'utilisation commerciale. Par exemple, le chiffrement d'un
message à l'aide d'une clé privée permet d'aulllentifier l'expéditeur plutôt que
de garantir la confidentialité. Une compréhension de l'utilisation commerciale
des signatures numériques est aussi attendue, surtmut de leur utilisation pour la
non-répudiation et la protection contre l'écoute non autorisée des messages.

C5.15 Connaissance du risque et des contrôles associés à l'Informatique pair-à-pair, à la messagerie Instantanée
et aux technologies Web (p. ex., réseautage social, babillards, blogues, lnfonuagique).
EXplication 1 Ctlncepts Clés J Référence dans le Mànuei201S
Cinformatique pair-à-pair. la messagerie instantanée et les technologies Comprendre le risque et 5.10 Informatique pair-à-pair
basées sur le Web (p. ex., réseaux sociaux, blagues) présentent un type les contrôles associés à 5.11 Messagerie instantanée
unique de risque pour l'entreprise. L'information affichée sur les réseaux l'infonmatique pair-à- 5.12 Médias sociaux
sociaux peut contenir par inadvertance des renseignements confidentiels pair, à la messagerie
non publics susceptibles d'exposer une organisation (lui faisant perdre instantanée et aux
son avantage concurrentiel) ou de violer les exigences réglementaires technologies Web (p. ex.,
comme les lois sur la sécurité financière ou sur la vie privée. L'informatique réseautage social,
pair-à-pair est fondamentalement précaire, car elle offre un accès direct babillards, blagues).
aux systèmes en contournant les contrôles de sécurité de réseau et peut
conduire à l'introduction d'un code malveillant dans un environnement Comprendre les risques 2.9.2 Pratiques d'externalisation
autrement sécurisé. et les contrôles associés 5. t 3 lnfonuagique
à l'infonuagique.
Cauditeur des SI doit connaître les modèles de services et de déploiement
qui sont possibles avec l'infonuagique. !.:auditeur des SI doit également
connaÎtre les risques et les contrôles clés associés à l'infonuagique, y
compris les questions transfrontalières, la destruction des données, les
stratégies de sortie, etc.

368 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e . H
Certif!OO lnfo~mation
Systems Auditor"
4,~=""'''""'""
Chapitre 5 - Protection des Actifs Informationnels Section un : Avant-propos

C5.16 Connaissance des normes de classification des données relatives à la protection des actifs
informationnels.
~lication 1 CônceJ!ts CléS 1, Référence dans le Manuel2016
Les actifs informationnels possèdent des degrés divers de sensibilité et de Comprendre les 4.3 Gestion des actifs des Tl
criticité dans l'atteinte des objectifs d'affaires. La découverte, l'inventaire mécanismes de 5.2.3 Classification des actifs
et l'évaluation du risque sont des premières étapes importantes pour la catégorisation des informationnels
catégorisation des données. L'évaluation du risque devrait tenir compte données et la nécessité
du fait que la valeur de l'actif est directement proportionnelle à son rôle de désigner des
dans la stratégie de l'entreprise. Une fois cette étape complétée, on peut détenteurs de données.
procéder à la catégorisation des données. En affectant des classes ou
des degrés de sensibilité et de criticité aux ressources d'information et en
établissant des règles de sécurité propres à chaque classe, les entreprises
peuvent définir le niveau de contrôle d'accès et les exigences relatives au
temps de conservation et à la destruction devant être appliquées à chaque
actif informationnel. Les données sont ainsi catégorisées et protégées
selon le degré de sensibilité et de criticité qui leur a été attribué. ~auditeur
des SI doit comprendre le processus de catégorisation et les rapports
mutuels entre la catégorisation des données et le besoin d'inventorier les
actifs informationnels et d'attribuer des responsabilités aux détenteurs
des données. Les responsabilités des détenteurs de données doivent être
clairement identifiées, documentées et mises en œuvre.

C5.17 Connaissance des procédés et des procédures utilisés pour emmagasiner, récupérer, transporter et
disposer des actifs Informationnels confidentiels.
Explication , 1 Concepts cléS Référence dans le Manuel2016
Les actifs informationnels confidentiels sont vulnérables pendant le Comprendre les 4.8.6 Sauvegarde et rétablissement
stockage, la récupération et le transport et ils doivent aussi être éliminés bonnes pratiques pour 5.3.7 Stocker, récupérer, transporter
adéquatement. La direction doit définir et implanter des procédures pour protéger l'information et disposer des informations
empêcher la consullation non autorisée, ou la perte d'information et de pendant le stockage, la confidentielles
logiciels dans les ordinateurs, disques et tout autre matériel ou support récupération, le transport
pendant le stockage, le transport ou la transmission, le traitement, la et la destruction.
récupération et la production. ~auditeur des SI doit aussi comprendre la
nécessité de se départir correctement de l'information (et des supports)
pour garantir qu'aucune personne non autorisée n'y ait accès par voie de
restauration ou de re-création.

C5.18 Connaissance du risque et des contrôles associés aux pertes de données.

EXplication 1 COncepts clés 1 Référence dans le Manuel2016
La perte de données résulte en un risque que des informations sensibles Comprendre comment 4.3 Gestion des actifs des Tl
puissent être rendues publiques par inadvertance. Cela peut se produire de les pertes de données 5.2.3 Classification des actifs
diverses façons: offres d'emploi indiquant les logiciels et appareils réseau peuvent se produire et informationnels
spécifiques avec lesquels les candidats doivent avoir de l'expérience, connaître les méthodes 5.10 Informatique pair,à-pair
administrateurs de systèmes posant des questions sur des sites Web pour les limiter. 5.11 Messagerie instantanée
techniques en mentionnant des détails précis sur la version de coupe-feu 5.12 Médias sociaux
ou de base de données qu'ils utilisent ainsi que les adresses IP à connecter. 5.14 Pelies de données
Cela peut aussi être sous la forme d'organigrammes et de plans stratégiques
affichés sur des sites Web accessibles de l'extérieur. À la base, on pourrait
penser qu'aucune entreprise ne voudrait se compromettre ainsi; pourtant,
des agences gouvernementales et des organismes sans but lucratif ont
couru des risques résultant de leur volonté d'être transparents. ~auditeur
des SI doit s'assurer de la mise en place de politiques de classification
de données, de formation et de sensibilisation à la sécurité et d'audits
périodiques sur les pertes de données. ~auditeur des SI doit également
connaitre les capacités et les risques associés aux outils de prévention des
pertes de données.

Manuel de Préparation CISA 26• édition 369

ISACA. Tous droits n!servés.
Section un :Avant-propos Chapitre 5 - Protection des Actifs Informationnels e .:_: :.'" ~~::

C5.19 Connaissance du risque de sécurité et des contrôles relatifs à l'utilisateur final.

EXplication 1 Concep!S clés 1 Référence dans le Manuel2016
Il est nécessaire que l'auditeur des SI comprenne les risques de sécurité et les Comprendre le risque de 4.5.9 Informatique d'utilisateur final
contrôles associés à l'informatique d'utilisateur final (p. ex., Microsoft" Excel, sécurité et les contrôles 5.15 Risque et contrôles associés
Access, etc.). associés à informatique à la sécurité de l'informatique
d'utilisateur final. d'utilisateur final
t:auditeur des SI doit comprendre que ces outils peuvent être utilisés pour
créer des applications dés sur lesquelles se base l'organisation, mais qui
ne sont pas contrôlées par le service des Tl. Cela signifie également que ces
applications pourraient ne pas être sécurisées, que leurs registres pourraient
ne pas être activés ou que les données sensibles pourraient ne pas être
cryptées.

C5.20 Connaissance des méthodes de mise en œuvre d'un programme de sensibilisation à la sécurité.
• EXplication • ' 1 , Concep!S Clés 1 Rélérenl:!l dans le Mabuei2D1!i
t:auditeur des SI doit comprendre que le lisque associé à l'utilisation des Comprendre la nécessité 5.2.1 Éléments clés de la gestion de la
systèmes informatiques peut être abordé par d'autres moyens que des d'offrir des programmes sécurité de l'information
mécanismes techniques. Des programmes de sensibilisation à la sécurité de sensibilisation à la
peuvent aussi réduire le risque. Ces programmes doivent être alignés avec sécurité et être conscient
les besoins de l'organisation et doivent mettre l'accent sur les problèmes de l'importance de les
de sécurité courants. Ils doivent également être adaptés à des groupes adapter aux besoins
spécifiques. Ces programmes peuvent aussi être livrés à travers différents de l'organisation et de
médias. l'utilisateur.
Comprendre les 5.2.9 Acteurs essentiels au succès
différentes façons de la gestion de la sécurité de
de mettre en œuvre l'information
des programmes de
sensibilisation à la
sécurité.

C5.21 Connaissance des méthodes et techniques d'attaque contre les systèmes d'Information.
EXpUcation 1 concepl$ clés 1 Référence llâns le Manuel de Prèpara\lfin
CISA2016
Le risque découle des vulnérabilités (techniques ou humaines) existant Comprendre les enjeux 5.2.12 Problèmes et exposition aux
au sein de l'environnement. Les techniques d'attaque exploitent ces généraux concernant les crimes informatiques
vulnérabilités et peuvent venir de l'intérieur ou de l'extérieur de l'entreprise. méthodes d'attaque et
Les attaques informatiques peuvent entraîner le vol ou la modification les crimes informatiques.
d'information exclusive ou confidentielle, la perte de parts de marché et de la
confiance des clients, l'embarras de la direction et des procédures judiciaires
contre l'entreprise. Le fait de comprendre les méthodes, techniques et
stratégies utilisées pour compromettre un environnement fournit à l'auditeur
des SI les informations sur le contexte pour mieux apprécier le risque auquel
une entreprise fait face. Tenir compte de ces techniques et comprendre
qu'elles peuvent être mises en œuvre de n'importe où permet des
évaluations plus exhaustives, menant en bout de ligne à un environnement Savoir identifier les 5.4.3 Atténuation des menaces et des
mieux sécurisé. t:auditeur des SI doit connaître suffisamment ces types contrôles les plus risques relatifs à la sécurité du
d'attaques pour reconnaftre les risques qu'elles présentent pour l'entreprise efficaces pour prévenir sans fil
et savoir quels contrôles seraient adéquats pour les contrer. Cauditeur des ou détecter les attaques 5.4.4 Menaces et sécurité Internet
SI doit comprendre le concept" d'ingénierie sociale ' puisque ces attaques associées à l'ingénierie
peuvent même contourner les contrôles de sécurité techniques les plus forts. sociale, à l'accès sans
Le seul contrôle efficace est de sensibiliser régulièrement les utilisateurs. fil et aux menaces
provenant d'Internet.

370 Manuel de Préparation CISA 26' édition

ISACA. Tous droits réservés.
e certirred tnfo~tÎOil
Systems Audrlor'
-·-----f--···
'"'"'"'"""'''..,
Chapitre 5 - Protection des Actifs Informationnels Section un : Avant~propos

C5.22 Connaissance des outils de détection et de prévention ainsi que des techniques de contrôle.
EXplication 1 COncepl$ Giés 1 Référence dans le Manuel2016
les virus informatiques et autres programmes malveillants continuent de Comprendre les 5.4.4 Menaces et sécurité Internet
faire leur apparition à un rythme rapide, ils sont de plus en plus sophistiqués menaces posées par le 5.4.6 Programmes malveillants
et présentent des menaces significatives pour les individus et les entreprises. code malveillant et les
Des outils en couches doivent être mis en place et distribués dans tout bonnes pratiques pour
l'environnement pour atténuer la capacité des programmes malveillants à les atténuer
nuire à l'entreprise. les logiciels antivirus et antipourriel sont une composante
obligatoire et essentielle du prograrrme de sécurité d'une entreprise,
fournissant un mécanisme pour repérer et contenir le programme malveillant
et avertir de sa présence. Il est essentiel que l'audrreur des SI comprenne non
seulement la nécessrré d'implanter des logiciels antivirus, mais aussi celle de
les mettre à jour continuellement pour garantir qu'ils détecteront et élimineront
les toutes dernières attaques identifiées par les fournisseurs de solutions.

C5.23 Connaissance des techniques de tests de sécurité (p. ex., les tests de pénétration, le balayage de la
vulnérabilité).
EXplication • Concepts clés 1 Référence dans le Manuel2016
Des outils existent pour évaluer l'efficacité de la sécurité de l'infrastructure Comprendre comment 5.6 Audit de la sécurité de l'infrastructure
de réseau. Ces outils permettent l'identification en temps réel du risque les outils d'évaluation réseau
que court un environnement de traitement de l'information et des mesures peuvent servir à repérer
correctives prises pour l'atténuer. Un tel risque découle souvent d'une lacune des vulnérabilités dans
dans la mise à jour des correctifs des systèmes d'exploitation ou d'une l'infrastructure du réseau
mauvaise configuration des paramètres de sécurité. Les outils d'évaluation pour que des mesures
(en libre accès ou de production commerciale) peuvent rapidement repérer correctives soient prises
les vulnérabilités qu'il aurait fallu des heures à identifier manuellement. afin d'y remédier.
l'auditeur des SI doit aussi savoir que les tests de sécurité peuvent être
effectués par un tiers approuvé (p. ex., une entreprise spécialisée en tests de
pénétratiOn).

C5.24 Connaissance des processus liés à la surveillance et aux réponses aux Incidents de sécurité (p. ex., les
procédures et paliers d'intervention, l'équipe de réponse aux Incidents d'urgence).
EXpliçation 1 COncepts clés 1 Référence dans le Manuel2016
Une capacité formelle de réponse aux incidents devrait être établie pour Comprendre les rôles et 5.2.13 Traitement et réponse à un
minimiser les dommages découlant d'incidents de sécurité, reprendre les responsabilités pour incident de sécurité
rapidement les activités de façon ordonnée et tirer des leçons de tels répondre aux incidents
incidents. l'organisation et la gestion de la capacité de réponse à un incident ainsi que l'ordre et le but
doit être coordonnée ou centralisée avec la mise en place de rôles et des phases clés.
responsabilrtés clés.

Bien que la gestion de la sécurité s'occupe généralement d'assurer le

suivi des incidents, de faire enquête et d'initier les procédures d'escalade,
d'autres fonctions doivent être impliquées pour assurer une réponse
adéquate. Ces équipes doivent disposer de processus en place bien définis,
communiqués et mis à l'essai régulièrement. Ces processus peuvent
comprendre la communication avec la haute direction, la cueillette de
preuves judiciaires et la réponse aux incidents, ainsi que des procédures
pour gérer les aspects juridiques et les relations publiques. Cauditeur des
SI doit être conscient de la nécessité pour les entreprises d'établir des
procédures pour identifier, rapporter et enregistrer les incidents de sécurité,
y répondre, les analyser, les transmettre aux bons paliers d'intervention et
assurer un suivi.

Manuel de Préparation CISA 26e édition 371

ISACA. Tous droits réservés.
 Section un : Avant·propos Chapitre 5 - Protection des Actifs Informationnels e. ~~: ~:;::;'-"""

C5.25 Connaissance des processus utilisés dans tes enquêtes de médecine légale et des procédures en matière
de collecte et de conservation sécurisée des données et des preuves (p. ex., chaîne de contrôle).
EXplication 1 COn!;!lpiS cléS 1 Référence dans le Manuel2016 ·
Puisqu'une preuve électronique est plus malléable qu'un document papier, il Facteurs à prendre en 5.5.4 Techniques d'enquête
faut prendre des mesures de sécurité pour préserver l'intégrité de la preuve considération lors de la
recueillie et assurer qu'elle n'a été modifiée d'aucune façon. En cas d'enquête collecte, de la protection
pour fraude ou de procédures juridiques, la préservation de l'intégrité de la et de la chaîne de
preuve tout au long de son cycle de vie pounrait être désignée comme •• chaîne possession des preuves.
de possession, si la preuve est classée comme preuve légale. ~auditeur des
SI doit être, à tout le moins, conscient des modalités de collecte de la preuve à
défaut de participer à l'obtention de la preuve.

C5.26 Connaissance des facteurs de risque de fraude liés à ta protection des actifs Informationnels.
EXî!licalion , 1 èonceptscléS 1 RêférencedansleManuel2016
~auditeur des SI doit être conscient que le risque de fraude augmente Relation entre les 5.2.4 Facteurs de risque de fraude
lorsqu'une occasion est fournie, par exemple lorsque de mauvais contrôles contrôles et le risque de
sont en place. Si un actif informationnel n'est pas correctement protégé, il fraude.
sera plus vulnérable à la fraude

RESSOURCES SUGGÉRÉES POUR Jaquith, Andrew; Securizv Metrics: Replacing F'em; Uncertainty
and Douht, Addison Wesley, É,-U., 2007
APPROFONDIR !!ÉTUDE
Killmeycr, Jan; fnjiJrmatim1 ~">'euwity Architecfllre:
Cendrowski, Harry: James P. Martin; Louis W. Petro; The An Jntegrated Approach to Sec:uri(F in the O!ganization,
Handbook qf'Fraud Deterrence, John Wiley & Sons !ne., Jn" Edition, Auerbach Publications, f-::.-U., 2006
É.-U., 2006
Marcella Jr., Albert J.; Doug Menendez; Cyber Forensics: A fte/d
Davis, Chris; Mike Schiller; Kevin \Vheeler; fT Auditing: Mamwl jàr Collecfing. Examining and Preserving Evidence of
U..,·ing Con trois to Proted Information Assets, 2"J Edition, Compwer Crime, ]"d Edition, Auerbach Publications, t-U., 2007
McGraw Il ill, ~':.-lJ., 2011
McClure, Stuart; Joel Scambray; George Kurtz; llacking
Dubîn, Joel; The Little Black Book of Computer Security,
Exposed 7: Network Security Secrets & Solutions, McGraw
2"' 1 Edition, Penton Media !ne., É.-U., 2008
Hill, ~:.-lJ., 2012
Harris, Shon; Allen Harper; Chris Eagle; Jonathan Ness;
Natan, Ron Ben; Jmplementing Database Secw·i~v and Auditing,
Gideon Lenkey; Terron Williams; Gray Hat Haclâng: The
Elsevier Digital Press, t-U., 2005
Ethical Hacfœr.\·Jlaudbook, Jrd Edition, McGraw Bill, É.·U.,
2011
Peltier, Thomas R.; ft[/hrmation Securi(v Ri.>:k Ana{v.vis,
3'd Edition, Auerbach Publications, (:.-U., 2010
ISACA, The Business Mode! jOr Information Security, It.-U,
2010
Stmnp, Mark; !nformation St!curify: Princip/es and Practh;e,
2"'' Edition, John Wiley & Sons, É.-U., 2011
!SAC.<\, CO/liT 5 for lnfimnation Sec uri/y, É.-ll. 2012
www.isaca.org/cobit
Stanley, Richard A.; lvfanaging Risk in the J.Jt/'reles:v
Environment: Security, Audit and Control Issues, ISACA, É.-U.,
ISACA, Security Considerations fOr Cloud Computing, t-U., 2005
2013
Vacca, John; Biometrie Technologies and Verfjlcation s:vstems,
International Organi72tion fOr Standardization (ISO); !SO/!EC
Buttetworth-1-Icinemann, l~.-U., 2007
2ï002:201 3:, lnjhrmation tech110logy--- -- Securi~v techniqrtes---
-- Code o.fjJractice jiJr injàrmation securiO' controi.Y, Suisse, 2013
\Vclls, Joseph T; Fraud Casebook, Lessons From the Bad Side of
Business, John Wiley & Sons !ne., É.-U., 2007

Remarque : Les publications en grm; se trouvent dans la bibliothèque de l't.S:4 C'A.

372 Manuel de Préparation CISA 26" édition

ISACA. Tous droits rêservâs.
e . Certlfietl !nkl~mation
M Systems Audltor"
"'"""'""'''..'""
Chapitre 5 - Protection des Actifs Informationnels
QUESTIONS D'AUTOÉVAlUATION
Les questions d'autoévaluation ClSA appuient le contenu du
présenl manuel et fournissent une compréhension du style et de
la structure des questions que l'on retrouve habituellement dans
l'examen. Les questions sont à choix multiple et conçues pour
obtenir une réponse optimale. Chaque question a une prémisse
(la question) et quatre options (les choix de réponse). La prémisse
peut prendre la fonne d'une question ou d'un énoncé incomplet.
Dans certains cas, un scénario ou une description de problème
pourraient être inclus. Ces questions comprennent habituellement
une mise en situation et exigent du candidat qu'il réponde à
deux questions ou plus en fOnction de l'information fOurnie.
Souvent, une question exigera du candidat qu'il choisisse la
MEILLEl!RE réponse ou la réponse la PLl!S probable parmi
les options proposées.
Dans chaque cas, le candidat doit hre la question nt1entivement,
éliminer les réponses qu'il sait être incorrectes, puis fi1îre le
meilleur choix possible. Connaître le format des questions ct
savoir ce qui peut être vérifié aidera le candidat à répondre
correctement aux questions.
5-1 Un auditeur des SI qui passe en revue la configuration
d'tm système de détection d'intrusion (IDS) fondé sur
les signatures serait PLUS inquiet si lequel des éléments
suivants était découvert?
A. La mise à jour automatique est désactivée.
B. Le balayage des vulnérabilités de l'application est
désactivé.
C. L'analyse des paquets de données chitlTés est
désactivée.
D. l:IDS est placé entre la zone démilitarisée (DMZ) et le
coupe-feu.
5-2 Lequel des énoncés suivants fOurnît le MEILLEUR
contrôle d'accès pour les données salariales qui sont traitées
sur un serveur local?
A. Lajournalisation de l'accès aux informations
personnelles
B. Utilisation de mots de passe séparés pour les
transactions sensibles
C. Utilisation de logiciel qui restTeint les règles d'accès au
personnel autorisé
O. Restreindre l'accès aux systèmes aux heures
d'opération
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section un : Avant-propos
5-3 Un auditeur des SI vient juste de terminer la révision d'une
entreprise qui possède un ordinateur central et deux serveurs
de base de données dans lesquels se trouvent toutes les
données de production. Laquelle des faiblesses suivantes
devrait être considérée comme étant la PLlJS sérieuse?
A. Le responsable de la sécurité joue aussi Je rôle
d'administlâteur de la base de données.
B. Les contrôles de mots de passe ne sont pas gérés sur les
deux serveurs de base de données.
C. On ne retrouve pas de plan de continuité des aflàires
pour les applications non essentielles sur l'ordinateur
central.
D. La plupart des LAN ne sauvegardent pas les disques
fixes des serveurs de fichiers régulièrement.
5--4 Une entreprise propose dïnstaller une seule fonctionnalité
d'ouvcJiure de session qui donne l'accès à tous les systèmes.
L'entreprise doit être consciente que :
A. Caccès maximum autorisé serait possible si un mot de
passe est divulgué.
B. Les droits d'accès des utilisateurs seraient restreints
avec des paramètres de sécurité supplémentaires.
C. La charge de travail de 1'administrateur de la sécurité
serait augmentée.
D. Les droîLo;; d'accès des utilisateurs seraient augmentés.
5-5 Lors de l'examen de la mise en œuvre d'un système de voix
sur IP (Vo!P) sur un réseau étendu d'entreprise (WAN), un
auditeur des SI do il s'attendre à trouver:
A. une liaison de données de réseau numérique à
intégration de services (RNIS).
B. une ingénierie de trafic.
C. un chiffrement des données de type confidentialité
équivalente aux transmissions par fil (WEP).
O. des téléphones analogiques.
5-6 Une sociétè d'assurance utilise la technologie
d'infonuagiquc pour une de ses applications critiques dans
le but de réduire les coûts. Lequel des éléments suivants
serait le PLUS préoccupant pour l'auditeurdes SI?
A. L'incapacité à rétablir le service en cas de panne
technique majeure.
B. L'accès aux données de !·environnement partagé par
d'autres entreprises.
C. Le fàit que le foumisseur de services n'offre pas de
soutien à l'enquête en cas d'incident.
D. La viabilité à long terme du service si le fournisseur
cessait ses activités.
373
 Section un :Avant-propos Chapitre 5- Protection des Actifs Informationnels
5-7 Lequel des énoncés suivants présente la MEILLii:lJRE
façon de vérifier l'existence de protocoles de chiffrement et
d'aulhentification complets qui permettent la protection des
informations lors de la transmission?
A Une signature numérique a été créée à l'aide d'un
algorithme RSA.
B. Le travail a été réalisé en mode tunnel avec les
services sous programmés imbriqués de l'en-tête
d'authentification et de l'ESP.
C Des certificats d'utilisateurs à algorithme RSA sont
utilisés.
D. Le travail est effectué en mode transport avec les
services sous programmés imbriqués de I'EA et de
l'ESP.
5-8 Lequel des problèmes suivants touchant la sécurité
d'un message électronique est traité avec les signatures
numériques?
A. La lecture non autorisée
B. Le vol
C. La copie non-autorisée
D. L'altération
5-9 Lequel des éléments suivants caractérise une attaque par
déni de service distribué (DDoS)?
A. Une commande centrale aux ordinateurs intermédiaires
pour diriger simultanément du trafic de messages
parasites vers un site ciblé.
B. Une commande locale aux ordinateurs intermédiaires
pour diriger simultanément du trafic de messages
parasites vers un site ciblé.
C. Une commande centrale à un ordinateur principal pour
diriger simultanément du trafic de messages parasites
vers de multiples sites ciblés.
D. Une commande locale aux ordinateurs întennédiaires
pour diriger du trafic de messages parasites décalés vers
un site ciblé.
5-l 0 Lequel des éléments présente la mesure de contrôle des virus
la PLUS efficace?
A. Le balayage des pièces jointes sur le serveur de courricl.
B. La récupération des systèmes à partir de copies saines.
C. L'inhibition des ports USB (bus sélic universels).
D. Un scanneur antivirus en ligne comprenant des
descriptions à jour des nouveaux virus.
374
eiSA' Certifiedlnfo~.tion
.M. S~stems
~-~-
Aud1tor'
RÉPONSES AUX QUESTIONS
D'AUTO ÉVAlUATION
5-1 A. L'aspect le plus important d'un système
de détection d'intrusion (IDS) à base de
signatures est sa capacité à protéger contre les
configurations (signatures) d'intrusion connues.
Ces signatures sont fournies par le vendeur et
sont essentielles pour protéger une entreprise
contre les atr-aques de l'extérieur.
B. Un des désavantages clés de l'IDS est son incapacité
inhérente à effectuer un balayage des vulnérabilités
au niveau de l'application.
C Un IDS ne peut pas décoder les paquets de données
chiffrés pour repérer la source du trafic entrant.
D. Une zone démilitarisée (DMZ) est un segment de
réseau interne dans lequel des systèmes (p. ex., un
serveur Web) accessibles au public sont. hébergés.
Afin d'offrir une sécurité ct une efficacité
maximales, l'IDS devrait être placé derrière le coupe-
feu pour ne détecter que les attaques ct intTUS qui le
pénètrent.
5-2 A. Lajournalisaüon de l'accès aux informations
personnelles est une bonne mesure de contrôle
puisqu'elle permet d'analyser l'accès si on craint
un accès non autorisé. Cependant, il n'empêche pas
l'accès.
B. Limiter l'accès aux transactions sensibles
lîmitera seulement l'accès à certaines données. Il
n'empêchera pas l'accès à d'autres données.
C. La sécurité du système et du serveur doit être
définie pour permettre uniquement l'accès aux
membres du personnel autorisés à l'information
concernant le pel'sonnel don1 ils traitent les
dossiers sur une base quotidienne.
D. Caccès système limité aux heures d'ouverture limite
seulement l'accès lorsqu'un accès non autorisé peut
survenir et n'empêcherait pas un tel accès en d'autre
temps. Il est important de prendre en considération
que le propriétaire des données est responsable de
déterminer qui est autorisé à avoir accès par le biais
de règles d'accès écrites.
5-3 A. Bien qu'il s'agisse d'une faiblesse de contrôle, un
responsable de la sécurité servant d'administrateur de
base de données ne représente pas le mëmc danger
que l'absence de contrôles de mots de passe.
H. L'absence de contrôle des mots de passe sur les
deux serveurs de base de données, à l'endroit où
sont les données de production~ s'avère être la
faiblesse la plus importante.
C. Bien qu'il s'agisse d'une faiblesse de contrôle, le fait
de ne pas avoir de plan de continuité des activités
pour les applications non essentielles sur 1'ordinateur
central ne représente pas le même danger que
J'absence de contrôles de mots de passe.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . Certified lnlnrmatioo
M Systems Auditor"
~''"'"""'«'•'"""'
Chapitre 5 - Protection des Actifs Informationnels
D. Bien qu'il s'agisse d'une faiblesse de contrôle, 5-7
l'absence de sauvegarde régulière dans la plupart des
réseaux locaux (LAN) ne représente pas le même
danger que l'absence de contrôles de mots de passe.
5-4 A. Si le mot de passe est divulgué lorsque
l'identification unique est acth•ée, il existe
un risque que l'accès non autorisé à tous les
systèmes soit possible.
B. Les droits d'accès de l'utilisateur doivent demeurer
inchangés avec l'identification unique, car des
paramètres de sécurité supplémenlaires ne sont pns
nécessairement implantés.
C. Un des avantages visés de !"identification unique est
la simplification de r administration de la sécurité. 5-8
D. Un des avantages visés de l'identification unique est
l'improbabilité d'une augmentation de la charge de
travail.
5-5 A. La bande passante standard de la liaison de données
d'un réseau numérique à intégration de services
(RNIS) ne fournira pas la qualitC de services requise
pour la voix sur IP (VofP) de l'entTep1ise.
B. J>our veiller à l'aHeinte des exigences en matière
de qualité des services, la Vol P sur le réseau
étendu (WAN) doi1 être protégée contre les
pertes de paquets, la latence ou l'instabilité.
Pour atteindre cet objectif~ la performance du
réseau peut être gérée afin d'offrir une qualité
de service et une classe de service adéquates
grâce aux techniques statistiques comme 5-9
l'ingénierie de trafic.
C. La confidentialité équivalente aux transmissions par
fil (WEP) est un système de chiffrement lié à la mise
en réseau sans fil.
D. Les téléphones VoJP sont généralement connectés
à un réseau local d'entreprise (LAN) et ne sont pa....:;
analogiques.
5-6 A. La redondance et la possibilité d'accéder à des
systèmes et à Ùt:s données en cas de délàillance
technique constituent des avantages de
l'infûnuagiquc.
B. Compte tenu du fait qu'une société
d'assurances doit protéger la confidentialité
des renseignements sur ses clients, l'accès non
autorisé à l'information et les fuites de données
sont des préoccupations majeures.
c. JI est important de pouvoir enquêter sur un incident,
mais il est encore plus important de sc pencher sur
le risque d'un incident, soit l'exposition des données
sensibles.
D. Si un fOurnisseur d'infonuagique cesse ses activités,
les données doivent demeurer disponibles à partir de
sauvegardes.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section un : Avant-propos
A. Une signature numè1ique permet d'assurer
l'authentification et l'intégrité.
B. Le mode de t·unnel fournit le chiffrement ct
l'authentification du paquet entier du protocole
IP. Pour cc faire, l'association de sécurité (AH et
ESP) peut être emboîtée.
c. Un certificat numérique permet d'assurer
l'authentification et l'intégrité.
D. Le mode de transport fournit la protection essentielle
pour les couches supérieures des protocoles; cela
signifie que la protection s'étend aux champs de
données (dollltées utiles) d'un paquet du protocole
Il'
i\. Les signatures numériques n'identifieront pas, ne
préviendront pas ou n'empêcheront pas la lecture
non autorisée.
B. Les signatures numériques n'identifieront pas, ne
préviendront pas ou n'empêcheront pas le vol.
c. Les signatures numériques n'identifieront pas, ne
préviendront pas ou n'empêcheront pas la copie non
autorisée.
D. Une signature numérique comprend une
empreinte numérique chiffrée totale de la taille
du message tel qu'il a été transmis par son
expéditeur. Cette empreinte numérique ne serait
plus exacte si le message étaii changé par la
suite, ce qui indiquerait qu'une altération s'est
produite.
A. La réponse A décrit le mieux un déni de
service distribué (UdSH). Ces attaques sont·
amorcées depuis un point central et impliquent
l'utilisation de nombreux ordinateurs
corrompus. L'attaque fonctionne en inondant le
site ciblé de données inutiles, surchargeant par
le fait même le réseau ct les autres ressources
associées. Pour atteindre cet objectif, l'attaque
doit être dirigée vers une cible précise et être
lancée en simultané.
B. Les attaques DdSD ne sont pas initiées localement.
c. Les attaques DdSD ne sont pas initiées à l'aide d'un
ordinateur principal.
D. Les attaques DdSD ne sont pas décalées.
375
Section un : Avant-propos Chapitre 5- Protection des Actifs Informationnels eiSA' Certifiedtnfurmalion
.M Systems Audttur'
"-•SA<>-'wt,r""'""

5-10 A. Le balayage des pièces jointes du courriel sur le

serveur de courriel est un contrôle préventif. Cela
empêchera les fichiers infectés du courricl d'être
ouverts par les récipiendaires, ce qui causerait une
infection des postes.
B. Le système de recouvrement à partir des copies
saines est un contrôle préventif. Cela assurera que les
virus ne sont pas introduits à partir des copies ou des
sauvegardes infectées, ce qui infecterait de nouveau
les postes.
C. L'inhibition des ports USB (bus série universels)
constitue un contrôle préventif. Cela empêche ks
fichiers inspectés d'être copiés sur le poste. cc qui
inf-èctcrait le poste.
U. Un logiciel antivirus peut être utilisé pour·
empêcher des attaques tle virus. En effectuant
des balayages réguliel"s, il peut aussi êtl"e utilisé
pour détecter des infections de virus qui se sont
déjà produites. Des mises à jour régulières du
logiciel sont requises pour s'assurer qulil est
capable de meUre à jour, de dé1ecter et de traiter
les virus lorsqu'ils apparaissent.

376 Manuel de Préparation CISA 26" édition

JSACA. Tous droits réservés.
e ~~::.~:;",:.""" Chapitre 5 - Protection des Actifs Informationnels
Section deux : Contenu
5.1 RÉSUMÉ
Résumé
Le chapitre 5 traite de la protection des actifs informationnels au sein
de l'entreprise. La protection de ces actifs comprend des éléments clés
qui garantissent la confidentialiTé, l'intégrité et la disponibilité (CID) de
l'actif informationnel. Le chapitre évalue la conception, l'implantation et
la supervision des contrôles d'accès logiques et phys·rques penmettant
d'assurer la CID. Le chapitre évalue aussi la sécurité de l'infrastructure
du réseau, les contrôles environnementaux ainsi que les procédures
el procédés utilisés pour stocker, récupérer, transporter des actifs
informationnels confidentiels et en disposer. Le chaprtre décrit les
diverses méthodes et procédures suivies par les entreprises et se
concentre sur le rôle de l'auditeur dans l'évaluation de ces procédures.
De prime abord, plusieurs de ces sujets peuvent sembler très familiers
aux candidats. Toutefois, il est important de noter que les sujets
traités dans ce ctmpitre exigent une connaissance approfondie des
technologies utilisées et des faiblesses possibles des contrôles pouvant
être exploitées par les attaquants. Les candidats CISA doivent être
adéquatement informés et posséder une parfarte connaissance des
composants de la sécurité du réseau, des problèmes d'accès logique et
des principaux éléments de la gestion de la sécurité de l'information.
Les candidats au titre CISA doivent avoir une solide compréhension des
éléments qui suivent, non seulement dans le cadre du présent chapitre,
mais aussi pour pouvoir tratter adéquatement les questions dans les
domaines connexes. Il est important de se rappeler qu'une connaissance
de la définition de ces concepts ne sufftt pas. Le candidat CISA doit aussi
être apte à déterminer quels éléments peuvent représenter le plus grand
risque et quels sont les contrôles les plus efficaces pour atténuer ce
risque. Voici des exemples de sujets clés traités dans ce chapitre :
• Les principaux éléments de la gestion de la sécurtté de l'information,
y compris l'engagement et l'appui de la haute direction, les polrtiques
et procédures, l'organisation, les facteurs de risque de fraude, la
conception des contrôles de de sécurité, la conscientisation et la
formation relativement à la sécurité, la surveillance et la conformité,
ainsi que le traitement et la correction des incidents.
•les généralités concernant l'accès logique à un système, y compris la
protection logique au niveau du réseau, de la plateforme, de la base de
données et des couches applications.
• Déterminer comment une défaillance au niveau d'une couche
pourrait permettre à une personne non autorisée de contourner
certains mécanismes de sécurité logique et d'accéder à des données
confidentielles.
• les pratiques d'excellence en matière d'identification et
d'authentification, y compris le traitement des comptes système
par défaut, des comptes d'utilisateurs courants et des comptes
d'utilisateurs privilégiés.
• Les divers types de technologies biométriques, de même que les
avantages et inconvénients de chacun.
• La sécurité de l'infrastructure de réseau, y compris les divers
problèmes et risques associés aux différentes technologies utilisées
dans les infrastructures de réseau, de même qu'avec les bonnes
pratiques en matière d'atténuation des risques.
- Une attention particulière devrait être portée à l'implantation de
coupe-feu, aux avantages et inconvénients des différents types de
systèmes de détection et de prévention des intrusions informatiques
el aux technologies de chiffrement.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
Résumé (suil!l}
• L'importance d'un entretien adéquat des systèmes d'exploitation
et autres logiciels, y compris le fait d'utiliser uniquement les
services connus et approuvés et de supprimer ceux qui ne sont pas
nécessaires, de corriger les vulnérabilités el de fermer les ports
supertlus.
• Les expositions et les contrôles environnementaux comme les
systèmes d'eXtinction d'incendie, les sources d'alimentation sans
coupure (UPS), etc.
• Les appareils mobiles et la nécessité d'avoir des politiques, des
procédures et un chiffrement.
• Les médias sociaux et le risque d'entreprise.
• Les différents modèles possibles avec l'infonuagique, y compris leur
risque et leurs contrôles.
5.2 GESTION DE LA SÉCURITÉ DE
!:INFORMATION
Le facteur le plus critique dans la protection des actifs
informationnels et de la vic privée est la mise en place des
bases d'une gestion efficace de la sécurité de l'information.
Le profil de risque lié à l'inf-Ormation et à la vie privée ainsi
que la nécessité de gérer de fhçon eflïcace la sécurité de
l'information ont été rehaussé en raison des développements
récents dans l'environnement, comme le commerce électronique
par l'intermédiaire de fOurnisseurs de services et directement
avec les clients, l'utilisation d'installations d'accès à distance
et les expositions de sécurité de grande envergure (p. ex., virus,
attaques par déni de service, intrusions, vols d'identité, etc.).
Voici certains des objectifs de sécurité permettant de répondre
aux exigences commerciales de rentreprisc ;
" S'assurer de la disponibilité continue de leurs systèmes
d'infOrmation et de leurs données.
• S'assurer de l'intégrité de l'information en transit et de celle
stockée sur leurs systCmes infOrmatiques.
• Préserver la confidentialité des données sensibles lorsqu'elles
sont stockées et en transit.
• S'assurer de la conformité aux lois, aux réglementations et aux
nonnes applicables.
"Assurer le respect des exigences de confiance et d'obligation
en lien avec toute information reliée il un individu identifié
ou identifiable (c.-à-d. le sujet des données) en fonction
de sa politique en matière de confidentialité ou des lois et
réglementations applicables concernant la confidentialité.
• Assurer que les données sensibles sont protégées adéquatement
pendant le stockage et le transport, selon les exigences de
l'organisation.
CO BIT 5 sépare les objectif~ d'information en trois sous-
dimensions de la qualité :
• Qualité intrinsèque-·· La mesure selon laquelle les valeurs
de données sont en conformité avec les valeurs réelles. Cela
comprend:
Précision··· La mesure selon laquelle l'information est
correcte ct fiable.
···Objectivité~ La mesure selon laquelle l'iniünnation est non
biaisée, sans préjugés et impartiale.
377
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
--Crédibilité---- La mesure selon laquelle l'information est
considérée comme vraie et crédible.
-Réputation-· La mesure selon laquelle l'information est
hautement considérée en matière de source ou de contenu.
•Qualité contextuelle et de représentation-- La mesure selon
laquelle l'information est applicable à la tùche de l'utilisateur de
l'information ct est présentée d'une manière intelligible et claire,
tout en reconnaissant que la qualité de l'infom1ation dépend du
contexte d'utilisation. Cela comprend ;
- Pe1tinence -~-La mesure selon laquelle J'information est
applicable et utile pour la tâche à accomplir.
-Intégralité~ La mesure selon laquelle aucune information ne
manque et est de profondeur et d'ampleur suffisantes pour la
tâche à accomplir.
·À jour-· La mesure selon laquelle l'infonnation est
suffisamment actuelle pour la tâche à accomplir.
Quantité appropriée d'information··· La mesure selon laquelle
le volume d'information est adéquat pour la tâche ii accomplir.
-- Représentation concise- La mesure selon laquelle
l'information est représentée de façon condensée.
-- Représentation constante- La mesure selon laquelle
l'information est présentée dans le même format.
---Intelligibilité--" La mesure selon laquelle l'intbrmation est
fournie dans la langue appropriée en utilisant les symboles d
les unités appropriées, nvec des définitions claires.
~Compréhensibilité-- La mesure selon laquelle l'information
est fncilement comprise.
~Facilité d'usage- La mesure selon laquelle l'information est
facile à manipuler et à appliquer aux différentes tâches.
• Qualité de sécurité et d'accessibilité~ La mesure selon
laquelle J'information est disponible ou peut être obtenue. Cela
comprend:
~Disponibilité et rapidité-·~ La mesure selon laquelle
l'information est disponible en cas de besoin, ou fJ.cilemcnt et
rapidement accessible.
--·Accès restreint·- La mesure selon laquelle l'accès à
l'information est !imité de manière appropriée aux parties
autorisées.
Il est imp01iant d'admettre que ces objectifs sont nécessaires,
mais insuffisants, puisque des contraintes entrent souvent enjeu
en ce qui concerne l'o~jectif de conserver Pavantage concurrentiel.
Cependant, la présente section ne traite pas des manières ct des
approches pour conserver un tel avantage, elle aborde plutôt
la façon de protéger les systèmes d'information des failles de
sécurité.
5.2.1 ÉLÉMENTS CLÉS DE LA GESTION DE LA
SÉCURITÉ DE !:INFORMATION
Un système de Tl équipé de dispositifs de sécurité de pointe
ne sera protégé, que s'il est adéquatement implanté et géré
ainsi qu'utilisé, supervisé et révisé avec soin. Les objectifs de
sécurité ne peuvent être atteints qu'en ajoutant des protections
techniques et procédurales. Une attitude de culture de sécurité
ct l'implication de tous les employés, de la direction ainsi que
de tous les fournisseurs de services externes et des utilisateurs/
pmienaires des Tl externes dignes de confiance sont vitales pour
atteindre les objectifs de sécurité. La sécurité de l'information est
plus qu'un simple mécanisme. Elle comprend aussi des aspects
378
eiSA' Cert!fledlnku:ma.Uon
M Systems Atro1tor'
~---+----·
'''""""""""""
culturels qui doivent être acceptés par tous les individus au sein
d'une entreprise pour qu'elle soit efficace.
Système de gestion de la sécurité de l'Information
Un système de gestion de la sécurité de l'information (SGSI) est
un cadre constitué de politiques, de procédures, de directives et
de ressources connexes servant à établir, à implanter, à opérer.
ù surveiller, <l réviser, à maintenir et à améliorer la sécurité de
l'information pour tous les types d'organisations. Un SGSI
est défini dans la famille de normes 270000 et de directives
de l'Organisation internationale de normalisation (ISO) et la
Commission électrotechnique internationale (IEC).
La norme d'introduction ISO/JEC 27000 définit la portée de
la norme sur les SGSI et le vocabulaire utilisé tout <lU long de
celle~ci. Elle contient également un répertoire des publications
qui constituent ta norme. Cette nonne précise les exigences
d'un SGSI et établit la base de la certification d'un tel système.
ISO/IloC 27001 est l'ensemble officiel de spécifications selon
lesquelles les organisations peuvent chercher à obtenir une
certification indépendante de te ur système de gestion de sécurité
de l'infOrmation. ISO/IEC 27002 contient un ensemble structuré
de contrôles que l'on suggère aux organisations en tant que
mesures appropriées pour gérer le risque relatif à la sécurité
de 1'infOrmation. Les publications supplémentain::s ISO/JEC
2700X offrent de l'orientation sur la gestion de la sécurité de
l'infOrmation dans des industries et situations précises.
La famille ISO/IEC 2700 a été élaborée à partir d'ISO/
IEC 17799, elle-même fondée sur la norme BSI BS7799 (du
Royaume-Uni, datant de 1995) reposant sur les bonnes pratiques
en gestion de la sécurité de l'information. Les normes ISO/
IEC 2700 peuvent être achetées de l'ISO au wwwiso.org ou
de I'AmeJican National Standards lnstitutc (ANSI) au WWH·:
-l
1-vebstore. ansi. org.
Remarque : Pour tm aperçu détaillé de la gouvernance de la
sécurité de l'information, consultez le chapitre 2, Gouvernance
et Ge;o:t.ion des TI.
---~·~---···--·-~--····-····~---··----···--····-·----~--·-·--·-·-··-·-··-··--·
Le tableau 5.2 décrit les éléments clés connexes de la gestion de
la sécmité de l'information.
5.2.2 RÔLES ET RESPONSABILITÉS DE LA GESTION
DE LA SÉCURITÉ DE !:INFORMATION
Toutes les responsabilités ct obligations définies et documentées
doivent être établies ct communiquées à tout le personnel
approprié ct à !a direction pertinente. Le tableau 5.3 présente les
rôles et les responsabilités des groupes et individus qui peuvent
interagir avec la gestion de la sécurité de J'infOrmation.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e cm. moo.lnfo~mation
Systems Auditor"
~·~··
Chapitre 5 - Protection des Actifs Informationnels
Tableau 5.2- Éléments clés dela geslion de la sëcuritè de
l'imormalion
Leadership, L'engagement et le soutien de la haute direction sont
engagement et importants pour la mise en place et le maintien d'un
soutien de la programme de gestion de la sécurité de l'information.
haute direction On appelle souvent cela " donner le ton à haut
niveau l>.
Politiques et Le cadre des politiques doit être établi avec
procédures une déclaration concise des cadres supérieurs
de la direction qui traite de la valeur des acbfs
informationnels, du besoin de sécurité et de
l'importance de définir une hiérarchie de classes
d'actifs sensibles et essentiels. Après l'approbation
par le corps dirigeant de l'entreprise et par les
rôles et responsabilités connexes, le programme de
sécurité de l'information sera justifié par les éléments
suivants:
• Normes pour élaborer des lignes de conduite de
sécurité minimales
• Méthodes et critères de mesure
• Lignes directrices spécifiques, pratiques et
procédures
La polrtique doit assurer la conformité des ressources
aux lois et aux réglementations. Les politiques et
les procédures de sécurité doivent être à jour et
correspondre aux objectifs d'affaires, ainsi qu'aux
normes et aux pratiques de sécurité généralement
acceptées.
Organisation Les responsabilités de l'organisation concernant la
protection des actifs individuels doivent être définies
clairement La polrtique de sécurité de l'information
dort fournir des règles générales pour la distribution
des rôles et responsabilités de sécurité au sein
de l'entreprise et, lorsque nécessaire, des règles
détaillées pour les sites spécifiques, les actifs, les
services et les procédés de sécurrté connexes tels
que la planification de relève des Tl et la continuité
des activités.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservês.
Section deux : Contenu
Tableau 5.2- Éléments clés de la geStion de la sécurité de
~
l'infOrmation (suite)
Sensibilisation Tous les employés d'une entreprise et, si pertinent, les
à la sécurité et utilisateurs des tierces parties doivent recevoir une
éducation formation appropriée et des mises à jour régulières
pour améliorer la sensibilisation à la sécurité et le
respect des politiques et des procédures écrites.
Dans le cas des nouveaux employés, cette formation
dort avoir lieu avant que l'accès à l'information
ou au service ne sort accordé. Un certain nombre
de mécanismes différents sont disponibles pour
augmenter la sensibilisation à la sécurité :
• Des mises à jour régulières aux politiques et aux
procédures écrrtes
• Une formation formelle sur la sécurité de
l'information
• Un programme de certification interne pour le
personnel pertinent
• Des déclarations signées par les employés et les
fournisseurs qui acceptent de suivre les politiques
et les procédures écrites, incluant des obligations de
non-divulgation
• ~utilisation des médias de publication adéquats
pour la distribution du matériel relatif à la sécurité
(p. ex., les bulletins d'information de l'entreprise, les
pages Web, les vidéos, etc.)
• Un renforcement visible des règles de sécurité et
des audits réguliers
• Des exercices de sécurité et des simulations
d'incidents de sécurrté
Gestion du Des processus devraient permettre d''rdentifier,
risque d'évaluer, de trarter et d'atténuer le risque lié aux
actifs informationnels.
Contrôle et Les auditeurs des SI sont souvent mandatés pour
conformité évaluer régulièrement l'efficacité des programmes
de sécurité d'une entreprise. Pour accomplir cette
tâche, ils doivent posséder une compréhension des
programmes de protection, du cadre de sécurité et
des problèmes connexes, y compris la conformité
aux lois et aux réglementations applicables. Par
exemple, ces problèmes peuvent être reliés à la
diligence organisationnelle requise pour la sécurité
et la confidentialité des informations sensibles,
tout particulièrement parce qu'ils sont reliés à des
domaines spécifiques (p. ex., les institutions bancaires
et financières, les soins de santé).
Gestion et Un incident de sécurité informatique est un
intervention événement qui nuit au traitement de l'utilisation
face à l'incident d'un ordinateur. Cela inclut la perte de confidentialité
de l'information, le compromis de l'intégrrté de
l'information, les dénis de service, l'accès non
autorisé aux systèmes, la mauvaise utilisation des
systèmes ou de l'information, le vol ou le dommage
aux systèmes. D'autres incidents comprennent les
attaques de virus et les intrusions par des humains de
l'intérieur ou de l'extérieur de l'entreprise.
379
Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
Tableau 5.3- Rôles et responsabilités relativement à la gestion de
la ~cuiîté de l'infonnalion
Comité directeur Les politiques, recommandations et procédures
de la sécurité de de sécurité ont un impact sur l'entreprise dans
l'information son ensemble et doivent donc faire l'objet de
suggestions et être appuyées par les utilisateurs
finaux, les cadres supérieurs, les auditeurs,
l'administration de la sécurité, le personnel des
systèmes d'information et les conseillers juridiques.
Par conséquent, des représentants de divers
niveaux de direction doivent former un comité et se
rencontrer pour discuter de ces problèmes, établir
et approuver des pratiques de sécurité. Le comité
do~ être établi formellement avec un mandat
approprié. Une autre solution consiste à attribuer ce
rôle au com~é stratégique des Tl.
Cadres supérieurs Responsables de la protection générale des actifs
informationnels et de la mise en place et de la
maintenance du cadre stratégique.
Groupe consultatif Responsable de définir le processus de gestion des
pour la sécurité risques de sécurité de l'infonmation et le niveau de
risque acceptable, ainsi que de passer en revue les
plans de sécurité de l'organisation. Ce groupe do~
comprendre des gens impliqués dans l'entreprise,
fournir des commentaires sur les problèmes de
sécurité au chef de la sécurité et faire savoir
à l'entreprise si ses programmes de sécurité
répondent aux objectifs opérationnels.
Chef de la Un dirigeant de niveau supérieur chargé de
protection des rédiger et de faire appliquer les polttiques que les
renseignements entreprises utilisent pour protéger la vie privée de
personnels leurs clients et employés.
Officier principal Personne chargée de la sécurité de l'information au
de la sécurité de sein de l'entreprise.
l'information
Chef de la Personne habituellement responsable de tous les
sécurité enjeux de sécurité, autant physique que numérique,
dans une entreprise.
Détenteurs du Assurent que les mesures adéquates de sécurité
processus concordent avec la politique organisationnelle et
qu'elles sont maintenues.
Détenteurs Le mre de propriété entraîne la responsabilité des
d'actifs actifs possédés. Ceci comprend l'exécution d'une
informationnels évaluation des risques, la sélection de contrôles
et détenteurs de adéquats pour faire diminuer les risques à un
niveau acceptable, et l'acceptation du risque
données
résiduel.
Utilisateurs Suivent les procédures établies dans la politique
de sécur~é de l'entreprise et adhèrent aux
réglementations sur la confidentialité et la
sécurité, qui sont souvent spécifiques aux champs
d'application sensibles (p. ex., santé, finances,
juridique, etc.).
Parties externes Suivent les procédures établies dans la politique
de sécurité de l'entreprise et adhèrent aux
réglementations sur la confidentialité et la
sécurité, qui sont souvent spécifiques aux champs
d'application sensibles (p. ex., santé, finances,
juridique, etc.).
380
9os Certffiedlnfn~mation
a.· Systems Auù1tor·
H.
"''""'"''""'''"'"'"
Tableau 5.3- Rôles et teliJI9nsabilitéS relalivemeiît à la gestion de
la Sêcurilé de l'infonnation (suite)
Administrateur Poste dont le !~laire est responsable de fournir
de la sécurité de la sécurité physique et logique adéquate pour les
l'information programmes des SI, les données et l'équipement.
Habituellement, les politiques de sécurité de
l'information fourniront les recommandations de
base en fonction desquelles l'administrateur de la
sécurité travaillera.
Spécialistes/ Aident à concevoir, à implanter, à gérer et à réviser
la politique, les normes et les procédures de
conseillers en
sécurité de l'entreprise.
matière de
sécurité
Développeurs Implantent la sécurité de l'information au sein de
des Tl leurs applications.
Auditeurs des SI Fournissent, à la direction, une assurance
indépendante de la pertinence et de l'efficacité
des objectifs de la sécurité de l'information et des
contrôles connexes à ces objectifs.
5.2.3 CLASSIFICATION DES ACTIFS
INFORMATIONNELS
Le contrôle efficace exige un inventaire détaillé des actif."
informationnels. La création d'une telle liste constitue la première
étape dans la classification des actif." ct dans J'établissement du
niveau de protection nécessaire pour chaque actif.
Les actifs informationnels possèdent des degrés divers de
sensibilité ct de c1iticité dans l'atteinte des objectifs d'affaires.
En assignant des classes ou des niveaux de sensibilité ct de
criticité aux ressources d'information et en établissant des règles
de sécurité spécifiques à chaque classe. il est possible de définir
le niveau de contrôles d'accès qui doit être appliqué à chaque
actif informationnel. La classification des actifs informationnels
réduit le risque et le coût de surprolectîon ou de sous~ protection
des ressources d'information en liant la sécurité avec les objectifs
opérationnels, puisqu'elle aide à établir et à entretenir une
perspective constante des exigences de sécurité pour les acti r,.,
informationnels dans toute l'entreprise.
Le détenteur de l'infOrmation est responsable de celle-ci ct
doit décider de b classification appropriée, en fonction de
la politique de classification et de manipulation des données
de l'organisation. Les classifications doivent être simples,
par exemple la désignation au moyen de diftërents degrés de
sensibilité et de criticité. Les gestionnaires d'utilisateurs finaux
et les administrateurs de la sécurité peuvent ensuite utiliser ces
classifications dans leur processus d'évaluation des risques
pour aider à déterminer qui doit pouvoir accéder à quoi ainsi
que le niveau le plus approprié d'un tel accès. La plupart des
organisations utilisent un système de classification comportant
trois à cinq niveaux de sensibilité. Pour déterminer le nombre
de catégories de classification, il faut prendre en considération
la taille et la nature de l'organisation, ainsi que Je fait que des
systèmes complexes peuvent ne pas être pratiques à utiliser.
La classification des données est une partie majeure de la tâche
de gestion des données en tant qu'actif.<;.. La classification des
données comme mesure de contrôle doit définir :
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certifted Information
Systems Auditnr"
"'~'-""""'''""'""
Chapitre 5 - Protection des Actifs Informationnels
• L'importance des actiiS informationnels~
• Le détenteur des actifs informationnels;
• Le processus d'autorisation de l'accès;
• La personne responsable d'approuver les droits d'accès et les
niveaux d'accès;
• L'étendue ct la profondeur des contrôles de sécurité.
La classification des données doit tenir compte des exigences
juridiques, réglementaires, contractuelles ct internes pour
conserver la confidentialité, l'intégrité ct !a disponibilité des
données. La classification des données est aussi utile pour
identifier qui doit avoir accès aux données de production utilisées
pour faire fonctionner l'entrep1ise en comparaison avec ceux
qui possèdent le droit d'accéder aux données de tests et aux
programmes en développement. Par exemple, les programmeurs
d'application ou les programmeurs de conception de système
ne doivent pas <.~voir accès aux données ou aux programmes de
product-ion.
Cadoption d'un programme de classification et l'attribution de
l'information à un niveau de sensibilité permet un traitement
unifOrme- des données, par le biais de l'application par niveau
de politiques et de procédures spécifiques plutôt que d'aborder
chaque type d'information. Il s'avère très ditficile de se
conformer aux politiques de sécurité de Jlinformation si les
documents et les médias ne sont pas affectés à un niveau de
sensibilité et que les utilisateurs ne sont pas infOnnés de la
manière dont ils doivent traiter chaque pièce d'information. Le
fftit que des documents ou des médias ne soient pas étiquetés
selon un programme de classification démontre une mauvaise
utilisation potentielle de J'information. Les utilisateurs
pourra.îent révéler des renseignements confidentiels parce qu'ils
ne connaissaient pas les règles relatives~ la divulgation de
renseignements interdits. L'ingénierie sociale mise sur cette sorte
d'incompréhension de la part de l'utilisateur final. Un exemple de
classification de l'information est montré au tableau 5.4.
Tableau 5.4- Classification de l'ifilormation
Information Brochures de l'entreprise
publique
Information Politiques internes, procédures, messages
privée d'entreprise par courriel habituels, information
détenue par les responsables de la réglementation,
etc.
InformatiOn Ëtats financiers non publiés, secrets d'entreprise, etc.
sensible
5.2.4 FACTEURS DE RISQUE DE FRAUDE
La fraude se définit par l'utilisation de méthodes malhonnêtes
pour prendre quelque chose de précieux à une personne ou une
organisation. Plusieurs raisons peuvent pousser une personne à
commettre une fraude, mais l'un des modèles les plus reconnus
est le triangle de la fraude, qui a été développé par Donald R.
Cressey, criminologue des années 1950. Crcssey croyait que les
trois éléments clés du biangle de la fraude étaient l'occasion, la
motivation et la rationalisation.
La motivation se réfère à un besoin financier (ou t~utre) perçu.
Le fraudeur peut avoir des dettes, tenir une rancune personnelle,
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
avoir un problème de drogue ou de jeu, ou désirer un statut plus
élevé, comme posséder une plus grande maison ou voiture.
Lu rationalisation constitue la fhçon dont le fraudeur se justifie
le crime. Elle peut inclure des pensée:-; telles que «je mérite cet
argent''· «je ne H1isais qu'un emprunt H, <<ma famille a besoin
de cet argent)),« mon employeur possède beaucoup d'argent de
toute façon ;1 ou« mon employeur me traite injustement;;_
L'occasion se réfère à la méthode par laquelle le crime est
commis. Elle survient en cas d'abus de position et d'autorité,
de mauvais contrôles internes, de mauvais contrôles de gestion,
etc. Le défaut d'établir des procédures pour détecter la fraude en
augmente la probabilité. L:occasion est l'élément sur lequel les
organisations ct, par extension, les auditeurs des SI ont le plus
de contrôle. Lors de l'examen des actifs informationnels, les
occasions de commettre des fraudes peuvent être limitées par des
contrôles de sécurité. Ces contrôles comprennent généralement
un accès logique (y compris les accès pour des tiers), une
séparation des tâches, la sécurité liée aux ressources humaines,
etc.
5.2.5 CONCEPTION DES CONTRÔLES DE LA SÉCURITÉ
DE !.:INFORMATION
La sécurité de l'information est maintenue grâce à l'utilisation
de contTôles. Les contrôles peuvent être proactifs, ce qui signifie
qu'ils tentent d'éviter un incident, ou réactifs, ce qui signifie
qu'ils pcnnet1ent la détection, le confmcment et la récupération
d'un incident. Les contrôles proactifs sont souvent appelés
protections, tandis que les contrôles réactifs sont considérés
comme des contre-mesures. Par exemple, un signal qui avertit
une personne d'une situation dangereuse est une protection, alors
qu'un système d'extinction d'incendie ou d'arrosage est une
contre-mesure.
Chaque organisation est dotée de contrôles; une évaluation
des tisques doit documenter ces contrôles et leur efficacité à
atténuer les risques. Dans certains cas, les contrôles peuvent
être suffisants, alors que dans d'autres. des qjustcments ou des
remplacements peuvent être nécessaires. Un contrôle efficace
permet d'empêcher, de dé.tecter ou de contenir un incident et rend
possible une récupération après un événement.
Il arrive fréquemment que, dans ce1iaines situations, des contrôles
actueHcment en place dans une organisation ne soient pas
suffisants pour la protéger adéquatement Dans la plu pmi des
cas, cela requiert l'ajustement des contrôles actuels ou la mise
en œuvre de nouveaux contrôles. Cependant, l'ajustement ou la
mise en œuvre des contrôles pourrait ne pns réduire Je risque à
un niveau acceptable en raison des coüts, des exigences d'emploi
ou de la disponibilité des contrôles. Prenons~ titre d'exemple
une petite organisntion où un individu obtiendrait des droits
d'administrateur d'un système, mais où la séparation des tâches
est inadéquate. Dans cc cas-ci, il pourrait ne pas être possible
de mettre en œuvre un contrôle nouveau ou amélioré; cc-Jiaines
pet-sonnes ont besoin de droits d'administmteur pour effectuer
leur travail, et le risque ne justifie pas le coût de 1'embauche de
nouveaux employés pour résoudre ce problème de sépamtion
des tâches. Dans de tels cas, des contrôles compe-nsatoires
peuvent être envisagés pour réduire le risque. Les contrôles
381
Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels eiSA' Gert.
M
ified!of.Ol_ll13t!cn
Systems Auditor'
;::·;~· .. -

compensatoires peuvent remédier aux 1-àiblesscs des contrôles Normes et cadres de contrôle
existants grâce à des concepts comme la détènsc par couches. la La sélection des contrôles nécessite J'évnluation ct la mise en
surveillance accrue, les contrôles procéduraux ou l'augmentation œuvre du bon contrôle de la bonne manière. En JOnction des
des audits et l'enregistrement de l'activité du système. Ces données recueillies grâce à une methode d'analyse (p. ex., coût-
mesures pcnnettcnt d'atténuer le risque qui ne peut être traité par bénéfice. rendement du capital investi [RCI], etc.)~ la direction
d'autres façons. se prononcera sur le meilleur contrôle. ou groupe de contrôles,
pour atténuer un risque particulier. Cependant, un contrôle mal
Contrôles de gestion, techniques et physiques appliqué peut poser un risque important pour l'organisation en
Les contrôles sont souvent divisés en trois groupes, comme créant un t:aux sentiment de sécurité ou en générant un déni de
l'illustre Je tableau 5.5. service si le contrôle ne fonctionne pas correctement La mise
en œuvre d'un contrôle technique requimt que le contrôle soit
complété par des procédures ~ppropriées, que le personnel qui
Tableau 5.5- Méjljodes de controle l'utilise soit adéquatement formé, qu'une personne s'approprie
Catégorie Description du contrôle (Il s'agit souvent de la personne à qui appa1iient le
Gestion Contrôles liés à la surveillance, au rapport, aux risque) ct que le contrôle soit surveillé et testé pour assurer son
(administrati~ procédures et aux opérations d'un processus. fonctionnement ct son efficacité.
Ceux-ci comprennent les politiques, les procédures,
l'équilibrage, le perfectionnement des employés et les De nombreuses industries ont des normes qui peuvent être
rapports de conformité. utilisées comme références en matière de sécurité. Par exemple,
Technique Contrôles également connus comme des contrôles le Payment Cnrd lndust1y Data Security Standard (PC! DSS) est
logiques; ils sont possibles grâce à l'utilisation de utilisé comme norme pour toutes les organisations qui traitent les
la technologie, d'un équipement ou d'un dispositif. cartes de paiement (p. ex., !es ca1îes de débit, les cnrtes de crédit,
Les coupe-feu, les systèmes de détection d'intrusion etc.). Il s'agit d'un exemple ùc norme de l'industrie, mais son
basés sur le réseau ou sur l'hôte (IDS), les mots de respect n'est pas requis par la loi. Les industries de la santé, de
passe et les logiciel antivirus en sont des exemples. la comptabilité, de l'audit ct des télécommunications possèdent
Un contrôle technique requiert de bons contrôles de de le lies normes ainsi que !cs cadres qui permettent leur mise
gestion (administratifs) pour fonctionner correctement en œuvre. Dans certains secteurs réglementés, la réglementation
Physique Ce sont des contrôles qui sont installés pour exige le respect d'une norme, comme c'est le cas pour le secteur
restreindre physiquement l'accès à une installation de l'énergie électrique. Pour répondre aux exigences de la norme,
ou à du matériel, comme les verrous, les clôtures, un cadre est souvent utilisé afin d'expliquer la façon d'atteindre
les systèmes de télévision en circuit fermé et la confonnité.
autres dispositifs. Les contrôles physiques doivent
être entretenus et surveillés, et il doit être possible
d'évaluer et de réagir à une alerte en cas de problème Un cadre de contrôle est défini comme un ensemble de
indiqué. contrôles fèmdnmentaux qui facilitent l'accomplissement des
responsabilités des propriétaires de processus d'affaires afin de
Dans ces groupes, d'autres contrôles peuvent permettre de prévenir toute perte financière ou toute perte d'information dans
prévenir, de détecter ou de corriger une situation (pour plus l'entreprise. Par conséquent, le cadre peut êtTe considéré comme
d'infOrmation, voir le chapitre l Processus d'audit des systèmes la mise en œuvre des contrôles visant à soutenir et à protéger les
d'infOrmation). Le tableau 5.6 donne un exemple de matlice de activités d'afraircs ct à préserver la valeur des actifs.
contrôle, De nombreux contrôles peuvent être classés à plus d'un
endroit. Surveillance et efficacité des contrôles
Pour soutenir la capacité de surveiller et de rapporter un risque,
Tableau 5.6- Matrice de conllôle l'auditeur des SI doit valider que les processus, les registres ct les
Gestion Technique Physique bornes d'audit sc trouvent dans le cadre de contrôle. Cela permet
d'effectuer la surveilbnce ct l'évaluation des contrôle:;. Lors de la
Prévention Processus Écran de Clôture
conception, de la mise en œuvre et de l'exploitation des contrôles,
d'inscription de connexion
l'utilisateur l'auditeur des SI doit veiller à ce que les registres soient activés,
que les contrôles puissent être testés et que des procédures de
Détection Audit Systèmes de Capteur de
rapports réguliers soient développées.
détection des mouvement
intrusions (IDS)
L'auditeur des SI doit également veiller à ce que la capacité de
Correction Suppression Isolement du Fermeture des surveiller un contrôle et de soutenir les systèmes de surveillance
d'accès réseau portes coupe- soit abordée dans la conception du contrôle. Si l'organisation
feu
utilise un fournisseur de services gérés de sécurité ou un système
de gestion de la sécurité de l'information el des événements, il
est nécessaire d'avoir la capacité de saisir des données ct d'aviser
le personnel des opérations relativement au déploiement du
système.

382 Manuel de Préparation CISA 26" édition

ISACA. Tous droits rëserves.
e !~::.~~:;:::.""" Chapitre 5 - Protection des Actifs Informationnels
5.2.6 AUTORISATION D'ACCÈS AU SYSTÈME
Cautorisation d'accès au système est la prérogative pour agir sur
une ressource informatique. Cela fait habituellement réfërence
à un privilège technique, comme la capacité de !ire, de créer, de
modifier ou de supprimer un fichier ou une donnée, d'exécuter
un programme ou d'ouvrir ou d'uliliser une connexion externe.
L'accès système aux ressources d'information inf-Ormatisées est
établi, géré et contrôlé au niveau physique et/ou logique. Les
contrôles d'accès physiques restreignent l'entrée et la sortie du
personnel d'un endroit comme un édifice à bureaux, une suite,
un centre de données ou une salle qui contient des équipements
de traitement de 11information tel qu'un serveur de réseau local
(L.AN). On retrouve plusieurs types de contrôle d'accès physique
incluant les badges, les cmies mémoires, les clés de garde, [es
clôtures allant réellement du plancher au plafond, les cadenas
ct la biométrie. Les contrôles d'accès aux systèmes logiques
restreignent les ressources logiques du système (transactions,
données, programmes, applications) et sont appliqués lorsque
la ressource sujet est requise. En se basant sur J'identification et
l'authentification de 1'utilisateur qui exige une ressource donnée
ct en analysant les profils de sécurité de l'utilisateur et de la
ressource, il est possible de détern1iner si l'accès demandé doit
être permis, c'cst~à-dire quelle information t'utilisateur peut
utiliser, les programmes ou les transactions qu'il peut activer et
les modifications qu'il a le droit d'apporter. De tels contrôles
peuvent être incorporés dans le système d'exploitation, appelés
par le logiciel de contrôle d'accès séparé et incorporés dans les
programmes d'application, les systèmes de base de données, les
dispositifs de contrôle de réseau ct utilitaires (p. ex., contrôleurs
de performance en temps réel).
Les accès systèmes physiques ou logiques de n'importe quelle
inf-Ormation automatisée doivent être ba.<;és sur un principe
d'accès sélectif documenté (souvent basé sur le rôle) dans
lequel on retrouve une exigence d'affaires légitime basée sur
le droit d'accès minimal. D'autres considérations relatives
il l'octroi d'accès sont la responsabilité (p. ex., identifiant
d'utilisateur unique) et la traçabilité (p. ex., registres). Ces
principes doivent être utilisés par les auditeurs des SI lorsqu'ils
évaluent la pertinence des c1itèrcs pour définir des permissions ct
1' autmisation des privilèges de sécurité. Les entreprises doivent
établir de tels critères de base pour attribuer l'accès technique
aux données, programmes. appareils et ressources spécifiques, et
établir également qui aura accès et quel sera son niveau d'accès
autmisé. Par exemple, il peut être souhaitable que tous au sein de
!"entreprise aient accès à l'inf-ormation .spécifique sur le système
comme les données affichées sur le calendrier des rencontres de
l'entreprise. Le programme qui formate ct affiche le calcnd1ier
pourrait n'être modifié que par quelques administrateurs de
système, alors qu'encore moins de gens pourraient avoir accès au
système d'exploitation qui contrôle cc programme.
Les actif.;;; des TI sous la sécurité logique peuvent être
groupés en quatre couches : réseaux, plateformcs (systèmes
d'exploitation), bases de données et applications. Ce concept
de sécurité en couches pour l'accès système permet aux
ressources d'infOrmation une plus grande portée et la granularité
du contrôle. Par exemple, les couches réseaux et platefOrmes
fournissent des systèmes de conh-ôles généraux et omniprésents
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
des authentifications des utilisateurs dans les systèmes, les
logiciels systèmes et les configurations d 1application, les
ensembles de données, les bibliothèques de chargement, et
toute autre bibliothèque d'ensemble de données de production.
Les bases de données ct les contrôles d1application fournissent
généralement un plus grand degré de contrôle sur l'activité
de l'utilisateur au sein d'un processus d'affaire pa11iculier en
contrôlant l'accès aux enregistrement.;;, aux champs de données
spécifiques et aux transactions.
Le propriétaire oule gestionnaire de l'infOrmation responsable de
l'utilisation adéquate et de la transmission de l'information doit
fOurnir une autorisation écrite permettant aux utilisateurs ou aux
rôles dMînis d'avoir accès aux ressources d'infOrmation sous leur
contrôle. Le gestionnaire doit transmettre cette documentation
directement à l'administrateur de la sécurité pour S assurer
1
qu'il n'y a pas d'erreur d'acheminement ou d'altération de
l'autorisation.
Les capacités d'accès logique sont implantées par
l'administration de la sécurité dans un ensemble de règles
d'accès qui stipulent quels utilisateurs (ou groupes d'utilisateurs)
sont autorisés à accéder à une ressource d'un niveau particulier
(p. ex .. seulement lire, mettre à jour ou exécuter) ct sous quelles
conditions (p. ex., l'heure ou un sous~système de terminaux
informatiques). L'administrateur de la sécurité invoque le
mécanisme de contrôle d'accès système adéquat sur réception
d'une requête d1autorisation appropriée de la part des détenteurs
ou gestionnaires de 11information afin d'accorder à un utilisateur
spécifié les droits d'accès ou d'utilisation d'une ressource
protégée. L'auditeur des SI doit être conscient que l'accès aux
systèmes d'information d'une organisation est donné en utilisant
le principe du« besoin-de-savoir)>, du droit d'accès minimal et
de ln séparation des tâches.
Les révisions des accès d'autorisation doivent être évaluées
régulièrement pour s'assurer qu'elles sont toujours valides.
Les changements de personnel ct de départements, les efforts
malveillants et tout simplement un manque de diligence
entraînent un niveau d'autorisation inadéquat et peuvent avoir
un impact sur l'e1ficacité des contrôles d'accès. Souvent,
l'autorisation d'accès n'est pas retirée au personnel qui quitte
l'entreprise, ce qui augmente le risque d'accès non autorisé.
Pour cette raison, le propriétaire d'actil'S informationnels doit
réviser périodiquement les contrOles d'accès avec une matrice
d'autorisation prédéterminée qui définit le niveau d'accès avec
le droit d'accès minimal et 11autorité pour un individu/rôle avec
une rélèrence il son travail et à ses responsabilités. Tout accès
qui dépasse la philosophie d'accès décrite dans une matrice
autorisée ou dans les niveaux d'accès réels permis sur un système
doit être mis à jour ct modifié en conséquence. Une des bonnes
pratiques est d'intégrer la révision des droits d'accès avec des
procédés de ressources humaines. Lorsqu'un employé change de
fonction (promotions, transferts latéraux ou rétrogradations), !es
droits d 1accès sont ajustés en même temps. Le développement
d'une culture consciente de la sécurité augmente l'efficacité des
contrôles dtaccès.
383
 Section deux : Contenu Chapitre 5 -Protection des Actifs Informationnels
Les non~cmployés ayant accès aux ressources des SI de
l'entreprise doivent aussi être tenus responsables de la conformité
de la sCcuiité et. des brèches de sécurité. Les non-employés
comprennent les employés à contrat, les programmeurs/analystes
des distributeurs, le personnel d'entretien. les clients, les
auditeurs, les visiteurs et les consultants. On doit comprendre
que les non-employés sont aussi responsables des exigences de
sécurité de l'organisation.
5.2.7 CONTRÔLE D'ACCÈS OBLIGATOIRE ET
DISCRÉTIONNAIRE
Les contrôles d'accès obligatoires sont des filtres de contrôle
d'accès logique utilisés pour valider les pièces d'identité
d'accès qui ne peuvent pas être contrôlées ou modifiées par les
utilisateurs normaux ou les propriétaires de données; ils agissent
par défaut. Les contrôles pouvant être configurés ou modifiés
par les utilisateurs ou les propriétaires de données se nomment
contrôles d'accès discrétionnaires.
Les contrôles d'accès obligatoires représentent un bon choix pour
appliquer le niveau de base de sécurité essentielle sans exception
possible, sî exigé par les politiques de sécurité de l'entreprise
ou d'autres règles de sécmité. Un contrôle d'accès obligatoire
pourrait être exécuté en comparant la sensibilité des ressources
d'information tels que les fichiers, les données ou d'autres
dispositif..;; de stockage et conservées sur une étiquette non-
modifiable par l'utilisateur attachée à l'oQiet de sécurité avec la
cote de sécwité de l'entité qui accède ù la ressource, par exemple
un utilisateur ou une application. Dans le cas des contrôles
d'accès obligatoires, seuls les administrateurs peuvent prendre
des décisions issues des politiques. Seul un administrateur
peut modifier la catégorie d'une ressource, et personne ne peut
attribuer un droit d'accès qui est formellement interdit dans la
politique de contrôle d'accès. Les contrôles d'accès obligatoires
sont prohibitifs; tout cc qui n'est pas expressément permis est
interdit.
Les contrôles d'accès discrétionnaires représentent une protection
qui peut être activée ou modifiée par le propriétaire des données,
à sa discrétion. Ce serait le cas du partage des ressources
d'infOrmation, tel que défini par le prop1iétaire des données, où
celui-ci pourrait décider qui aura accès à ses ressources et quel
sera le niveau de sécurité nécessaire pour cet accès. Les contrôles
d'accès discrétionnaires ne peuvent pas primer sur les contrôles
d'accès obligatoires; les contrôles d'accès discrétionnaires
agissent comme filtre supplémentaire, empêchant davantage
l'accès avec le même principe exclusif.
Lorsque les systèmes d'infOrmation renforcent les politiques
des contrôles d'accès obligatoires, les systèmes doivent faire
la distinction entre les politiques d'accès obligatoires et celles
discrétionnaires, qui permettent plus de flexibilité. Cette
distinction doit être assurée au moment de la création de l'objet,
du déclassement ct de l'étiquetage de la classification.
384
elsa· H
Certilied lnfonnatkm
Syslems Aud!l!J(
"
~'$""'"'''"""''
.
5.2.8 PRINCIPES DE CONFIDENTIALITÉ ET RÔLE DES
AUDITEURS DES SI
La confidentialité signifie qu'il n'y a pas d'intrusion non
autorisée ou de divulgation de renseignements au sujet d'une
personne (le sujet des données). JI s'agit d'un sujet qui concerne
toute l'entreprise et qui. de par sa nature, exige une approche
constnnte au sein de l'entreprise. Voici des bonnes prntiques pour
s'en assurer :
• Dès Je début, le respect de la vie privée doit être considéré et
doit f.:1ire partie intégrant de la conception. On doit J'incorporer
systématiquement dans les politiques, les normes et les
procédures dès le début.
• Les données privées doivent être collectées d'une manière juste,
ouvette et transparente. Seules les données nécessaires doivent
être collectées.
• Les données privées doivent être tenues en sécurité tout au long
de leur cycle de vie.
• Elles ne doivent être utilisées ou divulguées qu'aux fins pour
lesquelles elles ont été collectées .
.. Les données privées doivent être exactes, complètes et à jour.
" Elles doivent être supprimées lorsqu'elles ne sont plt!S
nécessaires.
Afin de mieux répondre à ce problème, la direction doit enèctuer
une analyse d'impact de la confidentialité ou des évaluation.s que
les auditeurs des SI peuvent être appelés à soutenir ou à effCctuer
cette analyse. De telles évaluations doivent :
• Déterminer la nature de !Information personnellement
identifiable associée avec les procédés d'affaires.
• Documenter la cueil!ette, l'utilisation, la divulgation et la
destruction d'information personnellement identifiable.
• Assurer qu'il existe une imputabilité pour les problèmes de vie
privée.
• Identifier les exigences législntives, réglementaires et
contractuelles en matière de vie privée.
" f~tre le fondement de décisions éclairées sur la politique,
les activités et la conception du système en fOnction de la
compréhension du risque concernant la confîdentialîté ct les
options disponibles pour réduire ce risque.
En se basant sur les résultats, il est possible de créer un format
constant et un processus structuré pour analyser la conf-Ormité
technique et juridique avec les réglementations et les politiques
intemes pertinentes. Ce processus structuré pourrait fOurnir un
cadre pour assurer que la confidentialité est prise en considération
dans tous les projets des TI, de l'étape de l'analyse conceptuelle
et des exigences jusqu'à l'approbation finale de la conception,
le financement, l'implantation et l'étape de la communication.
Ainsi, la confOrmité à la confidentialité est intégrée dans les
projets plutôt que réajustée.
La concentration et l'étendue de l'analyse d'impact de la
confidentialité ou de l'évaluation peuvent varier selon !cs
changements aux technologies, aux processus ou aux gens
comme l'illustre Je tableau 5.7.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e ~=:~:~;., Chapitre 5 - Protection des Actifs Informationnels
Tableau 5.7- Cbangemel\1$ qui ont un impact sur la oonlidentialiiiÎ
Technologie Processus Gens
• Nouveaux • Gestion des • Partenaires
programmes changements commerciaux
• Changements dans • Reconfiguration • Fournisseurs de
les programmes des processus services
existants opérationnels
• Liens systèmes • Règles
supplémentaires d'accessibilité
• Entrepôt de données améliorées
e Nouveaux produits • Nouveaux systèmes
• Nouvelles activités
• Fournisseurs
l~ auditeur des Sf peut également être appelé à donner l'assurance
en ce qui concerne la conformité avec la politique, les lois et
autres règlements concernant la confidentialité. Pour ren1plir ce
rôle, !'auditeur des SI doit:
• Idcntîfier et comprendre les exigences juridiques au sujet
de la confidentialité dans les lois, régulations et ententes
contractuelles. Voici des exemples : les lignes directrices
de l'OCDE sur la protection de la vie privée ct les !lux
tmnsfrontièrcs de données de caractère personnel, les lignes
directrices de protection des données de l'Union européenne
et le US-EU Safe Harbor Framework. Selon l'affectation, les
auditeurs des SI pourraient avoir besoin de demander tm avis
juridique ou l'avis d'un expert à ce sujet.
• Réviser la politique de confidentialité de la gestion pour
s'assurer qu'elle tient compte des lois et des règlement'!
applicables conccmant la confidentialité.
• Vérifier si les données personnelles sensibles sont gérées
correctement par rapport à ces exigences.
• Vérifier que les mesures de sécurité adéquates sont adoptées.
Puisque les lois et réglementations varient d'un pays à l'autre,
des questions peuvent se poser quant à la façon d'aborder les
exigences de confOrmité liées à la confidentialité. ISO/CE/
29100:2011: Technologies de l'injàrmation --Techniques de
sécurité~ Cadre de cm!fidentialité contient une desc1iption des
éléments de base d'un cadre de confidentialité ainsi que des
principes de confidentialité qui doivent être utilisés. En outre,
la nonne ISO/CEJ27018:2014 énonce les objectifs de contrôle
couramment acceptés, les contrôles et les lignes directrices
relatifs à la mise en œuvre des mesures visant à protéger les
infOrmations personnelles identifiables, ct ce, en confOrmité avec
les principes de COJlfidentialïté de la norme JSO/CEI29100 pour
l'environnement d'infonuagique publique.
Remart}Ue: Ccx amen CISA ne teste pas la connaissance des
lois et des normes de confïdentlalité, car eUes varient d'un pays à
l'autre.
5.2.9 FACTEURS ESSENTIELS AU SUCCÈS DE LA
GESTION DE LA SÉCURITÉ DE !:INFORMATION
Les gestionnaires et les employés au sein d'une entreprise ont
souvent tendance à considérer la sécurité de l'information comme
une priorité secondaire si on la compare avec leurs propres
problèmes d'efficience et d'efficacité, car ces derniers ont un
impact direct et matériel sur le résultat de leur travail.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
Pour cette raison, il est nécessaire d'avoir un leadership fort, une
bonne orientation et un bon engagement de la part de la haute
direction en matière de formation sur la sécurité. Cet engagement
doit être soutenu par un programme- exhaustif de formation
formelle sur la sensibilisation à la sécurité.
Sensibilisation à la sécurité, formation et éducation
Le risque inhérent à l'utilisation de systèmes informatiques ne
peut être résolu par des mécanismes techniques de sécurité. Un
programme actif de sensibilisation à la sécurité peut réduire
considérablement le risque en abordant l'aspect compoticmcntal
de la sécurité par l'éducation ct !"application cohérente de
techniques de sensibilisation. Les programmes de sensibilisation
à la sécurité doivent sc concentrer sur les préoccupations
communes pour les utilisateurs, conunc la sélection de mot de
passe. l'utilisation appropriée des ressources informatiques, la
sécurité des courriels ct de la navigation Web, et l'ingénierie
sociale. Les programmes doivent être adaptés à des groupes
précis. En outre, les utilisateurs représentent la première
ligne en matière de détection de menaces qui pourraient
ne pas être détectables par des moyens automatisés (p. ex.,
activité fi:auduleuse et ingénierie sociale). Afin d'améliorer la
prévention de la perte, les employés doivent être f01més sur la
reconnaissance et l'escalade de ces événements.
l:éducation et la sensibilisation sur l'importance du programme
de sécurité de l'information représentent un nspect important
pour en assurer Je respect. Chaque membre du personnel doit
être fonné sur les questions de sécurité de l'information relatives
à ses responsabilités spécifiques. Une attention particulière doit
être accordée aux fonctions de travail qui nécessitent un accès
quasi illimité aux données. Les personnes dont le travail consiste
à transférer des données peuvent avoir accès aux données dans la
plupart des systèmes, tandis que ceux qui ont la tâche d'optimiser
les pctfonnances peuvent changer la plupati des configurations
du système d'exploitation. Les employés qui planifient des
travaux groupés ont le pouvoir d'exécuter la plup<irt des
applications du système, Les programmeurs peuvent modifier le
code des applications. Ces fonctions ne sont généralement pas
gérées par la sécurité de l'information. Bien qu'il soit possible
de mettre en place des contrôles de surveillance élaborés, il n'est
techniquement pas ülisablc ou financièrement réaliste d'assurer
une surveillance adéquate afin que tous les travaux de transfert
de données transmettent des rapports aux seules personnes
autorisées de manière appropriée. Bien que la sécurité de
l'information puisse faire en sorte qu'il y ait une politique claire,
que des normes applicables soient élaborées et qu'il y ait un
soutien à la coordination des processus, la direction doit assurer la
surveillance dans tous les domaines.
Dès que l'employé se joint à l'organisation, la sensibilisation
doit débuter (p. ex., lors de la fOrmation initiale) et se poursuivre
régulièrement. Les techniques de formation doivent varier afin
de les empêcher de devenir périmées ou ennuyeuses, ct peuvent
aussi être incorporées dans d'aulres programmes de formation de
l'organisation.
Les programmes de sensibilisation à la sécurité doivent
comporter les éléments suivants :
• Formation (souvent administrée en ligne);
385
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
Questionnaires afin de vérifier la rétention des concepts de
formation;
Rappels de sensibilisation à la sécurité comme des a triches, des
bulletins d'information ou des écrans de veille;
" Calendrier régulier de perfectionnement.
Dans !es plus grandes organisations, il peut y avoir suifismnment
de cadres intennédiaircs ct supérieurs pour justifier une formation
spéciale sur la sensibilisation à la sécurité de J'infmmation des
problèmes opérationnels.
Tous les employés d'une organisation et, si cela est pe1iinent,
les utilisateurs tiers concernés doivent recevoir une fonnation
appropriée et des mises à jour régulières sur l'importance des
politiques. nonnes ct procédures de sécurité de l'organisation.
Cela comprend les exigences de sécurité, les responsabilités
juridiques et les contrôles d'affaires, ainsi que la f-Ormation
sur l'utilisation approp1ièc des installations de traitement de
l'information (p. ex., procédures de connexion, utilisation
de logiciels). Les nouveaux employés doivent recevoir cet1e
formation avant d'obtenir l'accès à l'information ou aux services:
elle doit faire partie de l'orientation des nouveaux employés.
Le développement et la mise en œuvre du programme de
formation et de sensibilisation doit se thire par une approche
méthodique en prenant en considération les aspects suivants :
• Qui est le public cible (les cadres supérieurs, les chef.<>
d'entreprise, le personnel des Tl, les utilisateurs finaux)'?
• Quel est le message véhiculé (politiques, procédures,
événements récents)?
• Quel est le résultat escompté (amélioration de la conformité
aux politiques, changement de comportement meilleures
pratiques)?
• Quelle méthode de communication sera utilisée (formation
assistée par ordinateur [FAOJ, réunion avec tout le personnel,
intranet, bulletins d'in!Orrnation, etc.)?
• Quelles sont la structure ct la culture organisationnelles?
Un certain nombre de mécanismes différents sont disponibles
pour augmenter la sensibilisation à la sécurité de J'information:
• Programmes assistés par ordinateur de sensibilisation et de
fOrmation sur la sécurité;
• Rappels par counicl et conseils de sécurité;
" Politiques ct procédures écrites en matière de sécurité (ct mises
à jour):
• Déclarations de non~divulgation signées par les employés;
"Utilisation de dîllërcnts médias pour promouvoir la sécurité
(p. ex., bulletins d'information de l'entreprise, pages Web,
vidéos, affiches, rappels de connexion);
• RenfOrcement visible des règles de sécurité;
• Simulation des incidents de sécurité pour améliorer la sécwité;
• Récompense aux employés qui rappmicnt des événements
suspects;
" Examens périodiques;
• Descriptions d'emploi;
• Évaluations de performance.
Un second point essentiel à la gestion de la sécmité de
l'information est qu'une approche professionnelle basée sur le
risque doit être utilisée de façon systématique pour identif-ier les
386
eiSA" '. entned lnto~uon
.H. Systems Aut!ttor"
····---+--
~·'"""'"'~'''""""
ressources d'information sensibles et critiques ct pour s'assurer
de la bonne compréhension des menaces et du risque. Par la suite,
les mesures appropriées d'évaluation doivent être entreprises
pour réduire Je risque inacceptable et assurer que le risque
résiduel demeure à un niveau acceptable. Pour de plus amples
renseignements, reportez~ vous aux sections 2.8 Gestion du risque,
4.3 Gestion des actifs de Tl et 5.2.3 Classification des actifs
inf-Ormationnels.
5.2.10 SÉCURITÉ DE CINFORMATION ET PARTIES
EXTERNES
La sécurité de l'infOrmation de l'entreplise et les installations
de traitement de l'information auxquelles les parties extemes
accèdent, traitent ct gèrent ou encore qui leur sont communiquées
doivent être entretenues et ne doivent pas être réduites par
l'introduction de leurs produits ou de services. TOut accès aux
installations de traitement de l'ini-ürmation d'une entreprise
ct le traitement et la communication de l'infonnation par les
parties externes doivent être contrôlés. Il faut s'entendre sur les
contrôles et les définir dans un accord avec la patiie externe. Les
entreprises doivent pouvoir procéder à un audit de l'implantation
et du fonctionnement des contrôles de sécurité résultants.
Ces ententes avec une partie externe peuvent inclure:
• Les fournisseurs de services Jntemct (FSI), l~!s fournisseurs de
réseaux, !es services téléphoniques, les services d'entretien et de
soutien;
• Les services gérés de sécurité;
• Les clients;
" Les foumisseurs;
• L'extcrnalisation (ou la sous:-traitance) des installations ou des
opérations (p. ex., les systèmes des Tl, les services de cueillette
de données, le centre d'appels);
• La direction, les consultants d'aflàires ct les auditeurs:
• Les développeurs ct les fournisseurs (p. ex., des produits
logiciels et des systèmes des Tl);
• Le nettoyage, l'approvisionnement et autres services de soutien
impartis;
• Le personnel temporaire, le placement étudiant et les autres
occasionnels il court terme.
De telles ententes peuvent aider à réduire les risques associées
aux pmties extemes.
Identifier les risques reliés aux parties externes
Il faut identifier les risques pour l'information de l'entreprise
et les installations de traitement de l'information dêcoulant des
procédés opérationnels qui incluent des parties extemes et il fhut.
implanter les contrôles appropriés avant de permettre l'accès.
Lorsqu'il fimt pennettre à une partie externe d'accéder aux
installations de traitement de l'information ou à l'information
d'une entreprise, il Htut procéder à une évaluation des risques
pour identifier toutes les exigences pour les contrôles spécifiques.
J.:idcntification des risques connexes à J'accès des pmiies
externes doit tenir compte des points suivants, illustrés au
htbleau 5.8.
L'accès par les parties externes à l'inforn1ation de l'entrep1ise
ne doit pas être fou mi tnnt que les contrôles adéquats ne sont
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e. ~= :~:;:;.'"" Chapitre 5 - Protection des Actifs Informationnels
pas implantés et, si possible, seulement lorsqu'un contrat
qui définit les modalités pour la connexion ou l'accès et les
arrangements pratiques a été signé. Généralement, l'entente
avec la partie externe doit être confOrme à toutes les exigences
de sécurité résultant du travail avec les parties externes ou des
conlrôles internes. Il faut s'assurer que la partie externe connaît
ses obligations ct accepte les responsabilités et les obligations
découlant de l'accès, du traitement de la communication ou de
la gestion de l'information de l'entreprise et des installations de
traitement de l'infOrmation.
Tableau 5,8 -Risques relies à l'accès des PJ!cties elrtèmes
• Les installations de traitement de l'information auxquelles une partie
externe dott avoir accès.
• Le type d'accès que la partie externe aura à l'information et aux
installations de traitement de l'information :
-~accès physique, (bureaux, salles d'ordinateurs et classeurs);
-~accès logique (base de données et systèmes d'information d'une
entreprise);
-La connectivité réseau entre les réseaux de l'entreprise et ceux des
parties externes (connexion permanente et accès à distance);
- Si l'accès se déroule sur le site ou hors site.
• La valeur et la sensibilité de l'information impliquée, et sa criticité pour
les activrtés commerciales.
• Les contrôles nécessaires pour protéger l'information qui ne doit pas
être accessible par les parties externes.
• Le personnel de la partie externe qui manipulera l'information de
l'entreprise.
• De quelle manière l'entreprise ou le personnel autorisé peut être
identifié, l'autorisation vérifiée et à quelle fréquence ce besoin devra
être reconfirmé.
• Les différents moyens et contrôles utilisés par la partie externe lors
du stockage, du traitement, de la communication, du partage, de
l'échange et de la destruction de l'information.
• Les conséquences si l'accès n'est pas disponible à la partie
externe lorsque nécessaire ou si la partie externe saisit ou reçoit de
l'information erronée ou trompeuse.
• Les pratiques et les procédures pour traiter les incidents reliés à la
sécurité de l'information et les dommages potentiels, ainsi que les
modalités pour le prolongement de l'accès par la partie externe dans
le cas d'un incident relatif à la sécurité de l'information.
• Les exigences légales et réglementaires et autres obligations
contractuelles pertinentes à la partie externe qui doivent être prises en
considération.
• De quelle façon les intérêts de tout autre partenaire peuvent être
touchés par ces accords.
Les pmiics externes peuvent exposer l'information à des
risques si leur gestion de la sécurité n'est pas adéquate. Il
faut déterminer ct faire appliquer des contrOles pour gérer
l'accès de la partie externe aux installations de traitement de
l'information. Par exemple, si l'information doit absolument
demeurer confidentielle, une entente de confidentialité peut
être utilisée. Les entreprises peuvent faire face à des risques
associés aux procédés, à la gestion et aux communications inter-
organisationnelles si elles ont beaucoup recours à l'cxterna\isation
ou si plusieurs parties externes sont impliquées.
Traiter de la sécurité en s'occupant des clients
Il faut traiter toutes les exigences de sécurité identifiées avant de
permet1rc aux clients d'accéder à l'information ou aux actif;; de
l'entreprise.
Manuel de Préparation CISA 26• édition
ISACA_ Tous droits réservés.
Section deux : Contenu
Les éléments présentés au hlbleau 5.9 doivent être pris en
considération pour traiter la sécurité avant de permettre aux
clients d'accéder à n'importe quel actif de 1'entreprise (selon
le type et l'étendue de l'accès donné, certaines des modalités
décrites plus bas peuvent ne pas s'appliquer).
Tableau 5.9- Considérations de sécuritè reliées à l'accès iles
cliems
• La protection des actifs, incluant:
-Les procédures pour protéger les actifs de l'entreprise, y compris
l'information et les logiciels ainsi que la gestion des vulnérabilités
connues;
- Les procédures pour déterminer si une compromission des actifs
(p, ex., la perte ou la modification des données est survenue);
- ~intégrité;
- Les restrictions sur la copie et la divulgation de l'information.
• La description du produit ou du service qui dott être fourni.
• Les raisons, exigences, et avanlages divers de l'accès par le client.
• La politique de contrôle d'accès, qui couvre:
-Les méthodes d'accès permises, le contrôle et l'utilisation
d'identifiants uniques, par exemple des noms de connexion et des
mots de passe.
-Un processus d'autorisation pour l'accès et les privilèges de
l'utilisateur.
- Un énoncé stipulant que tous les accès qui ne sont pas explicitement
autorisés sont interdits.
-Un processus pour révoquer les drorts d'accès ou interrompre la
connexion entre les systèmes.
• Les ententes pour faire état, aviser et enquêter sur des inexactitudes
(p, ex., détails personnels), les incidents reliés à la sécurité de
l'information et les brèches de sécurité.
• Le niveau cible de service et les niveaux de service inacceptables.
• Le droit de surveiller et de révoquer toute activité reliée aux actifs de
l'entreprise.
• Les obligations respectives de l'entreprise et du client.
• Les responsabilités en ce qui concerne les questions juridiques et
l'assurance que les exigences juridiques sont respectées (p. ex.,
la législation sur la protection des données), en tenant compte
des différents systèmes juridiques nationaux si l'entente inclut la
collaboration avec des clients d'autres pays.
• Le droit de propriété intellectuelle et les attributions des drotts d'auteur,
ainsi que la protection de tout travail effectué en collaboration.
Les exigences de sécurité reliées aux clients qui ont accès aux
actifS organisationnels peuvent varier considérablement selon les
installations de traitement de l'in10rmation ct de l'information
à laquelle on accède. Ces exigences de sécurilé peuvent être
abordées en se servant d'ententes avec les clients qui contiennent
tous les risques et les exigences de sécurité identifiés.
Les accords avec les parties extemcs peuvent aussi inclure
d'autres parlies. Les ententes qui autorisent l'accès à une pa11ie
exteme doivent inclure une permission d'accorder un droit
d'accès à d'autres pmiies admissibles et les conditions pour leurs
accès et leur pa11îcipat'ion.
Aborder la sécurité dans les accords des tierces
parties
Les accords avec les tierces parties qui impliquent l'accès, le
traitement, la communication ou la gestion de l'information de
rentreprisc ou des installations de traitement de l'information,
ou encore l'ajout de produits ou de services aux installations de
387
Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
traitement de l'information doivent couvrir toutes les exigences
de sécurité pertinentes. L'entente doit assurer qu'il n'y a aucun
malentendu entre l'entreprise ct la tierce partie. L'entreprise
doits 'assurer que 1'entente comprend des dispositions
d'indemnisation convenables pour la protéger contre des pe1tes
possibles causées par les actions de la tierce partie.
Les modalités de contrat listées au tableau 5.10 doivent êtTe
considérées pour inclusion dans l'entente afin de satisfaire aux
exigences de sécurité identifiées.
Tableau 5.10- Modalités de coütiât recommandées pour les
accords des tierces parties
• Conformité de la tierce partie avec la politique de sécurité de
l'information de l'organisation.
• Les contrôles pour assurer la protection des actifs, incluant :
- Les procédures pour protéger les actifs organisationnels, incluant
l'information, les logiciels et le matériel.
-Tout contrôle et mécanisme de protection physique exigé.
- Les contrôles pour assurer la protection contre les logiciels
malveillants.
- Les procédures pour déterminer si une compromission des actifs
(par exemple la perte ou la modification de l'information, de logiciel
et de matériel) est survenue.
- Les contrôles pour assurer le retour ou la destruction de l'information
et des actifs au terme d'un moment convenu et mentionné dans
l'entente.
-la confidentialité, l'intégrité, la disponibilité et toute autre propriété
pertinente des actifs.
-Les restrictions concernant la copie et la divulgation de l'infollllation
et l'utilisation d'ententes de confidentialité.
• Une formation de l'utilisateur et de l'administrateur sur les méthodes,
les procédures et la sécurité.
• Une façon d'assurer la sensibilisation de l'utilisateur aux
responsabilités et aux problèmes reliés à la sécurité de l'information.
• La disposition pour le transfert de personnel, si approprié.
• Les responsabilités en ce qui concerne l'installation de matériel et de
logiciel, ainsi que l'entretien.
• Une structure de rapport claire et des formats de rapport sur lesquels
on s'est entendu.
• Un processus clair et spécifié pour la gestion des changements.
• La politique de contrôle d'accès, qui couvre :
- Les raisons, les exigences et les avantages qui rendent nécessaire
l'accès par la tierce partie.
-Les méthodes d'accès permises, le contrôle et l'utilisation
d'identifiants uniques, par exemple des noms de connexion et des
mots de passe.
-Un processus d'autorisation pour l'accès et les privilèges de
l'utilisateur.
- Une exigence pour maintenir une liste des individus autorisés à
utiliser les services rendus disponibles, et quels sont leurs droits et
privilèges par rapport à cette utilisation.
- Un énoncé stipulant que tous les accès qui ne sont pas explicitement
autorisés sont interdits.
-Un processus pour révoquer les droits d'accès ou interrompre la
connexion entre les systèmes.
• Les ententes pour faire état, aviser et enquêter sur les incidents reliés
à la sécurité de l'information et les brèches de sécurité, ainsi que les
infractions reliées aux exigences mentionnées dans l'accord.
• Une description du produit ou du service qui sera fourni ainsi qu'une
description de l'information rendue disponible avec sa classification de
sécurité.
388
e ~.:.:~:::."""
Tableau 5.10- Modalités de conlt.lt recommandées pour les
accords des tieroes parties
• Le niveau cible de service et les niveaux de service inacceptables.
• La définition des critères de performance vérifiables, leur contrôle et
leur signalement.
• Le droit de surveiller et de révoquer toute activité reliée aux actifs de
l'entreprise.
• Le droit de procéder à un audit des responsabilités définies dans
l'entente, de faire exécuter ces audits par une tierce partie et
d'énumérer les droits légaux des auditeurs (et, lorsque nécessaire, de
demander la production d'un rapport par un auditeur d'un organisme
de services).
• ~établissement d'un processus de signalisation progressive pour la
résolution de problème.
• Les exigences pour la continuité des services, incluant les
mesures pour la disponibilité et la fiabilité en fonction des priorités
commerciales de l'entreprise.
•Les obligations respectives des parties en fonction de l'entente.
•Les responsabilités en lien avec les questions juridiques et l'assurance
que les exigences juridiques sont respectées (par exemple la
législation sur la protection des données) en tenant compte des
différents systèmes juridiques nationaux si l'accord implique une
collaboration avec des entreprises d'autres pays.
•Les droits de propriété intellectuelle et l'attribution des droits d'auteur
et la protection de tout travail en collaboration.
• Le recours par la tierce partie à des sous-traitants ainsi que les
contrôles de sécurité que ses sous-traitants doivent avoir.
• Les conditions pour renégocier ou mettre un terme à une entente, par
exemple:
- Un plan de secours dans le cas où une des parties souhaite terminer
la relation avant la fin de l'accord.
- Une disposition pour la renégociation des ententes si les exigences
de sécurité de l'entreprise changent.
• La documentation actuelle des listes d'actifs, des pellllis, des accords
ou des droits qui leur sont reliés.
• ~incessibilité du contrat.
En général, il est très di1l'îcile d'assurer le retour ou la destruction
de l'information confidentielle divulguée à une tierce partie à la
fin de l'entente. Afin d'empêcher des copies ou une utilisation
non autorisées, les documents imprimés doivent être consultés
sur le site. Il faut envisager l'utilisation de contrôles techniques,
tels que la gestion des droits numériques (où des technologies
de contrôle d'accès sont utilisées par les éditeurs, les détenteurs
de droits d'auteur et les personnes pour imposer des restrictions
sur l'utilisation du contenu et des appareils numériques) pour
mettre en place les contraintes désirées comme l'impression
du document, la copie, les lecteurs autorisés ou l'utilisation du
document après une certaine date.
l.es accords peuvent varier considérablement parmi les
différentes entreprises et les différents types de tierces parties. Par
conséquent, il faut s'assurer d'inclure tous les risques identifiés et
les exigences de sécurité dans les accords. Lorsque nécessaire, les
contrôles et les procédures requis peuvent être augmentés dnns un
plan de gestion de la sécurité.
Si la gestion de la sécurité de l'infOrmation est impartie, les
accords doivent traiter de la manière dont la tierce partie garantira
qu'une sécurité convenable sera assurée, tel que défini par
J'évaluation des risques, et de la manière dont la sécmité sera
adnptée pour identifier et traiter !es changements des risques.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rêserves.
e iflil!l.lnfo~mation
cort.
Systems Auditor"
-.::;;;:t:.;:-~
Chapitre 5 - Protection des Actifs Informationnels
Certaines des différences entre l'cxtcrnalisntion ct d'autres
formes de disposition de service de tierce partie comprennent
la question de la fiabilité, de la planific<liion de la période de
transition et Je l'interruption possible des opérations au cours
de cette période, des mesures de planification d'urgence ct des
contrôles préalables, ainsi que de la cueillette et de la gestion de
1'information sur les incidents reliés à la sécUiité. Par conséquent,
il est impmiant que l'entreprise planifie et gère la transition vers
un accord d'cxternalisation et soit munie de processus adéquats
pour gérer les changements ct la renégociation ou la cessation des
accords.
Les procédures visant à poursuivre le traitement dans
l'éventualité que la tierce partie devienne incapable de fournir ses
services doivent être considérés dans l'accord, pour éviter tout
délai à la mise en place de services de remplacement. Les accords
avec les tierces parties peuvent aussi impliquer d'autres pmtics.
Les accords qui octroient l'accès aux tierces parties doivent
inclure la pem1ission de désigner d'autres parties admissibles et
les conditions ù leur accès et participation.
Il pourrait être nécessaire d'exiger que le tiers soit certifié
conforme aux normes de sécurité reconnues (par exemple
ISO 27001 ).
Généralement, les accords sont d'abord rédigés par l'entreprise.
Dans certaines circonstances, un accord peut être rédigé et
imposé à une entreprise par une tierce partie. L'entreprise doit
s'assurerque sa propre sécurité n'est pas inutilement louchée par
les exigences de la tierce partie stipulée dans les accords imposés.
5.2.11 SÉCURITÉ DES RESSOURCES HUMAINES ET
TIERCES PARTIES
Des pratiques adéquates concernant la sécurité de l'information
doivent être en place pour assurer que les employés, les
entrepreneurs et les utilisateurs de tierce pmtîe comprennent leurs
responsabilités et qu'ils sont aptes à oœuper les rôles qui leur
sont confiés. Ces pratiques doivent également réduire le risque
de vol, de fraude ou de mauvaise utilisation des installations. Les
pratiques de sécurité comprennent plus particulièrement;
• Il faut aborder la question des responsabilités de la sécmité
avant l'embauche dans des dcsc1iptions d'emploi convenables et
dans les modalités d'emploi.
• Tous les candidats, les entrepreneurs et les utilisateurs de tierces
pa1ties doivent être bien sélcctîonnés, spécialement pour les
emplois à caractère sensible.
• Les employés, les entrepreneurs et les utilisateurs des tierces
parties des installations de traitement de l'information doivent
signer un accord concernant leur rôle et responsabilités reliés à
la sécurité, incluant le maintien de la confidentialité.
Les rôles et les responsabilités reliés à la sécurité des employés,
des entrepreneurs et des utilisateurs de tierce parties doivent être
définis et documentés en conformité avec la politique de sécurité
de l'information de l'entreprise.
Vérification des antécédents
Tous les candidats, entrepreneurs et utilisateurs des tierces
parties doivent faire l'objet d'une vérification des antécédents
documentée, en confürrnité avec les lois, réglementations et les
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rCservés.
Section deux : Contenu
règles d'éthique pertinentes, et proportionnelle aux exigences
opérationnelles, il la classification de l'information à laquelle ils
auront accès et aux risques perçus. Lorsque les entrepreneurs sont
fournis par une agence, te contrat avec l'agence doit clairement
stipuler les responsabilités de 11agcnce en ce qui concerne la
sélection et les procédures de notification qu'elles doivent.
suivre si la sélection n1a pas été faite ou si les résultats sèment
le doute. De la même manière, l'accord avec la tierce partie doit
spécifier clairement toutes les responsabilités et les procédures de
notifîcation pour la sélection.
Modalités d'embauche
Il est de leur obligation contractuelle que les employés, les
entrepreneurs et les utilisateurs des tierces parties acceptent ct
signent les modalités de leur embauche, qui doit stipuler leurs
responsabilités et celles de l'entreprise en ce qui concerne la
sécurité de l'information. Les modalités d'embauche doivent être
conformes à la politique de sécurité de l'entreprise, en plus de
clarifier et d'énoncer:
• Que tous les employés, les entTepreneurs et les utilisateurs de
tierces parties qui reçoivent l'accès à de l'information sensible
doivent signer une entente de confidentialité ou de non-
divulgation avant de se voir accorder l'accès aux installations de
traitement de l'information.
• Les responsabilités et les droits légaux de l'employé, de
l'entrepreneur ct de tout autre utilisateur (par exemple en ce qui
concerne les lois sur les droits d 1auteur ou les législations sur la
protection des données).
• Les responsabilités pour la classification de l'information et
la gestion des actif.o:.; organisationnels associés aux systèmes
d'infonnation et services traités par l'employé, l'entrepreneur
ou l'utilisateur de tierce patiie.
• Les responsabilités de J'employé, de l'entrepreneur ou de
l'utilisateur de tierce partie en ce qui concerne le traitement de
Finfürmation reçue d'autres cntrep1ises ou de patties externes.
• Les responsabilités de l'entreprise pour le traitement de
l'infOrmation personnelle, incluant l'information personnelle
dont la création résulte de ou se fait dans le cadre de l'embauche
au sein de l'entreptise.
• Les responsabilités qui sont étendues hors des installations de
l'entreprise et en dehors des heures normales de travail (par
exemple dans le cas du travail à domicile).
• Les actions qui doivent être prises si l'employé, !'entrepreneur
ou 1'utilisateur de tierce pmtie fait fi des exigences de sécurité
de l'entreprise.
t?entreprisc doit s'assurer que les employés, les entrepreneurs
et les utilisateurs de tierces parties s'entendent sur les modalités
associées aux systèmes et aux services de l'infOrmation et
qui conviennent à la nature et à l'étendue de t·accès qu'ils
auront aux actif.'> de l'entreprise reliés aux systèmes ct services
d'infOrmation. Lorsque pertinent, les responsabilités mentionnées
dans les modalités d'embauche doivent se poursuivre pour une
période définie après la fin de l'emploi.
Durant l'emploi
La direction doit exiger que les employés, les entrepreneurs
el les utilisateurs des tierces parties appliquent les règles de
sécurité conformément aux politiques établies et aux procédures
de l'entreprise. Les responsabilités spéC-ifiques doivent être
389
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels eiSA' Certified
documentées dans les descriptions d'emploi approuvées. Cela
permettra d'assurer que les employés, les entrepreneurs et les
utilisateurs de tierce parties sont conscients des menaces ct des
inquiétudes concernant la sécurité de l'infOrmation, de leurs
responsabilités et imputabilité, ct sont outillés pour soutenir la
politique de sécurité organisationnelle dans le cadre de leur travail
nonnal. Cela permettra également de réduire le risque d'erreur
humaine. Il Hmt définir les responsabilités de gestion pour assurer
que la sécurité est appliquée pendant toute la durée d'emploi
d'une personne au sein de l'entreprise. Il faut offrir à tous les
employés, e.ntreprcneurs ct utilisateurs des tierces parties un
niveau convenable de sensibilisation, d'éducalion et de formation
en ce qui a trait aux procédures de sécurité et à l'utilisation
correcte des installations de traitement de 1'information afin
de minimiser les risques possibles de sécurité. Un processus
disciplinaire formel pour le traitement des brèches de sécurité
doit être établi.
Résiliation ou changement d'emploi
Un processus doit être en place afin de gérer le départ d'un
employé, d'un entrepreneur ou d'un utilisateur tiers, y compris
pour assurer le retour de tous les équipements et la suppression
de tous les droits d'accès. La communication des responsabilités
de résiliation doit inclure les exigences de sécurité continues ct
les responsabilités légales et, lorsque pertinent, les responsabilités
contenues dans toute entente de confidentialité, ainsi que les
modalités d'embauche se poursuivant pour une période définie
après le départ de J'employé, de l'entrepreneur ou de l'utilisateur
de tierce partie. Les responsabilités ct les tâches toujours en
vigueur après la fin de l'emploi doivent être stipulées dans le
contrat de l'employé, de l'entrepreneur ou de l'utilisateur de
tierce partie.
Suppression des droits d'accès
Les droits d'accès de tous les employés, entrepreneurs ct
utilisateurs de tierce partie à l'infOrmation ct aux installations de
trailement de Pinfbrmatlon doivent. être supprimés dès la fin de
leur emploi, contrat ou accord ou ajustés. Les droits d'accès qui
doivent être supprimés ou adaptés incluent les accès physiques
et logiques, les clés, les cartes d'identification, les installations
de trnitement de l'information, les inscriptions, et la suppression
de toute documentation les identifiant comme un membre actuel
de l'entreprise. Cela implique qu'il faut aviser les partenaires
et les tierces parties pertinentes, si un employé qui quitte ses
fonctions possède l'accès aux installations de la tierce partie. Si
un employé, un entrepreneur ou un utilisateur de tierce partie
qui quitte est au courant de mots de passe pour des comptes qui
demeureront actifs, ces mots de passe devraient êtTe modifiés
dès le départ ou le changement d'emploi, du contrat ou de
l'accord. Les droits d'accès pour les actifs informationnels ct les
installations de traitement de l'informai ion doivent ètrc réduits ou
supprimés avant que l'emploi ne se termine ou ne change, selon
l'évaluation des facteurs de risque comme:
• Si le départ ou le changement est initié par l'employé,
l'entrepreneur ou ]!utilisateur de tierce partie, ou par la direction
et la raison du départ.
• Les responsabilités actuelles de 1'employé, de l'entrepreneur ou
de n'importe quel autre utilisateur.
• La valeur des actif.:.; qui sont actuellement disponibles.
390
H Syslllms Auditor'
lnfu~alion
'-'~'""""''"'"''
Des procédures doivent être en place afin d'assurer que les
gestionnaires de la sécurité de l'infOrmation soient informés
rapidement de tous les mouvements de personnel, incluant les
employés qui quittent l'organisation.
5.2.12 PROBLÈMES ET EXPOSITION AUX CRIMES
INFORMATIQUES
Les systèmes informatiques peuvent être utilisés pour obtenir
frauduleusement de l'argent, des biens, des logiciels ou de
l'intOrmation d'entreprise. Des crimes peuvent aussi être commis
lorsque le processus d'application informatique ou les données
sont manipulés pour accepter des transactions fausses ou non
autorisées. On retrouve aussi la méthode simple et non technique
de crime informatique: le vol d'équipement informatique.
Les crimes infom1atiqucs peuvent .se produire sans que quoi
que ce soit ne soit physiquement pris ou volé, ct ils peuvent être
effectués aussi facilement qu'en ouvrant une session à distance.
Le simple fait de voir les données inJOnnatisées peut fournir à
un contrevenant assez d'intelligence pour voler des idées ou de
l'information confidentielle (propriété intellectuelle). Dans le cas
de systèmes reliés à des WAN ou à lntemet, la scène de crime
pourrait se situer n'importe où dans le monde. cc qui rend une
enquête très difficile. Les cybcrcriminels prennent avantage des
écatis existant dans la réglementation des diflërents pays lors
de l:1 planification de cyber-allaques afin d'éviter une poursuite
judiciaire.
Les crimes qui exploitent l'ordinnteur ct les renseignements qu'il
contient peuvent être dévastateurs pour la réputation, le moral
ella permanence d'une entrep1ise. Il peut en résulter !a perte de
clients ou d'une pat1 du marché, l'embarras de la direction ct
des procédures judiciJires entreprises contre l'entreprise. Les
menaces à l'entreprise comprennent:
• Les pertes financières~- Ces pertes peuvent être directes, soit la
perte de fonds électronique, ou indirectes, soit les frais encourus
pour corriger l'exposition.
• Répercussions légales-· Il existe un grand nombre de lois sur
la confidentialité et les droits humains qu'une entreprise doit
prendre e-n considémtion lorsqu'elle élabore des politiques et
procédures de sécurité. Ces lois peuvent protéger l'entreprise,
mais elles peuvent aussi protéger l'auteur d'un crime contre une
poursuite judiciaire. De plus, si une entreprise n ·est pas dotée
des mesures de sécurité appropriées, elle pourrait être exposée à
des poursuites de la part des investisseurs et des assureurs si une
pcite significative survient après une infraction à la sécurité.
La plupart des entreprises doivent aussi se plier aux exigences
des agences réglementaires propres à !Industrie. !.?auditeur des
SI doit demander de l'assistance juridique lorsqu 'il révise les
questions d'ordre juridique associées à la sécurité informatique.
• Perte de crédibilité ou de l'avantage concurrentiel-~
Beaucoup d'entreprises, particulièrement les firmes de
services comme les banques, les firmes d'épargne, de prêts ct
d'investissement, ont besoin de crédibilité et de la confiance
du public pour maintenir leur avantage concurrentiel. Une
infraction à la sécurité peut miner sérieusement la crédibilité, ce
qui e-ntraîne une pe1ie d'affaires et de prestige.
• Chantage/espionnage industriel/crime organisé- En ayant
accès à l'information confidentielle ou ù un moyen d'influencer
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . M Systems
~~-
.. "''.nnatioo
Certifled Auditor" Chapitre 5 - Protection des Actifs Informationnels
négativement les activités infOrmatiques, un auteur de crime
peut extorquer des paiements ou des services d'une entreprise
en menaçant d'exploiter les brèches de sécurité ou de divulguer
publiquement les informations confidentielles de l'entreprise.
De plus. en obtenant cet accès, J'auteur de crime pourrait mettre
la main sur des informations exclusives ct les vendre Il un
concurrent.
• Divulgation d'informations confidentielles, sensibles ou
embarrassantes ··Tel que mentionné précédemment, de tels
événements pcuvenl endommager la crédibilité d'une entreprise
et ses moyens de faire des af-Htires. Des actions légales ou
réglementaires contre l'entreprise peuvent aussi être le résultal
de la divulgation.
• Sabotage-~ Quelques auteurs de crime ne veulent pas de
gains financiers. Ils veulent seulement causer des dommages
en raison de leur haine contre une entreprise ou pour une
satisfaction personndle. «L'activisme pirate>> en est une forme
où les auteurs de crime utilisent de façon non violente des outils
numériques illégaux ou de légalité ambigüe pour atteindre des
objectif:-; politiques.
Il est important que l'auditeur des SI connaisse ct comprenne les
différences entre un crime infonnatique ct un abus informatique
afin de soutenir les méthodologies d'analyse du1isque et les
pratiques de contrôle connexes. Cc qui constitue un crime
dépend de la juridiction et de la décision du tribunal. Cc1iains
manquements à la sécurité peuvent constituer des infractions
civiles ou pénales. Cela fait intervenir les exigences concemant
cc qu'une entreprise doit faire advenant le cas où elle soupçonne
un tel crime (c.-à-d. la protection de preuves, le signalement d'un
crime. etc).
Les auteurs de crimes informatiques sont souvent les mêmes
qui exploitent les expositions physiques, même sî les aptitudes
nécessaires pour exploiter les expositions logiques sont plus
techniques et complexes. Les auteurs possibles incluent les:
• Pirates {aussi connus sous Je nom de pirates informatiques)
--Les gens qui possèdent la capacité d'explorer les détails des
systèmes programmables ct la connaissance pour étendre ou
exploiter leurs capacités, qu'elles soient éthiques ou non. Les
pirates tentent normalement de tester les limites des restrictions
d'accès pour prouver leur capacité à surmonter les obstacles.
Souvent, beaucoup d'entre eux n'accèdent pas à un ordinateur
dans lïntention de détruire, même si c'est souvent ce qui arrive.
Les« pirates activistes» (Hacktivists) ct les pirates criminels
en sont deux types. Certains pirates ont pour intention de
commettre un crime de par leurs actions pour une cc1iainc
satisfaction ou un certain gain personnel. Les termes bidouillage
et crac sont souvent utilisés de manière interchangeable.
• Pirates adolescents·· Les pirates adolescents font rCfërence à
des individus qui utilisent les scripts ct les programmes écrits
par d'autres pour etlèctuer leurs intrusions et qui sont souvent
incapables d'écrire eux-mêmes des sc1ipts similaires.
• Employés {autorisés ou non autorisés)- Affiliés à
l'entreprise el possédant un accès au système en raison de leurs
responsabilités professionnelles, ces personnes peuvent causer
un grand préjudice à l'entreprise. Par conséquent, la sélection
des employés éventuels en vérifiant convenablement leurs
antécédents s'avère être un moyen important de prévenir les
crimes informatiques au sein de l'entreprise.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
Section deux : Contenu
• Employés des TI··- Ces personnes possèdent l'accès le plus
f-Jcîle aux renseignements informatiques puisqu'ils sont
responsables de ces renseignements. En plus des contrôles
d'accès logiques, la bonne séparation des tâches et la
supervision aident à réduire les infractions d'accès logiques par
ces individus.
• Utilisateurs finaux·- Le personnel qui possède souvent une
grande connaissance de J'information au sein de l'entreprise et
qui possède un accès facile aux ressources intemcs.
• Anciens employés -- Les anciens employés qui ont quitté en
mauvais termes peuvent toujours avoir accès si ce demi cr
n'a pas été immédiatement retiré au moment de la cessation
d'emploi ou si le système possède des« portes dérobées».
• l'ays -·Comme de plus en plus d'infrastructure critique est
contrôlée par Internet (p. ex., systèmes SCADA) ct que de plus
en plus d'organisations et d'entreprises nationales majeures
dépendent d'Internet, il n'est pas inhabituel que des pays
s'attaquent l'un et l'autre.
• Tiers intéressés ou éduqués- Ils peuvent comprendre les :
--- C-Oncurrents
-Terroristes
·-Criminels organisés
--Pirates qui recherchent un défi
·- Pirates adolescents qui ont pour but la cmiosité, la balade ct
1'essai de leurs nouveaux outils/scripts ct exploits
-- Pimtes infOrmatiques
-Pirates téléphoniques
• Employés à temps partiel et temporaires-- Souvenez-vous
que les employés à forfait, comme les employés de ménage
des bureaux, possèdent un grand nombre d'accès physiques et
pourraient perpétrer un crime informatique.
• Tierces par1ies- Les f-Qurnisscurs. les visiteurs, les consultants
ou d'autres tierces parties qui, par des projets, obtiennent l'accès
aux ressources de l'entreprise et pourraient perpétrer un elime.
• Opportunistes-·- Lorsque de l'inf-Ormation est laissée par
mégarde sans surveillance ou est destinée à être détruite, un
passant peut y avoir accès.
• Ignorants accidentels-- Quelqu'un qui. sans le savoir, perpètre
une inf-i·action.
D'autres exemples de criminels incluent des petits escrocs, le
crime organisé et les ac-livités criminelles sous l'égide d'un f:.tat.
Même si la collaboration a été améliorée dans la résolution
de cybercrimes commis d'un pays à un autre, les problèmes
politiques qui existent entre quelques pays peuvent nuire
à une enquête. Par conséquent, des mesures préventives
supplémentaires doivent ètrc prises pour protéger les systèmes
d'information vulnérables aux attaques internationales.
Les tableaux 5.11 et 5.12 décrivent les méthodes et techniques
d'attaques communes pour les crimes informatiques. Les
auteurs peuvent utiliser une méthode ou plusieurs en tandem pour
commettre un crime.
391
Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels eiS"'' Gertified,!nfo.~malion
"' H. Systems AuditOf'
;:,-~--

Tableau 5.11 -Crimes iiîlormatiques

Source de l'attaque Cible de l'attaque Exemples
~ordinateur est la cible du crime Ordinateur spécifique identifié. • Déni de service
• Piratage
Les auteurs utilisent un autre ordinateur pour
lancer une attaque
~ordinateur est le sujet du crime La cible peut ou peut ne pas être définie. • Dénis de service distribué
~auteur lance l'attaque sans cible spécifique • Logiciel malveillant
L'auteur utilise l'ordinateur pour commettre un en tête.
crime et la cible est un autre ordinateur
~ordinateur est l'outil du crime La cible est les données ou l'information stockée • Fraudes
sur l'ordinateur. • Accès non autorisé
Les auteurs utilisent l'ordinateur pour commettre • Hameçonnage
le crime mais la cible n'est pas l'ordinateur • Installation des autorisations d'accès clés
~ordinateur symbolise le crime La cible est l'utilisateur des ordinateurs. • Méthodes d'ingénierie sociale comme :
- Hameçonnage
~auteur charme l'utilisateur des ordinateurs - Faux sites Web
pour obtenir de l'information confidentielle - Pourrîels
- Pollupostage
-Faux c-v pour l'embauche

392 Manuel de Préparation CISA 26' édition

ISACA. Tous droits réservés.
e !~~=. ~:';.'"" Chapitre 5 - Protection des Actifs Informationnels Section deux : Contenu

Tableau 5.12- Méthodes et têchniques d'altâque communes

Attaque par altération Se produit lorsque des modifications non autorisées affectent l'intégrité des données ou du code

Exemples : Modification non autorisée du code binaire pendant le cycle de développement des logiciels ou ajout de
bibliothèques non autorisées pendant la recompilation de programmes existants

Le hachage de chiffrement est un des principaux moyens de défense contre les attaques par altération.
Réseau zombie Comprend un ensemble d'ordinateurs compromis (appelés ordinateurs zombies) exécutant des logiciels, généralement
installés par l'intermédiaire d'un ver, d'un cheval de Troie ou de trappes

Exemples: Déni de service, logiciel publicitaire, logiciel espion et pourrie!

Attaque en force Attaque lancée par un intrus, à l'aide d'un des nombreux outils de décodage des mots de passe disponible gratuitement
ou à faible coût, sur des mots de passe chiffrés pour tenter d'obtenir un accès non autorisé au réseau ou aux systèmes
hôtes d'une entreprise
Déni de service Exemples:
Attaque par inondation ICMP :
• Attaque par réflexion- Se produit lorsque des périphériques de réseau mal configurés permettent à des paquets d'être
envoyés à tous les hôtes d'un réseau donné par l'intermédiaire de l'adresse de diffusion
• Inondation ping - Se produit lorsque le système ciblé est bombardé de paquets ping
•Inondation SYN- Envoie un raz-de-marée de paquets TCP/SYN avec de fausses adresses d'expéditeur, causant des
connexions semi-ouvertes et saturant la capacité de connexion disponible sur la machine ciblée

Attaque • teardrop " - Envoi à la machine ciblée des fragments IP déformés dont les données utiles se recoupent ou sont
trop gros.

Attaque poste à poste - Fait en sorte que les clients de grands concentrateurs de partage poste à poste se débranchent
de leur réseau poste à poste pour se connecter au site Web de la victime. Par conséquent, plusieurs milliers d'ordinateurs
peuvent tenter agressivement de se brancher au site Web ciblé, causant une dégradation de la pertormance.

Attaque de déni de service permanent (aussi appelé" plllashing ")-Endommage le matériel du système au point où il
doit être remplacé.

Attaques par inondation au niveau de l'application :

• Le dépassement de mémoire tampon accapare la mémoire disponible ou le temps UC.
• Attaque en force -Inonde la cible d'un flux de paquets impossible à traiter, saturant la bande passante de connexion ou
épuisant les ressources du système.
• Attaques par inondation saturant la bande passante - Nécessite une capacité de bande passante plus grande chez
l'agresseur que chez la victime.
• Attaque" en banane"- Redirige les messages sortants du client vers lui-même, empêchant l'accès à l'extérieur, en
plus d'inonder le client des paquets envoyés.
• " Pulsing zombie " - Une attaque de déni de service lors de laquelle un réseau est sujet à des émissions de signaux
ping par différents ordinateurs agresseurs pendant une longue période de temps. Il en résulte une dégradation de la
qualité du service et une augmentation de la charge de travail pour les ressources du réseau.

Attaque directe - Une attaque de déni de service contre les réseaux informatiques lors de laquelle des paquets ICMP
fragmentés ou invalides sont envoyés à la cible. Un utilitaire ping modifié sert à envoyer des données corrompues à
répétition, ralentissant l'ordinateur visé jusqu'à l'arrêter complètement.

Déni de service distribué- Se produit lorsque de multiples systèmes compromis inondent la bande passante ou les
ressources du système ciblé.

Attaque réfléchie- Envoi de fausses requêtes à un grand nombre d'ordinateurs qui y répondront. ~adresse IP source est
une copie de celle de la victime ciblée, causant une inondation de réponses.

Attaque non intentionnelle- Un site Web devient inaccessible, pas à cause d'une attaque délibérée de la part d'un individu
ou d'un groupe, mais simplement à cause d'une croissance énorme et soudaine de sa popularité.
Intrusion par réseau Un intrus détermine la plage de numéros de téléphones à partir de sources externes, comme Internet. ~intrus peut aussi
commuté (composition mettre en œuvre des tactiques d'ingénierie sociale afin d'obtenir des renseignements de la réceptionniste de l'entreprise
intensive de numéros de ou d'un employé bien informé à l'intérieur de l'entreprise.
téléphone)

Manuel de Préparation CISA 26' édition 393

ISACA. Tous droits rêservés.
Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels eiSA'
"" H
Certified lnfo~aHon
Systems Aud1tor"
"''""'"'""'""'"'

\Tableau 5.12- Méthodes et techniques d'attaque communes

Écoute illégale ~intrus recueille de l'information qui circule sur le réseau avec l'intention d'acquéiir et de révéler le contenu du
message pour une analyse personnelle ou celle d'une tierce partie qui lui a commandé cette écoute. Cette action est
particulièrement importante quand on considère que de l'information sensible circulant sur un réseau, y compris des
courriels, des mots de passe et, dans certains cas, des saisies de frappes, peut être visualisée en temps réel par toutes
les autres machines. Ces activités peuvent permettre à l'intrus d'avoir un accès non autorisé, d'utiliser frauduleusement
des renseignements, comme ceux relatifs aux comptes de carte de crédit, et aussi de compromettre la confidentialité de
l'information sensible, ce qui pourrait mettre en péril ou nuire à la réputation d'une personne ou d'une organisation.
Attaques et techniques Bombardement courriel-11 s'agit de l'action d'un abuseur qui envoie le même message de façon répétée à une adresse
liées aux courriels électronique particulière.

Le pollupostage (aussi connu comme étant du courriel commercial non sollicité ou du courriel indésirable) est une variante
du bombardement; il consiste à envoyer un courriel à des centaines de milliers d'utilisateurs (ou à une liste de personnes
qui contient autant d'utilisateurs).ll peut aussi survenir innocemment; par exemple, à cause d'un message envoyé à une
liste de messagerie sans réaliser que cette liste se déploie en milliers d'utilisateurs, ou bien à cause d'un mauvais réglage
d'un message automatique, comme une alerte de vacances.
• Le pourrie! est dérangeant et a un impact important sur la productivité; c'est pourquoi on considère qu'il représente un
risque pour l'entreprise.
• Lorsqu'un récipiendaire répond à du pourrie!, son adresse courriel est validée et révèle de l'information.
• Le pourrie! peut être combiné à des courriels frauduleux (voir ci-dessous), ce qui rend plus difficile de déterminer la
source du courriel.
• Le pourrie! est géré à l'aide du protocole d'identification des expéditeurs SPF et d'outils comme les filtres bayesiens et
les listes grises.

Courriels frauduleux- Peuvent se présenter sous différentes formes, mais ont tous un résultat semblable : un utilisateur
reçoit un courriel qui semble provenir d'une source alors qu'il a été envoyé par une autre. Les courriels frauduleux
consistent souvent en une tentative de déjouer l'utilisateur afin qu'il fasse une déclaration dommageable ou qu'il dévoile
de l'information sensible comme les mots de passe ou de l'information sur le compte. Voici des exemples de courriels
frauduleux qui pourraient nuire à la sécurrté d'un site :
• Des courriels qui prétendent provenir d'un administrateur de système qui demande aux utilisateurs de changer leurs
mots de passe en une chaîne de caractères précise et les menace de suspendre leur compte s'ils ne le font pas;
• Des courriels qui prétendent provenir d'une personne ayant l'autorité pour demander aux utilisateurs de faire parvenir
une copie d'un fichier de mots de passe ou d'autres renseignements sensibles.

Hameçonnage- Le processus frauduleux criminel de tentative d'acquisition d'information sensible, comme des noms
d'utilisateur, des mots de passe et des données de carte de crédtt, en usurpant l'identité d'une entité digne de confiance
dans une communication électronique Les techniques d'hameçonnage comprennent l'ingénierie sociale, la manipulation
de liens et la création de faux sites Web.

Hameçonnage ciblé- Une attaque ciblée contre un sous-ensemble d'individus (utilisateurs d'un site Web ou d'un produit,
employés d'une entreprise, membres d'une organisation) pour nuire à leur entreprise ou organisation.
Inondation Une attaque de déni de service qui paralyse un réseau ou service en l'inondant d'un volume de trafic élevé. La mémoire
tampon de l'hôte est débordée de connexions ne pouvant être complétées.
Attaque par intemuption Se produit lorsqu'une action malveillante est effectuée en demandant au système d'exploitation d'exécuter un appel
système donné. Exemple :un virus secteur de démarrage émet généralement une interruption à l'exécution d'un
enregistrement au secteur de démarrage.

394 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e . H
Certified lnfo:mation
Systems Auditor"
AAFMCXO~Cf<>lOO
Chapitre 5 - Protection des Actifs Informationnels Section deux : Contenu

Tableau 5.12- Méthodes et l,ijj;hniques d'attaque communes ~

Code malveillant Chevaux de Troie- Programmes déguisés en programmes utiles, tels que des correctifs du système d'exploitation, des
ensembles de logiciels ou des jeux. Une fois exécutés, par contre, les chevaux de Tro'1e accomplissent des actions non
prévues par l'utilisateur, par exemple l'ouverture de certains ports pour permettre un accès ultérieur de l'intrus.

Bombe logique- Un programme ou une section d'un programme déclenchés lorsque des conditions, moment
ou événements donnés se produisent. Les bombes logiques entraînent généralement le sabotage des systèmes
informatiques et sont souvent déployées à l'interne par des individus mécontents ayant accès aux programmes. Par
exemple, un programmeur mécontent qui vient d'apprendre que l'entreprise le met à pied pourrait concevoir une bombe
logique pour effacer des fichiers ou bases de données critiques. Les bombes logiques peuvent aussi être utilisées contre
les agresseurs. Les administrateurs installent partais intentionnellement de fausses vulnérabilités, aussi appelées leurres,
qui semblent faciles à attaquer, mais qui servent en réalité d'alertes ou de déclencheurs d'actions automatiques lorsqu'un
intrus tente de les exploiter.

Attaque de l'homme du
milieu
Usurpation d'identité
Trappes- Souvent appelées portes dérobées. Morceaux de code intégrés aux programmes par les programmeurs pour un
accès rapide pendant la phase de test ou de débogage. Si un programmeur sans scrupules laisse volontairement ce code
dans le programme (ou oublie simplement de l'effacer), une faille de sécurité potentielle est introduite. Les pirates cachent
souvent une porte dérobée dans des systèmes préalablement compromis pour y accéder de nouveau ultérieurement.
~analyse de vecteur de menace (un type d'architecture de défense approfondie), la séparation des tâches et l'audit des
codes contribuent à la protection contre les bombes logiques et les trappes.
Les scénarios suivants peuvent se réaliser :
• L'attaquant établit activement une connexion à deux dispositifs. Il se connecte à chacun des dispositifs et prétend, face
à chacun d'eux, qu'il est l'autre. Dans le cas où le dispositif de l'attaquant doit établir son authenticité face à l'un des
dispositifs, il transfère la demande d'authentification à l'autre dispositif, puis retourne la réponse au premier dispositif.
Une fois qu'il a ainsi établi son authenticité, l'attaquant peut interagir à son gré avec le dispositif. Pour mener à bien
cette attaque, les deux dispositifs doivent être connectables.
• L'attaquant s'immisce au moment où les deux dispositifs établissent une connexion. Pendant ce processus, les
dispositifs doivent synchroniser la séquence de saut qui sera utilisée. L'agresseur peut empêcher cette synchronisation,
de sorte que les deux dispositifs utilisent la même séquence mais avec un décalage différent à l'intérieur de la
séquence.
Une attaque active par laquelle un intrus présente une identrté autre que l'originale. Le but de cette attaque est d'obtenir
un accès aux données sensibles ou aux ressources informatiques ou du réseau qu'il serait autrement impossible d'obtenir
avec l'identité originale. ~usurpation d'identrté s'attaque aussi à l'attribut d'authentification en permettant à une véritable
session d'authentification d'avoir lieu pour, plus tard, pénétrer dans le flot d'information en usurpant l'identité d'un des
utilisateurs authentifiés de la session.

~usurpation tant par des individus que par des machines entre dans cette catégorie.

Modification de message
Analyse de réseau
Réinjection de paquets
Usurpation d'identité par des machines (aussi appelée usurpation d'adresse IP)- Une fausse adresse IP est présentée. Ce
genre d'attaque est souvent utilisé en tant que moyen de percer un coupe~ feu.
La modification consiste à capturer un message et à lui apporter des modifications ou des suppressions non autorisées
(du flot entier ou une partie du message), à changer la séquence ou à retarder la transmission des messages capturés.
Cette attaque peut avoir des conséquences désastreuses si, par exemple, le message est une consigne de paiement à
l'intention d'une banque.
~intrus met en œuvre une approche systématique et méthodique, connue sous le nom de footprinting (empreinte),
pour créer un profil complet de l'infrastructure de la sécurité du réseau d'une organisation. Au cours de cette phase de
reconnaissance initiale, l'intrus utilise une combinaison d'outils et de techniques pour accumuler un bagage d'information
à propos d'un réseau interne particulier de l'entreprise. Celui~ci comprendrait de l'information au sujet des pseudonymes,
des fonctions, des adresses internes ainsi que des passerelles et des coupe-feu possibles. Ensuite, l'intrus se concentre
sur des systèmes à l'intérieur de l'espace d'adresse ciblé qui ont répondu aux requêtes de réseau. Dès que le système a
été ciblé, l'intrus balaie les ports du système afin de déterminer les services et le système d'exploitation exécutés sur le
système ciblé et qui, possiblement, révélera quels sont les services vulnérables pouvant être exploités.
Une combinaison de modes d'attaque passifs et actifs. ~intrus capture de façon passive un flot de paquets de données
alors que ce flot circule dans un réseau non protégé ou vulnérable. Ces paquets sont ensuite activement insérés dans les
réseaux comme si le flot formait un autre flot de messages authentique. Cette forme d'attaque est surtout efficace lorsque
le récepteur du canal de communication est automatisé et qu'il agira sur la réception et l'interprétation des paquets
d'information sans intervention humaine.

Manuel de Préparation C/SA 26" édition 395

ISACA. Tous droits réservés.
Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels eiS"' K Certilied
Systems lnlo!'ffiatlon
Audilor'
'-'""'-'"'"'""''...

Tableau 5.12- Méthodes et techniques d'allâque communes

Détournement de domaine Une attaque visant à détourner le trafic d'un site Web vers un site Web malveillant. Le détournement de domaine peut
avoir lieu soit en changeant le fichier de l'hôte sur l'ordinateur d'une victime, soit en exploitant une vulnérabilité du logiciel
de serveur de noms de domaines. Les serveurs de noms de domaines s'occupent d'associer les noms Internet à leur
véritable adresse- ils sont en quelque sorte la" signalisation • de l'Internet. On dit parfois que les serveurs de noms de
domaines compromis sont" empoisonnés'· Ces dernières années, tant l'hameçonnage que le détournement de domaine
ont été utilisés pour voler des renseignements sur l'identité. Le détournement de domaine est devenu une préoccupation
majeure des entreprises de commerce électronique et des propriétaires de sites Web de services bancaires en ligne.
Des mesures perfectionnées appelées anti-détoumement de domaines sont nécessaires pour permettre une protection
contre cette menace grave. Les logiciels antivirus et de nettoyage de logiciels espion n'offrent pas de protection contre le
détournement de domaine.
Talonnage L'action de suivre une personne autorisée en franchissant une porte sécurisée ou de s'attacher électroniquement à une
liaison de télécommunication autorisée pour intercepter et possiblement altérer les transmissions. Le talonnage est
considéré comme une intrusion physique.
Situations de compétition Exploitent une petite fenêtre de temps entre le moment où le contrôle de sécurité est appliqué et celui où le service est
(aussi appelées attaques utilisé. ~exposition à une situation de compétition augmente proportionnellement avec la différence de temps entre le TOC
TOC [time of check] et TOU et le TOU. ~interférence a lieu lorsqu'un appareil ou système tente d'effectuer deux opérations ou plus au même moment,
[time of use]) mais que la nature de l'appareil ou du système exige que les opérations se déroulent dans la bonne séquence.

Les situations de compétition se produisent à cause d'interférences causées par les conditions suivantes:
• Séquence non atomique - Ces conditions sont causées par des procédés non dignes de confiance, tels que ceux
invoqués par un agresseur, qui peuvent se glisser entre les étapes du processus séculisé.
• lnterblocage, interblocage actif ou défaillance de blocage- Ces conditions sont causées par des processus de confiance
qui exécutent le même programme. Puisque ces processus différents peuvent avoir les mêmes privilèges, ils peuvent se
nuire les uns aux autres s'ils ne sont pas contrôlés adéquatement.

Une programmation soignée et de bonnes pratiques d'administration contribuent à réduire les situations de compétition.
Outils d'entretien à S'ils ne sont pas adéquatement sécurisés et contrôlés, ils peuvent servir de méthode d'attaque permettant à des pirates
distance d'obtenir un accès poussé à distance et d'endommager le système ciblé
Énumération des Lorsque l'agresseur dresse la liste des diverses ressources (noms, répertoires, privilèges, partages, politiques) des hôtes
ressources et furetage et réseaux ciblés

Furetage- Une forme d'attaque par énumération des ressources effectuée par recherche manuelle, fréquemment
assistée de commandes et d'outils disponibles dans les logiciels, les systèmes d'exploitation ou les utilrtaires ajoutés
Saucissonnage Prélèvement de petites sommes d'argent d'un compte ou d'une transaction informatisés. Semblable à la technique
d'arrondissement. La différence entre la technique d'arrondissement et le saucissonnage est que dans l'arrondissement,
le programme arrondit à partir de la plus petite fraction.

Par exemple, avec la technique d'arrondissement, une transaction de 1 235 954,39 $US pourrart être arrondie à
1 235 954,35 $US. Par contre, la technique du saucissonnage retranche les derniers chiffres de la somme; ainsi,
1 235 954,39 $US devient 1 235 954,30 $US ou 1 235 954,00 $US, tout dépendant de l'algorithme ou de la formule
intégrés au programme. En fait, les autres variations de la même technique sont appliquées aux taux et pourcentages.
Ingénierie sociale ~aspect humain dans l'entrée par effraction dans un système informatique. Les entreprises qui possèdent des mesures
préventives de sécurité technique telles que les procédés d'authentification, les coupe-feu et le chiffrement peuvent
quand même ne pas réussir à protéger leurs systèmes d'information. Cela peut se produire si un employé donne, sans
le savoir, de l'information confidentielle (p. ex., des mots de passe et des adresses IP) en répondant à des questions
au téléphone avec quelqu'un qu'il ne cannait pas ou en répondant à un courriel provenant d'une personne inconnue.
Quelques exemples d'ingénierie sociale incluent l'usurpation d'identité au moyen d'un appel téléphonique, la fouille
de poubelles et le piquage de mot de passe. Le meilleur moyen de se défendre contre l'ingénierie sociale est d'avoir
un programme continu de sensibilisation à la sécurité au moyen duquel tous les employés et les tierces parties (qui
possèdent l'accès aux installations de l'entreprise) sont formés sur le risque impliqué dans le fait de devenir une proie
pour les attaques d'ingénierie sociale
Analyse de trafic Une technique d'attaque par inférence qui étudie la routine des communications entre les entités au sein d'un système et
en déduit de l'information. Habituellement, cette technique est utilisée quand les messages sont chiffrés et que l'écoute
ne donne pas de résultats significatifs. L'analyse de trafic peut avoir lieu dans le contexte de renseignement militaire ou de
contre-espionnage et représente une préoccupation pour la sécurité informatique.

396 Manuel de Préparation C/SA 26" édition

ISACA. Tous droits réservés.
e =:.~~:;'""" Chapitre 5 - Protection des Actifs Informationnels Section deux : Contenu

Tableau 5.1Z- Méthodes êltechnlques d'attaque communes

Accès non autorisé par Accès non autorisé par l'intermédiaire d'Internet ou de services offerts sur le Web. De nombreux ensembles de logiciels
Internet ou des services Internet comprennent des vulnérabilités qui rendent les systèmes susceptibles d'être attaqués. De plus, plusieurs de ces
Web systèmes sont imposants et difficiles à configurer; ce taisant, le pourcentage d'incidents liés aux accès non autorisés est
assez grand.

En voici des exemples :

• La falsification de courriels (protocole SMTP).
• La transmission en clair de mots de passe Telnet (par le biais du chemin entre le client et le serveur).
Accès non autorisé par • ~altération du lien entre les adresses IP et les noms de domaine pour émuler tout type de serveur. Tant que le système
Internet ou des services de noms de domaine (ONS) est vulnérable et qu'il est utilisé pour établir une correspondance entre les adresses URL
Web (suite) (universal resource locators) et les sites, aucune intégrité n'est possible sur le Web.
• La publication de scripts CGI (common gateway interface) en tant que partsgiciel. Les scripts CGI s'exécutent souvent
avec des privilèges qui leur donnent le contrôle complet d'un serveur.
• ~exécution de scripts du côté client (par l'entremise de JAVA dans des applets JAVA) qui présente le danger d'exécuter
un code à partir d'un emplacement arbitraire sur une machine client
Virus, vers, logiciels Virus -Implique l'insertion d'un code de programme malveillant dans d'autre code exécutable qui peut s'auto-répliquer
espions et logiciels et s'étendre d'un ordinateur à un autre par le partage de médias informatiques amovibles, les clés USB, le transfert de
malveillants logique sur les lignes de télécommunications ou le lien direct avec une machine/un code infecté. Un virus peut afficher
de jolis messages inoffensifs sur les terminaux informatiques, supprimer ou modifier dangereusement les fichiers
informatiques ou simplement remplir la mémoire de l'ordinateur avec des pourriels jusqu'à ce que l'ordinateur ne puisse
plus fonctionner. Un danger supplémentaire est qu'un virus peut rester dormant pendant un certain temps avant d'être
enclenché par un certain événement ou occurrence, par exemple une date ou l'action d'être copié un nombre de lois
spécifié à l'avance. Pendant ce temps, le virus s'est répandu silencieusement

Vers- Des programmes ravageurs qui peuvent détruire les données ou utiliser une énorme quantité de ressources
informatiques et de communication, mais qui ne peuvent s'auto-répliquer comme les virus. De tels programmes ne
modifient pas d'autres programmes, mais peuvent fonctionner de façon indépendante et voyager d'une machine à une
autre à travers les connexions réseau en explortant des vulnérabilités et les faiblesses de l'application/du système. Les
vers peuvent également avoir des parties d'eux-mêmes qui fonctionnent sur beaucoup de machines différentes.

Logiciels espions ou programmes malveillants - Semblables aux virus. Notons par exemple les enregistreurs de frappes
et les analyseurs de système qui recueillent de l'information potentiellement sensible, comme des numéros de carte de
crédit, des coordonnées bancaires, etc., chez l'hôte puis les transmettent à l'agresseur lorsqu'un branchement en ligne
est détecté.
War Chalking La pratique d'inscrire une série de symboles (en lorme de croissants pointant vers l'extérieur) sur les trottoirs et les murs
pour indiquer les points d'accès sans fil à proximité. Ces signes servent à identifier les points d'accès sans fil (hotspots) à
l'aide desquels les utilisateurs peuvent se connecter graturtement à Internet sans fiL Le war chalking tire son inspiration
des travailleurs immigrants sans emploi qui, durant la Grande Dépression aux États-Unis, utilisaient des marques fartes à
la craie pour indiquer les demeures accueillantes.
War Driving La pratique de sillonner les rues de quartiers commerciaux ou résidentiels à bord d'un véhicule, en balayant les ondes
avec un ordinateur portatif, un logiciel de piratage et parfois un système GPS, à la recherche de noms de réseaux sans fil.
En passant à proximité d'un réseau sans fil, un agresseur pourrait voir le nom du réseau, mais l'utilisation de mesures de
sécurité sans fil déterminera s'il pourra laire quoi que ce soit avec l'information.

Grâce à l'activation et à la configuration appropriée de la sécurité sans fil, les pirates ne peuvent voir le nom du réseau
et sont incapables d'envoyer des données, d'interpréter les données transmises sur le réseau sans fil, d'avoir accès aux
ressources partagées du réseau sans fil ou du réseau câblé (dossiers partagés, sites Web privés) ou bien d'utiliser la
connexion à Internet

Si la sécurité n'est ni activée ni correctement configurée, les pirates en automobile peuvent envoyer des données,
interpréter des données transmises sur le réseau sans til, avoir accès à des ressources partagées sur le réseau sans fil ou
câblé (dossiers partagés, srtes Web privés), installer des virus, modifier ou détruire des données confidentielles et se servir
de la connexion à Internet à l'insu et sans le consentement du propriétaire. Par exemple, un utilisateur malveillant pourrait
utiliser la connexion à Internet pour envoyer des milliers de pourriels ou lancer des attaques contre d'autres ordinateurs.
La trace du trafic malveillant pourrait mener au domicile du propriétaire.
WarWalking Semblable au war driving, mais sans utiliser de véhicule. Le pirate potentiel se déplace à pied dans le voisinage et utilise
un appareil portatif ou un ANP. Actuellement, il existe plusieurs outils de piratage gratuits qui conviennent à ces mini
dispositifs.

Manuel de Préparation CISA 26" édition 397

ISACA. Tous droits réservés.
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
5.2.13 TRAITEMENT ET RÉPONSE À UN INCIDENT DE
SÉCURITÉ
Pour minimiser les dommages causés par des incidents reliés à la
sécurité, pour récupérer et pour apprendre de ces incidents, il faut
établir une capacité tOnnelle de réponse à un incident La réponse
doit inclure les phases f'Uivantes :
• Planificntion et préparation
• Détection
• Initiation
• Enregistrement
• Évaluation
• Confinement
• Éradication
• Alignement
• Réponse
• Récupération
• Résolution
• Rnppoti
• Révision après incident
• Leçons apprises
L'organisation ct la gestion de la capacité de réponse à un incident
doivent être coordonnées ou centralisées avec la mise en place de
rôles ct responsabilités clés. Elles doivent nécessairernent inclure
les plans suivants :
• Un coordonnateur qui agit comme agent de liaison avec les
propriétaires de procédés d'a·ffaires;
• Un directeur qui supervise la capacité de réponse à 1'incident;
• Les gestionnaires qui gèrent les incidents;
• Les spécialistes de sécurité qui s'occupent de détecter,
d'enquêter, de confiner et de récupérer après les incidents;
• Les spécialistes techniques non reliés à la sécurité qui
fOurnissent l'assistance basée sur J'expertise en la matière;
.. Les liaisons du dirigeant d'unité d'affaire (juridique, ressources
humaines, relatlons publiques, etc.).
Dans l'établissement de ce processus, les employés et les
entrepreneurs sont sensibilisés aux procédures pour signaler
les diflërents types d'incidents (p. ex., une brèche de sécurité,
une menace, une faiblesse ou un mauvais fonctionnement) qui
peuvent avoir un impact sur la sécurité des actifs organisationnels.
Ils doivent être tenus de signaler tout incident observé ou
soupçonné dès que possible à un point de contact désigné.
L'entreprise doit établir un processus disciplinaire formel pour
traiter avec ceux qui provoquent des brèches de sécurité comme
les employés, les tierces parties etc. Pour traiter ces incidents
convenablement, il est nécessaire de recueillir des preuves dès
que possible après l'occurrence. Des avis juridiques peuvent être
nécessaires dans le processus de recueillement et de protection
des preuves.
Les incidents se produisent parce que les vulnérabilités ne
sont pas corrigées adéquatement. Les procédés de gestion des
incidents doivent inclure les vulnérabilités des pratiques de
gestion. Une phase de révision après l'incident doit déterminer
quelles vulnérabilités 11 10nt pas été corrigées et pourquoi, et il faut
offrir des suggestions pour améliorer les politiques et procédures
implantées pour corriger les vulnérabilités. De plus, Pana!yse de
la cause des incidents peut révéler des erreurs dans l'analyse de
risque, ce qui indique que le risque résiduel est plus élevé que les
398
e ~f.::,~!':::.'""'
valeurs calculées ct que des mesures de prévention inappropriées
ont été prises pour réduire le risque inhérents.
Idéalement, il faut établir une équipe d'intervention pour les
incidents de sécurité informatique (EliS!) ou une équipe de
réaction en informatique (ER!) avec un axe hiérarchique clair
ainsi que des responsabilitës pour le soutien temporaire. Une
équipe EliS! organisationnelle agira à titre de contrôle de
détection et correctif efficace. De plus, avec la participation et
l'implication de ses membres dans les programmes, exercices
et ateliers de sensibilisation ù la sécUiité, on peut démontrer un
contrôle préventif.
L'équipe EIJSI orgnnisationnelle doit aussi faire connaître
les alertes de sécurité telles que les menaces récentes, les
directives de sécurité et les mises à jour concernant la sécurité
aux utilisateurs et les assister dans ln compréhension des
risques de sécurité des erreurs et des omissions. L'équipe EIJSI
organisationnelle doit être le seul point de contact pour tous les
incidents et les problèmes reliés à la sécurité de lïnfonnation. et
elle doit aussi répondre à des signalements d'abus qui concernent
le réseau et sa constitution.
Un auditeur des SI doit assurer que l'équipe EliS! est activement
impliquée avec les utilisateurs pour les aider à réduire les risques
qui proviennent des failles de sécurité et aussi pour prévcnlr
les incidents reliés à la sécurité. Les auditeurs doivent aussi
s'assurer quïl existe un plan formel et documenté et qu'il contient
Jlidcntification des vulnérabilités, le signalement ct les procédures
de réponse aux incidents en usés par des menaces/problèmes
communs reliés à la sécurité:
• É~closion de virus;
• Dégradation du Web;
• Avis d'abus;
• Alerte d'accès non autorisé des pistes d'audit;
• Alertes d'attaques à la sécurité déclenchées par les systèmes de
détection d'intrusion~
• Vol de matériel ou de logiciel;
• Compromissions des racines du système;
• Brè(.;he de sëcurité physique~
• Logiciel espion/programme malveillant/chevaux de Troie
détectés sur les ordinateurs personnels;
• Information fausse ct diffamatoire dans le média, incluant sur
les sites Web~
• Enquêtes judiciaires.
De plus, des systèmes automatises de détection d'intrusion
doivent être en place pour avertir les administrateurs en temps
réd d'un incident potentlel et définir un processus pour évaluer
la sévérité des incidents et les étapes à suivre dans les situations
à hauts risques. Veuillez vous réfërer à la section 2.12.5 (jestion
des incidents et plan de continuité des activités pour obtenir plus
d' intOnnation.
5.3 ACCÈS LOGIQUES
Les contrôles d'accès logiques constituent la principale façon
de gérer et de protéger les actifs informationnels. Ils adoptent et
justifient les politiques ct les procédures élaborées par la direction
et qui ont pour but de protéger ces actîfS. Les contrôles sont
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservês.
e ~::,:~:::;".'"" Chapitre 5 - Protection des Actifs Informationnels
conçus pour réduire les risques à un niveau acceptable pour une
entreprise. Les auditeurs des SI doivent compœndre cette relation.
De cette manière, les auditeurs des SI devraient pouvoir analyser
et évaluer l'efficacité du contrôle d'accès logique en atteignant
les objectifs relatifs à la sécurité de l'information el en évitant
les pcrtt::s résultant des expositions. Ces expositions peuvent
causer des inconvénients mineurs jusqu'à la fermeture totale des
fbnctions informatiques.
5.3.1 EXPOSITIONS D'ACCÈS LOGIQUES
Les expositions techniques sont un type d'exposition causé par
l'exploitation accidentelle ou intentionnelle des faiblesses des
contrôles d'accès logiques. L'exploit<ltion intentionnelle des
expositions techniques peut mener à un crime infOrmatique.
Cependant, ce ne sont pas tous les crimes informatiques qui
exploitent les expositions techniques.
Les expositions techniques sont les activités non autorisées qui
interfèrent avec le traitement normal comme l'implantation ou la
modification des données et des logiciels, qui verrouillent ou font
une mauvaise utilisation des services d'utilisateurs, détruisent les
données, compromettent la convivialité du système, distraient les
ressources de traitement ou espionnent Je flux de données ou les
activites des utilisateurs, que ce soit au niveau du réseau, de la
plateforrne (système d'exploitation), de la base de données ou de
l'application. Les expositions techniques incluent:
• Fuite de données Implique le siphonage ou la fuite
d'information à partir de l'ordinateur. Cela peut inclure faire
une copie papier de fichiers ou être aussi simple que de voler les
rapp011s informatiques et les enregistrements. À l'opposé de la
fuite de produit, la fuite de données laisse la copie originale afin
de ne pas être détectée.
• Écoute électronique Implique l'écoute électronique de
l'information transmise sur les lignes de télécommunication
• Arrêt de l'ordinateur-- Déclenché par l'entremise
d'ordinateurs terminaux ou personnels reliés directement (en
ligne) ou à distance (par Internet) à l'ordinateur. Seuls les
individus qui connaissent un nom de connexion de haut niveau
peuvent déclencher le processus de fermeture, mais cette
mesure de sécurité n'est efficace que si les contrôles d'accès de
sécurité adéquats sont en place pour les connexions de noms
de connexion à haut niveau et de télécommunications dans
l'ordinateur. Quelques systèmes sc sont avérés vulnérables
lorsqu'ils se Jèrmcnt seuls sous certaines conditions de
surcharge.
Le tableau 5.12 présente des méthodes et techniques d'attaque
communes.
5.3.2 FAMILIARISATION AVEC !:ENVIRONNEMENT DES
Tl DE !:ENTREPRISE
Pour que les ::mditeurs des SI évaluent efficacement les contrôles
d'accès logiques au sein de leur entTeprise, ils doivent d'abord
avoir une compréhension technique et organisationnelle
de l'environnement des TI de 1'cntreprîsc. L'objectif est de
déterminer quels volets d'un point de vue des risques justifient
l'attention de Paudit des SI dans la planification actuelle et
du travail futur. Cela comprend la révision du réseau, de k1
platefonne du SE, de la base de données et des couches de
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rêservés.
Section deux : Contenu
sécurité de l'application associées à rarchitecturc des systèmes
d'information de l'organisation des TL
5.3.3 CHEMINS D'ACCÈS LOGIQUES
!..?accès ou les points d'entrée à l'infrastructure des SI d'une
organisation peuvent être obtenus par plusieurs moyens. Chaque
moyen est assujetti aux niveaux appropriés de sécurité d'accès.
Ces chemins peuvent être directs, comme c'est le ens pour
l'utilisateur d'un terminal d'ordinateur personnel qui s'attache
directement à un ordinateur central. Cela se produit lorsque
l'environnement des SI est sous Je contrôle direct du système
principal ct lorsque les utilisateurs sont des individus connus
localement, avec des profils d'accès bien définis. C'est plus
complexe dans le cas des LAN, dans lesquels plusieurs ressources
spécifiques des SI sont attachées à une structure de liaison
commune. Les ressources des LAN peuvent posséder diflërents
chemins/niveaux d'accès, habituellement facilités par une
connexion de LAN, et le réseau lui-même est considéré comme
une ressource des SI importante à un niveau d'accès plus élevé.
Une combinaison de chemins d'accès direct (réseau locnl) ct à
distance est la configurntion la plus courante. La complexité est
augmentée par un nombre d'appareils intermédiaires qui agissent
comme des « portes de sécurité 1> parmi les environnements
divers. Le besoin de traverser les espaces ouverts des Tl à faible
sécurité comme Internet augmente aussi la complexité. Un
exemple de chemin d'accès par le biais de nœuds communs est
un réseau interconnecté de systèmes dorsal ou frontal pour les
utilisateurs basé à l'inteme ou à l'externe.
Les systèmes frontaux sont des systèmes basés sur le réseau qui
relient une entreprise à des réseaux extérieurs non dignes de
confiance, comme des sites Web d'entreprises, où un client peut
accéder au site Web de l'extérieur pour initier des transactions
qui connectent une application de serveur mandataire qui, à son
tour, se branche à un système de base de données dorsal pour
mettre à jour les bases de données d'un client. Les systèmes
frontaux peuvent aussi être basés à 1'inteme pour automatiser
le commerce, les procédés électroniques qui s'attachent aux
systèmes dorsaux de la même manière.
Points d'entrée généraux
Les points d'entTée généraux vers le système frontal ou dorsal
contrôlent les accès provenant du rëseautag,e ou de l'infrastructure
des télécommunications d'une eniTeprise vers ses ressources
d'infonnation (p. ex., les applications, les bases de données, les
installations, les réseaux). L'approche suivie est basëe sur un
modèle client-serveur. Une grosse entreprise peut posséder des
milliers de serveurs réseau interconnectés. La connectivîté dans
cet environnement doit être contrôlée par un ensemble plus petit
de contrôleurs de domaines de ba.o;e (serveurs) qui permettent à
un utilisateur d'obtenir l'accès aux points d'entrée secondaires
spécifiés (p. ex., les serveurs d'applicntion, les bases de données,
etc.).
Les modes d'accès généraux dans cette infrastructure surviennent
par les poinlo;; suivants :
• Connectivité réseau --l.:accès est obtenu en reliant un
ordinateur personnel à un segment de l'infrastTucture réseau
d'une entreprise, soit par une connexion physique ou sans
399
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
fil. Au minimum, un tel accès exige l'identification et
1'authentification de l'utilisateur à un serveur qui contrôle
le domaine. Plus d'accès spécifique à une application ou à
une base de données particulière peuvent aussi exiger que
les utilisateurs s'identifient et s'authentifient à ce serveur
particulier {point d'entrée secondaire). D'autres modes d'accès
dans l'infrastructure peuvent aussi sc produire par l'entremise
d'appareils de gestion de réseau, par exemple les routeurs elles
coupe-Jèu, qui doivent être contrôlés de façon stricte.
• Accès à distance-- Un utilisateur se connecte à distance
au serveur d'une entreprise. qui exige habituellement que
l'utilisateur s'identifie et s'authentifie au serveur pour avoir
accès à des fonctions spécifiques pouvant être exécutées à
distance (p. ex., le courriel, le protocole FTP ou quelques
fonction spécifiques aux applications). Caccès complet pour
voir toutes les ressources réseaux exigent généralement un
réseau privé virtuel (VPN), qui permet une authentification
et une connexion sécurisées dans ces ressources lorsque les
privilèges ont étê attribués. Les points d'entrée à distance
peuvent être extensifS et doivent être contrôlés de façon centrale
si possible.
!Y un point de vue de la sécurité, il est du devoir de l'entreprise
de connaître tous les points d'entrée dans l'infrastructure de ses
ressources informationnelles, ce qui pour beaucoup d'entreprises
ne sera pas un problème (p. ex., des milliers d'utilisateurs à
distance). Cela est impo11ant puisque tout point d'entrée qui n'est
pas contrôlé convenablement peut potentiellement compromettre
la sécurité des ressources d'information sensibles et critiques
d'une entreprise. Lorsqu'ils procèdent à l'évaluation détaillée du
réseau et des révisions des contrôles d'accès, les auditeurs des SI
doivent déterminer si les points d'entrée sont connus et doivent
soutenir l'dfort de la direction dans l'obtention de ressources
pour identifier ct gérer tous les chemins d'accès.
5.3.4 LOGICIEL DE CONTRÔLE D'ACCÈS LOGIQUE
La technologie de l'infümmtion a permis li un système
informatique de stocker ct de contenir de grandes quantités
de données sensibles, d'augmenter la capacité de partager les
ressources d'un système à l'autre. et de permettre à beaucoup
d'utilisateurs d'avoir accès au systèm0 pm· des technologies
Internet/intranet Tous ces facteurs ont rendu les ressources des SI
des entreprises plus accessibles ct disponibles.
Afîn de protéger les ressources d'information d'une entreprise,
le logiciel de contrôle d'accès est devenu de plus en plus essentiel
pour assurer la confidentialité, l'intégrité ella disponibilité des
ressources d'information. Le but du logiciel de contrôle d'accès
est de prévenir l'accès non autorisé aux données sensibles d'une
entreprise ainsi que leur modification ct l'utilisation de fonctions
essentielles du système.
Pour atteindre cette sorte de contrôle, il est nécessaire d'appliquer
les contrôles d'accès à toutes les couches de J'architecture des
SI d'une cntrep1ise, y compris les réseaux, les platcfonnes ou
les systèmes d'exploitation, les bnses de données ct les systèmes
d'application. Chacun d'eux possède habituc11ement une forme
J'identification ct d'authentification, d'aut01isation d'accès, de
vélification de ressources d'infOrmation spécifiques, et de journal
et signalement des activités des utilisateurs.
400
eiSA" K
Certifiedlnforma!ion
Systems Aud1tor'
~---~---- ...
"'""'"""'''"""~
Le plus haut degré de protection dans l'application du logiciel
de contrôle d'accès contre l'accès non autorisé des utilisateurs
internes et externes se trouve aux niveaux réseau et platefonne/
système d'exploitation. Ces systèmes sont aussi connus comme
des systèmes de soutien généraux, et ils forment l'infrastructure
de base sur laquelle les applications et les systèmes de base de
données sont situés.
Le logiciel de contn)Jc d'accès du système d'exploitation
întedi1ce avec Je logiciel de contrôle d'accès et réside sur les
appareils de la couche réseau (p. ex., routeurs, coupe-feu) qui
gèrent et contrôlenl l'accès externe aux réseaux de l'entreprise.
De plus, le logiciel de contrôle d'accès interface avec la base de
données ou les contrôles d'accès des systèmes d'application pour
protéger les bibliothèques de services et les ensembles de données
d'utilisateur.
!~'opération générale ou les fonctions de contrôle d'accès des
systèmes d'application incluent les points suivants:
• Créer ou changer les profils d'utilisateurs;
• Assigner l'identification et l'authentification de l'utilisateur;
• Appliquer des règles de limitation de l'ouverture de session de
l'utilisateur;
• Avertissement en ce qui concerne l'utilisation et l'accès adéquat
avant l'ouve11ure de session initiale;
• Créer des responsabilités et des vérifications individuelles en
journalisant les activités de l'utilisateur;
• Établir des règles pour accéder aux ressources d'infOrmation
spécifiques (p. ex., {cs ressources d'application et les données
au niveau du système);
• Joumaliser les évènements;
• Rapp01ier les capacités.
Les fonctions de contrôle d'accès à la base de données ou au
niveau de l'application incluent. les suivantes:
• Créer ou changer les fichiers de données et les profils des bases
de données
• Vérifier l'auto1isation de l'utilisateur aux niveaux de
l'application ct de la transaction
• Vérifier l'autorisation de l'utilisateur au sein de l'application
• Vérifier J'autorisation de l'utilisateur au niveau du champ pour
les changements dans une base de donnét:s
• Vérifier l'autorisation des sous-systèmes pour l'utilisateur au
niveau des fichiers
• Journaliser les activités d'accès de la base de donnée-s/de la
communication des données pour contrôler les infractions
En résumé, le logiciel de contrôle d'accès est fourni à diftCrcnts
niveaux dans une architecture des SI, dans laquelle chaque niveau
fournît un certain degré de sécurité. Les propriétés de telles
relations font en sorte que les couches supérieures (d'application,
de base de données) dépendent des couches inférieures de type
infrastructure pour protèger les ressources générales du système.
Les couches supérieures fournissent la granularité nécessaire au
niveau applicatif pour permettre une séparation des tâches par
fonction.
5.3.5 IDENTIFICATION ET AUTHENTIFICATION
L'identification et l'authentification (let A) dans le logiciel de
contrOle d'accès logique est le processus d'établir et de prouver
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Cert!fled lnfo.rmation
Systems Auditor'
;:~--
Chapitre 5 - Protection des Actifs Informationnels
l'identité de quelqu'un. JI s'agit du processus par lequel le
système obtient d'un utilisateur son identité proclamée et les
justificatif.-. d'identité nécessaires pour authentifier cette identité
et valider les deux éléments d'information.
L' 1et A constituent un bloc essentiel de la sécurité infOrmatique
puisqu'elles sont requises pour la plupart des types de contrôle
d'accès ct sont nécessaires pour établir la responsabilité de
l'utilisateur. La responsabilité de 1'utilisateur exige de lier des
activités sur un système informatique à des individus spécifiques
et, pnr conséquent, exige que le système identifie les utilisateurs.
Pour la plupart des systèmes, 1'1 et A représentent la première
ligne de dét-ènse car elles empêchent les personnes non autorisées
(ou les procédés non auto1isés) d'entrer dans un système
informatique ou d'avoir accès à des actifs informationnels. Si les
utilisateurs ne sont pas identifiés et authentifiés adéquatement,
particulièrement dans les environnements distribués ct ouverts
d'aujourd'hui, les entreprises sont plus exposées aux accès non
autorisés.
Voici certaines des vulnérabilités les plus courantes de 1'1 et A
qui peuvent être exploitées pour obtenir un accès non autorisé au
système :
• Des méthodes d'authentification Ü1ibles (p. ex., la longueur
minimale, la complexité et la fréquence de changement des mots
de passe ne sont pas respectées);
• L'utilisation de mots de passe simples ou fadles à deviner;
• Le potentiel pour les utilisateurs d'éviter le mécanisme
d'authentification:
a L. . e manque de confidentialité et d'intégrité pour les
informations d'authentific;:ttion emmagasinées;
• Le manque de chiffrement pour l'authentification et la
protection de l'information transmise sur un réseau;
• Le manque de connaissance de l'utilisateur à propos des risques
associés au partage d'éléments d'authentification (p. ex., mots
de passe, jetons de sécurité).
L'authentification est normalement catégorisée comme« quelque
chose que l'on connaît» (p. ex., mot de passe),<< quelque
chose que l'on possède» (p. ex., carte jeton) ou<~ quelque
chose que l'on est (ou fait))> (une caractéristique hiométrique).
Ces techniques peuvent être utilisées indépendamment ou en
combinaison pour authentifier ou identifier un utilisateur. Par
exemple, une technique de facteur unique (quelque chose que
l'on connaît) implique l'utilisation de !'identifiant d'ouverture de
session traditionnel et d'un mot.de passe. Quelque chose que l'on
connaît, comme un numéro d'identification personnel (NIP).
combiné ct associé avec quelque chose que l'on possède, est aussi
appelé technique d'authentification à deux facteurs. Quelque
chose que l'on est se veut une technique d'authentification
biométrique, comme le balayage biométrique de la paume ou de
1'iii s. Chacune de ces techniques seront décrites dans les sections
suivantes.
La combinaison de plus d'une méthode, par exemple jeton et
mot de passe (ou NIP) ou jeton et appareil biométrique, s'appelle
l'authentification« multifactorielle ».
!;identification et l'authentification sont des systèmes distincts.
Elles diffèrent par :
Manuel de Préparation CISA 26" édition
ISACA. Tous droits reservés.
Section deux. : Contenu
• La signification;
• 1,es méthodes, les périphériques ct les techniques qui les
soutiennent;
.. Les exigences en termes de secret et de gestion;
• Attlibuts ·-- L:authentification ne possède pas d'attributs en soi,
alors que l'identité peut avoir une validité définie d3ns le temps
et d'autres informations qui y sont attachées;
• Le fait est que l'identité ne change habituellement pas, alors
que les jetons d'authentification liés au secret doivent être
remplacés régulièreme11t afin d'en préserver la fiabilité.
Codes d'utilisateur et mots de passe
Les identifiants et les mots de passe d'ouverture de session
sont les composantes du processus d'identification c1
d'authentification de l'utilisateur, alors que l'authentification
est basée sur quelque chose que l'on connaît. !:ordinateur peut
entretenir une liste interne d'identifiants d'ouverture de session
valides et un ensemble de règles correspondantes pour chaque
identifiant d'ouvc1ture de session. Ces règles sont reliées à
des ressources iniOrmatiqucs. Comme exigence minimale,
les règles d'accès sont normalement spécifiées au niveau du
système d'exploitation (contrôler l'accès aux fichiers) ou au
sein de systèmes d'application individuels (contrôler l'accès aux
fonctions du menu ct aux types de données ou de transactions).
Le nom d'utilisateur doit être restreint pour fournir
l'identification individuelle mais non de groupe. Si un
groupe d'utilisateurs doit être formé pour une question
d'interchangeabilité, le système offre normalement la possibilité
d'attacher un nom d'utilisateur à un groupe nommé avec des
droits communs. Chaque utilisateur obtient un nom d'utilisateur
unique qui peut être identifié par le système. Le fOrmat du nom
d'utilisateur est habituellement nmmalisé.
CARACTÉRISTIQlJES DES MOTS DE PASSE
Le mot de passe fournit J'authentification individuelle. Il doit être
facile à retenir pour l'utilisateur, tout en étant difficile à trouver
par un intrus.
Les mots de passe initiaux peuvent être attribués par
l'administrateur de la sécurité ou générés par le système lui-
même. Lorsque l'utilisateur ouvre une session pour la première
f-Ois, le système doit forcer un changement de mot de passe pour
améliorer la confidentialité. Le mot de passe initial doit être
généré de façon aléatoire. L'identifiant et le mot de passe doivent
être communiqués d'une manière contrôlée pour s'assurer que
seul l'utilisateur approprié reçoit cette information. Les nouveaux
comptes n'ayant pas d'assignation initiale de mot de passe
doivent être suspendus.
Si le mauvais mol de passe est entTé un nombre de fois prédéfinis,
le nom d 1utilisateur doit être automatiquement verrouillé. Le
verrouillage peut être permanent (seul 1'administrateur peut
déverrouiller l'identifiant) ou temporaire (le système définit une
période de temps après laquelle il déverrouille automatiquement
l'identifiant).
Les utilisateurs qui ont oublié leur mot de passe doivent avertir
un administrateur de la sécurité. I:administrateur est Je seul
à posséder les privilèges suflïsants pour reconfigurer le mot
401
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
de passe ct, si nécessaire, déverrouiller le nom d'utilisateur.
L'ndministrateHr de la sécurité doit réactiver Je nom d'utilisateur
seulement après avoir vérifié les infOrmations {système question/
réponse), tout comme une banque vérifie le nom d'utilisateur
d'un détenteur de compte avant de donner les informations
par téléphone (comme le nom de jeune fille de la mère). Pour
vérifier, l'administrateur de la sécurité doit retourner l'appel
de l'utilisateur après avoir vérifié son numéro de poste ou en
appelant son superviseur pour vérification.
Les mots de passe doivent être« hachés>> (un type de chifll·ement
irréversible) et conservés en utilisant un algorithme suJTisamment
f-Ort. Cela permet de vérifier les mots de passe sans avoir besoin
de les enregistrer explicitement. Pour réduire le risque qu'un
intrus obtienne l'accès à d'autres noms d'utilisateur, les mots de
passe ne doivent pas êtTe affichés sous aucune fOrme. Les mots
de passe sont normalement masqués sur un écran d'ordinateur,
et ils ne sont pas affichés sur des rapports informatiques. L.cs
mots dt: passe ne doivent pas être gardés en index ou fichiers de
carte, ou éclits sur des bouts de papier collés quelque part près de
l'ordinateur ou à l'intérieur du burenu d'une personne.
Les mots de passe doivent être changés régulièrement (par
exemple tous les 30 jours). La fréquence dépend de la criticité du
niveau d'accès à l'information, de la nature de l'organisation, de
l'architecture des SI et des technologies utilisées, etc. Les mots de
passe doivent être changés par l'utilisateur à son ordinateur, plutôt
que par l'administrateur ou à tout autre endroit où le nouveau
mot de passe peut être vu. La meilleure méthode est de forcer le
changement en avertissant l'utilisateur avant la date d'expiration
du mot de passe, Le risque de permettre les changements de mots
de passe volontaires est que les utilisateurs ne changeront pas
leur mot de passe à moins d'y être forcés. La gestion des mots
de passe est plus sécuritaire si un historique des mots de passe
précédents est maintenu par le système et si leur réutilisation est
défendue pendant une période déterminée, par exemple la non
réutilisation des 12 derniers mots de passe.
Les mots de passe d'ouvcJiure de session doivent être connus
uniquement par l'utilisateur; si un mot de passe est connu par
plus d'une personne, il est impossible d'attJibuer la responsabilité
de l'utilisateur à toutes les activités du compte.
Un traitement spécial doit être appliqué aux comptes des
superviseurs ou des administrateurs. Ces comptes permettent
fi·équemmcnt un accès complet au système. Normalement, on
retrouve un nombre limité de ce genre de comptes par nlveau
système/d'authentification. Pour des raisons de responsabilité,
!c mot de passe de l'administrateur doit être connu par une
seule personne. D'un autre côté, l'entTcprise doit être en mesure
d'avoir accès au système lors d'une situation d'urgence, lorsque
l'administrateur n'est pas disponible. Pour cette raison, il fhut
mettre en place des pratiques comme celle de conserver le mot de
passe de l'administrateur dans une enveloppe scellée, conservée
dans un classeur verrouillé et seulement accessible par les cadres
supétieurs. On appelle parfOis ce procédé identifiant« d'nppcl "·
Toutes les recommandations ci~haut doivent être formalisées
dans une politique du mot de passe ct converties en une exigence
obligatoire. Une politique d'utilisation acceptable doit aussi
inclure J'exigence de suivre la politique.
402
elsA· Certffiedlnlo~matioo
H. Systems Audllur·
'-~-"
"' ""'"'_,._,...
,~.
BONNES PRATIQUES D'IDENTIFICATION ET
D' AUTIIENTIFICATION
Les exigences du nom d'utilisateur incluent:
• La syntaxe du nom d'utilisateur doit suivre une règle de
nomenclature interne. Cependant, cette règle doit demeurer tout
aussi confidentielle que les noms d'utilisateurs eux-mêmes.
• Les comptes systèmes par défaut, comme Invité, Administrateur
ct Admin doivent être renommés ou désactivés dès que
techniquement possible.
• Les noms d'utilisateur qui ne sont. pas utilisés après une
période prédéterminée de temps doivent être désactivés afin
d'empêcher des mauvaises utilisations possibles. Cela peul
être fait automatiquement par le système ou manuellement par
1'administrateur de la sécurité.
• Le système doit déconnecter ou verrouiller automatiquement
une session si aucune activité ne s'est produite pendant
une période de temps. Cela réduit le risque d'une mauvaise
utilisation d'une ouverture de session active laissée seule
lorsque l'utilisateur est allé manger, est retourné ù la maison,
est allé à une réunion ou a oubhé de fermer la session. On fait
souvent réf-ërcnce à cette situation comme un dépassement du
temps de la session. Pour réaccédcr au système, l'utilisateur doit
entrer de nouveau sa methode d'authentification, son mot de
passe, son jeton, etc.
Voici les règles de syntaxe du mot de passe :
.. Les mots de passe doivent, idéalement, être d'une longueur
minimale de huit caractères. À certains moments, la longueur
du mot de passe dépendra de la sensibilité des systèmes et des
données à protéger et de la capacité du système utilisé. Des
techniques mnémoniques peuvent aussi être utilisées pour créer
un mot de passe sécurisé facile à retenir. Une phrase de passe
est généralement acceptée comme étant un mot de passe plus
sécurit.1ire.
• Les mots de passe doivent exiger une combinaison d'au moins
trois des caractéristiques suivantes : alphanumérique, lettres
majuscules et minuscules ainsi que des caractères spéciaux.
• Les mots de passe ne doivent pas être particulièrement
identifiables à l'utilisateur (comme le prénom, le nom, le nom
de l'épouse, le nom de l'animal de compagnie, etc.). Quelques
entreprises interdisent l'utilisation de voyelles, ce qui rend les
associations de mots/les tentatives de deviner les mots de passe
encore plus difficiles.
• Le système doit exiger des changement<> de mots de passe
réguliers, c.-à-d. après 30 jours, et ne doit pas permettre ù
d'anciens mots de passe d'être tll'ilisés au moins un an après
avoir étC changés.
Au minimum, les règles susmentionnées doivent être appliquées
aux personnes ayant un compte système avec des accès
pdvilégiés (les administrateurs de système, les administmtcurs de
la sécurité, etc.) en comparaison avec les autres utilisateurs. Les
utilisateurs ayant cc type d"autorisation doivent posséder cette
sorte d'accès dans l'établissement ct la gestion des configurations
système appropriées. Cependant, de tels privilèges permettent
à J'utilisateur de contoumer toutes les resttictions logicielles
de contrôle d'accès qui peuvent exister sur le système. La règle
générale qui s'applique est que plus le degré de :-;ensibilité des
droits d'accès est élevé, plus les contrôles d'accès doivent être
sévères.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certified Information
SystemsAudlllif"
~"""'""'"'''"''""
Chapitre 5 - Protection des Actifs Informationnels
Dispositif à jeton et mot de passe à usage unique
Dans une technique ~.:ourante d'authentification à deux facteurs,
l'utilisateur se voit confier une carte à puce intelligente contrôlée
par un microprocesseur, une clé USB ou une application pour
appareil mobile, synchronisée avec un appareil d'authentification
spécifique sur le système. Cette carte/clé à puce intelligente/
application est réglée pour générer des chaînes uniques,
temporaires, à coïncidence inexacte qui sont appelées mots
de passe de session ct qui sont reconnues par l'appareil et le
programme qui authentifient. Elles attestent que l'appelant est
actuellement en possession de son appareil intelligent. Chaque
chaîne est seulement valide pour une ouverture de session.
Les utilisateurs doivent soit afficher physiquement ct retaper
la chaîne, ou insérer la carte ù puce intelligente/clé USB dans
le lecteur/ le port USB tout en tapant leur propre mot de passe
mémorisé pour obtenir l'accès au système. Cette technique
implique quelque chose que vous possédez (un appareil qui
pourrait se faire voler) ct quelque chose que vous connaissez (un
numéro d'identification personnel).
Biométrie
Les contrôles d'accès biométriques sont les meilleurs moyens
pour authentifier 1'identité d'un utilisateur en se basant
sur des attributs uniques, mesurables ou sur des traits pour
vérifier l'identité d'un être humain. Cc contrôle limite l'accès
infOrmatique en sc basant sur les caractéristiques physiques
(quelque chose que vous êtes) ou comportementales (quelque
chose que vous faites) de- l'utilisateur. En raison des avancements
dans la capacité de stockage et l'efficacité du matériel. les
systèmes d'authentification biométriqucs deviennent une option
plus viable en tant que mécanisme de contrôle d'accès.
L'utilisation de la biométrie implique généralement l'utilisation
d'un appareil lecteur qui interprète les caractéristiques
biométriques individuelles avant de permettre l'accès autorisé.
Cependant, il ne s'agit pas d'un procédé sans défauts puisque
certaines caractéristiques biométriqucs peuvent changer (p. ex.,
des empreintes digitales [rare], des irrégularités de la signature et
des changements dans la voix). Pour cette raison, les systèmes de
contrôles d'accès biométriques ne sont pas d'une efrïcacité égale
ct faciles à utiliser.
L'inscription des caractéristiques bîoméhiques d'un utilisateur
dans un système se f.1ît en stockant la caractéristique biométTique
pmiîculière de l'lll'îlisatcur. Cela se fait par un processus itératif
d'acquisition d'échantillon physique ou compmtemental, en
extrayant des données uniques de l'échantillon (conve1ties
dans un code mathématique), ce qui crée un modèle initial, en
comparant de nouveaux échantillons avec cc qui a été stocké et en
développant un modèle final qui peut être utilisé pour authentifier
l'utilisateur. Des échantillons subséquents seront utilisés pour
déterminer si des conditions de correspondance ou de non
correspondance existent pour attribuer l'accès.
La performance des appareils de contrôle biométrique est
déterminée par trois mesures quantitatives basées sur Je
pourcentage. Une mesure, Je taux de rcfi.1s cn·oné, ou le taux
d'erreur de type-!, est le nombre de fois qu'une personne qui
possède l'autorité d'utiliser le système est faussement rejetée par
le système. Une mesure agrégative des taux d'erreur du type-!
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
Section deux ; Contenu
est Je taux d'échec d'inscription, la proportion de personnes qui
échouent à être inscrites avec succès. l~autre, à laquelle on fait
référence sous le nom de fausse acceptation, ou le taux d'erreur
du type Il, est le nombre de fois qu'une personne qui ne possède
pas l'autorité pour utiliser un système est faussement acceptée par
Je système. Chaque système d'authcntifîcation biométriquc peut
être ajusté pour baisser les taux d'erreurs du type 1 ou JI, mais
de règle générale, lorsque l'un de deux diminue J'autre augmente
(et vice versa), et on retrouve un point d'ajustement lorsque les
deux erreurs sont égales. Une mesure générale reliée aux deux
types d'erreur est le taux d1erreur égal, qui est le pourcentage qui
indique lorsque le faux refus et l'acceptation sont égaux. Plus la
mesure générale est basse, plus la biométrie sera efficace.
BIOMÉTRIE ORIENTÉE SUR LE PHYSIQUE
Ciénéralement, la commande d'appareils biomêtriques qui
possèdent les meilleurs temps de réponses et les taux d'erreur
égaux sont respectivement la paume, la main, l'iris, la rétine. les
empreinles digitales ct la voix.
Les dispositifs fondés sur la paume de la main analysent les
caract"élistîques physiques associées avec la paume comme
les lignes et les sillons que l'on y retrouve. Cette biométrie
implique de placer la main sur un numériseur qui capture les
caractéristiques physiques.
En tant que l'une des techniques biométriques les plus vieilles,
la géométrie à main s'occupe de mesurer les caractéristiques
physiques de la main et des doigts de l'utilisateur d'un point de
vue tridimensionnel. L'utilisateur place sa main, paume vers le
bas, sur la surface méta!liquc avec cinq chevilles pour s'assurer
que les doigts sont disposés dans la position habituelle de la main.
Le modèle est constmit à pmiir des mesures des caracté1istiques
géométriques physiques de la main d'une personne (normalement
90 mesures), par exemple, la longueur, la largeur, l'épaisseur ct la
zone de surface.
Les avantages de ces systèmes sont l'acceptation sociale qu'ils
ont reçue tout comme le fait que très peu d'espace de stockage
infOrmatique est nécessaire pour le modèle, généralement entre
10 ct 20 octets. Le principal désavantage en comparaison avec les
autres méthodes biométriques s'avère être le manque de caractère
unique des données de la géométrie à main. De plus, une blessure
à la main peut causer un changement dans les mesures ce qui
entmîne des problèmes de reconnaissance.
Un iris, qui possède des caractéristiques associées aux parties
colorées entoumnt la pupille, est unique pour chaque individu,
et représente donc une méthode viable d'identification de
1'utilisateur. Afin de cnpturer cet1c information, l'utilisateur doit
centrer son œil dans un appareil en voyant la réHexion de leur iris
dans l'appareil. Dès que cet alignement sc produit1 un appareil
photo prend une photo de l'iris de l'utilisateur et là compare avec
une image stockée. t;iris reste le même avec le temps. Il possède
plus de 400 caractéristiques, même si seulement environ 260 de
ces dernières sont utilisées pour générer le modèle. Comme c'est
le cas avec la numérisation d'empreintes digitales, le modèle
transporte moins d'information qu'une image de haute qualité.
403
Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
L'avantage essentiel de l'identification de l'iris est que le conlact
avec l'appareil n'est pas nécessaire, ce qui la différencie des
autres formes d'identification comme les empreintes digitales ou
les balayages de la rétine. Les désavantages de la reconnaissance
de l'iris sont Je coût élevé du système, si on le compare à d'au1res
technologies biométliques, el' la quantité élevée d'exigences de
stockage nécessaire pour identifier uniquement un utilisateur.
Les examens de la rétine utilisent la technologie optique pour
cibler le modèle capillaire de la rétine de l'œil. Cutilisateur doit
placer son œil à une distance variant entre 0,4 à 0,8 pouces ( 1 à
2 centimètres) du lecteur pendant qu'une image de la pupille est
prise. Les caractéristiques de la rétine sont mesurées à plus de
400 points pour générer un modèle de 96 octets. l.?examen de la
rétine est extrêmement fiable, et il possède le plus bas tau..x de
fausse acceptation de toutes les méthodes bio métriques actuelles.
Les désavantages de l'examen de la rétine incluent le besoin
d'être très près physiquement de l'appareil de balayage, ce qui
diminue l'acceptation de J'utilisateur, et le coùt élevé.
Le contrôle d'accès par empreinte digitale est utilisé
couramment; l'utilisateur place son doigt sur un appareil optique
ou sur une surface en silicium pour que ses empreintes digitales
soient numérisées. Le modèle généré pour les empreintes
digitales, nommé« minutiae >1, mesure les bifurcations. les
divergences, les enceintes, les extrémités et les sillons dans le
dessin digital. Il contient seulement les donnees spécifiques
sur les empreintes digitales (le minutiae), ct non l'image
entière de l'empreinte digitale elle-même. De plus, l'empreinte
digitale entière ne peut pas être reconstruite à partir du modèle.
Dépendnmment du fournisseur, le modèle de l'empreinte
digitale peut utiliser entre 250 octets et plus de 1000 octets. Plus
d'espace de stockage signifie des taux d'eneurs inférieurs. Les
caracteristiques des empreintes digitales sont décrites par un
ensemble de valeurs numériques. Lorsque l'utilisateur positionne
son doigt en place pendant deux ou trois secondes, une image
normale qui contient entre 30 et 40 caracté1istiques du doigt
est obtenue et une comparaison automatisée au modèle de
l'utilisateur se fhit.
Les avantages de la numérisation d'empreintes digitales sont
un faible coüt, un appareil de petite taille, l'habileté d'inleli'acer
physiquement dans les systèmes basés sur le client-serveur
ainsi que la facilité d'intégration dans les méthodes de contrôles
d'accès existantes. Les désavantages incluent le besoin du contact
physique avec l'appareil et la possibilité d'obtenir des images
de hlÎble qualité en raison des résidus sur les doigts, comme la
saleté et les huiles pour le corps. De plus, les empreintes digitales
biomét1iqucs ne sont pas aussi etTicaces que d'autres techniques.
Les lecteurs biométriqucs de reconnaissance du visage traitent
une image saisie par une caméra vidéo, qui est normalement à
moins de 24 pouces (60 cm) de la face humaine, et l'isole des
autres objets capturés dans l'image. Le lecteur analyse les images
capturées pour trouver les caractéristiques faciales générales. Le
modèle créé est basé soit sur le fait de générer des cartes étendues
en deux ou trois dimensions ou sur la combinaison des mesures
faciales sur la distance entre les caractéristiques faciulcs spéciales
comme les yeux, le nez et la bouche. Quelques distributeurs
incluent aussi une imagerie thermique dans le modèle.
404
eiSA' Ceri. lnlu~lion
v H
ifted Aud1tor'
Systems
'"'""''"'''"'"'"
Le visage est considéré comme l'une des caractéristiques
biométriques les plus naturelles et les plus<< amicales>), ct elle
est acceptable pour les utilisateurs, car elle est rapide ct facile
d'utilisation. Le principal désavantage de la reconnaissance
du visage est le manque de caractère unique, ce qui signifie
que plusieurs personnes qui se ressemblent peuvent tromper
l'appareil. De plus, quelques systèmes ne peuvent pas entretenir
de haut niveau de performance puisque la base de données est en
pleine croissance.
BIOMÉTRIE ORIENTÉE SUR LE COMPORTEMENT
La reconnaissance de la signature , aussi connue comme
dynamique de signature, utilise l'information du lecteur pour
analyser deux volets différents de la signature individuelle : les
caractéristiques spécî figues de la signature et les caractéristiques
spécifiques du processus de signature. Cela comprend la vitesse,
la pression appliquée sur le crayon, les directions, la longueur du
trait et les points dans le temps lorsque le crayon quitte le papier.
Les avantages de cette méthode sont qu'elle est rapide, facile ù
utiliser et qu'elle possède un f-Ui ble coût d'implantation. D'autres
avantages sont que même si une personne peut êtTe capable de
dupliquer l'image visuelle de la signature de quelqu'un d'autre,
il est diflïcile, voire impossible, de dupliquer les dynamiques
(p. ex., le temps de la signature, la pression sur le crayon. à quelle
fi·équence le crayon quitte le bloc de signature, etc.).
Le principal désavantage est de capturer le caractère unique d'une
signature, particulièrement lorsque l'utilisateur ne signe pas son
nom d'une manière constante. Par exemple, cela peut se produire
en raison d'une maladie ou l'utilisation d'initiales au lieu d'utiliser
une signature complète. De plus, le compmtement de l'utilisateur
qui signe peut changer lorsqu'il signe sur des« tablettes H de
signature d'identification et d'authentification en comparaison
avec le fait qu'il signe à l'encre sur une pièce de papier,
La reconnaissance vocale implique de prendre le signal
acoustique de la voix d'une personne, disant une<< phrase de
passe », et de la convertir dans un code numérique unique qui
peut ensuite être stocké dans Lm modèle (qui varie entre 1500
et 3000 octets). La reconnaissance vocale incorpore plusieurs
variables ou paramètres pour reconnaître les caractéristiques
de la voix/du discours d'une personne incluant Je ton, les
dynamiques et les fonnes d'onde.
L'avantage principal de cette méthode est qu'elle peut être
utilisée pour des applications téléphoniques, lorsqu'e11e
peut être déployée sans coûts d'équipement d'utilisateur
supplémentaires. Elle possède aussi un haut niveau
d'acceptation chez les utilisateurs.
Les désavantages de celte méthode incluent:
Le grand volume d'exigences de stockage;
Les changements aux voix des gens;
La possibilité de phrases mal prononcées;
Un enregistrement clandestin de la voix de l'utilisateur disant
la phrase de passe peut être effectue et joué pour obtenir
l'accès;
Les bruits en arrière-plan peuvent interférer avec le système.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certificd Information
Systems Auditllf'"
"·"''"""'~"''""""
Chapitre 5 - Protection des Actifs Informationnels
m;STION BES CARACTitRISTIQUES BIOM~;TRIQliES
La gestion des caractéristiques biométriques: doit traiter d'une
sécurité elficacc dans la cueillette, la distribution ct le traitement
des données biométriqucs, englobant:
• Lïntégrité, l'authenticité ct la non-répudiation des données:
• La gestion des données biométriqucs dans son cycle de vie,
qui comprend l'inscription.la transmission, le stockage, la
vérification et les procédés de terminaison;
• L:utilisatlon de technologies biométriques, incluant la
correspondance bi-univoque ou multiple, pour l'identification et
l'authentification de ses utilisateurs;
• L'application de la technologie biométrique pour l'accès interne
et externe, tout comme logique ct physique;
• L'encapsulation de données biomé1Tiques;
• Les techniques pour la transmission sécuritaire et le stocknge de
données biométJiqucs;
• La sécurité de l'équipement physique présente dans tout le cycle
de vie des données biométriques;
• Les techniques pour l'intégrité et la protection de l'intimité des
donnée\> biométriques.
La direction doit élaborer et approuver une politique de gestion
d'information biornétriquc ct de sécurité (BlMS). Cauditeur
doit utiliser la politique BJMS pour obtenir une meilleure
compréhension des systèmes biométriques utilisés. Selon les
test.;;, l'auditeur doit s'assurer que cette politique a été rédigée et
que l'information biomét1iquc est sécurisée convenablement.
Comme c'est le cas avec tout système d'informations essentielles,
les contrôles logiques et physiques qui incluent des plans de
continuité des affaires doivent aborder ce volet.
Les contrôles de cycle de vie pouf le développement de solutions
biométriques doivent être en place pour couvrir la demande
d'inscription, le modèle de création ct de stockage, ainsi que les
procédures de vérification et d'identification. Les procédures
d'identification et d'authentification pour l'inscription individuelle
et le modèle de création doivent être spécifiés dans la politique
BI MS. La direction doit avoir des contTôles en place pour
assurer que ces procédures sont suivies en conformité avec cette
politique. Si les appareils biométriques fOnctionnent mal ou
sont inopérables, des méthodes d'authcntiiïcation de sauvegarde
doivent aussi être mises en place. Les contrôles doivent aussi être
en place pour protéger l'échantillon de données tout comme le
modèle des modifications durant la transmission.
Identification unique
Les utilisateurs doivent normalement accéder à un grand
nombre de ressources au cours de leur routine quotidienne.
Par exemple, les utilisateurs ouvrent premièrement une session
dans un système d'exploitation et ensuite dans de nombreuses
npplications. Pour chaque application du SE ou d'autres
ressources en utilisation, les ut.il isateurs doivent fournir un
ensemble de références séparées pour obtenir l'accès. Cela peut
entraîner une situation dans laquelle l'habileté des utilisateurs à se
souvenir des mots de passe est réduite de façon significative. Cela
augmente aussi la chance que les utilisateurs les écrivent sur un
p<lpier ou près de leur poste de travail ou des endroits de tTavail, et
par conséquent, augmentent le risque d'une brèche de sécurité. Le
concept d'identifiant unique (SSO) a été conçu pour imiter cette
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
situation. Le concept SSO se définit comme le procédé utilisé
pour consolider toute 1'administration basée sur la platetbrme de
l'organisation, les fOnctions d'authentification et d'autorisation
dans une seule !-Onction administrative centralisée. Cette fonction
foumit les interfaces appropriées aux ressources d'information de
l'organisation, qui peuvent inclure:
• Des systèmes client-serveur et distribués;
• Des systèmes d'ordinateur central;
.. La sécurité du résenu inclut les mécanismes d'accès ù distance.
Le processus SSO commence avec la première étape; lorsque les
rétërences de l'utilisateur sont introduites dans l'environnement
informatique de l'organisation des TL La ressource d'infOrmation
ou le serveur SSO qui traite cette 1/.)nction s'appelle le domaine
pdncipal. Toute autre ressource d'information, application
ou plateforme qui utilise ces références s'appelle domaine
secondaire.
Les défis de gérer diverses platefonnes qui passent par le SSO
impliquent principalement de surmonter la nature hétérogène des
divers réseaux, plateformes, bases de données et d'applications
qu'on trouve souvent dans les entreprises lors de l'étnb!issement
d'un ensemble de références acceptables par toutes les
ressources d'information. Afin de s'intégrer cfTîcacement dans
le processus SSO, les administrateurs du concept SSO doivent
obtenir une compréhension de la manière dont chaque système
gère les informations personnelles, les listes des droits d'accès
(ACL) ninsi que les joumaux et rapports d'audit. Les exigences
développées à cet égard doivent être basées sur les politiques d
les procédures du domaine de sécurité.
Les avantages du concept SSO incluent :
• De multiples mots de passe ne sont plus exigés; par conséquent,
un utilisateur peut être plus tenté et motivé ù choisir un mot de
passe plus il1rt.
• Cela améliore l'hnbileté d'un administrateur à gérer les comptes
et les autorisations des utilisateurs à tous les systèmes nssociés.
.. Cela réduit le temps système administratif passé à reconfigurer
les mots de passe oubliés dans de multiples plate!Onnes et
applications.
• Cela réduit le temps qw: les utilisateurs prennent pour ouvrir
une session dans de multiples applications et plateformes.
Les désavantages du concept SSO incluent :
• Le soutien pour tous les. environnements de systèmes
d'exploitation majeurs est difficile. Les implantations du
concept SSO exigent souvent un nombre de solutions intégrées
dans une solution totale pour l'architecture des Tf d'une
entreptise.
• Les coûts associés avec le développement des concepts SSO
peuvent être importants lorsqu'on considère la nature et
l'étendue du développement de l'interface et l'entretien qui
peuvent être nécessaire.
• La nature centralisée des concepts SSO offre la possibilité
d'un point de panne unique ct une compréhension totale des
actif.<> informationnels d'une organisation. Pour cette raison,
une« puissante authentification», sous la forme d'exigences
complexes relatives aux mols de passe et d'utilisation de la
bîométtic, est souvent mise en œuvre.
Un exemple de concept SSO est le Kerbcros. Créé par le
405
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
Massachusetts Institute ofTechnology, il s'agit d'un service
d'authentification utilisé pour valider les services et les
utilisateurs dans un environnement distTibué. Le rôle du service
d'authentification est de permettre aux dirigeants de s'identifier
positivement ct de pmiicîper dans un environnement distribué.
Les utilisateurs et les serveurs s'authentifient tous deux dans
un environnement distribué, à l'opposé de la sécurité de la
plupart des autres systèmes client-serveur dans lesquels seuls les
utilisateurs sont authentifiés. On retrouve deux étapes distinctes
pour l'authentification. Au moment d'ouvrir la session initiale,
le protocole de tierce pmiie du Kerberos est utilisé au sein de
l'environnement distribué pour vérifier l'identité d'un client qui
demande à pmiiciper dans un réseau d'environnement distribué.
Ce processus pennet que le client obtienne les rêlèrences qui sont
enregistrées initialement avec la tierce partie digne de confiance
et protégées d'une manière cryptograpbique. Ces références
forment la base pour la mise en place de sessions sécurisées avec
des serveurs d'environnement distribué lorsque l'utilisateur tente
d'avoir accès aux ressources.
L'identifiant unique peut égalemenl être traité en utilisant le
Security Assertion Markup Language (SAML). Il s'agit du
format de données standard ouvert qui utilise le XML pour
échanger l'information d'authentification ct d'autorisation entre
les services. L'exigence la plus importante à laquelle le SAML
répond est l'identifiant unique du navigateur Web.
5.3.6 PROBLÈMES D'AUTORISATION
Le processus d'autorisation utilisé pour le contrôle d'accès exige
que le système soit en mesure d'identifier les utilisateurs et de les
diiférencier entre eux.
Les règles d'accès (autorisation) spécifient qui peut avoir accèg
à quoi. Par exemple, le contrôle d'accès est souvent basé sur
le droit d'accès minimal, qui Ütit référence au t-àit d'autoriser
uniquement les utilisateurs pour qui ces accès sont nécessaires
pour effectuer leurs tüches. L'accès doit être fOnction du principe
d'accès sélectif et du principe d'exécution sélective par type
d'accès.
L'accès informatique peut être réglé pour diftërents niveaux
(c.-à-d. fichiers, tables, éléments de données), etc. Lorsque les
auditeurs des SI révisent l'accessibilité informatique, ils doivent
connaître ce qui doit être filit avec l'accès et ce qui est limité. Par
exemple, les restrictions d'accès au niveau du fichier incluent
généralement les fonctions suivantes :
• Lire, demander des renseignements ou copier seulement;
• Écrire, créer, mettre à jour ou supprimer seulement;
• Exécuter seulement;
• Une combinaison des énoncés ci-haut.
Le type d'accès le moins dangereux est la lecture seule, en
autant que lïntOnnation à laquelle on a accès n'est ni sensible ni
confidentielle. Il est le moins dangereux parce que 1'utilisateur ne
peut modifier ni utiliser un fichier informatique pour autre chose
que le visionnement ou l'impression.
406
e ~~="~i:·'""
Listes de contrôles d'accès
Afin de Jüurnir des autorisations de sécurité pour les fichiers et
les installations gui sont listées précédemment, les mécanismes
de contrôles d'accès logiques utilisent des tables d'autorisations
d'accès, que l'on appelle aussi listes des droits d'accès ou tables
de contrôles d'accès. Les listes des droits d'accès logiques font
référence à un registre de :
• utilîsaleurs (incluant les groupes, les machines, les procédés)
qui possèdent la permission d'utiliser une ressource système
particulière;
• types d'accès permis.
Les listes des droits d'accès varient considérablement dans leur
capacité et leur flexibilité. Certaines permettent seulement des
droits d'accès spécifiques pour ce1iains groupes préétablis (p, ex ..
propriétaire, groupe et monde), alors que des listes des droits
d'accès plus avancées permettent une plus grande flexibilité, par
exemple les groupes d'utilisateur définis. De plus, des listes des
droits d'accès plus avancées peuvent être utilisées pour rejeter
explicitement l'accès à une personne ou à un groupe particulier.
Avec des listes des droits d'accès plus avancées, l'accès peut
être à la discrétion de l'instigateur de la politique (et implanté
par l'administrateur de la sécurité) ou d'un utilisateur individuel,
selon la manière dont les contrôles sont techniquement implantés.
Lorsqu 'un utilisateur change de rôle au sein d'une entreprise,
ses anciens droits d'accès ne sont pas supprimés av:.1nt l'ajout des
nouveaux accès requis. Sans la suppression des anciens droits
d'accès, il pourrait y avoir un problème possible de séparation de
tâches.
Administration de la sécurité d'accès logique
Dans 11environnement client-serveur d'aujourd'hui,
l'identification el l'authentification d'accès ainsi que le processus
d'autorisation peuvent être gérés soit par un environnement
centralisé ou décentmlisé. Les avantages d'exécuter la sécurité
dans un environnement décentrahsé sont :
• La direction de la sécurité est sur le site de l'emplacement
distribué.
• Les problèmes de sécurité sont résolus rapidement.
• Les contrôles de :-;écurité sont contrôlés plus fréquemment.
Les risques associés avec la responsabilité distribuée pour
l'administration de la sécurité incluent :
• Les normes locales pourraient être implantées au lieu de celles
exigées par l'entreprise.
" Les niveaux de la gestion de la sécurité pourraient être
infèricurs à ce qui est maintenu par une administration ccntTale.
" La non-disponibilité des vérifications et des audits de la
direction qui sont souvent fOurnis par l'administration cemrale
pour assurer que les normes sont maintenues.
On retrouve plusieurs moyens pour le contrôle à distance et les
sites distribués :
• Les contrôles logiciels sur l'accès à l'ordînateur, les fichiers de
données ct l'accès à distance au réseau doivent être implantés.
• !}environnement de contrôle physique doit être aussi
sécmitaire que possible, avec des ajouts comme des terminaux
verrouilla bles et une salle informatique verrouillée .
.. Caccès aux emplacements à distance par l'entremise des
modems et des ordinateurs portables aux autres micro-
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e ~:,~~;"" Chapitre 5 - Protection des Actifs Informationnels
ordinateurs doit être contrôlé d'une manière appropriée.
• Les occasions pour les personnes non autorisées d'obtenir la
connaissance du système doivent être limitées par l'implantation
de contrôles sur l'accès à la documentntion et aux manuels du
système.
• Des contrôles doivent exister pour les données transmises à
pat1ir d'emplacements à distance, par exemple les ventes ù
un emplacement qui mettent à jour les fichiers des comptes
recevables d'un autre emplacement. L'emplacement d'envoi doit
transmet-tTc les intOrmations de contrôle, comme les contrôles
totaux des transaclions, nfin de permettre à l'emplacement de
réception de vérifier les mises à jour de ses fichiers. Si utile,
le contrôle central doit assurer que toutes les données traitées
à distance ont été reçues entièrement et mises à jours avec
justesse.
• Lorsque des fichiers répétés existent à de multiples
emplacements, les contrôles doivent assurer que les fichiers
utilisés sont corrects ct actuels et, lorsque les données sont
utilisées pour produire des informations financières, qu'aucune
duplication ne sc produit.
Sécurité d'accès à distance
De nombreuses entreprises exigent la connexion à distance à leurs
ressources d'infommtion pour les diftërents types d'utilisateurs,
comme les employés, les distributeurs, les consultants, les
partenaires commerciaux et les représentants des clients.
En fournissant cette capacité, une variété de méthodes ct de
procédures sont disponibles pour répondre au besoin commercial
d'une entreprise pour ce niveau d'accès.
Les utilisateurs d'accès à distance peuvent sc connecter aux
réseaux de leur cntreptise avec le même niveau de fonctionnalité
qui existe au bureau. Ainsi, la conception de l'accès à distance
se sert des mêmes nonnes ct protocoles de r~seau applicables
aux systèmes auxquels ils ont accès, les systèmes basés sur le
protocole TCP/IP et les systèmes d'architecture unifiée de réseau,
pour l'ordinateur central, dans lequcll'utillsateur utilise le logiciel
de simulation du terminal pour se connecter à une application
patrimoniale basée sur l'ordinateur central. Le soutien pour ces
connexions inclut une connectivité modem point à point, un
réseau numérique à services intégrés, la connexion à la demande,
ainsi que des lignes dédiées (p. ex., relais de trame ct lignes
d'abonnés numériques_).
MÉTHODES COMMUNES DE CONNECTIVITfè
L'accès ù distance 1'CP-1P basé sur Internet est une approche
rentable qui pem1et aux cntreplises de prendre avantage des
infrastructures du réseau public ct des options de connectivité
disponibles, sous lesquelles les FSI gèrent les modems ct les
serveurs de réseaux commutés, tandis que les lignes d'abonnés
numériques et les câbles modems réduisent de beaucoup les coûts
d'une entreprise. Afin d'utiliser efficacement cette option, les
entreprises établissent un réseau privé viJtuel (VPN) sur Internet
afin de transmettre de façon sécuritaire les paquets de données
sur cette infrastructure publique. Les technologies de réseau
privé virtuels appliquent la norme lPSec du groupe de travail
IETF (consultez la section 5.4.5 Chiffrement pour plus de détails
sur la norme lPSec). Les avantages sont leur omniprésence,
la convivialité, la connectivité bon marché ainsi que Paccès à
la lecture, à la requête ou à la copie seule. Les désavantages
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
incluent une moins grande fiabilité que les circuits dédies, un
manque d'autorité centrale ainsi qu'une difficulté à résoudre des
problèmes.
Les entreprises doivent être conscientes que l'utilisation des VPN
pour permettre l'accès à distance à leurs systèmes peut créer des
brèches dans leur infrastructure de sécurité. Le trafic chiffré peut
cacher des actions non autorisées ou des logiciels malvci liants
qui peuvent être transmis sur de tels canaux. Les systèmes
de détection d'intrusion et les scanncurs de virus capables
de déchiffrer le trafic pour 1'analyser et ensuite le chifller et
l'envoyer au point final du VPN doivent être considérés comme
des contrôles préventifs. Une excellente pratique fera terminer les
VPN au même point final dans ce qu'on appelle un concentrateur
de VPN, ct n'acceptera pas les VPN qui sont dirigés vers d'autres
parties du réseau.
Il est désormais peu courant d'utiliser des lignes téléphoniques
(modem asynchrone de point à point ou RNIS) pour l'accès à
un serveur d'accès réseau (NAS, network access server) d'une
entreprise qui fonctionne en association avec le coupe-feu du
réseau et la configuration du routeur d'une entreprise. Le NAS
s'occupe de l'authentification de l'utilisateur, du contrôle d'accès
et de son imputabilité, tout en maintenant la conncctivité. Les
protocoles les plus courants sont le RADIUS et le TACACS. Dans
le cadre d'une implantation normale d'un NAS, les appels au
réseau sont reçus ct, à titre de bonne pratique de sécwitê, l'appel
est terminé après l'enregistrement du numéro de l'appelant ct
l'exécution des procédures d'authentification préllminaires. La
pratique de sécurité normale pour le NAS est d'initier un rappel
au numéro prédéterminé de l'utilisateur. Ce contrôle peut être
contourné par l'implantation efficace de mécanismes de transferts
d'appels.
La conncctivité par accès commuté, qui n'est pas basée sur
le contrôle centralisé et moins favorisé d'un point de vue
de la sécmité et du contrôle, est un serveur d'une entreprise
dont le système d'exploitation est configuré pour accepter
l'accès il dist<mce, aussi appelé serveur d'accès distant (RAS).
Cette dernière approche n'est pas J"Ccommandée, puisqu'il est
extrêmement difficile de contrôler l'accès à distance à partir de
plusieurs serveurs en utilisant sa propre capacité de RAS.
Les avantages de la conncctivité par accès commutée sont le
faible coût pour l'utilisateur final (appels locaux) ct le fait qu'ils
sont intuitifs ct faciles d'utilisation (familiarité). Les désavnntages
sont reliés à la pe1fonnance; par exemple, la fiabilité lors de
l'établissement de connexions avec le NAS (les interférences
électJiques des réseaux téléphoniques) et les applications
temporaires et riches en médias ou une panne du service lorsque
le débit du taux de données est faible.
Une autre méthode de connectivité commune souvent utilisée
pour l'accès à distance est les connexions réseaux dédiées.
L'utilîsation des circuits réseaux p1ivés, souvent exclusifs, s'avère
1'approche génémlement considérée comme la plus sécurltaire car
tout le trafic réseau appartient à la même entreprise. Cette façon
de faire est couramment utilisée par les succursales et les bureaux
régionaux ou avec les partenaires commerciaux.
407
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
Les avantages des connexions réseau dédiées incluent plus de
gains de performance dans le débit de données et dans leur
fiabilité; les données sur des lignes dédiées appartiennent à
l'entrep1ise d'accueil, et un pirate devrait compromettre le
fournisseur de télécommunication lui-même afin d'accéder
à la liaison de données. Un inconvénient est que le coût est
normalement cntTc deux et cinq fois plus élevé que celui des
connexions Internet.
Les 1isques d'accès à distance incluent:
• Le déni de service lorsque l'utilisateur à distance peut être dans
l'impossibilité d'avoir accès aux données ou applications qui lui
sont vitales pour effectuer ses activités quotidiennes.
• Des tierces parties malveillantes, qui peuvent obtenir accès aux
applications essentielles ou aux données sensibles en exploitant
les faiblesses dans le logiciel de communication et dans les
protocoles reseaux.
• Un logiciel de communication mal configuré, ce qui peut
entraîner un accès non autorisé ou des mochfications aux
ressources d'information d'une entreprise.
• Des appareils ma! configurés sur la structure informatique de
l'entreprise.
• Des systèmes hôtes qui ne sont pas sécurisés convenablement et
qui pourraient être exploités par un intrus qui réussi à avoir accès
ti distance.
• Les problèmes de sécurité sur les ordinateurs des utilisateurs à
distance.
Les contTôlcs d'accès à distance incluent:
• Politiques et normes;
• Utilisation appropriée;
• Mécanismes d'identification et d'authentification;
• Outils et techniques de chitTTement comme l'utilisation d'un
VPN;
• Gestion de système et de réseau
Jouma/isatlon d'audit du système de surveillance des
accès
La plupmi· des logiciels de contrôle d'accès possèdent des
caractéristiques de sécurité qui permettent à un administrateur de
la sécurité de journaliser et de rapporter automatiquement toutes
les tentatives d'accès, qu'elles aient réussi ou non. Par exemple, un
logiciel de contrôle d'accès peut journaliser l'activité informatique
initiée par un nom d'utilisateur ou un tcnninal informatique.
Celte infommtion f-Ournit à la direction une piste d'audit pour
contrôler les activités de nature suspicîeuse, comme les pirates
qui tentent des attaques par la tOrce sur un nom d'utilisateur
privilégié. Aussi, l'ouverture de session par frappe peut être lancée
par les utilisateurs qui possèdent des accès privilégiés sensibles.
Ce qui estjoumalisé est détcnniné par l'action de l'entreprise.
Les problèmes incluent ce qui est journalisé, qui ou quoi possède
l'accès aux journaux et la période pendant laquelle les journaux
sont retenus (élément de conservation d'enregistrement).
DROITS D'ACCÈS AUX JOURNAUX SYSTÈMES
Les droits d'accès aux journaux systèmes permct1ant aux
administrateurs de la sécurité d'effectuer les activités
susmentionnées doivent être strictement contrôlés.
408
eiSA' Cert.ifiedtnfu~allon
...._ Systems Aud1tor'
~~~
Les gestionnaires de la séctuitù informatique et les
administrateurs/gestionnaires du système doivent y avoir accès
à des fins de révision; cependant, le personnel de sécurité ou
de l'administration qui entretient les fonctions d'accès logique
peut ne pas avoir besoin d'accéder aux journaux d'audit Il
est particulièrement imp01iant de veiller à 1' intégrité des
données de piste d'audit contre toute modification. On peut y
parvenir en utilisant des signatures numériques, des appareils
non réinsc;iptibles ou un système de gestion de la sécurité de
l'information et des événements. Les fichiers de la piste d'audit
doivent être protégés puisque des intrus pourraient tenter de
couvrir leurs traces en modifiant les enregistrements de la piste
d'audit. Les enregistrements des pistes d'audit doivent être
protégés par des contrôles d'accès tèrmes pour aider à prévenir
l'accès non autorisé. L:intégrité de l'infOrmation de la piste d1audit
peut être particulièrement importante lorsque des problèmes
juridiques surviennent, par exemple l'utilisation de pistes d'audit
comme preuves légales. (Cela peut, par exemple, exiger une
impression ct une signature quotidienne des joumaux.) Les
questions qui concernent de tels problèmes juridiques doivent être
dirigées au conseiller juridique approprié.
La confidentialité de l'information de la pisle d'audit peut aussi
être protégée si la piste d'audit enregistre de l'information sur
les utilisateurs qui peut être sensible à la divulgation, comme
les transactions de données qui contiennent des informations
personnelles (p. ex., avant et après les enregistrements de la
modification des données d'impôt sur le revenu). De forts
contrôles d'accès ct le chiffrement peuvent être particulièrement
efficaces dans la conservation de la confidentialité.
La journalisation du média est utilisée pour supporter la reddition
de compte. Les journaux peuvent inclure des numéros de contrôle
(ou d'autres données de suivi) comme l'heure et la date des
transfctis, les noms et les signatures des personnes impliquées,
ainsi que d'autres renseignements pertinents. Des vérifications
périodiques ou des audits peuvent être menés pour détetminer
qu'aucun élément vérifié n'a été perdu et qu'il est sous la garde
des personnes mentionnees dans les joumaux de contrôle. Les
systèmes de suivi automatisés des médias peuvent être utiles
pour maintenir les inventaires des bibliothèques de bandes et de
disques.
Une révision périodique des journaux générés par le système
peut permettre de détecter des problèmes de sécurité, incluant des
tentatives d'outrepasser l'autorité d'accès ou d'obtenir l'accès au
système au cours d'heures inhabituelles. Certains rapports sont
générés pour la sécmité enregistrée dans les journaux d'activité.
OUTILS POliR 11ANALYSE Dlê LA PISTE D'AUDIT
(JOliRNALIX)
Plusieurs types d'outils ont été conçus pour aider à réduire la
quantité d'information contenue dans des rapports d'audit et pour
définir l'information utile à partir des données brutes.
Sur la plupart des systèmes, le logiciel de piste d'audit peut
créer de larges fichiers, qui peuvent étre extrêmement ditficiles
ù analyser manuellement. L'utilisation d'outils automatisés fera
probablement la dillërencc entre les données non utilisées de
la pîste d'audit et un examen efficace. Voici certains des types
d'outils:
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservês.
e . Certifled lnformati 011
M Systems Audit()('
"'''"""''"'''"''""
Chapitre 5 - Protection des Actifs Informationnels
• Outils de •·éduction de l'audit""" Il s'agit de préprocesseurs
conçus pour réduire le volume d'enregistrements d'audit pour
faciliter la révision manuelle. Avant une révision de la sécurité,
ces outils peuvent supprimer beaucoup d'enregistrements
d'audit non importants du point de vue de la sécurité. (À eux
seuls ils peuvent réduire de moitié le nombre d'enregistrements
dans la piste d'audit.) Ces outils suppriment généralement
les enregistrements générés par des classes spécifiées
d'événements, par exemple les enregistrements générés par les
copies de sauvegarde nocturnes peuvent être supprimés.
• Outils de détect-ion de la tendance/variation-" Ces outils
cherchent des anomalies d'ms le comportement de l'utilisateur
ou du système. Il est possible de constTuire des processeurs plus
sophistiqués qui surveillent les tendances de l'utilisation ct qui
détectent des variations majeures. Par exemple, si un utilisateur
ouvre normalement sa session :19 h, mais qu'un matin une
entrée est enregistrée à 4 h 30, cela peut indiquer un problème
qui doit être investigué.
• Outils de détedion de signature d'attaque Ils cherchent
une signature d'attaque, qui est une séquence spécifique
d'événements indicateurs d'une tentative d'accès non autorisé.
Un exemple simple serait des tentatives ratées consécutives
d'ouverture de session.
• Systèmes de gestion de la sécurité de l'information et des
événements·- Ces outils recueillent les pistes d'audit ou les
registres et en eJlèctuent des analyses en temps réel. Ils peuvent
agréger les pistes d'audit et les registres qui proviennent
de nombreuses sources. Ces données peuvent ensuite être
corrélées et des alertes peuvent être émises si nécessaire.
Certains systèmes de gestion de la sécurité de l'information
et des événements peuvent également être configurés pour
effectuer des tâches automatisées en fonction des alertes (p.
ex., lancement d'un balayage des vulnérabilités ou transmission
d'une commande au coupe-feu pour qu'il fèrme un ce1tain
port).
CONSJDF:RATIONS MONÉTAIRES
Les pistes d'audits comportent de nombreux coûts qui entrent en
compte dans la détermination, par le service des Tl, de la quantité
d'enregistrement nécessaire. Premièrement, l'enregistrement de
la piste d'audit entraîne une surcharge du système. Une surcharge
du système supplémentaire surviendra au moment de stocker
et de traiter les enregistrements. Plus les rapports sont détaillés,
plus il y aura de surcharge du système. Dans certains systèmes,
l'enregistrement de chaque événement pourrait entraîner un
verrouillage ou un ralentissement si considérable que le temps
de réaction se mesurerait en minutes. Cela n'est évidemment
pas acceptable si les Tl doivent être harmonisées aux besoins
de l'entrcptise. D'autres coüts impliquent le temps humain et
machine exigé pour faire l'analyse. Ce temps peut être minimisé
en se servant d'outils pour efTectuer la plupart de l'analyse.
Plusieurs analyseurs simples peuvent être construits rapidement et
à peu de frais à partir des utilitaires systèmes, mais ils sont limités
à la réduction de l'::mdit et à l'identifîcatlon des événements
particulièrement sensibles. Des outils plus complexes, comme
les systèmes de gestion de 1'inthrn1ation ct des événements, sont
coûteux tant à J'achat qu'à la mise en oeuvre.
Le coût final des pistes d'audit est celui d'enquêter sur les
événements inattendus et anormaux. Si le système identifie trop
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
d'événements suspects, les administrateurs peuvent passer du
temps superflu à refaire le fi! des événements ct ù interroger le
personnel.
La f-féquence de la révision des mpports d'accès informatiques
par !"administrateur de la sécurité doit tenir compte de la
sensibilité de l'information informatisée qui est protégée.
L:auditcur des SI doit s'assurer que les journaux ne peuvent pas
être trafiqués ni modifiés sans laisser une piste d'audit.
Lors de la révision ou de l'exécution d'un suivi de l'accès de la
sécurité, l'auditeur des SI doit chercher :
• Les caractéristiques ou les tendances qui indiquent un abus des
privilèges d'accès, comme la concentration sur une application
sensible.
• Les infractions (comme le fait de tenter d'accéder à un fichier
informatique qui n'est pas autorisé) ou l'utilisation de mots de
passe incorrects.
Une fois que J'infraction a été identifiée :
• La personne qui a identifié l'intrus doit taire pmi du problème <i
l'administrateur de la sécurité pour qu'il enquête.
• L'administrateur de la sécurité et la direction responsable
doivent travailler ensemble pour enquêter et déterminer la
gravité de l'infraction. Généralement, la plupart des infi·actions
sont accidentelles.
• Si une tentative d'infraction est sélieuse, les cadres supérieurs
doivent être avertis et non les forces de l'ordre. Il incombe
habituellement aux cadres supérieurs d'avertir les forces de
l'ordre. L'implication d'agences externes peut constituer une
publicité négative qui sera en bout de ligne plus nuisible que
l'infraction; par conséquent, la décision d'impliquer des agences
externes doit être laissée aux cadres supérieurs.
.. Les procédures doivent être en place pour gérer les relations
publiques et la presse.
• Afin de faciliter la bonne p1ise en charge des infractions
d'accès, des recommandations écrites identifiant divers types
et niveaux d'infractions ainsi que la manière dont elles doivent
être traitées doivent exister. Cette façon de faire permet à la
direction d'être en mesure de juger elu carnctèrc sé1ieux d'une
infl·action.
• La sanction disciplinaire doit être un processus formel appliqué
invariablement. Elle peut impliquer une réprimande, une
probation ou un renvoi immédiat. Les procédures doivent être
1igoureuses sur le plan juridique ct éthique afin de réduire
le ri l'que que des recours judiciaires soient entamés contre
1'entreprise.
• Des mesures correctrices doivent inclure une révision des
règles d'accès de l'ordinateur, pas seulement pour l'intrus mais
pour les parties intéressées. Les règles d'accès excessives ou
inappropriées doivent être éliminées.
Règles d'affectation des noms pour les contrôles
d'accès logiques
Les capacités d'accès sont implantées par la direction de la
sécurité comme un ensemble de règles d'accès qui stipulent quels
utilisateurs (ou groupes d'utilisateurs) possèdent l'autorisation
d'avoir accès à une ressource (comme un ensemble de données
ou un fichier) ct à quel niveau (comme la lire ou la mettre à
jour). Le mécanisme de contrôle d'accès applique ces règles dès
409
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels eiSA' Certined
qu'un utilisateur tente d'accéder il une ressource protégée ou de
l'utiliser.
Les règles d'afTcct:ation des noms des contrôles d'accès sont
des structures utilisées pour di1igcr l'accès de l'utilisateur au
système et l'autorité de l'utilisateur pour accéder aux ressources
informatiques comme des fichiers, des programmes et des
terminaux et pour les utiliser. Ces règles d'alrectation des noms
générales ct les fichiers qui y sont associés sont exigés dans
un environnement informatique pour établir et conserver la
responsabilité personnelle et la séparation des tâches dans l'accès
aux données. Les propriétaires de données ou d'applications, avec
l'aide du responsable de la sécurité, établissent habituellement
ces règles. Le besoin pour des règles d'affectation des noms
sophistiquées pour les contrôles d'accès dépend de l'impo1tance
et du niveau de sécurité nécessaire pour assurer que l'accès non
auto1isé n'a pas été attribué. Il est important d'établir des règles
d'affectation des noms qui N:mt la promotion de l'implantation de
règles d'accès eflïcaces tout en simplifiant l'administration de la
sécurité.
Les règles d'affectation des noms pour les ressources système
(p. ex., les ensembles de données. les volumes, les programmes et
les postes de travail des employés) sont une importante condition
préalable pour la gestion efficace des contrOles de sécurité. Les
règles d'affectation des noms peuvent être structurées de lUçon
à ce que les ressources qui commencent nvec le même qualitatif
de haut niveau puissent être dirigées par une ou plusieurs règles
générales. Cela réduit le nombre de règles requises pour protéger
ndéquatcmcnt les ressources, ce qui en retour 1àcilite les efforts
de l'administration de la sécurité et d'entretien.
5.3.7 STOCKER, RÉCUPÉRER, TRANSPORTER ET
DISPOSER DES INFORMATIONS CONFIDENTIELLES
La direction doit définir ct implanter des procédures pour
prévenir l'nccès aux informations sensibles et aux logiciels ou
leur perte à partir des ordinateurs, des disques et autre équipement
ou média lorsqu'ils sont stockés, éliminés ou tmnsférés à un autre
uti 1isateur.
Cela doit être fait pour les éléments suivants :
• Les fichiers ou les bases de données de sauvegarde- Les
fichiers de sauvegarde sur les bandes magnétiques sont souvent
non chiffrés, ce qui fait que même l'information confidentielle
peut être obtenue simplement en trnn.sfërant les bases de
données de sauvegarde sur d'autres systèmes pour l'analyse des
données. Les problèmes de sécurité du stockage de données
du média et des technologies de transport obligent à s'assurer
que les entrepreneurs utilisés pour transpmier et stocker les
bandes en réserve sont munis des politiques et procédures
convenables pour protéger l'intégrité et la confidentialité de
lïntbrmation. Chiffrer entièrement tous les supports pmiatîfs ou
de sauvegarde constitue une bonne pratique.
• Banques de données-- Les institutions de recherche et de
commerce rassemblent les résultats de sondages ou de projets
de recherche importants dans de grandes bandes. Ces données
possèdent une haute valeur commerciale et peuvent êtTe sujettes
à une exigence de disponibilité et de confidentialité pendant
plusieurs années, soit une période plus longue que la durée du
410
H Systems Audrtor"
lnfn~ation
'-'"'""''""''"''"'
média qui les contient. La conservation de !a valeur exige des
précautions et possiblement une vérification prévue du média
ou une duplication. En général, il faut avoir une solution aux
problèmes reliés au stockage informatique à long terme de
l'information sensible. Les disques optiques sont un média
possible, mais leur durabilité et leur normalisation doivent être
évaluées.
• (~limination du média précédemment utilisé pour conserver
l'infOrmation confidentielle-- Des procédures doivent être
en place pour identifier et effacer l'infOrmation sensible et le
logiciel à l'intérieur des ordinateurs, des disques et d'autre
équipement ou média ayant été identifiés pour être éliminés
de fb.çon à cc que les données supprimées ne puissent pas être
récupérées par aucune partie interne ou tierce partie. Il faut
s'assurer non seulement de respecter les exigences concernant
la protection des données, mais aussi lorsqu'une machine
est transférée à un autre utilisateur. L'utilisateur original doit
enlever toutes données personnelles de nature confidentielle. Si
les données gardées précédemment étaient sensibles, le disque
doit être rc10rmaté et on doit ensuite exécuter un nettoyage
sécuritaire selon les nonnes définies.
-Dans quelques cas, lorsque l'information est hautement
confidentielle, Je nettoyage du média peut s'avérer insuffisant.
La mémoire vive (RAM) est incluse parce que des
circonstances favorables et une analyse technique appropriée
de ces données pourraient exposer les données. Cela peut
exiger qu'on doive éliminer l'équipement ou le média d'une
manière sécUJitaire (p. ex., la destruction). Cette étape peut
comprendre la démagnétisation des supports magnétiques
comme les rubans ou disques durs d'ordinateurs, et
possiblement leur destruction physique.
• Gestion de l'équipement envoyé pour l'entretien hors du site
~ Les fichiers de données et les logiciels propriétaires doivent
être sauvegardés pour pouvoir être supp1imés de l'équipement
avant de l'envoyer hors du site à des fins d'entretien (p. ex., les
ordinateurs, les tablettes, les disques durs à mémoire llash). Les
ordinateurs qui contiennent des infOrmations confidentielles
ne doivent pas être envoyés pour réparntion, ù moins que les
mémoires ne soient conservées.
• Agences publiques et entreprises préoccupées par les
informations sensibles, essentielles ou confidentielles Ces
organisations peuvent avoir des obligations particulières pour
concevoir un programme exhaustif de gestion des rapports.
Les politiques qui abordent ces besoins doivent refléter les lois
institutionnelles qui touchent la disponibilité, la substance,
le degré de confidentialité et d'élimination en comparaison
avec les solutions techniques et les besoins organisationnels
disponibles. Par exemple, les enregistrements publics peuvent
être détruits seulement en respectant les calendriers de
conservation des enregistrements précis, et le détenteur de
l'enregistrement ne peut pas tronquer, détruire, vendre, prêter
ou disposer autrement de tout enregistrement, excepté sous
un calendrier de conservation des enregistrements ou avec le
consentement écrit du propriétaire. La conservation appropriée
des enregistrements exige la préparation de calendriers de
conservation séparés, selon le sujet des fichiers (administratif en
comparaison avec d'autres exigences juridiques).
• Clés à pm·-e à jeton électronique-- Pour de telles informations
sensibles, le transport de données sur des supports
d'information amovibles n'est pas sécuritaire: Je fait de prendre
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e " . ffied lflformatron
Systems Auditoî
,,,,..... ,.,,,,.,.,.,_,
Chapitre 5 - Protection des Actifs Informationnels
soin du suppmi peut réduire les chances de pertes de données dt:
façon significative.
• Enregistrements de stockage-- Plusieurs entreprises
commerciales remplissent des obligations juridiques ou
institutionnelles pour préserver des types d'enregistrements
spécifiques qui peuvent être de nature confidentielle pendant un
certain nombre d'années. Dans certains cas, ces obligations sont
remplies en conservant les images de la base de données et la
source des documents, que ce soit en ligne ou sur des bandes en
réserve. Dans ces cas, les conditions pour recréer le document
original doivent aussi être retenues intégralement.
Conservation de l'Information lors de l'envol ou du
stockage
Les fabricants publient la température recommandée ainsi
que le niveau d'humidité adéquat pour stocker le média. Ces
recommandations doivent être consultées et on doit les respecter
avant de stocker ou d'envoyer des médias importants. Toutefois,
quelques conseils généraux peuvent êtTe suivis pour aider ù éviter
le dommage potenl'iel subi par le média lors de l'envoi et du
stockage. Les problèmes environnementaux suivants s'appllquent
à tous les types de média :
• Ne pas exposer directement à la lumière du soleil.
• Garder le mCdia loin de la poussière.
• Garder le média à l'abri de liquide.
• Minimiser l'exposition à des champs magnétiques, de
l'équipement radio ou de toutes sources de vibration.
• Ne pas utiliser de transport aétien dans des régions qui sont aux
prises avec de fortes tempêtes magnétiques ou lors de l'une de
ces tempêtes.
Précautions concernant le stockage de média
spécifique
Quelques précautions doivent êlTe prises en considération en
cc qui concerne le stockage de média spécifique (consultez le
tableau 5.13).
Tableau 5.13- Précautions relatives au stockage en lonclion du
suppoltutilisé
Support de Précautions
stockage
Disques durs • Rangez les disques durs dans des sacs
antistatiques et assurez-vous que la personne
qui les retire du sac ne porte aucune charge
électrostatique.
• Si la boîte et le matériel d'emballage originaux
du disque dur sont disponibles, utilisez-les pour
l'expédition.
• Évitez les emballages en mousse de polystyrène
ou d'autres matériaux qui pourraient causer de
l'électricité statique.
• Des baisses rapides de températures ou des
pointes dans les températures sont dangereuses
puisque de tels changements peuvent causer des
pannes du disque dur.
• Si !e disque dur a été laissé dans un environnement
froid, portez-le à la température ambiante avant de
l'installer ou de l'utiliser.
• Évitez !es chocs mécaniques soudains ou les
vibrations.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rêservés.
Section deux : Contenu
Tableau 5;13- Précautions relatives au stoêkage en fOnt:tion du
support ùlilistl -
Support de Précautions
stoêkage
Cartouches • Rangez les cartouches à la verticale.
de bande • Rangez les cartouches dans des contenants
magnétique protecteurs pour le transport.
• Protégez immédiatement les cartouches contre
l'écriture.
Clés USB et • Évitez les températures et les taux d'humidité
disques durs extrêmes ainsi que les forts champs magnétiques.
portables ou à
mémoire flash
CD et DVD • Manipulez-les par les bords ou par le trou au
centre.
• Faites attention de ne pas courber le support.
• Évitez de les exposer longtemps à la lumière vive.
• Rangez-les dans un boîtier rigide, non dans une
pochette souple.
5.4 SÉCURITÉ DE !:INFRASTRUCTURE DU
RÉSEAU
Généralement, les réseaux de communication (étendus ou
locaux) comprennent des appareils branchés au réseau ainsi que
des programmes et des fichiers qui supportent les opérations
du réseau. Le contrôle s'effectue par le biais d'un terminal de
contrôle du réseau et de logiciels de communication spécialisés.
Voici des contTôles liés réseau de communication :
• Les fonctions de contrôle devraient être e-ffectuées par des
personnes possédant une formation et une expérience adéquates.
• Les fonctions de contrôle devraient être séparées et les tâches
devraient être réparties selon une rotation régulière, lorsque
possible.
• Les logiciels de contrôle du réseau doivent rcstrcimirc l'accès
des opérateurs ù J'exécution de certaines fOnctions (p. ex., la
capacité de modifier ou de supptimer les journaux d'activités de
l'opérateur).
• Les logiciels de contrôle du réseau devraient conserver une piste
d'audit de toutes les activités des opérateurs.
• Les pistes d'audit devraient être vérifiées périodiquement par
la direction des opérations afin de déceler toute Jctîvité non
autorisée relative à l'opémtion du réseau.
• Les opérations régulières et les protocoles du réseau devraient
être documentés ct !a documentation devrait être mise à la
disposition des opérateurs.
• L1accès au réseau par les ingénieuŒ de système doit être
surveillé et examiné attentivement pour détecter tout accès non
autorisé au réseau.
.. Une analyse devrait être effectuée afin d'assurer l'équilibre de
la charge de travail, un temps de réponse rapide ct l'efficacité
du système.
• Un fichier d'identification du terminal devrait être maintenu par
le logiciel de communication afin de vérifier l'authentification
d'un terminal lorsque celui-ci tente d'envoyer ou de recevoir des
messages.
• Cencryptage des données devrait être utilisé, lorsqu'approprié,
411
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
afin d'empêcher la divulgation des messages durant la
transmission .
.. Des restrictions devraient être imposées aux installations
d'impression ù distance afin que les documents sensibles ne
soient pas lus par des personnes non auloiisées.
Afin d'améliorer le contrôle et la maintenance de l'infrastructure
ainsi que son utilisation, en plus de la gestion directe des
appareils du réseau, il faudmit regrouper les journaux de ces
appareils avec ceux du coupc-fèu ct du système d'exploit..'ltion
client-serveur.
Au cours des dernières années, la gestion des unités à
grande capacité de stockage a été fréquemment' basée sur les
interconnexions Fibre ChanneL
La sécurité des systèmes s'accroît lorsqu'il est possible de t:'lirc
un inventaire dyn<Jmique des appareils. Si un incident survenait, il
est important de savoir qui utilise quel ordinateur.
Chabilcté d'identifier les utilisateurs ù chaque étape de leur
activité constitue une autre amélioration impo1iante à la
sécurité. Certains progiciels utilisent des noms prédéterminés
(p. ex., SYSTt'~ME). De nouveaux outils de surveillance ont été
développés pour résoudre ce problème.
!.:adoption d'une pratique de gouvernance des Tl permet à une
organisation de se conformer efficacement aux exigences de
sécurité des réseaux. J:IIlformatîoll Technology lnfhlstructure
Library (!TIL) est un cadre de bonnes pratiques pour la gestion
des services des technologies de 1'information qui peuvent être
utilisés lors de la mise en place des des accords de niveau de
service (ANS), en particulier pour l'exploitation du réseau de
l'entreprise, afin de maintenir Je fonctionnement ininterrompu
du réseau grâce à des contrôles, !a gestion des incidents ct l'audit
(voir le chapitre 4., Exploitation, entretien et gestion du service
des systèmes d'information).
5.4.1 SÉCURITÉ D'UN RÉSEAU LOCAL
Les réseaux locaux (LAN) sont des réseaux d'ordinateurs qui
couvrent une zone limitée comme une maison, un bureau ou un
campus. La sécurité d'un réseau local dépend de la sécurité de ses
parties.
Puisque le réseau local permet le stockage et la récupération des
programmes ct des données utilisés par un groupe de personnes,
sa sécurité dépend aussi de celle du système d'exploitation.
Pour obtenir plus d'information sur le 1isque nssocîé aux
réseaux ct aux :;;ystèmes d'exploitation, consultez le chapitre
4 Exploita! ion, entretien et gestion du service des systèmes
d'information.
Le risque associé aux réseaux locaux comprend :
• La perte de l'intégrité des données et des programmes à cause
de modifications non autorisées;
• Le manque de protection des données courantes à cause de
l'incapacité de maintenir le contrôle de la version;
.. L'exposition ù des activités extemes à cause d'une piètre
vérification des utilisateurs et d'un accès public potentiel au
412
eiSA" '.
M
ertified lnfo:mation
Systems Auditor"
~'·'-"""'~···,
réscnu à l'aide d'une connexion à distance;
.. L'infection informatique par des virus ou des vers;
• La divulgation inappropriée des données à cause des
dispositions d'accès général au lieu d'accès de type besoin de
connaître;
• L'accès illégal par l'usurpation de l'identité d'un utilisateur
légitime du réseau local;
• Le reni Il age d'information relative ù un utilisateur intcme
(l'obtention d'information apparemment non importante à partir
du réseau et qui peut être utilisée pour lancer une attaque sur les
adresses réseau par exemple);
.. La mystification d'un utilisateur interne (la reconfiguration
d'une adresse réseau afin de prétendre que c'est une adresse
di ffércnte );
• l:absence de journalisation automatisée des données (piste
d'audit);
• La destruction des données de journalisal'ion et d'audition.
Les dispositions relatives à la sécurité du réseau local LAN
dépendent du logiciel, de sa version ct de son implantation.
Les capacités de gestion de la sécurité du réseau normnlcment
disponibles comprennent notamment :
" La déclaration de la propriété des programmes, des fichiers et
du stockage;
• La restriction de l'accès selon le principe du moindre privilège
(les utilisateurs ont seulement accès à ce dont ils ont besoin
pour leur tâche);
• Cimplantation d'un verrouillage des enregistrements et des
fichiers afin d'empêcher la mise à jour simultanée;
" La mise en œuvre de procédures d'ouverture de session par ID
et mot de passe de l'utilisateur~ incluant les règles relatives ù la
longueur des mots de passe, à leur format et à la fréquence de
leur modification;
.. !...:utilisation de commutateurs pour implanter des politiques
de sécurité des points d'accès plutôt que des routeurs pour
conccntrateurs ou non-gérables. Ccci empêchera les hôtes non
autorisés, avec des adresses MAC inconnues, de se brancher sur
le réseau local.
.. [;encryptage du trafic local en utilisant Je protocole IPSec.
Pour obtenir une bonne compréhension du réseau local, un
auditeur des SI devrait identifier ct documenter les éléments
suivants:
• Les utilisateurs ou groupes détenant des droits d'accès
privilégiés;
" La topologie du réseau local el· la conception du réseau;
• L'administrateur oule propriétaire du réseau local;
• Les fonctions exécutées par l'administrateur ou le propriétaire
du réseau local;
• Les groupes distincts d'utilisateurs du réseau local;
.. Les applications informatiqt1cs utilisées dans le réseau local;
• Les procédures et les normes relatives à la conception du réseau,
aux supports, aux conventions de nom mage et à la sécurité des
données.
V/rtua/lsation
La virtualisation fournit aux entreprises une occasion
considérable d'accroître leur efficacité tout en réduisant leurs
coûts opérationnels de Tl. Toutefois, ln virtualisation introduit
également des risques supplémentaires. Les auditeurs des
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e. certmoo lntorm.atioo
M Systems Auditor'
.,.~'"'"'""'""
Chapitre 5 - Protection des Actifs Informationnels Section deux : Contenu

Sl doivent comprendre les avantages et désavantages de la

Tableau 5.1!4- Avantages et désavantâ.Jies de la l(irlûalisalion
virtualisation pour déterminer si l'entreprise a tenu compte des
risques applicables dnns sa décision d"adopter, d'implanter ct de Avantages Désavantages
maintenir cette technologie. • Les coûts de matériel serveur, • Une configuration inadéquate de
tant pour l'installation que pour l'hôte créerait des vulnérabilités
À un haut niveau, la virtualisation permet à de multiples systèmes l'entretien, peuvent être réduits. qui n'affecteraient pas
d'exploitation (invités) de coexister sur le même serveur physique • Des systèmes d'exploitation uniquement l'hôte, mais aussi
(hôte) isolés l'un de l'autre. La virtualisation crée une couche multiples peuvent partager des les invités.
entre l'équipement et les systèmes d'exploitation invités pour capacités de traitement et de • ~exploitation des vulnérabilités
l'espace de stockage souvent de la configuration de l'hôte ou
gérer le traitement partagé et les ressources en mémoire de l'hôte.
perdus dans les serveurs une attaque de déni de service
Souvent, une console de gestion foumit un accès administrateur traditionnels, ce qui fait diminuer contre l'hôte pourrait affecter
pour superviser le système virtualisé. Le tableau 5.14 résume les coûts d'exploitation. tous les invités.
certains avantages et désavantages de la virtualisation. • L'espace physique occupé par • Si la console de gestion était
les serveurs dans le centre de compromise, un accès non
Bien que la virtualisation offre des avantages considérables, elle données peut être réduit autorisé à tous les invités
comporte également des risques qu'une entreprise doit gérer • Un même hôte peut héberger de pourrait avoir lieu.
efficacement. Puisque l'hôte d'un environnement virlualisé multiples versions d'un même • Les problèmes de pertonnance
représente un point de déf..1illance potentiel unique au sein du système d'exploitation, ou même du système d'exploitation de
de systèmes d'exploitation l'hôte pourraient avoir un impact
système, une attaque réussie contre l'hôte pourrait avoir une
différents, pour faciliter les sur chacun des invités.
portée et un impact considérables. tests sur les différences de • Il pourrait y avoir des fuites
performance des applications. de données entre invités si la
Afin d'atténuer cc risque, l'entreprise peut implanter ct adapter • La création de copies des invités mémoire n'était pas attribuée
les mêmes principes et bonnes pratiques qu'elle utiliserait pour à différents emplacements peut par l'hôte de façon contrôlée.
une batterie de serveurs dans son environnement de serveur appuyer les efforts de continuité • Des protocoles non sécurisés
virtualisé. Cela comprend: des activités. pour l'accès à distance à la
Des contrôles d'accès physique et logique forts, SUJiout pour • Le personnel de soutien aux console de gestion et aux
1'hôte et sa console de gestion. applications peut garder invités pourraient entrainer la
Des pratiques de gestion de la configuration sûres et un différentes versions d'un même divulgation des authentifiants
système d'exploitation, ou même d'administrateur.
renforcement du système de l'hôte, y compris l'application de
des systèmes d'exploitation
correctifs, des antivirus, des services limités, lajournalisation,
différents, sur un seul hôte,
des permissions appropriées et autres paramètTes de pour mieux appuyer les
configuration. utilisateurs travaillant dans des
• Une séparation adéquate sur le réseau, y compris le fait d'éviter environnements différents.
de placer les machines virtuelles dans la zone démilitarisée • Une seule machine peut
(DMZ) et le positionnement des outils de gestion sur un héberger un réseau multiniveaux
segment distinct du réseau. dans un environnement de
• Des pratiques de gestion des changements fOlies. laboratoire éducatif sans qu'on
doive apporter de changements
de configuration coûteux à
l'équipement.
• Les petites organisations qui
effectuent des tests dans
l'environnement de production
peuvent devenir mieux
outillées pour installer à peu
de frais des environnements
de développement et de test
logiquement distincts.
• S'il est configuré correctement,
un contrôle d'accès unique bien
conçu sur l'hôte peut offrir un
contrôle de sécurité rigoureux
pour les différents invités.

5.4.2 SÉCURITÉ CLIENT-SERVEUR

Le modèle client-serveur est une architecture réseau dans
laquelle chaque ordinateur ou processus sur le réseau est soit un
serveur (une source de services et de données) ou un client (un
utilisateur de ces services et données qui sc fie aux serveurs pour
les obtenir). Les architectures cl icnt-serveur peuvent être à deux
niveaux (comprend l'utilisation d'un client lourd), à tTOis niveaux

Manuel de Préparation CISA 26' édition 413

ISACA. Tous droits réservés.
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
(comprend l'utilisation de serveurs d'applications et d'un client
léger, probablement un navigateur) ou à n niveaux (comprend
plusieurs serveurs d'applications, des intergiciels, etc.).
La sécurité d'un environnement client~serveur dépend de la
sécurité de ses parties. Cela comprend la sécurité de :
•LAN
• Client
• Système d'exploitation
• Base de données
• lntergicicl
Dans un environnement client-serveur, il existe plusieurs chemins
d'accès, car les données d'application peuvent se trouver sur le
serveur ou le client. Par conséquent, chacun de ces chemins doit
être vérifié individuellement et les uns par rapport aux autres afin
de garantir que toutes les expositions ont été vérifiées.
Les lacunes possibles entre les composants doivent également
être considérées comme un risque supplémentaire avec le modèle
client-serveur. En d'autres termes, comment les composants se
connectent-ils les uns aux autres?
Par exemple, dans un environnement à deux niveaux, le client
lourd doit se connecter à la base de données. Pour y parvenir,
deux possibilités sont envisageables: ( 1) tous les utilisateurs
disposent d'un compte de base de données, auquel cas ils peuvent
être en mesure de contoumcr l'application cliente (ct donc les
contrôles de l'application) et sc connecter directement à la base
de données, ou (2) un utilisateur proxy est utilisé (c.-à-d. un
compte unique qui se connecte à la base de données pour le
compte de tous les autres), auquel cas le mot de passe de la base
de données doit être stocké quelque part. Or, il est possible qu'il
soit' stocké de manière non sécurisée ou non cryptée.
Dans un environnement client-serveur l'auditeur des SI doit
veiller à ce que :
• Les contrôles d'applications ne puissent pas être contournés.
• Les mots de passe soient toujours cryptés.
• L;accès aux fichiers de configuration ou d'initialisation est
minimal.
• L'accès aux fichiers de configuration ou d'initialisation est
audité.
Remarque-: L'auditeur des SI doit connaître les risques cl
cxposilîons liés à l'înfrastructure du réseau.
5.4.3 ATTÉNUATION DES MENACES ET DES RISQUES
RELATIFS À LA SÉCURITÉ DU SANS FIL
Le classement des menaces relatives à la sécurité peut être divisé
en neuf catégolies :
" Erreurs et omissions;
• Fraude et vol commis par des utilisateurs :mto1isés et non
autorisés du système;
• Sabotage par les employés;
• Perte d'assistance physique ou infrastructurclle;
• Pirates informatiques malveillants;
.. Espionnage industriel;
• Code malveillant;
414
eiS/!i. Ccrtrfredlnlo~tion
Systems Aud1toî
'"''"'''''""'""""
• Espionnage par les gouvernements étrangers;
" Menaces à la vic privée.
Tous ces éléments rcpn':sentent aussi des menaces potentielles
dans les réseaux avec fil. Toutefois, les préoccupations les plus
immédiates en ce qui a trait aux communications sans fil sont
le vol d'appareiL le déni de service, les pirates infOrmatiques
malveillants, le code malveillant, le vol de service, l'espionnage
industriel et l'espionnage par les gouvernements étrangers.
Parce qu'ils sont portables, les appareils snns fil sont plus
susceptibles d'être volés. Les utilisateurs autorisés et non
autorisés peuvent commettre de la fraude ct des vols; cependant,
les utilisateurs autorisés sont les plus susceptibles de commettre
de tels actes. Puisque les utilisateurs d'un système peuvent
connaître les ressources du système cl ses lacunes relatives à la
sécurité, il leur est plus facile de commettre de la ifaudc et des
vols.
Les pirates informatiques malveillants sont des individus qui
s'immiscent dans un système sans autorisation, habituellement
pour leur bénéfice personnel ou pour là ire du dommage. De tels
pirates peuvent s'introduire dans un point d'accès du réseau sans
fil en espionnant les communications sur les appareils sans fil.
Le code malveillant consiste, entre autres, en des virus, vers
informatiques, chevaux de Troie, bombes logiques, ou autres
logiciels non désirés destinés à endommager les fichiers ou
à paralyser un système. Le vol de service se produit quand
un utilisateur non autorisé accède au réseau et en utilise les
ressources. Dans les réseaux sans fil, la menace d'accès non
autorisé découle de la fâcilité relative avec laquelle on peut
espionner les émissions radio.
Dans le cas des réseaux sans fil, les objectifs principaux sont
d'assurer la confidentialité, l'intégrité, l'authenticité et la
disponîbi lité.
Les exigences de sécurité comprennent notamment :
• IJauthenticité- Une tierce pmiic doit être apte à vérifier
que le contenu d'un message n'a pas éte modifié en cours de
transmission.
• La non-répudiation- L'origine ou la réception d'un message
précis doit être vérifiable par une tierce partie.
• La responsabilité-· Les actions d'une entilé ne doivent être
retraçables qu'à cette entité.
• La disponibilité du réseau -Les ressources des Tl doivent être
disponibles au moment opportun afin de satisf..1ire les exigences
de la mission ou pour éviter des pertes substantielles. La
garantie que les ressources ne sont utilisées qu'aux fins prévues
fait aussi partie dt: la disponibilité.
Les risques liés aux réseaux sans fil sont égaux à la somme des
risques liés au fonctionnement d'un réseau dblé et des nouveaux
risques intmduits par la faiblesse des protocoles sans fil. Afin
d'atténuer ces risques, une organisation doit adopter des mesures
ct des pratiques qui permettront de gérer ces tisques.
Certaines des menaces et des faiblesses des systèmes sans f1l
les plus importantes à ce jour sont énumérées dans ln liste ci-
dessous :
Manuel de Préparation CISA 2& édition
ISACA. Tous droits réservés.
e certmoo lilformatioo
Systems Audilnr"

"""""''"''''"""''
Chapitre 5 - Protection des Actifs Informationnels Section deux : Contenu

• Les technologies sans fil englobent toutes les faiblesses d'un adresses des dispositifs sont connues, même si les dispositifS
réseau câblé conventionnel. sont effectivement en mode indétcctable, il est possible de
• Les faiblesses des protocoles sans fil accroissent la menace de les synchroniser à la séquence de sauts de tt·équence. Toutes
divulgation d'information sensible. De nombreux réseaux sans les couches de la pile de protocoles Bluetooth peuvent être
fil ne sont pas sécuritaires ou bien ils utilisent des algorithmes examinées et analysées en étanl déconnecté. Si l'encryptage
d"encryptage désuets. n'est pas utilisé, alors il est possible d'extraim ct de surveiller
• Des entités malveillantes peuvent avoir un accès non autorisé les données de 1'utilisateur qui sont transmises. L'utilisation
au réseau informatique ou téléphonique (téléphonie IP) d'une d'une antenne avec de l0r1cs caractéristiques directionnelles et
agence grâce à des connexions sans fil; cela en outrepassant, des fèmctions électroniques capables d'amplifier les signaux
possiblement, toutes protections coupe-feu. Bluetooth peut rendre possible des attaques d'écoute passives à
.. L'information sensible qui n'est pas encryptéc (ou est encryptée une distance plus grande que la portée fonctionnelle. Le contrôle
selon de mauvaises techniques cryptographiques) et qui est de la puissance de transmission est optionnel et n'est pas supporté
transmise entre deux dispositif.-, sans fil peut être interceptée ct par tous les dispositif."> Bluetooth.
divulguée.
• Les attaques pour déni de service peuvent être dirigées vers des Le nombre croissant de personnes qui utilisent des équipements
connexions ou des dispositifs sans fil. dotés de la tec-hnologie Bluetooth pourrait suivre la tendance du
• Des entités malveillantes peuvent voler l'identité d'un piratage Wi-Fi comme le war driving où les gens se promènent
utilisateur légitime et se fàire passer pour lui sur les réseaux en voiture et, à J'aide d'un ordinateur portatif, tentent d'identifier
corporati[" internes et externes. des réseaux protégés d'une fllçon inadéquate.
• Des données sensibles peuvent être corrompues lors d'une
synchronisation inappropriée. 5.4.4 MENACES ET SÉCURITÉ INTERNET
• Des entités malveillantes peuvent réussir à porter atteinte à la
La nature d'Internet Je rend vulnérable aux at1aques. Clnternet
vie privée d'utilisateurs légitimes et retracer leurs mouvements
est un système global basé sur la technologie TCP/1 P qui permet
physiques.
aux réseaux hétérogènes publics ct privés de communiquer
• Des entités malveillantes pourraient déployer un équipement
entre eux. On estime qu'environ 40% de la population
non autorisé (p. ex., des dispositifs clients et des points d'accès)
mondiale est branchée sur Internet (H>wH:internetlivestats.
afin d'avoir clandestinement accès à l'information sensible.
com). Conçu à l'origine pour permettre un échange le plus libre
• JI est facile de voler des appareils mobiles et ceux-ci peuvent
possible d'"intûnnation; aujourd'hui . il est tTès utilisé à des fins
dévoiler de l'information sensible.
commerciales. Cela pose d'impmiants problèmes de sécurité
• Des données peuvent être extraites sans détection à cause de la
aux organisations qui veulent protéger leurs actifs d'infOrmation.
confïguration inadéquate des dispositifS.
Par exemple, les pirates informatiques et les développeurs de
• Des virus ou d'autres codes malveillants peuvent corrompre les
virus essnient d'nttaquer l'Internet ainsi que les ordinateurs qui
données d'un dispositif sans fil et ultérieurement, peuvent être
y sont connectés. Certains veulent s'immiscer dans la vie privée
introduits dans une connexion de réseau càblé.
des autres et tenter de craquer des bases de données renfermant
• Des entités malveillantes peuvent, par le biais de connexions
des données sensibles ou de« renifler» des renseignements
sans fil, sc connecter sur d'autres agences afin de lancer des
lorsqu'ils voyagent dans Internet. Par conséquent, il est d'autant
attaques et de camoutler leurs activités.
plus important que les auditeurs des SI comprennent les risques
• Des intrus, de l'intérieur ou de l'extérieur.. peuvent être aptes à
ct les f"hcteurs de sécurité requis pour s'assurer que les contrôles
établir la connectivité avec les contrôles de gestion du réseau et,
appropriés sont en place lorsqu'une entreprise se connecte à
ce faisant, désactiver ou interrompre les opérations.
Internet.
• Des entités malveillantes peuvent se servir d'un réseau sans fil
intermédiaire qui n'est pas digne de confirmee pour avoir accès
Le protocole Internet est conçu uniquement pour adresser et
aux ressources d'un réseau.
acheminer les paquets de données dans un réseau. Il ne garantit ni
ne donne l'assurance que les messages seront livrés; une adresse
Actuellement, les entités malveillantes possèdent de nombreux
n'est pns vérifiée; l'expéditeur ne saura pas sî le message est
moyens pour accéder aux dispositifs sans fil. Ceux qui sont
parvenu en temps à sa destination finale; le destinataire ne sait
liés aux réseaux locaux sans fil (WLAN) comprennent, entre
pas si le message provient de J'adresse spécifiée comme adresse
autres, trois formes de piratage Wi-Fi : les« war driving »,
de retour des paquets. D'autres protocoles comblent certaines de
« war walking )) et« war chalking )>; Je tableau 5.12 en fait une
ces lacunes.
description.
Menaces à la sécurité du réseau
En ce qui a trait aux réseaux sans fil personnels (WPAN), un
Une des catégories d'attaques de réseau consiste à rechercher de
type de risque important est celui de l'attaque de l'intercepteur,
l'information sur le réseau. Ces attaques passives peuvent n1ener
comme le décrit le tableau 5.12.
à de vraies attaques actives ou à des intrusions dans le réseau
d'une organisation. En recherchant de l'infonnation sur le réseau,
La propagation incontrôlable d'ondes radios représente !'autre
l'intrus obtient des renseignements qui peuvent servir à cibler
problème des réseaux sans fil personnels; par exemple, le
un système particulier ou un ensemble de systèmes durant une
trafic radioélectrique dans les connexions Bluetooth peut être
attaque.
intercepté de façon passive et enregistré en utilisant des renifleurs
de protocoles comme Red Fang, Bluesniffet autres. Si les

Manuel de Préparation CISA 26• édition 415

ISACA. Tous droits réservés.
 Section deux : Contenu Chapitre 5 -Protection des Actifs Informationnels
Attaques passives
Des exemples d'attaques passives qui recueillent de l'infOrmation
sur le réseau incluent l'analyse de réseau, l'écoute clandestine ct
l'analyse du trafic, tel qu'expliqué au tableau 5.12.
Attaques actives
Après que suffisamment d'information a été recueillie, l'intrus
lancera une vétitablc attaque contre un système ciblé afin
d'obtenir le contrôle complet de ce système ou d'avoir assez de
contrôle pour mettre à exécution certaines menaces. Ceci peut
comprendre un accès non autorisé pour modifier des données ou
des programmes, entraînant un déni de service, un accroissement
des privilèges, un accès à d'autres systèmes, et l'obtention
d'information sensible en tant que gain personneL Ces types de
pénétration ou d'intrusion sont connus comme étant des attaques
actives. Elles affectent !es attributs d'intégrité, de disponibilité et
d'authentification de la sécurité d'un réseau. Les types d'attaques
actives communes comprennent les éléments suivants (expliqués
au tableau 5.12):
• Attaque en force;
• Usurpation d'identité;
• Réinjection de paquets;
• Hameçonnage;
• Modification de message;
• Accès non auto1isé par Internet ou des services Web;
• Déni de service;
• Intrusion par réseau commuté;
• Bombardement courriel et pouniel;
• Courriel frauduleux.
Facteurs de causalité des attaques sur Internet
De façon générale, les attaques sur Internet, qu'elles soient de
nature passive ou active, surviennent pour certaines raisons dont
les suivantes :
• La disponibilité des outils et des techniques dans Internet ou
en tant que logiciel commercial qu'un intrus peut télécharger
facilement Pm· exemple, pour balayer les points d'accès, un
intms peut se procurer aisément un explorateur de réseau
comme strobe, netcat,jakal, nmap ou Asmodeous (Windows).
De plus, des programmes destinés à craquer les mots de
passe, comme John the Ripper ct L.OphtCrack, sont oft:Crts
gratuitement ou à un faible coüt.
• Le manque de connaissance et de formation relativement à la
sécurité chez les employés d'une organisation.
• L'exploitation de thiblcsscs connues liées à la sécmité des
systèmes réseaux et hôtes. De nombreuses organisations ne
réussissent pas à configurer adéquatement leurs systèmes ct à
appliquer des correctifs lorsque des làiblesscs sont découvertes.
La plupart des problèmes peuvent être atténués de façon
impotiante en configurant et en mettant à jour adéquatement les
systèmes réseaux et hôtes.
• La sécurité inappropriée lièe aux coupe-tèu et aux systèmes
d'exploitation hôtes permet aux intrus de visualiser les adresses
internes et d'utiliser, sans discernement, les services du réseau.
Une organisation peut prévenir et détecter etfic:Jcement les
attaques intrusives sur ses réseaux en autant qu'elle conçoit
et développe soigneusement les contrôles de sécurité et les
processus de support. Dans ce cas, il devient important pour les
auditeurs des SI de comprendre les risques ainsi que !cs facteurs
416
eiSA' Cert. lnfo~mation
ifled.
M Systems Aud1tor'
;,-~"·
de sécurité qui sont requis pour assurer que les contrôles sont en
place lorsqu'une entreprise sc branche à internet. L'auditeur des
SI doit évaluer plusieurs domaines qui présentent des risques liés
aux contrôles afin de déterminer la pe1tincnce des contrôles de la
sécurité sur Internet.
Contrôles de la sécurité sur Internet
Afin de mettre en œuvre des contrôles de sécurité efficaces sur
Internet, une organisation doit développer des contrôles inhérents
à la structure des systèmes d'infOrmation à partir desquels les
contrôles de sécurité sur Internet peuvent être implantés ct
supportés. Habituellement, le processus visant à établir une telle
structure comp01te la définition, par le biais des politiques et
procédures corporatives, de règles que l'organisation suivra pour
contrôler l'utilisation d'Internet. Par exemple, une série de règles
devrait régir l'utilisation appropriée des ressources Internet ct
d'autres règles pourraient servir à accorder des privilèges Internet
ù ceux qui ont des besoins professionnels, définir les ressources
infOrmationnelles qui devraient être disponibles aux utilisateurs
externes, puis déterminer les réseaux qui sont fiables ou non il
!'intérieur ct à l'extérieur de l'organisation.
Une autre série de règles devrait régir la sensibilité ou le caractère
critique des ressources informatiques de l'entreprise. Ceci aidera
à déterminer quels renseignements seront disponibles pour
l'utilisation sur Jntemet et le niveau de sécurité qui doit êtTe mis
de l'avant quant aux ressources corporatives de nature sensible ou
critique utilisées sur Internet.
À pmiir de l'évaluation de ces questions, une organisation sera
apte à élaborer des lignes directrices spécifiques à sa situation
afin de définir l'ampleur des contrôles de sécurité liés à la
confidentialité, à l'intégrité ct à la disponibilité des ressources
informatiques (c.-à~d. les applications d'aifaires) sur Internet.
Par exemple, des lignes directrices plus sévères à propos de la
sécurité du système d'exploitation peuvent être élaborées afin de
définir comment le système d'exploitation devrait être configuré,
de décrire en détail quels services lntemet devraient être bloqués
aux fins d'utilisation ou d'exploitation pm· des utilisateurs
externes non fiables, puis définir de quelle façon le système sera
protégé par les coupe-feu. De plus, les processus de support en ce
qui a trait à ces contrôles devraient être définis, notamment :
• [?évaluation des risques devrait être effectuée périodiquement
en ce qui a trait au développement ct à la reconception
d'applications Web.
• L'infOrmation et la formation des employés, adaptées à leur
niveau de responsabî!îté.
• Les normes et la sécurité des coupe-feu afin de développer et
d'implanter les architectures des coupe-feu.
• Les normes et la sécurité liées à la détection des intrusions afin
de développer et d'implanter les architectures IDS.
• L'accès à distance pour la coordination et le contrôle centralisé
des points d'accès commutés sur Internet par le biais des
ressources corporatives.
• Le traitement et la réponse aux incidents relativement à la
détection, la réaction, la prévention et la COITection.
• La gest-ion de la configuration afin de contrôler les bases de !a
séculité lorsque des changements surviennent.
" L'application de techniques d'encryptage afin de protéger les
actifs d'infOrmation qui circulent sur Internet.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certlf!edklforma. tion
~msAudil~r"
M"""'"""''"~'·"
Chapitre 5- Protection des Actifs Informationnels
• Un environnement de bureau courant pour contrôler, d'une
façon automatisée, cc qui est a!lïché sur l'écran d'un utilisateur.
.. Ln surveillance des activités Internet pour détecter les
utilisations non autorisées ct aviser les utilisateurs finaux des
incidents liés à la sécurité par des bulletins CERT ct des alertes.
En résumé, l'utilisation d'Internet change de façon drastique la
façon de faire des affaires et elle donne aux organisations des
occasions de concurrencer sur ce qu'on appèllc aujourd'hui un
marché viJtuel global. Afin de concurrencer et de survivre dans
cc nouveau marché, les organisations doivent modifier leur
modèle de références en ce qui a trait à la sécurité. La sécurité,
en ce qui concerne Internet, devra être considérée comme un
facilît:Jteur pour le sm;cès et être traitée comme un outil essentiel
aux aiTaires.
Systèmes de sécurité coupe-feu
Chaque fois qu'une corpomtion connecte son réseau interne
~·ordinateurs à lntemct, elle Ü1Ît Htce à des dangers possibles.
A cause de l'étendue d'Internet, chaque réseau corporatif qui
lui est connecté est vulnérable nux attaques. Sur lntemct, les
pirates informatiques pounaient, théoriquement, pénétrer dans
le réseau corporatif et faire du dommage de nombreuses façons,
comme décrit précédemment. Les entreprises devraient élaborer
des coupe-feu en tant que moyen de sécuriser le périmètre de
leurs réseaux. De plus. le même principe s'applique relativement
aux systèmes .sensibles ct critiques qui doivent être protégés
des utilisateurs qui ne sont pas fiables à l'intérieur même du
réseau corporatif(pirates informatiques internes). Les coupe-i:Cu
consistent en un disposîtif installé à un point où les connections
du réseau entrent dans un site; ils appliquent des règles afin de
contrôler le type de trafic qui entre et sort du réseau. La plupart
des coupe-feu commerciaux sont construits pour traiter les
protocoles Internet les plus répandus.
Pour qu'ils soient. eificaces, les coupe-feu doivent permettre nux
personnes sur le réseau corporatif d'avoir accès à lntemct et, au
même moment, empêcher les pirates informatiques ou les autres
utilisateurs sur Internet d'avoir accès au réscnu corporatif afin d'y
causer des dommages. (:Jénéralcment, les organisations suivront
une philosophie de refus total, ce qui veut dire que l'accès à une
ressource donn0c sera refusé à moins qu'un utilisateur puisse
fOurnir une raison proièssionnelle précise ou un besoin d'accéder
à la ressource d'intbnnation. L'opposé de cette philosophie
d'accès, qui n'est pas très prisée, est l'acceptation totale, c'est-à-
dire que chacun peut avoir accès à moins que quelqu'un puisse
tburnir une raison de lui refuser l'accès.
Caractéristiques générales du coupe-feu
Les coupe-feu sont une combinaison de matériel et de logiciel qui
sont construits ù l'aide de routeurs, de serveurs ct d'une variété
de logiciels. Ils séparent les réseaux les uns des autres et isolent
le trafic qui circule entre eux. Par conséquent, avec d'autres types
de sécurité, ils contrôlent le point le plus vulnérable entre un
réseau corporatif et l'Internet, et ils peuvent être aussi simples
ou complexes que les demandes des politiques de sécurité de
l'intbnnation corporative. Il existe différents types de coupe-feu;
par contre, la plupart permettent aux organisations de:
• Bloquer l'accès à des silcs pm·ticuliers sur Internet;
• Limiter le trafic sur Je segment de services publics d'une
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
organisation à des adresses et des ports pe1iîncnts:
• Empêcher ce1iains utilisateurs d'avoir accès à certains serveurs
ou serv1ces;
• Surveiller les communications et les registres de
communications entre les réseaux internes ct externes;
• Surveiller et enregistrer toutes les communications entre
le réseau interne ct le monde extérieur afin d'analyser les
pénêtrations sur le réseau ou de détecter les subversions
internes;
• Encrypter les paquets qui sont envoyés entre les dilférents
emplacements physiques à l'intérieur d'une organisation en
cn~ant un VPN sur Internet (c.-à-d. !PScc, tunnels VPN).
Les capacités de CCJiains coupe-feu peuvent être étendues de
telle sorte qu'ils fourniront une protection contre les virus et les
attaques visant à exploiter les faiblesses connues du système
d'exploitation.
Types de coupe-feu
Habituellement, les types de coupe-feu maintenant disponibles se
classent dans ces trois catégories :
• Filtres de paquets;
• Systèmes coupe-feu d'application;
• Inspection dynamique de paquets.
Coupe-feu filtre de paquets
Le type de coupe-feu le plus simple et le moins récent (c.-à-d.
première génération de coupe-feu) consistait en des coupe-feu
basés sur l'inspection des paquets déployés entre le réseau privé
et l'Internet. Au cours de l'inspection des paquets, un routeur
d'inspection analyse l'en-tête de chaque paquet de données
qui circule entre l'Internet et le réseau corporatif !..:en-tête des
paquets renferme des renseignements, y compris l'adresse IP
de l'expéditeur et du destinataire ainsi que les numéros des
ports autorisés (application ou service), qui peuvent utiliser
l'information transmise. Basé sur cette information, le route ur
sait quel type de service Internet, comme le Web ou FTP, est
utilisé pour envoyer les donnêes de même que les identités des
expéditeurs de données ct de leurs destinataires. En se servant
de cette infOrmation. le routeur peut empêcher la transmission
de certains paquets entre Internet et le réseau corporatif: Par
exemple. le routeur pourrait bloquer tout trafic sauf les courriels
ou le trafic vers et à partir de destinations douteuses.
Sa simplicitë et son efficacité habituellement stable représentent
les avantages de ce type de coupe-feu ct ce, parce que les règles
dïnspection sont mises en œuvre sur la couche réseau. Toute!bis,
sa simplicité est aussi un inconvénient parce qu'elle le rend
vulnérable nux attaques provenant de filtres incorrectement
configurés ct aux attaques dans les services permis. Puisque
l'échange direct de paquets est permis entre les systèmes
externes et intemcs, le potentiel lié ù une attaque est déterminé
par Je nombre total d'hôtes et de services vers lesquels le
routeur d'inspection des paquets permet la circulation. De plus,
si un routeur d'inspection de paquet unique est compromis,
chaque système sur le réseau privé peut être compromis ct les
organisations qui possèdent de nombreux routeurs peuvent
avoir à faire face à des difficultés de conception, de codage ct
de maintenance de la règle de base. Ce qui veut dire que chaque
hôte directement accessible à ptutir d'Internet doit supporter une
417
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
authentification sophistiquée de l'utilisateur et doit être analysé
régulièrement par l'administrateur du réseau afin qu'il puisse y
déceler les signes d'une attaque.
Voici certaines des attaques les plus courantes contre les coupe-
feu d'inspection des paquets :
• IJusurpation d'adresse IP I:attaquant feint l'adresse IP de
l'hôte du réseau interne ou d'un hôte du réseau fiable de sorte
que le paquet qui est envoyé respectera la règle de base du
coupe-feu. Ceci permet la pénétration du périmètre du système.
Si l'usurpation utilise une adresse IP interne, Je coupe-feu peut
être configuré pour livrer le paquet sur la base de l'analyse de
la direction du flot de paquets. ToutefOis, si l'attaquant a accès à
une adresse JP sécurisée ou fiable ct qu'il usurpe cette adresse,
l'architecture du coupe-feu est vulnérable.
• Spécifications de l'acheminement --Il est possible de définir
l'acheminement qu'un paquet JP doit respecter lorsqu'il
circule de la source hôte vers la destination hôte, dans Internet.
Dans cc processus, l'on peut définir le chemin de sorte qu'il
contourne Je coupe-feu. Ceci peut seulement être fàit par ceux
qui connaissent l'adresse IP, le masque de sous~réseau ct les
réglages par délàut de la passerelle à la station d'acheminement
du coupe-feu. Pour bien sc défendre contre cette attaque, il
f.1ut analyser chaque paquet ct le livrer, si les spécifications
de l'acheminement le permettent. Cependant, si la topologie
permet l' acheminemc:nt en omet1ant le pol nt d'étranglement,
cette contre-mesure sem ineificace.
• Attaque fragmentaire miniature-- En utilisant cette méthode,
l'attaquant fragmente le paquet IP en de plus petits paquels et
les tait passer à travers le coupe-leu dans l'espoir que seul le
premier de la séquence des paquets fingmentés seront analysés
ct que les autres passeront sans être révisés. Ceci fOnctionnera
si le réglage par défaut stipule de faire passer les paquets
résiduels. Ceci peut être contré en configumnt le coupe-feu pour
quïllivre tous les paquets dont la fragmentation IP est activée.
SYSTÈMièS COlJPE-FEl.J 0' APPLICATION
Il existe deux types de système coupe-feu d'application. On les
appelle les systèmes coupe-feu au niveau de l'application et du
circuit et ils offi:ent de plus grandes capacités que les rouleurs
d'inspection des paquets. Les routeurs d'inspection des paquets
permettent le ilot direct des paquets entre les systèmes internes et
externes. Les systèmes coupe-feu de passerelle liés à l'application
et au circuit permettent à l'infonnation de circuler entre les
systèmes mais ne permettent pas l'échange direct de paquets.
Le risque premier de permettre l'échange de paquets entre les
systèmes internes et externes est que les npplîcations hôtes qui
sont stockées sur les systèmes réseaux protégés doivent être
sécurisées contre toute menace que pose les paquets autorisés.
Les systèmes coupe-feu peuvent être une application ou reposer
sur des systèmes d'exploitation rigoureux (hautement sécurisé},
comme Windows NT ou UNIX. Ils fonctionnent au niveau
de l'application du modèle de référence OS! (Open Systems
lnterconnection). Le coupe-feu de la passerelle au niveau de
l'application est un système qui analyse les paquets pm le biais
d'une sétie de serveurs-mandataires, un par service (p. ex., le
serveur mandataire de protocole HTfP J Hypcrtext Transmission
Protocol] pour le trafic sur le Web, le serveur-mandataire de
protocole FTP). Un mandataire 1-lTfP est appelé coupe-feu
pour application Web (ou WAr;: pour 1-veh applicatùmflrewal/).
418
eiSA" Cert.
.H.
tnedlnfonna
Systems Aod1tor".. """
~~.~-"
Ce type de tâches pourrait réduire r efficacité du réseau. Les
coupe-leu au niveau du circuit sont plus efficients et. de plus,
ils fonctionnent au niveau de l'application, là où les sessions
des protocoles TCP (Transmission Control Protocol) et U DP
(User Datagram Protocol) sont validées, habituellement il travers
un serveur-mandataire unique et général ct ce, avant que la
connexion soit ouve1i·e. Les coupe-feu au niveau du circuit sont
assez rares dans le commerce.
Les deux systèmes coupe-tèu d'application sc servent du concept
du bastion hôte, car ils traite-nt toutes les requêtes qui entrent par
le biais d'Internet et vont vers le réseau corporatif, comme les
requêtes l7TP ou Web. Les bastions Internet sont extrêmement
protégés contre les attaques. En ayant un hôte unique qui traite les
requêtes entrantes, il est plus fhcile de maintenir la sécurité ct de
retracer les attaques. Par conséquent, dans le cas d'une intrusion,
seul le système coupe-feu a été compromis, ct non J'ensemble
du réseau. De cette tàçon, aucun ordinateur ou hôte du réseau
corporatif ne peut être contacté directement pour le traitement de
requêtes provenant d'Internet, procurant ainsi un niveau ou une
couche de sécmité etlïcace.
De plus, les systèmes de coupe-fèu basé sur l'application sont
réglés comme des serveurs-mandataires afin qu'ils agissent au
nom de quelqu'un à l'inté1ieur du réseau privé de l'organisation.
Au lieu de compter sur un outil générique d'inspection des
paquets pour gérer le flot des services Internet à travers le
coupe-fh1, un code spécifique, appelé serveur-mandataire, est
incorporé dans le système coupe-feu. Par exemple, lorsqu 'une
personne située à l'intérieur du réseau corporatif désire avoir
accès à un serveur sur Internet, une demande issue de l'ordinateur
est envoyée au serveur-mandataire, celui-ci contacte le serveur
sur Internet, puis le serveur-mandataire envoie l'information à
part ir du serveur Jntcrnet vers l'ordinateur à 1' intérieur du réseau
corporatif. En agissant ù titre d'intermédiaire, les serveurs-
mandataires peuvent maintenir la sécurité en analysant le code
du programme d'un service (p. ex., FTP, Telnct) ainsi qu'en
le modifiant ct en le .sécurisant afin d'éliminer les faiblesses
connues. I.e servcur-mnndataire peut aussi enregistrer tout le
trafic entre l'Internet et le réseau.
L:implantation des fonctions du serveur-mandataire d'un bastion
d'application est basée sur la fourniture d'un serveur-mandataire
indépendant pour chaque service de l'application (p. ex., FTP,
1e1net, HTTP). Ceci ditlêre des coupe-feu au niveau du circuit,
lesquels n'ont pas besoin d'un serveur-mandataire spécial pour
chnque service de l'application. En d'autres mots, un serveur-
mandataire est utilisé pour tous les services.
Les avnntagcs de ces types de coupe-feu sont qu'ils offrent la
séctJrité aux protocoles couramment utilisés et que, généralement,
ils dissimulent le réseau interne aux réseaux externes qui ne sont
pas fiables. Par exemple, la capacité de trnduction d'adresses de
réseau (NAT) est une caractéristique que J'on trouve dans ces
types de coupe-feu. Elle consiste à prendre des adresses de réseau
interne privées (inutilisables sur lntemct) ct à les mappcr en une
table d'adresses IP publiques, assignées à l'organisation, et qui
peuvent être utilisées dans lntemet.
L'ell'icacité et l'extensibilité déficientes, à mesure que s'accroît
l'utilisation d'Internet, constituent les inconvénients. Pour contrer
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e certified lnfonnatklll
~ystems Audi~:"
""'""''''"'""''"'
Chapitre 5 - Protection des Actifs Informationnels
ce problème, le concept d'équilibrage de la charge est applicable
dans les cas où un système coupe-feu à basculement redondant
peut être utilisé.
COUPE-FEU A INSPECTION DYNAMIQUE HES
PAQUETS
Un coupe-feu à inspection dynamique des paquets fait le suivi de
l'adresse 1P de destination de chaque paquet qui sort du réseau
inteme de l'organisation. Lorsqu'est reçue la réponse à un paquet,
son enregistrement est référencé afin de garantir et d'assurer que
le message entrant correspond à la réponse à la requête qui est
sortie de l'organisation. Ccci est réalisé en mappant l'adresse
JP source d'un paquet entrant avec la liste des adresses IP de
destination qui est maintenue ct mise ùjour. CcHe approche
prévient toute attaque initiée et émise par un étranger.
Les avantages de cette approche par rapport à celle des systèmes
coupe-feu d'application est que l'inspection dynamique des
paquets contrôle le flot de tmfic IP en associant l'information
contenue dans les en-têtes des paquets avec ou sans connexion
à la couche de transpmt avec une série de règles spécifiées par
l'administrateur du coupe-feu. Ceci procure un plus grand degré
d'eflïcience lorsque comparé aux serveurs-mandak'lires des
systèmes coupe-feu d'application typiques à grande utilisation
de l'unité centrale de traitement et fonctionnant à plein temps,
lesquels peuvent exécuter un traitement important sur chaque
paquet de données au niveau de l'application.
Parmi !cs inconvénients, notons que les coupe-feu à inspection
dynamique des paquets peuvent être relativement complexes à
gérer comparés nux deux autres types de coupe-Jeu.
Exemples d'Implantation de coupe-feu
Les implantations de coupe-feu peuvent tirer profit des fonctions
disponibles dans une variété de coupe-feu afin de fOurnir
une solide approche par couche dans la protection des actif.<:>
d'infOrmation d'une organisation. Aujourd'hui, les implantations
disponibles les plus couramment utilisées comprennent
notamment :
• Bastion ou Scrcened-host firewall ~Utilisant un routcur
d'inspection des paquets et un bastion hôte, cette approche met
en place une sécurité de base sur la couche réseau (filtrage des
paquets) et une sécurité du serveur d'applications (services de
servcur-mandatnlrc). Dans cette configuration, un intrus doit
pénétrer deux systèmes séparés avant que la sécurité du réseau
privé puisse être compromise. Ce système de coupe-feu est
configuré de sorte que le bastion hôte soit branché sur le réseau
p1ivé et qu'un routeur d'inspection des paquets soit situé entre
l'Internet et le bastion hôte. Les règles d'inspection du routeur
permettent au trafic entrant d'accéder uniquement au bastion
hôte, lequel bloque l'accès aux systèmes intcmes. Puisque les
hôtes internes résident sur le même réseau que le bastion hôte,
c'est la politique de sécurité de l'organisation qui détermine si
les systèmes intemes peuvent avoir un accès direct ù Internet ou
bien s'ils doivent utiliser les services des serveurs-mandataires
sur le bastion hôte.
·Bastion à double interface~ Il s'agit d'un système coupe-
feu qui possède deux interfaces réseau ou plus, dont chacune
est branchée à un réseau différent. Dans la configuration d'un
coupe-feu, un bastion à double interface sert à bloquer ou à
filtrer une partie ou l'ensemble du trafic qui tente de passer
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
entre les réseaux. Un système coupe-feu à double intertàce
est une version plus contraignante du bastion (screcned-host
firewall), dans lequel une interfàce du bastion hôte à double
interfàce sert aux serveurs d'information et l'autre aux
ordinateurs hôtes du réseau privé.
" Zone démilitarisée (llMZ) ou screened-subnct lïrewall
-Utilisant des routeurs d'inspection de deux paquets, cette
approche crée le système de coupe-feu le plus sécuritairc
puisqu'il supporte ln sécurité au niveau du réseau et de
l'application tout en définissant un réseau DMZ séparé. La
DMZ fonctionne comme un petit réseau isolé au profit des
serveurs publics, du bastion hôte, des serveurs d'information
ct du parc de modems de J'organisation. Habituellement, les
DMZ sont configurées pour limiter 1'accès à pmi ir d'Internet
ct du réseau privé de l'orgnnisation. Laccès du trafic entrant
est restreint dans le réseau de lu DMZ par le routeur externe et
il protège J'organisation contre certaines attaques en limitant
les services disponibles aux utilisateurs. Par conséquent, les
systèmes externes peuvent avoir accès uniquement au bastion
hôte (et à ses capacités de service de serveur-mandataire
pour les systèmes internes) et, possiblement, aux serveurs
d'information dans la DMZ. Le routcur interne fournit une
seconde ligne de déiènse, en gérant l'accès de la DMZ au
réseau privé, tout en acceptant uniquement le trafic provenant
du bastion hôte. En ce qui concerne le trafic sortant, le routeur
interne gère l'accès du réseau privé au réseau de la DMZ. JI
permet aux systèmes intemes d'avoir accès uniquement au
bastion hôte et aux serveurs d'information dans la DMZ. Les
règles de filtrage du routcur externe nécessitent l'utilisation des
services d'un serveur-mandataire en acceptant uniquement le
trafic sortant sur le bastion hôte. Les avantages principaux de
ce système sont que l'intrus doit pénétrer dans trois dispositifs
sûparés, que les adresses du réseau privé ne sont pas divulguées
sur Internet, ct que les systèmes internes n'ont pas un accès
direct à Internet.
Problèmes des coupe-feu
Les problèmes liés à l'implantation des coupe-feu comprennent :
" Un faux sentiment de sécurité peut exister lorsque la direction
pense qu'aucune autre vérification ou qu'aucun autre contrôle
de sécurité n'est nécessaire sur le réseau interne (c.-à-d. que
la majorité des incidents sont causés par des personnes à
l'intérieur, lesquelles ne sont pas contrôlées par les coupe-feu).
• Le contournement des coupe-feu grùce à l'utilisation de
modems peut brancher les utîlh;atcurs directement sur les
FSI. La direction devrait fOurnir la garantie que l'utilisation
de modems, lorsqu'un coupc-fèu est en place, est strictement
contrôlée ou défendue.
• La configuration inadéquate des coupe-lèu peut pem1et1re ù des
services inconnus ou dangereux de circuler librement.
• La mauvaise compréhension des constituants d'un coupc-H~u
(p. ex., les entreprises admettent être dotées d'un coupe-feu,
mais, en réalité, elles possèdent qu'un simple rouleur de
filtrage).
• Les activités de surveillance ne sont pas exécutées
régulièrement (c.-à-d. les réglages des journaux ne sont pas
appliqués et vérifiés de façon appropriée).
• Les pohtiqucs relatives au coupc-tèu ne sont peut-être pas
maintenues régulièrement.
• La plupart des coupe-feu fonctionnent au niveau de la couche
réseau; cc faisant, ils n'arrêtent pas les attaques liées aux
419
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels eiSA"
applications ct aux entrées. Les attaques relatives à l'injection
SQL (Structured Qucry Language) et au dépassement de
mémoire tampon en sont des exemples. Les coupe-feu de
nouvelle génération sont aptes à inspecter le trafic sur la couche
d'applications et à arrêter certaines de ces attaques.
Plateformes des coupe-feu
Les coupe-feu peuvent être implantés en utilisant des platcf(mnes
maté1ie\les ou logicielles. Lorsqu'ils sont implantés dans le
matériel, ils offrent une bonne efficacité en utilisant un temps
système minimum. Bien que les platefonnes des coupe-feu
liées au matériel soient plus rapides, elles ne sont pas aussi
nexibles ou extensibles que celles des coupe-feu liées aux
logiciels. En général, ces dernières sont plus lentes et accaparent
un temps système important; toutef-Ois, elles ont la flexibilité
d'accommoder des services additionnels. Elles peuvent
comprendre des vérifications du contenu et des virus, avant que le
trafic soit dirigé vers les utilisateurs.
Habituellement, il est préfërable d'utiliser des serveurs
monofonctionnels, plutôt que des serveurs normaux, pour les
coupe-tèu. Normalement, les serveurs mono fOnctionnels sont
installés avec des systèmes d'exploitation blindés. Lorsque des
coupe-feu liés au serveur sont utilisés, il arrive souvent que les
systèmes d'exploitation dans les serveurs soient vulnérables aux
attaques. Quand des atiaques sur les systèmes d'exploitation
réussissent) le coupe-feu est compromis. Normalement, î! est
beaucoup plus ·làcile de régler et de restaurer des coupe-feu liés
aux serveurs mono fonctionnels.
Systèmes de détection d'Intrusion (IDS)
Les IDS constituent un autre élément servant à sécuriser les
réseaux et qui viennent compléter les implantations de coupe-feu.
Un IDS travaille conjointement avec les route urs et les coupe-feu
en surveillant les anomalies relatives à l'utilisation du réseau. JI
protège les ressources des SI de l'entreprise contre les mauvaises
utilisations externes et internes.
Un IDS agit en continu sur le système, il s'exécute en arrière-plan
et avise les administrateurs lorsqu'il détecte une menace. Les
grandes catégories dïDS comprennent notamment:
• IDS en version réseau- Ils identifient les attaques à
l'intérieur du réseau surveillé ct ils émettent un avertissement à
J'opérateur. Si un IDS version réseau est placé entre l'lntcmct
et le coupe-feu, il détectera toutes les tentatives d'attaques. peu
importe si elles pénètrent ou non dans le coupe-feu. Si l'IDS
est inséré entre le coupe-feu et le réseau corporatif, il détectera
les attaques qui pénètrent dans le coupe-tèu (il détectera les
intrus). L'IDS n'est pas une alternative au coupe-feu, mais il
complémente la fonction du coupe-feu.
• Les IDS version hôte Ils sont configurés pour un
environnement spécifique et ils surveillent les diverses
ressources internes du système d'exploitation afin d'aviser lors
d'une attaque possible. Ils peuvent détecter la modification de
programmes exécutables, détecter la suppression de fichiers et
émettre un avertissement lorsqu'une tentative est tltite d'utiliser
une commande privilégiée.
Les composants d'un IDS sont:
• Des capteurs qui sont responsables de recueillir des données
420
Certlfied lnfo:mation
.M. Sysrems Aud1tor·
'""'""''"'''"''""
comme des paquets de réseau, des fichiers journaux, des pistes
d'appel système, etc.
• Des analyseurs qui reçoivent des données provenant des
capteurs, puis déterminent les activités intrusives.
• Une console de gestion.
• Une interface utilisateur.
Les IDS sont des types suivants:
• Basés sur la signature-·" Ces IDS protègent contre les modèles
d'intrusion détectés. Les modèles intrusif.'i repérés sont stockés
en tant que signatures.
• Basés sur les statistiques ~Ces systèmes requièrent une
définition complète du comportement des systèmes connu et
prévu.
• Réseaux neuronaux-~ Un !DS qui possède cet1e caractéristique
surveille les modèles généraux d'activités et de trafic sur le
réseau, puis il crée une base de données. Ce type ressemble
au modèle statistique avec, en plus, une fonctionnalité d'auto-
apprentissage.
Les 1DS basés sur la signature ne pourront détecter tous les types
d'intrusions à cause des limites des règles de détection. Les
systèmes basés sur les statistiques peuvent rapporter de nombreux
événements qui sc déroulent en dehors de l'activité normale
définie, mais qui constitue des activités normales sur le réseau.
La protection sera meilleure si l'on allie les modèles basés sur la
signature et les statistiques.
CARACTÉI{ISTIQUES
Voici ce11aincs des caractéristiques disponibles da11s les IDS:
• La détection des intTusions;
• La cueillette de preuves en ce qui a trait aux activités intrusives;
• La réponse automatisée (c.-à-d. l'interruption de la connexion,
la messagerie d'alanne);
• La politique de sécurité;
• Cinterface avec les outils systèmes;
" La gestion de la politique de sécurité.
LIMITES
Un IDS n'offre pas d'aide pour contrer les faiblesses suivantes:
• Les f..1iblesses de la définition de la politique;
• Les vulnérabilités au niveau de l'application;
• Les portes dérobées dans les applications;
• Les faiblesses dans les modèles d'identification et
d'authentification.
Contrairement aux IDS, lesquels reposent sur les fichiers de
signatures pour identifier une attaque au moment où elle survient
(ou après), un IPS (système de prévention d'intrusion) prédît
une att.1quc avant qu'elle fasse effet. Il accomplit cette tâche
en surveillant les zones principales d'un système infbnnatique,
puis recherche les« mauvais comportements)~ comme les vers,
chevaux de Troie, logiciel espion, programme malveillant et
pirates informatiques. Il complète les outils coupe-feu, antivirus
el antî-logicicls espions pour fOurnir une protection complète
contre les menaces émergentes. Il est en mesure de bloquer
les menaces nouvelles (jour J) qui contournent les mesures de
sécurité traditionnelles puisqu'ilne dépend pas de J'identification
et de la dishibution de signatures ou de correctifs de menaces.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rèservès.
e certif!e!llnftlrmauoo
Systems Audil!lf"
;~~~
Chapitre 5 - Protection des Actifs Informationnels
POLITIQliE
Une politique d'IDS doit définir les mesures à prendre par le
personne! de sécurité en cas de détection d'un intrus.
Ces actions peuvent comprendre :
• Couper Paccès -·S'il existe un risque considérable pour
les données ou les systèmes de ['organisation, la procédure
habituelle est une coupure immédiate.
• Repérer l'origine de raccès ~Si le risque pour les données
est faible, que l'activité ne présente pas une menace immédiate
ou qu'une analyse de la source et de la méthode d'attaque est
souhaitée, l' 1DS peut servir à repérer l'origine de 1'intrusion.
On peut ainsi cerner et coniger toute faiblesse du système et
recueillir des preuves relativement à l'attaque afin de les utiliser
ultérieurement dans une poursuite en justice.
Dans un cas comme dans l'autre, la mesure requise doit être
déterminée il l'avance par la direction et incorporée dans une
politique. Cela pcrmct1ra de gagner du temps lorsqu'une intrusion
est détectée, ce qui pourrait influencer la perte de données
potentielle.
Systèmes de prévention d'Intrusion
Les systèmes de prévention d'intrusion (IPS) sont étroitement
reliés aux IDS et sont conçus non seulement pour détecter les
attaques, mais aussi pour protéger les victimes hôtes ciblées des
conséquences de l'attaque. Alors qu'un système de détection
d'intrusion pennet de lancer une alerte ou une mise en garde en
cas d'attaque, ct requiert que le personnel de sécurité prenne des
mesures, un système de prévention des intrusions fera une tentative
pour arrêter !"attaque. Par exemple, un système de prévention des
intrusions peut déconnecter un réseau ou une session d'utilisateur
en bloquant l'accès au compte utilisateur d'origine ou à l'adresse
JP. Cc1iains systèmes de prévention des intrusions peuvent aussi
reconfigurer d'autres contrôles de sécurité, comme les coupe-
feu oules routcurs. afin de bloquer une attaque. t:approche
de prévention d'intrusion peut être efficace pour limiter les
dommages ct les perturbations aux systèmes attaqués. Toutefois,
comme dans le cas d'un IDS, I'IPS doit être configuré ct ~~usté
correctement pour être efficace. Des réglages trop élevés ou trop
b<.1s limiteront l'efficacité de l'lPS. Des préoccupations ont été
soulevées relativement au fait que les 1PS pourraient constituer
une menace en soi, puisqu'un agresseur futé pourrait envoyer des
commandes à un grand nombre d'hôtes protégés par un !PS pour
les rendre dysfonctionnels. Cela peut être catastrophique dans des
environnements où la continuité du service est essentielle.
Pots de miel (Honey pots) et réseaux leurres
Un pot de miel consiste en une application logicielle qui prétend
être un serveur vulnérable sur Internet et ne pas être réglé pour se
protéger activement contre les intrusions. Il agit comme système
appât qui attire les pirates informatiques. Plus un pot de miel est
ciblé par un intrus, plus il devient précieux. Bien que les pots de
miel soient techniquement apparentés aux systèmes de détection
d'intrusion et aux coupe-feu, ils n'ont pas une réelle valeur de
production en tant que sentinelle active des réseaux.
Les pots de miel sont de deux types de base :
• Interaction élevée- ris fournissent aux pirates informatiques un
véritable environnement à attaquer.
Manuel de Préparation CfSA 26• édition
ISACA. Tous droits rêservês.
Section deux : Contenu
• Interaction faible ._.Jis imitent les environnements de production
c f-Ournissent de l'information plus limitée.
Un réseau leurre est un ensemble de multiples pots de mie! mis
en réseau pour simuler une installation réseau plus importante.
Les pirates informatiques pénétrent dans le réseau falsifié, ce
qui permet aux enquêteurs de surveiller leurs <.!etions grâce à une
combinaison de technologies de surveillance.
Un IDS déclenche une alarme virtuelle chaque fois qu'un
attaquant viole la sécurité d'ordinateurs disposés en réseau. Un
enregistreur de touches furtif épie tout ce que tape l'intrus. Un
coupe-feu indépendant coupe le contact des machines à Internet
chaque fOis qu'un intrus tente d'attaquer un autre système du
réseau leurre.
Tout le trafic qui circule dans les pots de miel ou les réseaux
leurres est considéré suspect, car les systèmes ne sont pas destinés
à une utilisation interne et l'information recueillie à propos de ces
attaques est utilisée de façon proactive afin de mettre à jour les
vulnérabilités d'un réseau opérationnel de l'entreprise.
Si un pot de miel est conçu pour être accessible par le biais
d'Internet, il existe un risque que les services de surveillance
externes, qui établissent des listes de sites non fiables, puissent
rapporter que le système de 1'organisation est vulnérable et ce,
sans savoir que les vulnérabilités sont attribuables au pot de miel
ct non au système lui-même. Rendre public de telles vérifications
indépendantes peut nuire ù l<-1 réputation de l'organisation. Par
conséquent, il faudrait évaluer attentivement la situation avant
d'implanter un pot de miel dans le réseau.
5.4.5 CHIFFREMENT
Le processus de chiffrement consiste à transformer un message
en texte clair en texte sécurisé par un code, appelé texte chiffré,
qui ne peut être compris sans une reconversion, au moyen d'un
déchiffrement (processus inverse du chiffrement), en texte clair.
Le chiffrement est réalisé à l'aide d'une fonction mathématique
et d'un mot de passe du chiffrement/du déchiffrement qui porte le
nom de clé.
On utilise généralement le chiffrement pour:
.. Protéger les données des interceptions ct de la manipulation non
aut01isée
• Protéger des consultations et des manipulations non autorisées
les renseignements emmagasinés dans les ordinateurs
• Empêcher et détecter la modification accidentelle ou
intentionnelle des données
"Vérifier l'authenticité d'une transaction ou d'un document
Dans plusieurs pays, le chiffrement est sujet à l'assujettissement
aux lois et règlements gouvernementaux en vigueur.
Le chiffrement est limité, car il ne peut pas empêcher la perte
ou la modification des données. La protection des clés est une
préoccupation p1imordiale lors de l'utilisation des systèmes de
chiffrement. Par conséquent, même si le chiffrement est considéré
comme une forme essentielle de contrôle d'accès qui doit être
intégrée à la sécurité globale de l'organisation, il est nécessaire
d'avoir une compréhension approfondie de la façon dont les
421
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
systèmes fonctionnent, car une mauvaise utilisation ou une
mauvaise configuration peut compromettre de façon significative
la protection.
Éléments clés des systèmes de chiffrement
Voici quelques-uns des éléments clés des systèmes de
chiffrement :
• Algorit'hme de chiffrement- Une fonction mathématique qui
permet le chiffrement/le décodage des données.
• Clés de chiffrement- Une information utilisée par un
algorithme de chiffrement afin de rendre le processus de
chiffrement ou de décryptage unique. Comme avec un mot
de passe, l'utilisateur doit fournir la bonne clé pour accéder
à un message ou le décoder. L'utilisation d'une clé erronée
provoquera la transformation du message en lui donnant une
forme illisible.
• Longueur de clé- Longueur prédéterminée de la clé. Plus la
clé est longue, plus il est difl'icile de se trouver compromis dans
une attaque en force.
Les systèmes de chiffrement sont sensibles aux attaques en
force, dans lesquelles un attaquant essaie à plusieurs reprises de
déchiffrer une partie de texte chiffré en utilisant toutes les clés
de chiffrement possibles jusqu'à ce que la bonne soit trouvée
(J'attaque en force se conclut lorsque le texte chiffré ne se
transforme pas en un message qui n'a pas de sens). Puisque le
temps requis pour trouver la bonne clé dépend de la longueur
de façon exponentielle, il est fondamental de choisir la clé de
manière adéquate afin d'assurer la sécurité globale du système de
chiffrement.
Les attaques peuvent également viser la robustesse des
algorithmes mathématiques sous-jacents afin d'accélérer le
processus d'attaque en force. L'analyse cryptographique est la
science qui permet de trouver ces faiblesses. Par exemple, un
algorithme sujet à une « attaque par texte connu H permet à un
attaquant d'éliminer une grande partie des clés de chiffrement
possibles si des échantillons de textes chiffrés et de textes connus
correspondants sont disponibles. Une variante de cette attaque
consiste à deviner des parties du texte connu, tirant partie des
propriétés statistiques des données chiffrées (p. ex., repérer les
voyelles ou trouver Je mot« the)) dans un texte anglais).
Le caractère aléatoire de la création de clés représente également
un facteur significatif dans la possibilité de compromission d'un
plan de chiffrement. Les phrases et mots courants diminuent de
façon significative les combinaisons requises pour trouver la
clé, ce qui diminue la force de l'algorithme de chiffrement. Pour
cette raison, les possibilités liées à un algorithme de chiffrement
de 128 bits diminuent lors du chithement des clés à partir de
mots de passe, et ces mots de passe possèdent un caractère
moins aléatoire. Cela signifie qu'il est essentiel que des règles de
syntaxe pour des mots de passe efficaces soient appliquées et que
l'utilisation de mots de passe faciles à deviner soit interdite.
Il existe deux types de systèmes cryptographiques: symétriques
et asymétriques. Les systèmes de clés symétliques utilisent une
clé unique (généralement appelée « clé secrète )) ) à la fois pour
le chiffrement et le déchiffrement. La clé est considérée comme
bidirectionnelle, car elle chiffre et déchiffre, et doit être partagée
422
eiS"' Certifiedlnfo~ation
.M Systems Amlltor"
'""'""""''''""""
«hors bande)) (c.-à-d. par une autre méthode sûre, et non pas par
le message chiffré),
Dans les systèmes à clé asymétrique, la clé de déchiffrement
est différente de celle utilisée pour le chiffrement. Les clés sont
unidirectionnelles: elles chiffrent ou déchiffi·ent, mais sont
complémentaires. Dans les systèmes à clé asymétrique, les deux
parties (l'expéditeur et le destinataire) ne doivent pas se faire
mutuellement confiance pour garder la clé secrète. En fait, dans
ces systèmes, la clé de chiffrement est divulguée publiquement
tandis que la clé de déchiffrement est gardée privée (les systèmes
asymétriques sont également connus sous le nom de systèmes à
clé publique).
En plus des algorithmes de chiffrement, les fonctions de
hachage représentent un autre élément important des systèmes
de protection cryptographiques. Ces fonctions transforment
un texte de longueur arbitraire en un texte de largeur fixe
appelé le« résumé Hou le« hachage)) du texte d'entrée
(tronquer simplement une chaîne de texte après un nombre
fixe de caractères constitue un exemple de base d'une
fonction de hachage). Pour être utilisée dans les systèmes de
protection cryptographîque, une fonction de hachage doit être
«unidirectionnelle)) (afin qu'il soit difficile de trouver un
morceau de texte qui génère un hachage donné). Ces fonctions
peuvent être utilisées pour rehausser les systèmes de chiffrement
avec des propriétés d'intégrité et d'authenticité. Les algorithmes
de hachage constituent un outil précis de vérification de
l'intégrité. Le hachage détecte les changements d'un seul bit dans
un message. Un algorithme de hachage calcule une valeur de
hachage pour le message d'entrée en entier. Le résumé de sortie
lui-même possède une longueur fixe. Ainsi, même si le message
d'entrée est de longueur vmiable, la sortie est toujours de la
même longueur et dépend de l'algorithme de hachage utilisé. Par
exemple, MD5 génère une longueur de résumé de 128 bits; SHA-
1, un résumé de 160 bits et SHA-512, un résumé de 512 bits.
Les algorithmes de résumé de message les plus communs ont
été MD5, désormais désuet (datatracker.ietf.org/doc/rtè6331/)
et SHA-1, pour qui se posent des considérations de sécurité
(datatracker.ietf.org/doc/rfc6194/). Pour ces raisons, l'industrie
est en transition de SHA-1 vers SHA-2. Six fOnctions de hachage
sont possibles avec SHA-2; la longueur de leurs résumés de
messages est variable. Le National lnstitute of Standards and
Technology (NIST) a également fait l'annonce de SHA-3 dans Je
cas d'une attaque réussie contre SHA-2.
---·----
~
-----~ ·-~-------· --·---·---~-·----·-
Remarque: L'auditeur des Sl doit' se familiariser avec la façon
dont une signature électronique fonctionne pour protéger les
données. Les types spécifiques d'algorithmes de résumé de
~essage ne sont pas évalués lors de l'examen CISA.
Lorsqu'un expéditeur souhaite envoyer un message ct s'assurer
qu'il n'a pas été altéré, il peut calculer le résumé du message et
l'envoyer au destinataire avec le message, Lorsque le destinataire
reçoit le message et son résumé, il calcule de façon indépendante
le résumé du message reçu et s'assure qu'il est le même que le
résumé envoyé avec le message (figure 5.15).
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rêservés.
e Certified.lnfo~tkm
Systems Aud1!or'
~;;;;.;;t.;;...-·-
Chapitre 5 - Protection des Actifs Informationnels
Systèmes cryptographiques à clé symétrique
Les systèmes cryptographiques à clé symétrique (figure 5.16) se
fOndent sur un algorithme de chiffrement symétrique qui utilise
une clé secrèle pour encoder le texte clair en texte chiffré et la
même clé pour décoder le texte chiffré. La clé est dite symétrique
parce qu'elle est scmblnble pour le chiffrement et pour le
décodage.
Le système cryptographique à clé symétrique le plus
communément utilisé était la norme de chiffrage de données
(DES). La DES se bnse sur un algorithme public approuvé par le
NIST et emploie des clés de 56 bits (plus 8 bits utîlisés pour le
contrôle de parité). Les bits dans le texte en clair sont traités un
bloc de 64 bits à la ibis et donc, la DES appartient à la catégorie
du cryptage par blocs (par opposition au chiffrement de flux, qui
code un bit à la lOis).
La norme DES a été retirée par le NIS1~ car elle ne possède
désormais plus l'altribut de solution cryptographiquc forte
puisque la totalité de J'espace clé peut être attaquée en force
par un système infOrmatique de taille modérée dans un délai
relativement court. Des extensions à la norme DES (frîple DES
ou 3 DES) ont été proposées, tout en conservant la compatibilité
ascendante (l'algorithme de chiffrement DES est appliqué trois
fois pour chaque bloc de données). En 2001, le NIST a remplacé
la nonne DES par la norme Advanced Encryption Standard
(AES), un algorithme publique qui prend en charge les clés
de 128 bits à 256 bits. Le RC4 est un autre algorithme <1 clé
symétrique couramment utilisé; il s'agit d'un chiffrement de flux
souvent utilisé dans les sessions de protocole SSLffLS.
Les systèmes à clé symétrique, comme 3D ES ou AES,
possèdent deux avantages principaux par rapport aux systèmes
asymétriques. La première est que les clés sont beaucoup plus
comtes et peuvent être Ü1cilcment mémorisées. De plus, cc type
Figure 5.15- Vérification de l'intégtité du message à l'aide d'une fônclion de hach,age
Expéditeur
~---- 1 re-< < 9
~~~~~:;~"1f-_-J--l--l->1-~-:.-:;~-_ -J______
Source: ISACA, CR/SC Review Manual fYI' Edition, É.-U., 2015, figure 3.8
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
de système c1yptographîque possède un degré de complication
moindre et donc, exige une moins grande puissance de traitement
que les méthodes asymétriques. Ces raisons font des systèmes
cryptographiques aclé symétrique la technique idéale pour le
chiffrement massif de données. Cinconvénient majeur de cette
approche est la distribution des clés, en particulier dans des
environnements de commerce électronique, où les clients sont des
entités non fiables et inconnues. Par ailleurs, une clé symétrique
ne peut servir à signer des documents ou des messages
électroniques, le mécanisme se tOndant sur un secret partagé par
au moins deux parties.
Systemes cryptograph/ques à clé publique
(asymétrique)
Dans le chiffrement ù clé publique (figure 5.17), deux clés
agissent comme une paire (elles sont inverses l'une à l'autre,
et se basent sur la factorisation de nombres entiers). L'une des
clés est privée tandis que l'autre est divulguée publiquement.
Le chiffrement fonctionne en introduisant la clé publique dans
l'algorithme sous-jaccnt tandis que le texte chiffré résultant
peul- être décodé à l'aide de la clé privée. Grâce à ce système, le
propriétaire de la paire de clés n'a pas à partager d'information
secrète (la clé privée) avec rautre partie de la communication. JI
est important de noter qu'une paire de clés ne peut être utilisée
que dans une seule direction (de l'expéditeur vers le destinataire).
Deux paires de clés sont requises pour mettre en œuvre une
communication bidirectionnelle entre deux pmiies (une pour
chaque direction).
Les systèmes à clé publique ont été élaborés essentiellement pour
résoudre le problème de la distribution des clés. En premier lieu,
seules 2*N paires de clés sont utilisées lorsque la communication
se passe entre N partles; dans le même scénmio, un système
symélrique exigerait environ N"2 clés à transmettre, soit une
clé pour chaque paire de parties impliquées. En outre, les clés
Destinataire
re:--~ ~~
·rj
l_ Alg~~~!ll~
hâcoage
423
Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels eiS"' lnfn~mation
Certified AuditG(
.M Systems

'"""""'""'"'""""'

échangées sont publiques. Le protocole de distlibution de clé n'a
donc pas d'exigence de confidentialité à respecter.
Ron Rivest, Adi Shamir et Leonard Ad!cman ont réalisé la
première mise en œuvre pratique d'un système à clé publique
{l'algorithme RSA), qui est un système de chiffi·cmcnt
asymétrique répandu. Le ptincipal inconvénient de cet algorithme
réside dans la longueur des clés (qui varie del 024 à 4 096 bits)
et dans la complexité des calculs nécessaires au codage ct au
décodage. Pour résoudre ces problèmes, d'autres algorithmes de
chiifrement ont été développés. Des possibilités prometteuses
comme la cryptographie à courbe elliptique font leur apparition
parce qu'elles ont une vitesse de chiffrement/déchiffrement
beaucoup plus rapide et parce qu'elles proposent des clés
signifîcativement plus cow1es (entre 256 et 512 bils).
Cryptographie quantique
La cryptographie quantique se réfère à la possibilité d'utiliser les
propriétés de J'informatique quantique (technologie infOrmatique
basée sur la théorie quantique) à des fins cryptographiques;
!"application la plus importante t~st la distribution quantique de
clés. Les systèmes de distribution quantique de clés permettent la
distribuiion d'une clé de chi-fll·cmcnt partagée entre deux parties,
qui peuvent détecter la présence indésirée d'une autre pmiie
non autorisée sur Je canal d'échange de clés. En effet, dans cette
situation, le canal est inévitablement perturbé et la clé échangée
est marquée comme compromise.
L'infOrmatique quantique est également reconnue pour passer
facilement outre à la sécurité des systèmes tels que RSA. Pour
résoudre cet. inconvénient, des algorithmes de chdfremcnt post-
quantiques résistants à une attaque quantique ont été développés.
Signatures électroniques
Propriété importante des systèmes à clé publique, l'algorithme
sous-jacent fOnctionne même si la clé privée est utilisée pour le
chiffi·cment et la clé publique, pour le déchiffrement. Même si
cela semble contre-intuitif, cette façon d'utiliser un système à clé
publique permet d'obtenir un système de signature numé1iquc
capable d'authentifier l'origine d'un message codé. Si un texte
chiffré est correctement déchiffré à !"aide d'une clé publique, le
propriétaire de la clé publique ne peut pas nier avoir effectué le
processus de chini·ement puisque la clé privée n'est connue que
du propriétaire de la paire de clés. On appelle non-répudiation
cette propriété impo1iante ct particulière du chiffrement à clé
publique.
Dans la plupa1i des mises en œuvre pratiques des systèmes de
signature numérique (figure 5.18), l'algorithme à clé publique
n'estjamais appliqué à l'ensemble du document, car il Hllldrait
beaucoup de puissance de traitement pour calculer les données
signées. Au lieu de cela, un résumé est créé à partir du document
à signer; l'algorithme à clé publique est ensuite appliqué au
résumé afin de produire une pièce codée des données (la
signature) qui est envoyée avec le document.
Afin d'authentifier 1'expéditeur comme étant 1'auteur du
document, la même fonction de hachage est utilisée par le
destinataire !ors de la réception du message. Le résumé résultant
est comparé au pré~hachage déchiffré. Lorsque les versions
concordent, le destinataire peut conclure que le document a
cHCctivement été signé par le propriétaire de la clé publique.
Par conséquent, les systèmes de signature numédque permettent
d'assurer:
• l.Jintégrit-é des données ·--Tout changement au message en texte
clair provoque l'impossibilité pour le destinataire d'établir le
même condensé de document.
• V authentification - Le destinataire peut s'assurer que le
document a été envoyé par l'expéditeur attendu, cc dernier étant
le seul à posséder la clé privée.
• La non~répudiat-ion ··- l:expéditeur reconnu ne peut pas nier
avoir créé le message.
Veuillez noter qu'il n'existe aucune garantie à 1'effet que le
propriétaire de la clé publique a réellement envoyé le document

Figure 5.16- CwJographie symélrigue ,

Expéditeur Destinataire

, -p~:e -- ~ ,-r:;t~ chr~n-·····-·

.,~.•.·.•._z-Y•'
·~.-·._ -
1

z; c. ,
•· ' Tt) __.[ _·_. cn_;_ _.·._e._4_•.•._·.•.·
.:_·.··_m_
!!t·

L.. _____.L
.•. ch:jé1- .• .•._._._.• _. •..-
_· · · · · .·_•. .
nw_

·.~
.·_•._•. ..
.. ".•.·.·•.'.···.·.·
._l[•_·····.···.• ·.· · .· .e.•_•_s_ sa_
·._-.·_. • _M··.····.··· •.·_·.,_·····.·
_· de_··-·.· .···.· -·•.l

f0tn c;.-.l.J: -
.:.y. ·J
Source: ISACA, CR/SC Review Manual fY' Edf/ion, É.-U., 2015, figure 3.6
Distribution privée de la clé l_ ·~r- .
424 Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
e . M
Gcrtifled
Systems Atlt11tor"
~'""'""''u""""
lnfo~alion Chapitre 5 - Protection des Actifs Informationnels Section deux : Contenu

Figure 5.1'1- utilisation des algorithmes asYmêliiques pour soidênir la C!Yplôgrapble symétrique
Expéditeur Destinataire

Texte chiffré Texte chiffré

Texte chiffré Texte chiffré

·.··.·.···• du
e.·.• p.·.ù
rl·.·.·.·.··.Cl·····
·. . ·.o····.'.·i·q··.•.•...u.·.·.·.•.e. de la clé de la clé
·destinataire symétrique symétrique

Source : ISACA, CRISC Review Manua/IJI' Edition, É.-U., 2015, figure 3. 7

Figure 5.18- Véifficalion de l'iiîti!grilé d'un message et de la preuve d'origine à l'aide des signalûres numériques ,

Expéditeur Destinataire

1--------+l.f·.M····[ .•es>§J
· ~.:a.•.~P.;i.
.• •.

;\JgSti\flr/ie Al\!eiîthme
de de>
~1'\t::hàge n~c~!(ge

~le privée
•• J)e... >·
l'exPédi.teur.

Source ISACA, CRISC Review Manua/2015, É.-U., 2014

Manuel de Préparation CISA 26° édition 425

ISACA. Tous droits réservés.
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
Un utilisateur malveillant pourrait intercepter le document signé
et l'envoyer à nouveau au destinataire. Pour éviter ce genre
d'atiaques (appelées« attaque par réinsertion n ), il est possible de
joindre au document un horodatage signé ou un compteur.
Infrastructure à clé publique
Le renfOrcement de la confiance en des commtmications
sécurisées passe en grande partie par les algorithmes de
chiffrement à clé publique; en effet, dans ce genre de systèmes,
les clés privées ne doivent pas être partagées par toutes les pmties
impliquées et aucune exigence de confidentialité n'est imposée
lors de la distribution des clés publiques.
Cependant, les systèmes à clé publique sont encore vulnérables
aux attaques de type« l'homme du milieu )1, au cours desquelles
les clés publiques sont altérées par lill attaquant (l'homme du
milieu) qui contrôle le canal de communication. Si cet attaquant
remplace une véritable clé publique par sa propre clé. toute
partie qui envoie un message au propriétaire de la clé publique
altérée utilisera plutôt la clé publique de l'attaquant. Cet
attaquant est désormais en mesure d'intercepter. de lire et de
modifier un tel message en le déchiffrant et en le rechiifrant à
l'aide de la clé publique authentique. Le problème vient du fait
que la manipulation de la clé publique ne peut pas être détectée
par l'expéditeur ou le destinataire. En d'autres mots, il n'y a
pas de garantie d'un lien entre la clé publique ct l'identité du
propriétaire.
Pour résoudre ce problème, une tierce pa11ie de confiance est
introduite dans le système, de sorte que tout document signé soit
automatiquement considéré comme authentique par l'expéditeur
et le destinataire. En premier lieu, cet1e tierce partie de confiance
identifie le détenteur d'une clé publique (le sujet), puis signe
cette clé publique tout en ·~joutant des détails sur l'identité de
1'objet. Le document qui en résulte est connu comme étant le
certificat public (ou numérique) de l'objet. La tierce partie de
confiance s'appelle l'autorité de certification (AC). On considère
qu'il s'agit d'une infrastructure à clé publique lorsqu'uncAC est
introduite dans un système de signature.
En plus d'émettre des certificats, l'AC maintient une liste des
ce1tifîcats compromis (p. ex., ceux dont la clé privée a été
divulguée ou perdue), que l'on appelle la liste de révocation
de certificats (LRC). Dans certains cas, les certificats peuvent
également être indiqués comme révoqués dans la LRC lorsque
le propiiétairc du certificat déclare volontairement qu'il n'utilise
plus la paire de clés correspondante. Cela permet à une partie de
rejeter un document signé lorsque la signature a été générée après
que la clé privée ait été compromise ou r~voquée.
Les certificats contiennent habituellement un énoncé de pratiques
de certification (EPC). Il s'agit d'une déclaration à propos de
la façon dont une AC émet des certificats. Cet énoncé peut
contenir:
• Le type de ce1iifïcats délivrés;
• Les politiques, procédures ct processus de délivrance, de
renouvellement ct de récupération des certificats;
• Les algorithmes de chiffrement utilisés;
• La longueur de la clé utilisée pour le certificat;
• La durée de vie du ce1iificat délivré par 1'AC;
426
eiSa·
"" M
Certilied Information
Systems Auditor'
'''~'-""Co<'"~""'
• Les politiques de révocation des certificats;
• Les politiques en matière de LRC;
• Les politiques de renouvellement des certificats.
L'AC délègue certaines fonctions administratives pour une
communauté spécifique aux autorités d'enregistrement (AE). Par
exemple, une société intcmationale peut avoir une infrastructure
à clé publique dans laquelle les divisions nationales agissent
comme AE pour les employés de ce pays.
Les fonctions administratives mises en place par une AE
spécifique varient selon les besoins de l'AC, mais doit agir
en soutien du principe d'établissement ou de vérification de
l'identité du souscripteur. Ces fonctions peuvent comprendre:
la vérification des informations fournies par le sujet (fonctions
d'identification personnelle);
la vérification du droit du sujet relative aux caractétistiques du
certificat demandé;
la vérification que le sujet possède actuellement la clé privée
enregistrée et que cette dernière correspond à la clé publique
demandée pour le certificat, {généralement connue sous le nom
de preuve de possession f PDP]);
Je relèvement des atteintes de l'intégiité des clés ou des cas de
terminaison dans lesquels la révocation s'avèrt: nécessaire
l'assignation des noms pour des buts d'identification;
la production de secrets partagés pour l'utilisation pendant les
phases d'initialisation et de prise en charge de l'enregistrement;
la mise en branle du processus d'enregistrement avec l'AC pour
J'entité fin du sujet;
la mise en branle du traitement de récupération des clés;
la distribution de jetons physiques (telles que des cmies à puce)
contenant les clés privées.
Applications des systèmes de cryptographie
Les systèmes asymétdques et symétriques peuvent être combinés
afïn de profiter de la spécificité de chaque système. !1 est
commun de chiffrer les données en utilisant un algorithme
symétrique et une clé secrète, qui est générée de façon aléatoire.
La dé secrète est ensuite chiffrée à l'aide d'un algorithme de
chiffrement asymétrique afin d'en permettre la distribution
sécurisée chez les parties qui ont besoin d'accéder aux données
chiffrées. La communication sécurisée peut donc profiter de la
vitesse des systèmes symétriques et de la Ülcilité de distribution
des clés des systèmes asymétriques. En outre, puisqu'il est
facile de créer la clé secrète, celle-ci peut être utilisée pour un
nombre limité de données, après quoi une nouvelle clé secrète
peut être choisie. Cela réduit les possibilités qu'une tierce partie
malveillante puisse déchiffrer J'ensemble des données, car
elle devrait alors attaquer plusieurs clés secrètes. Ce système
combiné est utilisé dans des protocoles comme SSLITLS afin
de protéger le trafic Web et commeS/MIME pour Je chiffrement
des courriels. Dans ce dernier cas, le document résultant (c.-à-d.
la combinaison du message chiffré ct de la clé secrète chilfréc)
s'appelle une enveloppe numérique.
Une liste plus complète des applications d'une telle méthode est
donnée ci-après.
Manuel de Préparation CISA 26' édition
JSACA. Tous droits réservés.
e. Certi·'"".lnfo~tion
M Sysblms Audll()('
~-·
Chapitre 5 - Protection des Actifs Informationnels
PROTOCOLE DE SÉClJRITit OE LA COUCHE
TRANSPORT (TLS)
Le TLS est un protocole de chilli-erncnt qui offre des
communications sécuritaircs sur Internet. Le TLS est un
protocole en session ou en couches largement utilisé pour la
communication entre les navigateurs ct les serveurs Web. En
plus de la confidentialité des communications, îl offre également
l'authentification des terminaux. Les protocoles permettent
aux applications client-serveur de réaliser des communications
de façon à empêcher l'interception illicite. l'altération ct la
contrefaçon.
Les protocoles TLS impliquent un certain nombre de phases
essentielles :
• La négocintion par les pairs pour Je soutien de l'algorithme;
• La clé publique, l'échange de clés à base de chiffrement ct
l'authentification basée sur les certificats;
• Le chiffrement symétrique du trafic.
Au cours de la première phase, le client et Je serveur décident des
algmithmcs de chiffrement utilisés. Les mises en place réalisées à
cc moment appuient les choix suivants:
• Pour un système cryptographique à clé publique : RSA, Diffie-
He.Jiman, DSA ou Fottezza
• Pour le chiffrement symétrique: RC4, lDEA, Triple DES ou
AES
• Pour les fOnctions de hachage unidirectionnel : SI-JA-l ou SHA-
2 (SIIA-256)
Le TLS fonctionne par couches au-dessus du protocole de
transp01t TCP ct assure la sécurité des protocoles d'npplication,
même s'il est le plus souvent utilisé avec le I-ITTP pour
larmer le HTTI'S (protocole 1-llTP sécuritaire). Ce dernier
protocole pem1ct la sécurisation des pages World Wide Web
pour des applications. De plus, dans le commerce électronique,
['authentification peut être utilisée aussi bien pour les activités
interentreprises (lors desquelles le client et le serveur sont
authentifiés) et pour les interactions entre les entreprises et les
consommateurs (lors desquelles seul le serveur est authentifié).
Outre le TLS, le protocole Securc Socket Layer (SSL) est
largement utilisé dans les applications du monde réel, même si
son utilisation est désonnais obsolète depuis la découverte d'une
vulnérabilité importante en 2014. LeTLS et le SSL ne sont pas
interchangeables.
sf:ClJRITi' IP (ll'SEC)
I.?IPSec est utilisé pour sécmiser les communications à l'échelle
1P survenant entre deux hôtes ou plus, deux sous-réseaux ou plus
entre des hôtes et des sous-réseaux.
Ce protocole de sécurité en paquet de couches réseau IP établit
les VPN par les méthodes de chif!Tement de transport et de mode
tunnel. Si la méthode de transport est choisie, la pmtic donnée
de chaque paquet représentant les données utiles de ::;écurité pour
!'encapsulation sont chi1Trées, permettant ainsi la confidentialité.
Lors de l'utilisation du mode transpmt, les données utiles ct son
en-tête sont chiffrées. Afin d'obtenir la non-répudiation, une en-
tête d'authentification supplémentaire est appliquée.
Lors du choix des sessions dans l'un ou l'autre des modes de
fOnctionnement, des liens de sécurité ( LS) sont établis. Les LS
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
présentent les paramètres de sécurité à appliquer entTe les parties
communicantes, tels que les algotithmes de chiffrement, les clés,
les vecteurs d'initialisation, la durée de vie des clés, etc. Dans les
deux méthodes présentées. un LS est établi lors de la définition
du répertoire de paramètres de sécurité (RPS) de 32 bits chez
l'hôte émetteur. LeRPS présente un caractère d'identificalion
unique qui permet à l'expéditeur de se servir des paramètres de
sécurité pour les appliquer de la f..1çon recommandée pour le
dcstim1taire.
i:lPSec peut être utilisé de manière plus sécuritaire par le
chiffrement asymétTique à J'aide du Internet Secmity Association
and Management Protocole/Oakley (ISAKMP/Oakley), lequel
permet la gestion des clés, l'utilisation de clés publiques, la
négociation, l'établissement, la modification et la suppression des
LS et des attributs. Pour réaliser l'authentification, l'expéditeur
utilise les certificats d'utilisateur. La connexion se fait de façon
sécuritaire par la création, l'authentification et la diffusion des LS
et des clés de cryptographie.
PROTOCOLE SSH
Le protocole SSI-1 est un programme client-serveur qui ouvre
une session en coquille de ligne de commandes sécurisée,
chiffrée à pmtir d'Internet pour l'entrée en communication à
distance. Comme le VPN, le protocole SSH se caractérise par
un système de cryptographie puissant qui protège les données,
incluant les mots de passé, les fichiers binaires et les commandes
administratives circulant entre les systèmes d'un réseau. Le SSH
est habituellement mis en place entre deux parties en validant
les titres de compétence de chacun à l'aide des certificats
d'utilisateur. Il est particulièrement utile pour le remplacement
des services Tel net et est implanté dans la couche d'application,
alors quïl10nctionnera à partir de la couche de réseau (mise en
place de l' lPSce ).
EXTENSIONS/MIME
Le protocole MIME sécuritaîre est un protocole normalisé
d'échange de courriels sécurisé qui authentifie l'expéditeur
ct le destinataire, vérifîe l'intégrité du message et assure la
confidentialité du contenu du message, y compris des pièces
jointes.
5.4.6 LOGICIEL MALVEILLANT
Le terme logiciel malveillant s'applique généralement à une
grande variété de programmes infOrmatiques malveillants qui
envoient des demandes au système d'exploitation du système
hôte attaqué afin d'adjoindre le logiciel malveillant aux autres
programmes. De cette manière, les logiciels malveillants se
propagent d'eux-mêmes vers les autres programmes. lls peuvent
présenter un caractère relativement bénin (dégradation des
applications Web) ou passablement malveillants (suppression de
fichiers, con·uption de programmes ou interruption de service).
Généralement, les logiciels malveillants attaquent les quatre
composantes principales d'un ordinateur:
• Les fichiers-programmes exécutables;
• Le système répertoire de fichiers qui suit la localisation de tous
les fichiers inrormatiques;
• Les zones système et d'amorce nécessaires pour déman·er
l'ordinateur;
• Les fichiers de données.
427
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels eiSA" Cert.lfled lllformation
Le ver informatique, autre type de logiciel malveillant
fréquemment rencontré, ne se lie pa.."> physiquement par lui-même
à un autTe programme comme un virus. Pour se propager dans
!cs systèmes hôtes, un ver exploite habituellement les Hliblesses
dans la sécurité des configurations des syslèmes d'exploitation.
Ces problèmes atteignent un degré de sévérité particulièrement
important dans les environnements client-serveur hautement
décentralisés d'aujourd'hui.
Aqjourd'hui, les virus et les vers sc transmettent facilement par
Internet lors du téléchargement de fichiers vers les navigateurs
informatiques Web. Les logiciels malveillants peuvent également
être transmis en tant que pièces jointes dans un cou niel; de cette
manière, lorsque la pièce jointe s'ouvre, le système s'infecte s'il
n'est pas protégé par un logiciel scanneur de virus qui vérifie les
pièces jointes non ouvertes. Il existe plusieurs autres méthodes
d'infection utilisant les fichiers reçus par des services en ligne,
les médias sociaux, les réseaux locaux et même les logiciels prêts
à J'emploi que l'utilisateur pourrait acheter d'un commerce de
detaiL
Contrôle des virus et des vers
Afin de réduire efficacement les risques d'infection par des virus
ct des vers informatiques dans une organisation, un programme
d'anti-logicicl malveillant complet et dynamique doit être mis
en place. Il existe deux principales manières de prévenir et
détecter les logiciels malveillants qui infectent des ordinateurs
ct des systèmes réseaux. La première consiste en l'obtention de
politiques et de procédures (mesures de contrôle de prévention)
et la seconde, en l'utilisation de mesures de détection qui incluent
un anti-logiciel malveillant. Ces deux méthodes présentent un
degré d'efficacité équivalent.
Mesures de contrôle des procédures de gestion
Certaines des mesures de contrOle des politiques et des
procédures doivent être mises en place :
• La conception d'un système issu de copies originales et saines.
L?amorce réalisée à pariir des médias originaux qui gèrent la
protection a toujours existé, si elle s'appliquait
• !_;interdiction d'utiliser des suppor1s (p. ex., disques durs ct à
mémoire flash_) avant qu'ils aient fait J'objet d'un balayage par
une machine autonome, laquelle ne sert qu'à cette utilité et n'est
pas connectée.
• La mise à jour fréquente desanti-logiciels malveillants balayant
les signatures et les définitions.
• La protection des supports d'information amovibles contre le
vol et les risques.
• La possession de démonstrateurs de fonctionnement des
fOurnisseurs sur les machines.
• L'application d'une règle d'interdiction d'utiliser un pmiagicicl
sans un balayage préalable à la recherche des logiciels
malveillants.
• Le balayage préalable de tout nouveau logiciel installé, les
logiciels commerciaux incluant parfois un cheval de Troie (virus
et vers).
• (;insistance pour le balayage par les techniciens de terrain de
leurs disques par une machine de test avant l'utilisation de ces
disques dans le système.
• Cassurance que l'administrateurdu rC:seau utilise un poste de
travail et un serveur protégés par un anti-logiciel malveillant.
428
M Sflo1ems Auditor"
;;;;::;;.::;t:;:-~
.. !;assurance que tous les serveurs possèdent une version à jour
active du logiciel de détection des logiciels malveillants.
.. La vérification des fichiers de chiffrement et leur déchilrrcment
avant leur exécution.
• L'assurance de J'authenticité des mises à jour du pont, du
routcur et de !a passerelle.
• Les sauvegardes représentant un élément essentiel d'une
stratégie d'anti-logicie! malveillant, l'assurance qu'un plan de
sauvegarde efficace et claire existe. Ce plan doit comprendre
le balayage des fichiers de sauvegarde sélectionnés pour la
recherche de logiciels malveillants une fois qu'un tel logiciel a
été détecté.
.. La formation des utilisateurs afin qu'ils connaissent les
politiques et les procédures. Par exemple, plusieurs logiciels
malveillants se propagent aqjourd'hui en tant que pièces jointes
incluses dans les courriels, notamment en fOrmat Visual Basic,
qui infectent le système de l'utilisateur lors des ouvertures du
fichier. Le pirate infOrmatique utilise des tactiques sociales
d'ingénierie afin que l'utilisateur ouvre la pièce jointe.
• l.a revue des politiques et des procédures d'anti-logiciels
malveil!ant.s au minimum une fois par année.
• La conception d'une procédure d'éradication des logiciels
malveillants et l'identification d'une personne-ressource.
• Célaboration, la répétition et le maintien des procédures claires
de gestion des incidents dans le cas où un logiciel de protection
contre les programmes malveillants signale une infection.
Mesures de contrôles techniques
Des méthodes techniques de prévention des logiciels malveillants
peuvent être mises en place à l'aide de logiciels et de matériel.
I.es tactiques matérielles suivantes peuvent réduire les risques
d'infection:
• Lutilisation de la protection contre les logiciels malveillants
système (protection contre les logiciels malveillants prédéfinis
fondés sur un micro-logiciel).
• L'utilisation de l'amorçage à distance (par exemple, les postes
de travail sans disque).
• L'utilisation d'un mot de passe créé à pm1îr du matériel.
• La protection des suppor1s d'information amovibles contre le
vol ct les risques.
• La vérification concern:mt le blocage des protocoles non
sécuritaires par un coupe-feu à partir des segments externes ct
l'Internet.
ToutefOis, le logiciel anti-logiciels malveillants représente l'outil
le plus commun et le moyen le plus efiïcace pour protéger les
réseaux et les systèmes informatiques des logiciels malveillants.
Le logiciel anti-logiciels malveillants agit en tant que mesure de
contrôle à la fois préventive et de détection. À moins d"ètrc mis à
jour régulièrement, un logiciel anti-logiciels malveillants n'aura
aucune efficacité contre les logiciels malveillants.
Le logiciel anti-logiciels malveillants comprend un certain
nombre de composantes qui réalisent la détection des logiciels
malveillants au moyen des technologies de balayage selon
différents angles. Il existe plusieurs types de logiciel anti-logiciels
malveillants.
Le scanneur recherche les suites de bits nommées des signatures,
qui sont des programmes typiques des logiciels malveillants.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . H
eertifll.ld lnlorma.tion
Sysf!lffiS Audilor"
""'<UA'"êM<,t.,.l»>
Chapitre 5 - Protection des Actifs Informationnels
Voici les deux principaux types:
Masque ou signature de logiciels malveillants Scanncurs anti-
logicicls malveillants vérifiant les fichiers, les secteurs et la
mémoire système pour trouver les logiciels malveillants connus
et nouveaux (non trouvés par le scanneur), à partir des masques
et des signatures de logiciels malveillants. Les signatures et
les masques de logiciels malveillants agissent comme chaînes
de code spécifiques reconnues pour appartenir à la fàmille des
logiciels malveillants. Pour les virus multifonnes, le scanneur
se compose parfois d'algorithmes qui vérifient toutes les
possibilités de combinaisons pour une signature qui pourraient
exister dans un fichier infecté.
Le scanneur heuristique analyse les instructions du code billayé
et établit, selon les probabilités statistiques, la présence d'un
code malveillant. Les résultats d'un balayage hemistique
peuvent indiquer la présence d'un logiciel malveillant, et donc,
d'une infCction. Les scanneurs heuristiques ont tendance à
produire de fréquentes erreurs de raux positif(cn indiquant la
présence erronée d'un logiciel malveillant).
Les scanneurs étudient la mémoire, les secteurs d'amorçage
des disques, les exécutables, les fichiers de données et les
fichiers de commande à la recherche de profils binaires qui
peuvent être rattachés à un logiciel malveillant connu. Pour
cette raison, ils doivent faire l'objet de mises à jour constantes
afin de conserver leur efficacité.
Les écrans actifs interprètent les appels de mémoire DOS
et la mémoire morte (ROM) BI OS pour trouver des actions
possiblement liées à un logiciel malveillant. Les éc-rans actifs
peuvent présenter une problémailque car ils ne distinguent pas la
demande provenant d'un utilisateur de celle d'un programme ou
d'un logiciel malveillant. Par conséquent, les utilisateurs doivent
confirmer leurs actions, incluant le formatage d'un disque ou la
suppression d'un fichier ou d'un ensemble de fichiers.
Les vérificateurs d'intégrité des CRC calculent un nombre
binaire dans un programme libre de logiciels malveillants qui est
par la suite emmagasiné dans un fichier de base de données. Ce
nombre porte le nom de contrôle par redondance cyclique (CRC).
Lors des balayages subséquents, il vérifie les changements
survenus dans les tldliers comparativement à la base de données
et établit les changements liés à une infection. Une accordance
signifie qu'il n'existe pas d'infection; dans le cas contraire, un
changement dans le programme est survenu. Cette modification
peut s'expliquer par la présence d'un logiciel malveillant. Ces
scanneurs sc caractérisent par un bon degré d'elficacité pour la
détection des intèctions; toutefOis, ils peuvent agir uniquement
une fois que l'infection s'est produite (c.-à-d. une fois quïl est
trop tard pour récupén:r les fichiers). !~gaiement, les vérifîcntcurs
de (~RC peuvent détecter uniquement les changements
subséquents apparaissant dans les fichiers parce qu'ils s'assurent
que les fichiers ne sont sains que dans les fichiers en place en
premier lieu. Pour cette raison, ils ne sont aucunement efficaces
dans le cas de nouveaux fichiers infectés et non enregistrés
dans la base de données. Les vérificateurs d'intégrité tirent
avantage du fait que les programmes exécutables et les secteurs
d'amorçage ne changenl" pas souvent, s'ils changent.
Les moniteurs d'activité met1ent l'accent sur la détection des
activités possiblement anormales, telles que l'écriture sur le
Manuel de Préparation CISA 26" édition
ISACA. Tous dr-oits réservés.
Section deux : Contenu
secteur d'amorçage ou l'enregistrement d'amorçage principal
ou les modifications apportées aux fichiers exécutables. Ils
peuvent détecter un logiciel malveillant ù un premier degré
de développement. La majorité de mécanismes anti-logicîels
malveillants se fondant sur Je matériel fonctionnent avec ce
concept.
Les immuniseurs défendent contre les logiciels malveillants en
reliant leurs propres sections aux fichiers, un peu de la même
manière dont les logiciels malveillants se lient à eux. Ils vérifient
continuellement le fichier pour reconnaître les changements
qui pourraient survenir et établir le lien entre ces changements
et une possible activité liée à un logiciel malveillant. D'autres
types d'immuniseurs s'attardent spécifiquement sur un logiciel
malveillant et travaillent en donnant l'impression que le logiciel
malveillant a déjà intècté l'ordinateur. Cette méthode n'est
pas toujours pratique puisqu'elle n'offre pas la possibihtê
d'immuniser les fichiers contre tous les logiciels malveillants
connus.
Dès qu'unlogicicl mnlveillant a été détecté par un logiciel
anti-logic.iels malveillants, un programme d'éradication peut
nettoyer le disque dur en supprimant le logiciel malveillant.
Les programmes d'éradication peuvent parfois tuer le logiciel
malveillant sans avoir à supprimer les programmes ou les
fichiers de données infCctés; en d'autres occasions, les fichiers
infectés doivent absolument étre supprimés. Par ailleurs, d'autres
programmes, parfois appelés inoculateurs, ne permettent pas
le f-Onctionnement d'un programme s'il contient un logiciel
malveillant.
Stratégies de mise en place de logiciels antl-logiclels
malveillants
Les organisations doivent concevoir des stratégies de mise en
place de logiciels anti-logiciels malveillants afin de prévenir ct
de contrôler efficacement la diffusion des logiciels malveillants
dans leur infrastructure SI. Un important moyen de contrôler la
dispersion des logiciels malveillants consiste à détecter le logiciel
malveillant à son point d'entrée, c'est-à-dire avant qu'il cause
des dommages. Cette méthode fait appel à tout ce qui est lié aux
réseaux, aux plates-formes serveurs ct aux postes de travail des
utilisateurs finaux.
Le ni venu du serveur ou du poste de travail de l'utilisateur peut
inclure Je filtrage du logiciel et des données lorsqu"elles entrent
dans la machine, dans laquelle les programmes d'anti-!ogiciels
malveillants peuvent être placés pour réaliser:
• des balayages prévus à la recherche de logiciels malveillants
(p. ex., quotidiennement, hebdomadairement, etc.);
• des balayages annuels/sur demande, lors desquels le balayage
pour les logiciels malveillants a été demandé par l'utilisateur;
• un balayage continu/à la volée, lors duquel les fichiers sont
balayés en même temps qu'ils sont traités,
Du côté du réseau d'entreprise, dans les cas de réseaux
interconnectés, le logiciel de balayage pour les logiciels
malveillants agit en tant que pmtie intégrante des technologies
coupe-feu, connues sous le nom de murs contre les logiciels
malveillants. Ces murs balaient le trafic d'arrivée arin de détecter
ct de supprimer les logiciels malveillants avant qu'ils entrent
429
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
dans le réseau protégé, Ils travaillent normalement à plusieurs
niveaux :
• La protection du SMTP, pour balayer Je trafic entrée et sortie du
SMTP à la recherche de logiciels malveillants en coordination
avec le serveur de cou niel.
• La protection du HTTP, pour empêcher Je téléchargement
des fichiers infectés par un logiciel malveillant et orfrir une
protection contre les programmes malveillants de Java et
d'ActiveX.
• La protection des FTP. afin d'empêcher le téléchargement des
fichiers infectés.
Les murs contre les logiciels malveillants sont habituellement
mis à jour automatiquement par de nouvelles signatures de
logiciels malveillants provenant des fournisseurs selon une base
régulière lorsque de nouvelles souches de logiciels malveillants
apparaissent. Ils fournissent également un matériel qui journalise
les incidents liés aux logiciels malvcillanls ct le traitement de ces
logiciels malveillants en concordance avec les règles prédéfinies.
Leur présence n'empêche pas la nécessité d'installer un logiciel
anti-logiciels malveillants sur les ordinateurs faisant partie cf un
même réseau puisque le mur ne fonctionne que pour un seul
canal que les logiciels malveillants utilisent pour entrer dans le
réseau. Le logiciel de détection des logiciels malveillants doit être
implanté dans tous les ordinateurs dans le réseau. Les fichiers
de signature de logiciels malveillants doivent être constamment
mis à jour. La mise à jour automatique a gagné énormément
en popularité et permet aux organisations de mettre à jour les
fichiers de signature de logiciels malveillants dès le moment où
une nouvelle mise à jour est disponible.
Afin que les scanneurs de logiciels malveillants puissent être
acceptables ct viables, ils doivent présenter les caractéristiques
suivantes :
• Fiabilité et qualité de la détection des logiciels malveillants;
• Un résid;mt en mémoire, qui vérifie constamment lt:s
installations;
• Efficience, notamment par une rapidité d'exécution t:t une
utilisation de ressources acceptables.
5.4. 7 VOIX SUR IP
Ln technologie de téléphonie IP, également connu comrne la
téléphonie Internet, rend possible les conversations vocales par
Internet ou par tout réseau IP conçu pour cette utilisation plutôt
que pnr les lignes de transmission. Les protocoles utilisés pour
transporter le signal dans le réseau IP portent habituellement le
nom de Voix sur IP (VoJP). La technologie de la VoiP permet
le transport du trafic des données existantes au sommet de
l'infrastructure de données existantes. Les sons sont numérisés
en des paquets JP et transférés à travers les couches du réseau
avant d'être décodés pour revenir à leur son original. La VoiP a
considérablement réduit les coûts rattachés aux interurbains dans
nombre de grandes entreprîses.
La VoiP permet l'élimination de b commutation des circuits
et les pertes de largeur de bande qui y sont associées. La
commutation par paquets est davantage utilisée, ct les paquets IP
comprenant des données vocales ne sont alors envoyés au réseau
que lorsque les données doivent l'être.
430
eiSA" Certifmd!nfn~lion
Systems Audrtor
,.,,,,,-_,.,.,,,..,..,
Elle possède des avantages par rapport à la téléphonie
traditionnelle :
• Contrairement ù la téléphonie traditionnelle, les innovations de
la VoiP progressent selon les taux du marché plutôt que selon
les taux du processus multilatéral de l'Union internationale des
télécommunications (urn.
• Des coûts par appel plus faibles ou même des appels gratuits,
particulièrement lors des appels longue distance.
• Des frais liés à l'infrastructure réduits. Une fois que
/'infi-astructure IP a été installée, aucune infrastructure de
téléphonie n'est néccssaire 1 ou une simple infrastructure
uniquement.
La Vol P compone des risques liês à la sécurité ainsi que des
possibilités. Elle se caractérise par une architecture différente
de la téléphonie traditionnelle basée sur les circuits, el cette
diflërencc entraîne des difficultés concernant la sCcurité.
Les systèmes de la Vol P prennent nombre de tOnnes, incluant les
combinés téléphoniques traditionnels, les unités de conférence
et des unités mobiles. En plus de l'équipement des utilisateurs
finaux, les systèmes VoiP incluent un ensemble de composants
tels que les processeurs/les gestionnaires d'appel, les passerelles,
les routeurs, les coupe-feu et les protocoles. La majorité de ces
composants apparaissent dans les réseaux de données, mais les
demandes en petfonnance de la Vo!P amènent le besoin que des
composants supplémentaires de la VolP complètent le logiciel de
réseau ordinaire.
Lors de la conception d1un système Vol P, la sauvegarde doit
être considérée. Les entreprises en télécommunications
fonctionnant habituellement en deçà des exigences afin d 1obtcnir
99,9999% de temps utilisable, le trafic- de données présente
une fiabilité moindre. Pour cette raison, la sauvegarde doit
assurer la continuité des communications advenant la survenue
d1incidcnls dnns le réseau d'infrastructure de données. La capacité
de la bande passante doit être évaluée afin de déterminer les
niveaux de trafic de données actuels ct ajuster !a bande passante
supplémentaire, si nécessaire. pour le trafic vocal. La qualité du
service doit être définie de manière à ce que le trafic vocal soit
pri01itairc par rapport à tout autre type de trafic de données. Les
lois et les règlements doivent également être étudiés. Certains
pays pourraient interdire l'utilisation de la Vol P.
Problèmes /lés à la sécurité causés par la VoiP
Lors de l'introduction de la VoJP., le besoin en sécurité prend
davantage d'imporlance car deux éléments doivent être protégés:
les données et la voix,
La protection de la sécurité des conversations lors d'une
communication VoiP est essentielle. Avec un système
téléphonique de bureau conventionnel, la sécurité prend
1 1
davantage d impminnce. L interception des conversations
nécessite un accès physique aux lignes téléphoniques ou la
compromission de l'aulocommutateur privé de bureau. Seules les
organisations particulièrement vulnérables en ce qui concerne
la sécurité devraient chiffrer k trafic vocal par les lignes
téléphoniques traditionnelles. Cette pratique ne peut être assurée
pour les connexions Internet.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e . Certifie<!. lnformatlnn
.H. Systems Auditnr"
~;~.:-·-
Chapitre 5 - Protection des Actifs Informationnels
Dans une Vol P. les paquets sont envoyés par le réseau de
l'ordinateur d'un utilisateur ou d'un téléphone VoiP à un appareil
similaire. Les paquets peuvent passer par divers systèmes qui
n'agissent pas sous le contrôle du fournisseur de contenu Internet
de l'utilisateur. L'architecture Web actuelle n'olfrc pas la même
sécurité physique des fils que les lignes téléphoniques. La
meîlleurc méthode de sécurisation du système VoiP se compose
des mécanismes de sécurité tels que ceux mis en place dans les
réseaux de donn(>es (les coupe-feu, Je chîf'lfemcnt) pour émuler
le niveau de sécmité actuellement reconnu par les utilisateurs du
réseau téléphonique public commuté.
Le principal point de questionnement lié aux systèmes Vol P
demeure le fait que, avec les téléphones traditionnels, si Je
système de données présente une défaillance, plusieurs zones
peuvent malgré tout être jointes par téléphone. Dans le cas
d'un système Vol P. une intermption du système inf-Ormatique
provoque également une interruption du téléphone puisque les
deux systèmes fonctionnent au moyen des mêmes appareils. Dans
ce cas, seuls les téléphones cellulaires fonctionneront. Ainsi,
des installations supplémentaires destinées aux communications
doivent être piani fiées si la disponibilité des communications
revêt un caractère crucial pour l'organisation. Cette situation
se présente notamment pour les succursales des institutions
financières.
Une autre difficulté peut être rencontrée étant donné le Ütit que les
téléphones lP et leur équipement périphérique exigent les mêmes
besoins en entretien que les systèmes infOrmatiques.
Les pièces du système d'exploitation et les mises à jour des
signatures de virus doivent donc être rapidement mises en
place afin de prévenir une possible interruption de service du
système. Afin d'augmenter la protection du système téléphonique,
l'inth1structure VolP doit être séparée à raide de résenux locaux
virtuels. Toute connexion entre ces deux intfastructurcs doit être
protégée ù l'aide de coupe-1èu ayant la capacité d'interpréter les
protocoles VoiP
Dans plusieurs cas, les contrôleurs de session en périphérie (CSP)
servent pour fOurnir des caractéristiques de séculité au système
VoiP similaires à celles fournies par les coupe-feu. Les CSP
peuvent être configurés de manière à filtrer des protocoles VoiP
spécifiques, assurer le suivi des attaques DOS ct fournir une
adresse réseau et les entités de lraduction de protocoles.
5.4.8 AUTOCOMMUTATEUR PRIVÉ
Un autocommutatcur privé (PBX) consiste en un commutateur
informatique de haute technicité qui peut être considéré
cssenticllcmcnt comme une petite entreprise de téléphone interne
pour l'organisation qui l'exploite. La protection du PBX représente
donc une grande priorité. Un échec lors de la sécurisation du
PBX expose l'organisation à la fraude liée aux interurbains, au vol
des informations confidentielles, à la perte de revenus ou à des
accrochages juridiques.
Les PBX font partie des infrastructures des communications
des organisations depuis le début des années 1920, à l'époque
au moyen de la technologie analogique. Les PBX d'aujourd'hui
font l'utilîsation de la technologie numérique~ dans laquelle les
signaux numériques sont tmnsfonnés en signaux analogiques
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
pour les appels externes sur la ligne d'abonné à l'aide du service
téléphonique ordinaire, qui ramène au service téléphonique que la
majorité des foyers utilisent.
Les PBX numériques, qui ont remplacé leurs prédécesseurs
analogiques, sc retrouvent dans l'ensemble de l'industrie et
des organisations publiques. L'arrivée des PBX fonctionnant
à pmi ir de logiciels a enrichi grnndement les possibilités en
çommunications pour ces commutateurs. Al~jourd'hui, même
les systèmes PBX les plus simples apportent un éventai! de
possibilités qui ont d'abord été disponibles pour les commuta1eurs
à grande échelle. Ces nouvelles camctéristîqucs ont ouvert la
p01ie à de nouvelles opportunités pour l'intrus qui tente d'exploiter
le PBX, notamment par l'utilisation de ces caractéristiques pour
des objectifs jamais recherchés auparavant.
Voici quelques caractéristiques des PBX actuels:
• Plus de deux lignes de jonction de téléphone (multiples
appareils téléphoniques) qui s'interrompent au PBX.
• L'utilisation d'appareils téléphoniques numériques qui permet
des postes de travail voix/données intégrés.
• Des systèmes informatiques PBX extensibles comportant une
mémoire qui gère la commutation des appels à l'intérieur du
PBX.
• Une architecture disüibuéc comprenant plusieurs commutateurs
disposés dans un ordre hiérarchique ou maillé ainsi qu'une
intelligence distribuée offrant une fiabilité supérieure.
• Des configurations à accès non bloquant dans lesquelles (es
appareils périphériques peuvent être impliqués dans plusieurs
appels simultanément.
• Le réseau de lignes à l'inté1ieur du PBX.
• Une console système ou un tableau de commutation pour un
opérateur.
L'économie de coüts associés au besoin de lignes pour chaque
utilisateur rattaché au siège social de la compagnie de téléphone
représente 1\m des buts p1incipaux du PBX. JI est également plus
facile d'appeler une personne à l'aide du PBX puisque qu'il ne
nécessite la composition que de trois ou quatre chiffl·es.
Risques associés au PBX
Les environnements caractérisés par un PBX impliquent plusieurs
risques associés à la sécUiité. Si un système PBX n'a pas été
correctement configuré, les portes dérohées peuvent facilement
être repérées pour atteindre un but non autotisé. Les menaces
relatives aux systèmes téléphoniques PBX sont nombreuses,
dépcndamment des objectifs des attaquants et comprennent:
• Le vol de service-· Fraude touchant les appels interurbains,
probablement le plus commun des motifs pour les assaillants.
• La divulgation d'informations-·· Données divulguées sans
autorisation, par action délibérée ou accidentellement. Cette
motivation inclut, par exemple, l'écoute illégale de conversations
ct l'accès non autorisé aux données d'acheminement et de
traitement.
• La modification des données- Données modifiées de façon
importante en les réordonnant, les supprimant oules modifiant.
Pm· exemple, un intrus peut modifier les informations relatives
à la facturation ou les tableaux du système afin d'obtenir des
services supplémentaires.
431
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
• L'accès non autorisé- Action permettant à un utilisateur non
autorisé d'obtenir l'accès aux ressources du système ou aux
privilèges.
• Le déni de service Action qui empêche le système de
fonctionner de manière à rencontrer les buts pour lesquels il
a été conçu. Un élément de l'équipement ou une entité peut
devenir inutilisable ou forcé à fonctionner dans un état de
dégradation, dépendamment s'il y a retard dans la rapidité
d'exécution.
• L'<tnalyse du trafic-- Forme d'attaque passive lors de laquelle
un intrus étudie les informations provenant des appels (mais
pas nécessairement le contenu des messages) ct appo1ie des
conclusions (p. ex., concernant les numéros de la source et du
destinataire, la fTéquence et la longueur des messages). Par
exemple, un intrus observe un grand débit d'appels entre une
direction juridique de l'entreprise et le bureau des brevets et
conclut qu'un brevet est en cours de préparation.
Les systèmes informatiques PBX présentent un degré de
sophistication important, ct plusieurs des menaces et des
vulnérabilités associés nux systèmes d'exploitation se retrouvent
dans les PBX. Toutefois, il existe deux principaux éléments de
différenciation de la sécurité des PBX par rappmi à la sécurité des
OS conventionnels :
• Accès/contrôle d'accès-- Comme pour les commutateurs de
téléphones plus importants, les PBX nécessitent habituellement
un entretien à distance, effectué par le fournisseur. Plutôt que de
compter sur les administrateurs locaux pour réaliser les mises ù
jour et les réparations, les organisations fOnt effectuer ces tüches
à distance par le 1àbric::mt du commutateur. Cela demande
évidemment des ports d'entretien à distance et un accès au
commutateur pour un grand bassin de pm1ies externes.
• Richesse des caractéristiques- La grande variété de
fonctionnalités disponibles pour le PBX, ct particulièrement les
éléments administratifs et la fonction de conférence, apporte la
possibilité d'attaques inattendues. Une fonctionnalité peut servir
à un assaillant d'une manière imprévue pour les concepteurs.
Elles peuvent également interagir de façon imprévisible, menant
à la compromission du système, même si chaque composant du
système se conforme aux normes de sécUiilé et' que le système
est exploité et administré correctement.
Voici quelques-unes des Jàiblesses reliées au contrôle
supplémentaire :
• La définition non contrôlée des lignes de sélection directe à
l'arrivée, qui permettrait ù une pmiie externe de demander
une tonalité d'invitation à numéroter, de manière à ce que la
personne puisse effectuer des appels interurbains non autorisés.
• Lacune dans les mesures de contrôle de l'accès au système pour
les appels interurbains (mots de passe du système par défaut du
fOurnisseur inchangés, disponibilité 24 heures/24 et 7 jours/7
des lignes PBX).
• Lacune dans les mesures de conlrôle pour le blocage des appels
ù certains numéros spécifiques (numéros de ligne érotique, de
cellulaire, etc.).
• Lacune dans le contrôle du nombre de numéros de télécopieurs
et de modems.
• La non~activation de l'option d'appels enregistrés, qui permet
l'utilisation des journaux de suivi d'appels.
432
e :::,:?.:.'""'
Bien que la majorité des fonctionnalités se retrouvent d'un PBX
à un autre, leur mise en place varie et leur degré de vulnérabilité
dépend des fonctionnalités installées. Par exemple, plusieurs
f()urnisseurs de PBX possèdent des concepts de propriété pour
le protocole de signalisation numérique entre Je PBX et les
instruments de l'utilisateur.
l.a connaissance de l1implantatÎmi du concept aide ù la
détermination du fait qu'un intrus ou un travailleur en place peut
fàcilement exploiter les tàiblesses ou les !"Onctions normales du
système ou non.
Audit du PBX
Lors de la planification d'un audit du PBX, le lype de
compétences, le nombre d'auditeurs et le temps alloué à la
réalisation de l'audit ne peuvent être déterminés sans une
évaluation préalable du .système PBX, ces tà.ctcurs étant
influencés par la taille et la complexité du système PBX
sélectionné. L'auditeur doit évaluer le type de menace perçue et le
degré de sérieux des vulnérabilités découvertes. Par conséquent,
toute action corrective est sélectionnée en comparant le coüt des
pertes avec les frais associés à l'action corrective.
Une liste des éléments essentiels de la structure du PBX sera
donnée, liste présentant également les risques spécifiques et les
mesures de contrôle applîcnbles.
Fonctionnalités du système PBX
Les pirates du téléphone ou les intrus peuvent utiliser plusieurs
fonctionnalités disponibles dans Je système avec des objectif.')
illégaux:
• L'écoute illégale des conversations, sans le consentement des
parties impliquées.
• L'écoute illégale des conférences téléphoniques.
• Le transfert illégal des appels d'instruments spécifiques vers des
numéros à distance.
• Le transfert de l'instrument d'un utilisateur vers un numéro non
utilisé ou désactivé afin qu'il devienne inaccessible pour les
appels externes.
Attaques du système PBX
Les fonctionnalités ct les possibilités offe1ies par le système
PBX peut entraîner une vulnérabilité importante. Les situations
de vulnérabilité surviennent parce que, étant donné le grand
nombre de fonctionnalités disponibles, il devient difficile pour le
fabricant de considérer tous les risques elles possibles problèmes
provoqués par la manière dont les différentes 10nctionnalités
interagissent Cela a pour effet de créer des vulnérabilités qui
donnent la chance à l'intrus d'accéder au système PBX et à ses
outils. Le tableau 5.19 qui présente les fonctionnalités d'un
système PBX et les risques qui y sont associés.
il n'est pas simple d'assurer la protection contre tous les
risques. La connaissance qu'une certaine vulnérabilité, en
f3it, existe, représente déjà une indication importante. Une
approche conscrvative permettant uniquement l'exploitation
des fonctionnalités nécessaires peut s'avérer utile. Les mesures
suivantes peuvent réduire les attaques du système PBX :
• Lorsque possible, configurer et sécuriser les ports administratif:<;
séparés et spécialisés.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e '
.. H
rtiHedlnlormatkm
Systems Auditor"
"''""""'"'"""''""'·
Chapitre 5- Protection des Actifs Informationnels Section deux : Contenu

• Contrôler la définition des lignes de sélection directe à l'arrivée réduire Je risque :

pour éviter qu'une partie ex te me recherche une tonalité de
composition locale, empêchant ainsi cette personne d'effectuer
des appels interurbains non autorisés.
• Établir des mesures de contrôle d'accès au système pour
les appels interurbains (modification des mots de passe du
fournisseur pour le système par défaut, limite de disponibilité
des lignes PBX).
• Mesures de blocage des appels interurbains effectués à certains
numéros spécifiques (numéros de ligne 0rotique, de cellulaire,
etc.).
• f~tablir des mesures de contrôle pour les numéros de
télécopieurs et de modems.
• Activer l'option d'enregistrement des appels pour permettTC
1'utilisation des journaux de suivi des appels.
Écoute téléphonique avec le matériel
La fragilité d'un PBX face à l'écoute téléphonique dépend des
méthodes utilisées pour les communications entre le PBX et ses
appareils périphériques. Ces communic:Jtions peuvent inclure
des informations sur la voix, les données et la signalisation.
Les informations relatives à la signalisation se composent
habituellement de comm:Jndes pour les appareils (indicateurs de
mise en marche. microphones ct haut-parleurs). Les méthodes
de communication font 1'utilisation de la voix analogique avec
ou sans signaux de commnnde et de la voix numérique avec des
signaux de commnnde inclusifs.
L'écoute téléphonique ou l'intrusion dans les séquences de
contrôle peut sc faire à l"aide de différentes technologies
appropriées qui incluent souvent la modification de l'appnreil.
Les mesures qui suivent fournissent des mesures de contrôle pour
• Sécurité physique des installations du PBX;
• Utilisation des appareils anti-sabotage appropriés dans les
composants matériel essentiels.
Conférences avec le matériel
Lors de la mise en place du matériel, la fOnctionnalité de
conférence peut employer un circuit connu comme étant un pont
de contërcncc ou un circuit intégré Sf~ Elle permet à plusieurs
lignes d'être raccordés pour créer une conférence lors de laquelle
toutes les parties peuvent à ln fois parler ct écouter. Certains
PBX présentent une cnractéristique de sourdine permetinnt à
tous d'entendre, mais uniquement ù certains de pnrlcr. Un intrus
peut essnyer d'obtenir une connexion nu pont, où la confërence
pourrait tàire l'objet d'une écoute indiscrète. Une modifient-ion
matérielle apportée au ponllui-mêmc rend possible la sortie du
pont disponible pour aller vers un port spécifique. Comme lors
des modifications d'un appareil, certaines étapes supplémentnires
doivent être réalisées afin de recevoir les informations. Ces étapes
incluent la modification de la base de données pour fhire de
l'intrus un membre permanent du pont afin que toute conférence
sur le pont fasse \'o~jet d'une écoute incliscrètc.
Les mesures qui suivent fournissent des mesures de contrôle pour
réduire les Iisques :
• l~tablir une forte sécurité physique afin d'empêcher l'accès
non autorisé aux locaux téléphoniques et aux installations du
PBX. Lorsque possible, le PBX doit être gardé dans une pièce
verrouillée ù l'accès limité.
• Verrouiller le matériel essentiel avec des appareils anti-
sabotage.

Tableau 5.19- Risquent caractéristiques du sYî;!!!me RBX

Fonctionnalité du système Description Risque
Distribution automatique de l'appel Permet la configuration d'un PBX de manière à ce que Écoute téléphonique et gestion du trafic.
les appels entrants soient distribués au prochain agent
disponible ou placé en attente jusqu'à ce qu'un agent
soit disponible.
Transfert d'appels Permet la spécification d'un numéro de remplacement Suivi de l'utilisateur.
vers lequel les appels sont transférés dans certains cas.
Codes de compte Utilisé pour: Fraude, suivi de l'utilisateur, caractéristiques non
• Suivre les appels effectués par certaines personnes ou autorisées.
dans le cadre de certains projets pour une facturation
appropriée.
• Accès au système (compositions de l'utilisateur
à partir de l'extérieur et obtention de l'accès aux
fonctionnalités habituelles du PBX).
• Changer la classe de service de l'utilisateur afin qu'il
puisse accéder à un ensemble de caractéristiques
différent (c.-à-d. caractéristique d'annulation).
Codes d'accès Permettre l'accès, pour les utilisateurs. aux différentes Caractêristiques non autorisées.
spécificités à l'aide d'instruments simples, tels que les
téléphones analogiques traditionnels.
Suivi silencieux Assurer le suivi silencieux des autres appels. Écoute illégale.
Conférences Permettre la conversation entre plusieurs utilisateurs. Écoute illégale en ajoutant des tierces parties non
autorisées à une conférence.
Dérogation (Infiltration) Offrir la possibilité de faire irruption sur une ligne Écoute illégale.
occupée pour transmettre un important message à un
autre utilisateur.

Manuel de Préparation CISA 26' édition 433

ISACA. Tous droits .-éservés.
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels e ~:.:.~~:::;"""

Tableau 5.19- Ri~ue~ et caractéristiques du s~ème PllX (sultii)

Auto-réponse Permettre le fonctionnement automatique d'un Obtention de renseignements habituellement non
instrument lorsque celui-ci est appelé, produisant disponibles, pour différents motifs (écoute illégale par
habituellement un avertissement auditif et visuel qui réponse automatique d'un appareil dans la pièce où se
peut facilement être inactivé. déroule la conférence).
Location Limite l'accès au système uniquement aux utilisateurs Utilisation illégale, fraude, écoute illégale.
faisant partie d'un même groupe (utile lorsqu'une
entreprise loue des parties de ses bâtiments à d'autres
entreprises et que les locataires partagent une
réceptionniste, des lignes de jonction, etc.).
Courriel vocal Emmagasiner les messages de manière centralisée et Divulgation ou destruction de tous les messagesd'un
permettre leur récupération à l'aide d'un mot de passe. utilisateur lorsque le mot de passe de cet utilisateur est
connu ou découvert par un intrus, divulguant le système
de courrie! vocal ou même, le commutateur en entier
par des messages volumineux ou des codes intégrés,
accès illégal aux lignes externes.
Libération de la confidentialité Soutenir les extensions partagées entre plusieurs Écoute illégale.
appareils, assurant qu'un seul appareil à la fois puisse
utiliser une extension. La libération de la confidentialité
désactive la sécurité en permettant aux appareils de se
connecter à une extension déjà en utilisation.
Extensions non occupées Permet que des appels à une extension en utilisation Écoute illégale d'une conférence.
soient ajoutés à une conférence lorsque cette extension
est en conférence et décrochée.
Diagnostics Perme!tre de passer outre les procédures de restriction Fraude et utilisation illégale.
des appels. Ce type de diagnostic est partais disponible
à partir de tout appareil connecté. Il s'agit d'un élément
séparé, ajouté au terminal d'entretien habituel ou aux
diagnostiques du préposé.
Appel en attente Lorsqu'activé, il envoie un avertissement auditif Faire participer un individu à une conférence sans son
ou visuel à un instrument décroché qui reçoit un consentement.
autre appel. La conférence avec la partie en attente
représente une autre option offerte par ce système.
Connexions spécifiques Les connexions réalisées dans le PBX sans l'utilisation Écoute illégale sur une ligne.
de l'ordre habituel de composition. Elles peuvent servir
à créer des lignes d'assistance entre les appareils,
notamment lorsque l'autre appareil est décroché. Elles
servent également aux connexions de données entre les
appareils et l'installation centrale de traitement.

Accès à distance
Un accès à distance demande souvent un entretien, mais peut
représenter une vulnérabilité sé1ieuse. Ces caracterist igues
d'entretien sont accessibles par un terminal à distance, à l'aide
d'un modem, d'une console système ou d'un autre appareil ou
à partir d'une ligne à commutation directe. Cela permet aux
systèmes de se localiser dans une importante zone (même dans
l'ensemble du monde) et de posséder un lieu central à pmtir
duquel l'entretien est réalisé. Il est souvent nécessaire pour
le fabricant du commutateur d'avoir un accès à distanC-e au
commutateur pour l'installation des mises à jour logicielles ou
pour redémarrer un commutateur qui a connu une dégradation
de son service. L"utilisation d'un modem de rappel automatique
représente une première précatllion importante, mais n'offre
pas une protection totnle. Lorsque possible, l'accès à distance
doit être fermé, et n'être disponible que lorsque nécessaire ou
lors d'une demande vérifiée provenant de l'organisation qui
réalise l'entretien. Il est facile pour les assai11ants de contacter le
fabricant du commutateur sous prétexte d'un besoin de soutien
pour un type spécifique de commutateur, l'obtention des noms
des membres du personnel d'entretien à distance du fabricant et
puis usurper l'identité de ces membres du personnel pour obtenir
1'accès au commutateur de la victime.
Les mesures qui suivent fournissent des mesures de contrôle pour
réduire les risques :
• Un schéma de rappel automatique;
" Étude minutieuse ct authentification appropriée dei> demandes
d'ouverture du contrôle à distance.
Entretien
L'entretien hors service (El-IS) représente l'une des
caractéristiques les plus communes. Elle pe1mct au personnel
d'entretien de maintenir une ligne hors service lors de l'entretien,
Elle est habituellement utilisée lorsqu'un problème est détecté sur
une ligne ou lorsqu'on souhaite désactiver une ligne. Cependant,
si une ligne fait partie de l'El-IS alors que celui-ci est effectué, le
PBX peut perdre sa communication de signalisation avec l'outil ct
laisser la connexion du canal vocal de l'outil active, mème après
que l'appareil ait été placé en attente. Si la fonctionnalité de !'EHS
travaillait ainsi, la possibilité existerait qu'une personne utilise
l'EHS pour établir une connexion entre microphones directe avec

434 Manuel de Préparation CISA 26• édition

ISACA. Tous droits réservés.
e M
certHied tnfo:matJon
Systems All11itor•
"'"'"""'"''""''""
Chapitre 5 - Protection des Actifs Informationnels
un utilisateur sans son consentement et procède à une écoute
illégale des appels effectuées dans la zone périphérique.
La capacité de connexion de deux lignes afin de transmettre
des données d\mc ligne ù l'autre et vérifier que la réception
des données a été réalisée correctement représente une autre
des fOnctionnalités populaires. Elle permettrait à une personne
possédant un accès d'entretien de connecter l'outil d'un utilisateur
à un outil localisé ailleurs Jans la zone périphérique du téléphone
de l'utilisateur sans que l'utilisateur en ait connaissance.
Également, le PBX soutient certaines camctéristiqucs d'entretien
habituellement accessible pour le propriétaire ou l'opérateur du
PBX pour plusieurs raisons. Ces types d'installations varient
grandement d'un PBX à l'autre; c'est pourquoi une approche
générale ne peut être détaillée afin de les connaître. Voici
quelques actions suggérées pour vérifier l'existence de certaines
fonctionnalités:
• Demander au fabricant ou à l'ciitrcprise d'entretien si de telles
fonctionnalités existent .
.. lCnter d'en apprendre à propos des noms d'utilisateur/des mots
de passe non documentés .
.. '!enter de chercher dans la mémoire non inscriptible
programmable du système (PROM) ou dans les disques des
preuves de l'existence de telles fOnctionnalités.
• Étudier les fichiers de charge du système avec un éditeur
binaire afïn de déterminer s'il révèle les noms des commandes
non documentées parmi une liste de commandes connues qui
peuvent être reconnues dans les binaires.
" Vérifier l'existence de fonctionnalités d'alarme.
• Permettre et revoir les journaux d'utilisation et d'intervention.
Fonctionnalités spéciales du fabricant
Ces types de fOnctionnalités sont plus fàcilement accessibles
au moyen d'un accès non documenté à l'entretien avec un nom
d'utilisateur ct un mot de passé. Certaines des f-Onctionnalités pour
lesquelles aucune documentation n'existe apparaissent ci-dessous:
• Élément de téléchargement/ téléversement de base de
données Cette fonctionnalité permet au fabricant de
téléchal'ger la base de données d'un système qui ne i'èmctionne
pas correctement et de l'étudier d'où il se trouve afin de
détcnnîncr la cm1se du problème. Elle permet également au
fabricant de télévcrser une nouvelle base de données vers
un PBX advenant le cas où la base de données présente
des difficultés trop importantes ct que le système devient
inexploitable. La compromission d'une telle fonctionnalité
pourrait permettre à un assaillant de télécharger la base de
données d'un système, d'introduire un cheval de Troie ou de
modifier la base de données afin qu'il puisse avoir accès aux
fonctionnalités pmticulières. Un assaillant pourrait également
télé verser la base de données modifiée vers le système d'où elle
a été téléchargée.
• Outil d'étude/de modification des données Cet outil permet
au fabricant d'examiner et de modifier à distance une base de
données de système afin de la réparer les dommages entraînés
par une mauvaise configuration, des problèmeR dans la
conception ou l'altération. Il peut également tOurnîr à un intrus
la possibilité de modifier la base de données pour obtenir l'accès
aux fOnctionnalités spéciales.
• Outil de débogage/dc mise à jour des logiciels--- Cet outil
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
offiB au filbricant la po.-;sîbilité de déboguer à distance un
système qui ne fonctionne pas correctement Elle permet
également au fabticant d'effectuer les mises à jour des systèmes
à distance à l'aide de corrections de bogues el de mises à
niveau de logiciels. Un tel outil peut aussi permettre l'accès
à ces possibilités à un assaillant. Il s'agit probablement de la
pire vulnérabilité puisque l'accès au logiciel donnerait un accès
virtuel illimité au PBX et aux outils qui y sont rattachés.
Fonctionnalités de test et de développement du
fabricant
ll peut existe1· des fonctionnalités qui ont été ajoutées au système
lors de la phase de développement et qui n'ont pas été retirées lors
du remplacement des versions de production. Des fOnctionnalités
cachées peuvent également sc retrouver dans le PBX, qui ont
été ajoutées par une personne ayant travaillé au sein de l'équipe
de développement afin de créer une trappe dans les systèmes
du client. Les lùnctionnalités de test sont certainement plus
faciles d'accès afin que le développement sc déroule aisément ct
possèdent certaines restrictions pour réduire le temps de mise au
point
Les attaques pourraient prendre les formes de :
"noms d'utilisateur ou de mots de passe sans appui documentaire;
" entrées de valeurs inhabituelles dans les champs de la base de
données;
• composition de codes d'accès inconnus dans les outils:
• utilisation d'ordres ou d'outils clés.
Les mesures qui fOurnissent des mesures de contrôle pour réduire
le risque incluent :
" f:tablir une puissante authentification pour les techniciens
externes.
" Garder les terminaux d'entretien dans un local verrouillé ct
d'accès restreint.
.. Éteindre les fOnctionnalités d'entretien lorsqu'elles ne sont pas
utilisées, si possible.
Chargement du logiciel et altération des mises à jour
Lorsqu'un logiciel ou toute mise à jour ou correction de
logiciel est d'abord chargé dans un PBX, ce dernier devient
pmticulièrement vulnérable à l'altération du logiciel. Une mise
à jour du logiciel envoyée ù l'administrateur du PBX peut être
interceptée par un assaillant. Elle peut alors être altérée de
manière à pem1cttrc un accès spécifique ou des fonctionnalités
particulières à l'assaillant. La mise à jour modifiée serait par
la suite envoyée à l'administrateur du PBX qui l'installerait ct
assurerait inconsciemment l'accès pour l'assaillant au PBX.
Un contrôle du chargement de logiciel et des mises à jour
représente une modification d'irnpot1ancc (détection d'altération
selon la cryptographie utilisée dans les progiciels). Les codes de
détection d'erreurs habituels, tels que les sommes de contrôle
ou les véri fientions de redondance cyclique, ne suffisent pas à
assurer la détection des incidents d'altération.
Attaques arrét-redémarrage
L'arrêt non planifié d'un système peut indiquer la vulnérabilité
de déni de services (DoS). Le moyen par lequel un système cesse
de fonctionner vmic grandement d'un système à l'autre. La liste
435
Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
suivante présente quelques caractéristiques et conditions qui
peuvent parl-üis déclencher l'arrêt d'un système:
• Le transi"èrt d'appels.
• Le courriel vocal.
• Le retrait physique du Pl3X de maté1iel ou d'un média.
• La rénlisatîon de tâches administratives ou d1entretien à l'aide
du terminal.
• La modification directe du système ou de la base de données.
Cet événemenl peut survenir si le média peut généralement être
lu par les installations existantes dans un ordinateur ou un poste
de travail.
• Les procédures de fc1mcturc normale du système.
Ces approches doivent thire Pobjet de tests afin d'exposer les
faiblesses présentées dans Je reste de cette section. Une dernière
faiblesse possible existe: un arrêt non planifié peut interrompre
le flux de contrôle et laisser le microphone ouveti; un intrus
pourrait alors entendre ce qui se dit après l'arrêt non planifié.
Un danger de plus grande importance consiste toutefOis en le
fait que, dans ceJiains cas, des connexions ct des mots de passe
intégrés font l'objet d'une récupération jusqu'au redémarrage
du système, ce qui rend possible pour un opérateur travaillant à
distance la réalisation du redémarrage ù distance. Cela permet
cependant à l'assaillant d'obtenir les privilèges de l'administrateur
en plantant le système, puis en appliquant une combinaison de
non d'utilisateur et de mot de pnsse pour la connexion.
Les mesures de contrôle pour ces types d 1attaques incluent :
• Les tests de vulnérabilité à l'arrêt-redémarrage et la prévention
ou l'interdiction, si possible, pour la survenue de tels
événements.
• Des procédures de redémarrage qui éliminent la vulnérabilité
issue de la perte de contrôle. Ces procédures peuvent nécessiter
un démarrage à fi·oid (arrêt complet, fèrmeture et redémarrage)
advenant J'arrêt non pl:1nifié d 1Uil système.
• Si les mots de passe intégrés sont découverts, la correction du
module chargeable pour les remplacer. Le personnel autorisé du
fabricant peut obtenir le nouveau mot de passe si nécessaire.
• La mise en place d'un coupe-feu PBX pour améliorer la
protection du PBX. Au cours des dernières années, les coupe-
ièu spécialisés ont été conçus spécifiquement pour les systèmes
PBX.
Mots de passe
La majorité des PBX garantissent l'accès administrative à la
base de données du système par une console système ou un
terminal non générique non-programmable. Les combinaisons
nom d'utihsateur/rnots de passe sont souvent utilisées pour
protéger le système des modifications non souhaitées à la
base de données. Si l'accès à distance aux fonctionnalités
d'entretien est disponible, il est souvent restreint par une fbnnc
de protection avec mot de passe. Il peut exister un unique
compte fixe d'entretien) plusieurs comptes fixes d'entretien ou
des comptes généraux d'entretien définis par les utilisateurs.
La documentation fournie avec le PBX devrait présenter le type
d'accès à l'entretien disponible. Elle doit également décrire Je
fonctionnement des mots de passe. La pe1ie de contrôle et de
confidentialité, l'utilisation illégale et l'altération de la base de
données représentent les principaux dangers issus de la définition
et de l'utilisation des mots de passe.
436
eiSA"*"' certifietlrnto~mation
Systems Auditor"
----+-----
~'",;x'"''""''""
Les mesures de contrôle des mots de passe incluent:
• Des mots de passe résistants au craquage par outils automatisés.
Un créateur de mots de passe qui génère de façon aléatoire des
mots de passe contribue à déjouer les pirates informatiques qui
tentent de craquer un mot de passe.
• Un suivi des droits multi niveaux pour les mots de passe.
• La sélection d'une période d'inactivité appropriée pour les
connexions.
5.5 AUDIT DU CADRE DE GESTION DE lA
SÉCURITÉ DE l'INFORMATION
L'audit du endre de la sécurité de l'infom1ation d'une entreprise
implique l'audit de l'accès logique, de l'utilisation de techniques
pour évaluer la sécurité et l'utihsation de techniques d'enquête.
5.5.1 AUDIT DU CADRE DE GESTION DE lA SÉCURITÉ
DE L'INFORMATION
Le cadre de gestion de la sécUJité de l'information doit être révisé
en fonction des éléments essentiels dans le cadre de la sécurité de
l 1infürmation.
Révision des politiques, procédures et normes écrites
Les politiques ct les procedures fournissent le cadre et les
recommandations pour maintenir le fonctionnement ct le
contrôle approprie. L'auditeur des SI doit réviser les politiques
et les procédures pour déterminer si elles reflètent une sécurité
adéquate et fournissent un moyen d'assigner la responsabilité
dans le maintien d'un environnement de traitement iniàrmatique
sécuritaire. Cet examen des politiques doit également inclure
l'examen de la date de la dernière mise à jour afin de s'assurer
que les documents demeurent à jour ct qu'ils répondent aux
besoins de sécurité de l'information de l'organisation.
Politiques de sécurité de l'accès logique
Ces politiques doivent f.:IVoriser une limitation de l'accès logique
en fonction du principe d'accès sélectif Elles doivent évaluer de
façon raisonnable l'exposition aux problèmes identifiés.
Sensibilisation et formation officielle sur la sécurité
La sécurité etficacc dépendra toujours des gens. Par conséquent,
la sécurité ne sera efficace que si les employés savent ce que
l'on attend d'eux et quelles sont leurs responsabilités. ils doïvent
connaître la raison pour JaqueHe de nombreuses mesures de
sécurité telles que des portes verrouillées et l'utilisation de noms
d'utilisateurs sont en place et les répercussions d'une infraction à
la sécurité.
Promouvoir la sensibilisation à la sécurité est un contrôle
préventif. Grâce à œ processus, les employés prennent
conscience de leurs responsabilités pour maintenir une bonne
sécurité physique et logique. Il peut aussi d'agir d'une mesure
de détection. parce qu'elle encourage les gens à identifier et à
signaler des infractions possibles à la sécurité.
La formation doit commencer avec le processus d'mientation
ou d'initiation du nouvel employé. La sensibilisation continue
peut se faire dans les bulletins d'information de l'entreprise par
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certifted Information
Syslllms Audltor·
"""'"'"""'''"''~'
Chapitre 5 - Protection des Actifs Informationnels
le biais de l'application de dispositions relatives à la sécurité
visibles et constantes ainsi que par le biais de courts rappels
lors des rencontres du personneL L'administrateur de la sécurité
doit diriger le progmmme. Afin de déterminer l"ct-ficacité du
progra1nme, l'auditeur des SI doit rencontrer un échantillon
d'employés pour déterminer leur niveau de sensibilisation
générale.
Droit de détention des données
Le droit de propriété des données fait référence au classement des
éléments de données et à l'attribution de la responsabilité pour
s'assurer qu'elles restent confidentielles, complètes et exactes.
Un point essentiel du droit dt: propriété est qu'en attribuant à des
employés particuliers ln responsabilité de protéger les données
informatiques, on établit l'imputabilité. L'auditeur des SI peut
utiliser cette information pour déterminer si le droit de propriété
approprié a été att1ibué et si le propriétaire des données est
conscient de l'attribution. Caudüeur des SI doit aussi réviser
un échantillon des descriptions d'emploi pour s'assurer que les
responsabilités et les tâches respectent la politique de sécurité de
l'information. Cauditeur doit réviser la classification des données
et évaluer leur pertinence puisqu'elles sont en lien avec l'aspect
vérifié.
Détenteur des données
Les détenteurs des données sont généralement des gestionnaires
et des directeurs responsables de l'utilisation de l'infm111ation
pour le fOnctionnement et le contrôle des activités. Leurs
responsabilités en matière de sécurité incluent d'autoriser l'accès,
de s'assurer que les règles d'accès sont mises à jour lorsque des
changements de personnel surviennent ct de r~viser régulièrement
les règles d'accès pour les données dont ils sont responsables.
Gardiens d'actif informationnel
Les gardiens d'actilïnformationnel son! responsables du stockage
et de la sauvegarde des données, incluant le personnel des SI
comme les analystes de système et les opérateurs informatiques.
Administrateur de la sécurité
Les administrateurs de la sécurité sont responsables de fournir
la sécurité physique et logique adéquate pour les programmes.
les données ct l'équipement des Sl. (La sécurité physique
peut être traitée par quelqu'un d'autre, qui n'est pas toujours
l'administrateur de la sécurité.) Habituellement, la politique
de sécurité de l'information fOurnira les recommandations
essentielles en fonction desquelles l'administrateur de la sécurité
travaille.
Nouveaux utilisateurs des Tl
Les nouveaux utilîsnteurs des Tl (employés ou tierces parties)
et, en général, tous les nouveaux utilisateurs à qui on a attribué
un ordinateur ou d'autres ressources des Tl doivent signer un
document qui contient les obligations de sécurité principales des
TI qu'ils sont désormais obligés de connaître et de respecter. Elles
sont de :
• Lire et accepter de respecter les politiques de sécmité;
• Conserver les noms d'utilisateur et les mots de passe secrets;
• Créer des mots de passe de qualité en respectant la politique;
• Verrouiller leur écran de terminal lorsqu'il ne sett pas:
" Rapporter des ·infi-actions possibles à la sécurité;
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés,
Section deux : Contenu
" Maintenir une bonne sécurité physique en gardant les portes
fCnnées, en sauvegardant les cartes d'accès, en ne divulguant
pas les combinaisons des cadenas des portes d'accès et en
questionnant les personnes qui ne leur sont pas familières;
• Se conformer aux règles et règlementations applicables;
• Utiliser les ressources des Tl seulement à des fins d'affaires
autorisées.
Utilisateurs des données
Les utilisateurs des données, incluant la communauté
d'utilisateurs interne et externe, représentent les vmis
utilisateurs des données infOrmatiques. Leurs niveaux d'accès
dans l'ordinateur doivent être autorisés par les propriétaires
des données et limités et contrôlés par l'administrateur de la
sée mité. Leurs responsabilités en cc qui concerne la sécurité sont
d'êtTe vigilants en ce qui concerne le contrôle de personnes non
autorisées dans les endroits de travail et de se conformer aux
recommandations et aux politiques de sécurité générales.
Autorisations documentées
!_;accès aux données doit Gtre identifié et autmisé par écrit.
Cauditeur des SI peut réviser un échantillon de ces autorisations
pour détem1iner si Je niveau adéquat d'auto1ité écrite a été fourni.
Si l'installation pratique le droit de propriété des données, seuls
les propriétaires des données fournissent l'autorité écrite.
Accès par un ex-employé
La cessation d'un emploi peut survenir dans les conditions
suivantes:
• À la demande de l'employé (départ volontaire du service);
• Planifié (la retraite ou la fin d'un contrat);
• Involontaire (forcé par la direction dans des circonstances
spéciales),
Dans le cas d'une cessation involontaire de l'emploi, les droits
d'accès logiques ct physiques des employés à l'infrastructure des
Tl doivent être soit complètement enlevés ou hautement limités
dès que possible, avant que l'employé ne prenne connaissance
de la cessation ou de la probabilité d'une cessation. Cette façon
de faire pem1et de s'assurer que les employé qui ne sont plus
à l'emploi de l'entreprise ne peuvent plus avoir accès à de
l'information potentiellement confidentielle ou nuisible des
ressources des Tl ou exécuter toute action qui causerait du tort
à 1'infrastructure, aux applications ct aux données des TL Des
procédures semblables doivent être en place pour terminer
l'accès des tierces parties dès la cessation de leurs activités avec
l'entreprise.
Lorsqu'il est nécessaire que les employés continuent d'avoir
accès. de tels accès doivent être contrôlés attentivement et
continuellement et doivent se faire avec la connaissance et
J'autorisation des cadres supérieurs.
Dans le cas d'une cessation d'emploi volontaire ou planifiée, il
revient à ln direction de décider si l'accès est limité ou retiré. Cela
dépend:
• des circonstances spécifiques de chaque cas:
• de la sensibilité de l'accès de l'employé aux ressources et à
l'infrastructure des TI:
• des exigences des politiques, des normes et des procédures de
sécurité de l'information de l'entreprise.
437
Section deux. : Contenu Chapitre 5- Protection des Actifs Informationnels elsa· H
Certilled!nformauon
Systems Audîlot'
'"~"""""'''""""

Sécurité minimale
Un plan de point de dépmt de la .sécurité est conçu pour être
utilisé en tant que première étape de la sécurité des Tl. Le plan de
départ doit être suivi d'une évaluation et d'un plan complets de la
sécurité. Le tableau 5.20 illustre les sujets de base en matière de
sécurité et les recommandations associées.
Le tableau 5.21 dresse une liste de contrôle d'une évaluation
préliminaire de la sécurité.
Normes d'accès
Les normes d'accès doivent être révisées par l'auditeur des SI
pour s'assurer qu'elles respectent les objectif~ organisationnels
de la séparation des tâches, de ln prévention des fraudes ou des
erreurs, et qu'elles respectent les exigences de la politique pour
minimiser les risques d'accès non autolisé.
Les normes pour la sécurité peuvent être définies :
" À un niveau général (p. ex., tous les mots de passe doivent être
d'une longueur minimale de cinq caractères).
• Pour les machines spécifiques (p. ex .. toutes les machines
UNIX peuvent être configurées pour renforcer les changements
de mots de passe).
" Pour des systèmes d'applications spécifiques (p. ex., les commis
au grand livre des ventes peuvent avoir accès aux menus qui
permettent d'entrer les Ü1ctures de ventes, mais ne peuvent
pas avoir accès aux menus qui permettent des véri ficatîons
d'autorisation).
5.5.2 AUDIT DE !:ACCÈS LOGIQUE
Lors de 1'évaluation des contrôles d'accès logiques, 1'auditeur des
SI doit:
.. Obtenir une compréhension générale des risques de sécurité
auxquels fait face le traitement de l'information en passant en
revue la documentation, l'enquête, l'observation, l'évaluation des
risques et les techniques d1évaluation pertinentes.
" Documenter et évaluer les contrôles sur les chemins d'accès
potentiels au système pour évaluer leur pertinence, leur
efficience ct leur efficacité en révisant les caractéristiques de
sécurité approprié du matériel et des logiciels et en identifiant
toute défaillance ou redondance.
• lèster les contrôles sur les chemins d'accès pour déterminer
sïls sont tbnctionnels ct efficaces en appliquant les techniques
d'audit appropriées.
" l~valuer l'environnement de contrôle d'accès pour déterminer si
les objectifs de contrôle sont atteints en analysant les résultats
du test et d'autres preuves d'audit.
" [~val uer Penvironnement de la sécurité pour établir sa pertinence

Tableau 5.20 -llecommandalions de base de la sécuîité des Tl

Sujets
Inventaire
Logiciels malveillants
Mots de passe
Correction de programme
Minimiser les services
offerts par les systèmes
Corriger les vulnérabilités
Sauvegardes
Objectifs
Établir et conserver un inventaire.
Installer un logiciel antivirus avec des
mises à jour automatiques.
Reconnaître l'importance des mots de
passe.
Rendez le tout automatique; moins de
travail nécessaire, moins de chance de
compromission.
Éliminer les services non nécessaires,
ce qui réduit les risques en matière de
sécurité et fait gagner du temps à long
terme.
Éliminer beaucoup de vulnérabilités avec
une bonne administration du système.
Permettre une récupération simple lors
d'erreurs causées par des utilisateurs
et des pannes de matériel avec des
sauvegardes.
Recommandations
On s'attend à ce que les utilisateurs suivent les normes pour gérer les
ordinateurs branchés au réseau et possèdent des adresses réseaux
enregistrées. Le système d'exploitation et le propriétaire doivent être inclus,
tout comme les données fournies.
Le logiciel antivirus qui possède une traduction dynamique d'adresse doit
être mis à jour à des intervalles réguliers; au minimum une fois par semaine.
Les utilisateurs doivent utiliser des mots de passe efficaces. Le département
des Tl doit fournir des recommandations pour les mots de passe. Les
comptes départementaux sont créés pour les groupes de travail pour
prévenir/éviter le partage de mots de passe.
Chaque machine doit être configurée pour corriger automatiquement le
programme du système d'exploitation et du logiciel de base. Il faut établir un
processus qui convient au département et qui minimise tes dérangements
à des moments inopportuns. Les postes de travail doivent être davantage
automatisés pour permettre aux administrateurs de système de donner
aux serveurs l'attention nécessaire pour minimiser l'impact sur tes services
offerts.
Afin d'améliorer la sécurité de base et de minimiser l'effort pour entretenir
les systèmes, les postes de travail doivent seulement offrir les services
nécessaires. Plusieurs systèmes d'exploitation sont installés avec des
services en marche. En enlevant ces services, les chances qu'un poste
de travail soit compromis sont réduites et les risques de sécurité sont
minimisés.
Les compromissions du syslème peuvent gruger du temps et endommager
la crédibilité et l'intégrité des affaires. Cinforrnation qui provient de balayages
à la grandeur de l'entreprise aide à identifier les vulnérabilités sur chaque
système et à fournir une ligne de base pour la comparaison lorsque l'intégrité
du système est remise en queslion.
Les sauvegardes doivent être faites hors du site pour une sécurité accrue.

438 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e ~~::,~;:::.'""' Chapitre 5 - Protection des Actifs Informationnels Section deux : Contenu

en révisant les politiques écrites, en observant les pratiques ct
les procédures et en les compm-ant avec les normes de sécurité
appropriées oules pratiques et les procédures utilisées pJr
d'autres entreprises.
Familiarisation avec l'environnement des Tl
Il s'agit de la première étape de l'audit et elle implique une
compréhension claire de l'environnement technique, de la gestion
et de la sécurité de l'installation de traitement des SI. Cela
comprend normalement des entretiens, des révisions physiques
structurées, des révisions de documents et des évaluations de
nsques.
Évaluation et documentation des chemins d'accès
Le chemin d'accès représente la route logique qu'un utilisateur
final emprunte pour avoir accès à de l'information informatisée.
Cela commence avec un terminal/poste de travail et termine
normalement lorsque les données sont analysées. En cours
de chemin, de nombreuses composantes d'équipement et de
logiciel sont rencontrées. L?auditeur des SI doit évaluer chaque
composante pour une bonne implantation ct une sécurité d'accès
physique ct logique.
Une attention particulière doit être prêtée à:
• l'origine et la validation des données
• la validité ct la justesse des données entrées
• l'entretien des systèmes d'exploitation concernés (correctifs,
renforcement et fermeture des ports ouverts inutilement)
La séquence normale des composantes est la suivante :
• Un ordinateur personnel, qui fait partie d'un réseau local, est
utilisé par un utilisateur pour ouvrir une session. !.~ordinateur
personnel doit être sécurisé physiquement et Je no rn
d'utilisateur/mot de passe utilisé pour ouvlir 1<1 session doit être
stüet aux restrictions identifiées précédemment
- Le système d'exploitation de l'ordinateur personnel doit
cornpmter les correctifs suggérés par son fournisseur, et la
défense contre les logiciels malveillants doit également être
à jour. Les versions désuètes du système d'exploitation et
de la défense contre les logiciels malveillants peuvent être
exploitées par des agresseurs. Le système d'exploitation
de l'ordinateur personnel doit êtTe renforcé en supprimant
les services superflus (p. ex., ceux associés aux appels de
procédure à distance, à l'envoi de messages ou à la gestion de
réseau) et les routines de bibliothèque. Les paramètres de mise
en place et la configuration du système d'exploitation doivent
aussi être examinés. Les ports inutilisés doivent être fermés.
• Un ou plusieurs serveurs à partir duquel ou desquels les
applications à utiliser sont appelées. Le système d'exploitation
des serveurs doit comporter les concctifs suggérés pnr son
fournisseur, et la défense contre les logiciels malveillants
doit également être à jour. Les versions désuètes du système
d'exploitation et de la défense contre les logiciels malveillants
peuvent être exploitées par des agresseurs. Le système
d'exploitation du serveur doit être renforcé en supprimant les
services superflus (p. ex., ceux associés aux appels de procédure
à distance, à l'envoi de messages ou à la gestion de réseau) et
les routines de bibliothèque. Les paramètres de mise en place
et la configuration du système d'exploitation doivent aussi être
examinés. Les ports inutilisés doivent être fermés.
• Le logiciel de télécommunications (un serveur LAN ou un
simulateur du terminal si on se connecte à un ordinateur
cen1Tal) intercepte le nom d'utilisateur pour le diriger à la
liaison de télécommunication appropriée. Le logiciel de
télécommunication peut limiter les ordinateurs personnels à des
données spécifiques ou à un logiciel d'application. Un problème
d'audit essentiel concernant le logiciel de télécommunication est
qu'il faut s'assurer que toutes les applications ont été définies à
l'intérieur du logiciel et que les nombreux contrôles optionnels
des télécommunications et les caracté1istiqucs de traitement

Tableau 5,21 -Liste d'évaluation préliminaire de la sél:urité

Sujets Questions d'évaluation
Environnement 1 • Quels types de données sont maintenus par l'entreprise (p. ex., financières, statistiques, graphiques)?
inventaîre • Dans quel format sont-elles maintenues (p. ex., tables, bases de données, etc.)?
• Est-ce que l'on retrouve de l'information essentielle ou confidentielle maintenue ou manipulée? Si oui, comment est-elle
protégée?
• Est-ce que l'on retrouve des exigences spécifiques pour manipuler les données (exigences légales ou réglementaires)?
• Avez-vous identifié les machines qui stockent ou qui nécessitent !'accès aux informations confidentielles?
• Quelle sorte de système d'exploitation y a-t-il?
• Combien de sous-réseaux y a-t-il?
• Combien de postes de travail/serveurs y a-t-il?
• Dans combien d'emplacements retrouve-t-on l'infrastructure des Tl?
• Est-ce que l'infrastructure sans fil a été déployée? Comment est-elle sécurisée?
• Est-ce que le personnel est informé de la manière de verrouiller les postes de travail lorsqu'il s'absente?
• Est-ce que les utilisateurs sont conscients du fait que les pièces jointes inattendues à un courriel ne doivent pas être
ouvertes?
• Est-ce que le personnel est conscient que beaucoup de compromissions sont causées par l'ingénierie sociale et le
partage d'information?
• Est-ce que l'entreprise possède un diagramme du réseau qui comprend les adresses IP,Ies numéros de salles et les
parties responsables?
• Est-ce que l'entreprise a limité et sécurisé l'accès physique et distant aux services réseau?
• Est-ce que le matériel de l'entreprise est mis à jour à des intervalles réguliers?
• Est-ce que l'entreprise possède un inventaire actuel documenté du matériel et des logiciels?
• Est-ce que tous les logiciels d'entreprise possèdent une licence?
• Est-ce que la documentation sur le permis est disponible (permis, bons d'achat) si l'audit d'un logiciel est exigé?

Manuel de Préparation CISA 26' édition 439

ISACA. Tous droits réservés.
Section deux : Contenu
Antivirus
Mots de passe
Correction de programme
Minimiser les services
offerts par les systèmes
Aborder les vulnérabilités/
audit
Sauvegarde et reprise/
continuité des affaires
Personnel des Tl
440
Chapitre 5- Protection des Actifs Informationnels elsa· CertifJedlnto~lion
H. Systems Audtlof'
"''"""'.''"'""'"'
Tableau 5.21 -Liste d'évaluatiôn préliminaire de la sécurilê ~
• Est-ce que l'entreprise possède une politique antivirus?
• Est-ce que tous les postes de travail font fonctionner le logiciel antivirus à jour, l'engin de balayage et le fichier de
signature de virus?
• Est-ce que les fichiers de traduction dynamique d'adresse sont téléchargés automatiquement ou manuellement? Si
manuellement, à quelle fréquence et pourquoi?
• Est-ce que le personnel sait qui contacter lorsqu'il trouve un virus?
• Est-ce qu'il existe une politique d'entreprise qui exige des mots de passe efficaces?
• Est-ce que l'entreprise utilise un logiciel qui applique les mots de passe efficaces?
• Est-ce que l'antémémoire de mot de passe est désactivée sur tous les postes de travail?
• Est-ce que les mots de passe sont changés? Si oui, à quelle fréquence?
• Est-ce que les employés sont conscients que les mots de passe et les comptes ne doivent pas être partagés?
• Est-ce que l'administrateur de la sécurité possède l'autorisation de chercher et de trouver des mots de passe faibles?
• Est-ce que les corrections de programme des logiciels sont appliquées à tous les systèmes d'exploitation
automatiquement dès que possible? Si manuellement, à quelle fréquence?
• Est-ce que les corrections sont appliquées aux navigateurs Web et aux applications? Si oui, à quelle fréquence?
• Est-ce que vous sauvegardez chaque machine avant d'appliquer une correction?
• Est-ce que vous testez les corrections avant de les installer?
• Est-ce que la division possède un processus documenté pour la correction de programme?
• Est-ce que vous êtes inscrit à suffisamment de bulletins d'information et de groupes pour être au courant des corrections
pour tout le matériel ou les logiciels pertinents?
• Est-ce que les corrections de programme des logiciels sont appliquées à tous les systèmes d'exploitation
automatiquement dès que possible? Si manuellement, à quelle fréquence?
• Est-ce que les corrections sont appliquées aux navigateurs Web et aux applications? Si oui, à quelle fréquence?
• Est-ce que vous sauvegardez chaque machine avant d'appliquer une correction?
• Est-ce que vous testez les corrections avant de les installer?
• Est-ce que la division possède un processus documenté pour la correction de programme?
• Est-ce que vous êtes inscrit à suffisamment de bulletins d'information et de groupes pour être au courant des corrections
pour tout le matériel ou les logiciels pertinents?
• Avez-vous résolu les vulnérabilités trouvées par les balayages à la grandeur de l'entreprise?
• Qui est le contact pour les balayages de vulnérabilité?
• Est-ce que le personnel des Tl effectue un balayage indépendant des vulnérabil'ltés pour l'entreprise?
• Est-ce que l'entreprise a déployé toute forme de coupe-feu ou de SDI (hôte ou basé sur le réseau)? Envisage-t-elle de le
faire?
• Est-ce que les fichiers sont sauvegardés régulièrement?
• Est-ce que les fichiers sont conservés sur le site dans un emplacement sécuritaire?
• Est-ce que les fichiers de sauvegarde sont envoyés hors site pour être dans un emplacement physiquement sécuritaire?
• Est-ce que les ficlliers de sauvegarde sont rétablis périodiquement pour vérifier s'ils représentent une alternative viable?
• Pouvez-vous vous assurer que toutes les formes de médias qui contiennent de l'information confidentielle et sensible sont
nettoyées avant d'être éliminées?
• Est-ce que l'on retrouve de l'équipement redondant pour permettre au travail de continuer dans l'éventualité d'une seule
panne de l'équipement?
• Est-ce que l'entreprise possède l'habileté de continuer à fonctionner si les services centraux ne sont pas disponibles?
• Est-ce que l'entreprise possède l'habileté de continuer à fonctionner dans l'éventualité d'une panne du réseau WAN?
• Avez-vous répondu à tout problème/incident d'abus et avez-vous corrigé ces problèmes ou incidents?
• Combien d'employés des Tl sont engagés à temps plein/temps partiel?
• Est-ce que chaque membre du personnel des Tl possède sa description de tâche actuelle?
• Est-ce que les descriptions des tâches et les évaluations incluent les tâches de sécurité des Tl?
• Est-ce que le département possède suffisamment de documentation pour faciliter la transition du personnel entranl/
sortant?
• Est-ce que l'entreprise possède une politique de confidentialité?
• Est-ce que tout le personnel est conscient des considérations concernant la confidentialité?
• Est-ce que les utilisateurs de la direction/du département sont conscients des types (privée/non publique) d'information
disponible pour les administrateurs de systèmes?
• Est-ce que l'entreprise possède une politique de confidentialité pour traiter cette information privilégiée (accord de
confidentialité/accord de non-divulgation)?
• Est-ce que l'entreprise possède un coupe-feu ou un SDI ou un autre logiciel pour le diagnostic du réseau? Est-ce que
l'entreprise possède les outils qui exigent des privilèges et l'accès aux infonmations confidentielles?
Manuel de Préparation CISA 26" édition
ISACA. Tous droîts réservés.
e . GertifiCd Information
...._ Systems Auditor"
'"'"'<Jet"'"""'"'
Chapitre 5 - Protection des Actifs Informationnels
utilisées sont adéquates et approuvées par la direction. Cette
analyse exige normalement l'assistance d'un analyste de logiciel
d'exploitation.
• Le logiciel de traitement des transactions peut être la
prochaine composante dans Je chemin d'accès. Ce logiciel
dirige les tnmsactions au logiciel d'application approprié.
Les problèmes d'audit essentiels incluent d'assurer la bonne
identifïcation/authentification de l'utilisateur (nom d'utilisateur
et mot de passe) ct l'autorisation de Jlutilisatcur pour obtenir
l'accès à l'application. Cette analyse est effectuée en révisant les
tables internes qui se trouvent dans le logiciel de traitement de
transaction ou dans un logiciel de sécurité séparé. L'accès à ces
derniers doit être limité aux administrateurs de la sécurité.
• Le logiciel d'application est ensuite rencontré ct doit traiter
les transactions en lien avec la logique du programme. Les
problèmes d'audit limitent l'accès à la bibliothèque de logiciel
de production au coordinateur de l'implantation uniquement.
• Le SGBD dirige l'accès à l'information informatisée. Les
problèmes d'audit incluent qu'il faut s'assurer que tous les
éléments de données sont définis dans le dictionnaire de
données, que l'accès au dictionnaire de données est limité à
l'administrateur de la base de données et que tous les éléments
de données sont sujets à un contrôle d'acct.'":s logique. Il est
maintenant possible d'accéder aux données d'application.
• Le logiciel de contrôle d'accès peut envelopper la
sécurité d'accès logique autour de toutes les composantes
susmentionnées. Cela se fait par des tables de sécurité internes.
Les problèmes d'audit incluent le fait qu'il faut s'assurer que
toutes les composantes susmentionnées soient définies pour le
logiciel de contrôle d'accès, fournissant des règles d'accès qui
définissent qui peut avoir accès selon le principe d'accès sélectif
ct de limiter l'accès ù la table de sécurité à l'administrateur de la
qualité.
Remarque: Le développement. des systèmes d'application
doit étre discipliné. ~.!auditeur doit évaluer les objectifs de
cont.rôle en se référant à l'origine et à l'autorisation des données
d'application, ainsi qu'évaluer les mesures de contrôle pour
J'entrée et 1e traitement des données. Ne pa-; tenir compte de ces
objectifs et mesures de contrôle rend les applications vulnérables
aux attaques inlemes et externes, en pmiiculier à partir d'Internet.
Les coupe-feu ne protège.lll pas les applications contre les
genres d'attaques possibles à cause des communications HTTP
généralement permises dans c.es applications.
Entrevues avec le personnel des systèmes
Pour contrôler et maintenir les nombreuses composantes du
chemin d"accès, tout comme Je système d'exploitation et
l'ordinateur central, des experts techniques sont souvent exigés.
Ces gens peuvent constituer une véritable mine d'information
pour l'auditeur des SI lorsqu'il tente de comprendre la sécurité.
Afin de détcnniner qui sont ces personnes, l'auditeur des SI
doit rencontrer le gestionnaire des SI ct réviser les diagrammes
organisationnels et les descriptions de tâches. Les gens essentiels
incluent 1'administmteur de la sécwité, le gestionnaire de contrôle
du réseau et le gestionnaire du logiciel d'exploitation.
Il faut demander à l'administrateur de la sécurité d'identifier les
responsabilités et les fonctions du poste. Si les réponses fOurnies
à cette question ne sont pas représentatives des pratiques de
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réserves.
Section deux : Contenu
contrôle raisonnables ou n'adhèrent pas à la description écrite des
tâches, l'auditeur des SI doit compenser en élargissant l'étendue
des tests de contrôle d'accès. De plus. l'auditeur des SI doit
déterminer si l'administrateur de la sécurité est conscient des
accès logiques qui doivent être protégés, possède la motivation et
les moyens pour contrôler activement les ouvertures de session au
compte pour les changements d'employé, et est conscient de la
manière de maintenir ct de contrôler l'accès.
Il faut rencontrer un échantillon d'utilisateurs finaux pour évaluer
leur sensibilisation aux politiques de !n direction en cc qui
concerne la sécurité logique et la confidentialité.
Révision des rapports à partir du logiciel de contrôle
d'accès
Les f-Onctions de rapport du logiciel de contrôle d'accès
fournissent à l'administrateur de la sécurité la chance de contrôler
la confOrmité aux politiques de sécurité. En révisant un exemple
de rapports de sécurité, l'auditeur des Sl peut déterminer s'il y
a assez d'infOrmations fournies pour soutenir une enquête ct si
l'administrateur de la sécurité exécute une révision efficace du
rapport.
Les tentatives infructueuses d'accès doivent être rapportées et
doivent mentionner l'heure, le terminal, le nom d'utilisateur et les
fichiers ou éléments de données pour lesquels l'accès a été tenté.
Révision du manuel d'opérations du système
d'application
Un manuel du système d'application doit contenir de la
documentation sur les programmes qui sont généralement
utilisés dans toute l'installation du traitement des données pour
soutenir le développement, l'implantation, les opérations et
l'utilisation de systèmes d"application. Ce manuel doit inclure de
l'information concernant la p!ateforme sur laquelle l'application
peut fonctionner, les SGBD, les compilateurs, les interprètes,
les moniteurs de télécommunication et d'autres applications qui
peuvent fonctionner avec l'application.
5.5.3 TECHNIQUES POUR TESTER LA SÉCURITÉ
Les auditeurs peuvent utiliser différentes techniques pour tester
la sécurité. Quelques-unes de ces méthodes sont décJites dans les
sous-sections suivantes.
Cartes d'accès au terminal et clés
L'auditeur des SI peut prendre un échantillon de ces cartes ou
clés ct tenter d'accès à plus d'infOrmation que ce qui est autorisé.
De plus, 1'auditeur des SI voudra savoir si l'administrateur de la
sécurité a f.:1it un suivi des tentatives d'infraction infructueuses.
Identification du terminal
L'auditeur des SI peut travailler avec le gestionnaire du réseau
pour obtenir une liste des adresses et des emplacements du
terminal. La liste peut ensuite être utilisée pour faire l'inventaire
du terminal, en cherchant des terminaux manquants ou
supplémentaires ou qui ont été mal ouverts. L'auditeur des SI
doit aussi sélectionner un échantillon de terminaux pour s'assurer
qu'ils sont identifiés dans le diagramme du réseau.
441
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
Codes d'utilisateur et mots de passe
Pour tester la confidentialité, l'auditeur des SI peut tenter de
deviner le mot de passe d'un échantillon des noms d'utilisateur
des employés (même si cela ne représente pas nécessairement
un test). Cela peut être fa il discrètement pour éviter de mettre les
employés en colère. t:auditcur des SI doit faire le tour des lieux
de travail de l'utilisateur final ct du programmeur Cil cherchant
des mots de passe inscrits ù côté du terminal, à l'intérieur des
tiroirs des bureaux ou situés dans des fichiers cartes. Une autre
source d'information confidentielle est la corbeille à papier.
L'auditeur des SI doit considérer de vérifier la corbeille à papier
du bureau en cherchant des informations confidentielles et des
mots de passe. Les utilisateurs pourraient sc faire demander
de donner leur mot de passe à l'auditeur des SI. Cependant, à
moins qu'il ne soit spécifiquement autorisé pour une situation
particulière et soutenu par la politique de sécurité, aucun
utilisateur ne devrait jamais divulguer son mot de passe. Un autre
moyen de tester J'efficacité du mot de passe est d'analyser les
paramètres de la configuration générale concernanl J'ellicacité
du mot de passe dans le système d'application et de les comparer
avec la politique de sécurité de l'entreprise.
A fin de tester le chiffi-ement, 1'auditeur des SI doit travailler avec
l'administrateur de la sécurité pour tenter de visionner la table du
mot de passe interne. Si le visionnement est possible, les contenus
doivent être illisibles. Être capable de visionner des mots de passe
chifll·ës peut demeurer dangereux. Bien que les mots de passe de
certains systèmes soient impossibles à déchiflier, si une personne
met la main sur Je programme de chiffi·ement, elle pourra chiffrer
des mots de passe counmts et chercher des correspondances. Il
s'agissait de la méthode utilisée pour entrer dans des ordinateurs
UNIX avant le développement des fichiers de mot de passe
fictif.'>. Les journaux d'application doivent aussi être révisés pour
s'assurer que les mots de passe et les noms d'utilisateurs ne sont
pas enregistrés dans une fom1c claire.
Afin de tester 1'autorisation d'accès, J'auditeur des SI doit
réviser un exemple de documents d'autorisation d'accès pour
déterminer si l'autorisation adéquate a été foumic ct si elle a été
atlribuée en Jbnction du principe d'accès sélectif. inversement,
l'auditeur des SI doit obtenir un rapport informatique des règles
d'accès informatique, prendre un échantillon pour déterminer
si l'accès est en fonction du principe d'accès sélectif ct tenter
de faire correspondre l'échantillon de ces règles aux documents
d'autorisation. Si aucune autorisation écrite n'est trouvée, cela
indique une perte de contrôle et peut engendrer une révision plus
approfondie pour déterminer les expositions ct les implications.
Les réglages de compte pour minimiser les accès non aut01isés
doivent être disponibles pour la plupmt des logiciels d'accès
de contrôle ou à partir du système d'exploitation. Pour vérifier
que ces réglages fonctionnent vraiment, l'auditeur des SI peut
exécuter les tests manuels suivants :
• Pour tester les exigences concernant les changement'>
péiiodiques, l'auditeur des SI peut se servir de son expérience en
utilisant le système et en rencontrant un échantillon d'utilisateurs
pour déterminer s'ils sont tèlrcés à changer leur mot de passe
après rintervallc de temps prescrit.
• Pour tester la désactivation ou la suppression des noms
d'utilisateur et des mots de passe inactifs, J'auditeur des Sf doit
obtenir une liste générée par l'ordinateur des noms d'utilisateur
442
eiSA.
"" H
Certif!Cdlnformation
Systems AuditOC"
~'""""''""'''""'""
actifs. En se basant sur un échantillon, l'auditeur des SI doit
faire correspondre cette liste aux employés actuels en cherchant
des noms d'utilisateur assignés aux employés ou aux consultants
qui ne sont plus à l'emploi de l'cntrepri~e.
• Afin de tester la syntaxe de mot de pnsse, l'auditeur des SI doit
tenter de créer des mots de passe dans un t-brmat invalide (trop
long, répétition de mots de passe précédents, combinaisons
incorrectes de caractères alphas ou numériques ou utilisation de
caractères inappropriés).
• Pour vérifier les fermetures de session automatiques des
terminaux sans surveillance, l'auditeur des SI doit ouvrir une
session sur un nombre de terminaux. L'auditeur des SI attend
alors simplement que les terminaux se déconnectent dans
le délai déterminé. Avant de commencer ce test, l'auditeur
des SI doit vé1ifier avec J'administrateur de la sécurité que
les caractéristiques automatiques de fermeture de session
s'appliquent à tous les terminaux.
• Afin de tcslcr la désactivation automatique des terminaux après
des tentatives d'accès infructueuses, l'auditeur des SI doit tenter
d'ouvrir une session, tout en saisissant intentionnellement un mot
de passe invalide un certain nombre- de fOis. Le nom d'utilisateur
doit se désactiver après que le nombre établi de mots de passe
invalides a été entré. Cauditeur des SI s'intéressera à la manière
utilisée par J'administrateur de la sécwité pour réactiver le nom
d'utilisateur. Si un simple appel téléphonique à l'administrnteur
de la sécurité entraîne la réactivation sans aucune vérification
des résu11ats d'identification. cette fOnction n'est alors pas
contrôlée adéquatement.
• Pour tester le masquage des mots de passe sur les terminaux,
l'auditeur des Si doit ouvrir une session sur Je terminal ct
observer si le mot de passe est affiché lorsqu'il le saisit.
Contrôles sur les ressources de production
Les contrôles d'accès informatiques doivent s'étendre au-delà
des données d'application et des transactions. On retrouve
de nombreux utilitaires de haut niveau, des bibliothèques de
contrôle d'emploi ou macro, des bibliothèques de contrôle
et des paramètres du logiciel d'exploitation pour lesquels le
contrôle d'accès doit être particulièrement ferme. Caccès à ces
bibliothèques fournirait lrhabilité de contourner dr autres contrôles
d'accès.
L'auditeur des Sl doit travailler avec l'analyste du logiciel
d'exploitation et le gestionnaire des opérations pour déterminer
si l'accès repose sur le principe de 1'accès sélectif pour toutes
les ressources de production sensibles. En travaillant avec
1'administrateur de la sécHrité, l'auditeur des SI doit déterminer
qui peut avoir accès à ces ressources et ce qui peut être réalisé
avec cet accès.
Journaliser et rapporter des Infractions d'accès
informatique
Pour tester les rapports d'infractions d'accès, l'auditeur des
SI doit tenter d'accéder aux transactions infonnatiques ou aux
données pour lesquelles l'accès n'est pas autorisé. Les tentatives
doivent être infructueuses et identifiées dans les rapports de
sécmit~. Ce test doit être coordonné avec Je propriétaire des
données et 1'administTateur de la sécurité pour éviter une
infraction aux réglementations de la sécurité.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservês.
e . H
Certified• Information
Systems Audilor"
;:;~-
Chapitre 5 - Protection des Actifs Informationnels
Suivi des infractions d'accès
Pour tester l'eJTicacité et la rapidité de réponse de l'administrateur
de la sécurité ct du prop1iétaire des données nux tentatives
d'infraction rapportées, l'auditeur des SI doit choisir un
échantillon des rappmis de sécurité et chercher des preuves d'un
suivi ct d'une enquête des infractions d'accès. Si une telle preuve
ne peut être trouvée, l'auditeur des SI doit mener plus d'entretiens
pour déterminer pourquoi cette situation existe.
Contourner les contrôles de sécurité et correctifs
Il s'agit d'un volet technique de la révision. Par conséquent,
l'auditeur des Sl doit travailler avec l'analyste du logiciel
d'exploitation, le gestionnaire réseau, le gestionnaire des
opérations et 1'administrateur de la sécurité pour déterminer les
manières de contourner la séclllité. Cela comprend normalement
contourner le traitement des étiquettes. les noms d'utilisateur
spéciaux de l'entretien du système. les sorties du système
d'exploitation, les utilitaires d'installation ainsi que les appareils
entrée/sortie (E/S). En travaillant avec l'administrateur de la
sécurité, l'auditeur des SI doit déterminer qui peut avoir accès à
ces ressources et ce qui peut être réalisé avec cet accès. [auditeur
des SI doit déterminer si l'accès est basé sur le principe d'accès
sélectif ou si des contrôles de détection correctifS existent.
Il doit y avoir des restrictions et des procédures pour contrôler
l'accès aux caractélio;;tiques informatiques qui contournent la
sécurité. Généralement, seuls les programmeurs de logiciel
d'exploitation doivent avoir accès à ces caractéristiques:
• Invalidation d'étiquetage-- !~invalidation d'étiquetage
contourne la lecture informatique de l'étiquette du fichier.
Puisque la plupart des règles de contrôle d'accès sont basées
sur des noms de fichiers (étiquettes), cette façon de faire peut
contourner les programmes de contrôles d'accès.
• Sorties des systèmes -- Cette caractéristique du logiciel de
base permet à l'utilisateur d'effectuer un entretien du système
complexe, qui peut être adapté à un environnement ou à une
entreprise spécifique. Ils existent souvent hors du système de
sécurité informatique et ne sont donc pas limités ou rapportés
dans leur utilisation.
• Compt·es génériques- Ces noms d'utilisateurs sont souvent
attlibués par les fournisseurs. Les noms peuvent se deviner
facilement car ils sont les mêmes pour tous les systèmes
informatiques semblables (p. ex.,<< système~>). Les mots de
passe doivent être changés immédiatement après l'installation
afin de sécuriser les systèmes.
Puisque plusieurs de ces caractéristiques de contournement de
la sécurité peuvent être exploitées par des intrus techniquement
sophistiqués, l'auditeur des SI doit s'assurer que:
• Toutes les utilisations de ces caractéristiques sontjoumalisées,
rapport0es ct investi guées par l'administrateur de la sécurit0 ou le
gestionnaire du logiciel d'exploitation.
• Les caractéristiques de contournement de la sécurité non
nécessaires sont désactivées.
• Si possible, les caractéristiques de contournement de la sécurité
sont sujettes à des contrôles d'accès logiques supplémentaires.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Section deux : Contenu
Révision des contrôles d'accès et administration du
mot de passe
Les contrôles d'accès ct la gestion du mot de passe sont révisés
pour déterminer que :
.. Des procédures pour <tiouter des personnes à la liste de celles
autorisées à avoir accès aux ressources informatiques existent,
pour modifier leurs capacités d'accès ct les supprimer de la liste.
.. Des procédures existent pour s'assurer que des mots de passe
individuels ne sonl pas divulgués par inadvertance.
.. Les mots de passe émis sont d'une longueur appropriée, ils ne
peuvent pas être devinés facilement et ils ne contiennent pas les
mêmes caractères.
• Les mots de passe sont changés périodiquement.
• l,es organisations d'utilisateurs valident périodiquement les
capacités d'accès actuellement iOumies aux personnes dans leur
département.
• Des procédures fournissent la suspension des codes
d'identification de l'utilisateur (noms d'utilisateurs ou comptes)
ou 1'arrêt du terminal, du microordinateur ou de l'activité de
J'appareil d'entrée de données à la suite d'un nombre particulier
d'infractions à la procédure de sécurité.
5.5.4 TECHNIQUES D'ENQUÊTE
Les techniques d'enquête incluent, entre autres, l'enquête d'un
crime informatique et la protection de la preuve et de la chaîne de
garde entre autres.
Enquête d'un crime informatique
Les crimes informatiques ne sont pas rapportés dans la plupart
des cas parce qu'ils n'ont pas été détectés. Dans beaucoup de cas,
lorsque les crimes infOrmatiques sont détectés, les entreprises
hésitent il les rapporter puisqu'ils génèrent une grande quantitê de
publicité négative, ce qui peut avoir des conséquences négatives
sur leurs activités. Dans de tels cas, la direction de l'entreprise
touchée cherche simplement à corriger la vulnérabilité exploitée
pour Je crime et à reprendre ses activités. De plus, dans beaucoup
de pays, les lois actuelles sont ciblées pour la protection de la
propriété physique. Il s'avère très diflicile d'utiliser de telles lois
contre des crimes infOrmatiques. Même dans des juridictions où
les lois ont été mises à jour, les procédures d'enquête ne sont pas
toujours largement connues et les outils nécessaires matériels et
logiciels ne sont pas toujours disponibles pour rassembler des
preuves numériques.
À la suite d'un crime infOrmatique, il est primordial que les
procédures appropriées soient utilisées pour recueillir des
preuves de la scène de crime. Si les données et les preuves ne
sont pas recueillies de la bonne manière, cela pourrait causer
des dommages et, même si l'intrus est éventuellement identifié,
la poursuite tombera à cause de l'absence de preuves non
endommagées. Par conséquent, à la suite d'un crime inibrmatique,
l'environnement ct la preuve doivent demeurer intacts et les
officiers spécialistes de la l'Oree de J'ordre doivent être appelés.
Si l'incident doit être traité à l'intérieur de l'entreprise, celle-ci
doit posséder une ëquipe de réponse aux incidents qualifiée,
expérimentée et compétente.
Expertise judiciaire en Informatique
L'expertise judiciaire en informatique sc définit comme le
<<processus d'identifier. de conserver~ d'analyser et de présenter
443
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
des preuves numériques d'une manière légalement acceptable
d:ms toute procédure légale (c.~à~d. une cour de justice)» selon
D. Rodney McKemmish dans ComputN and Intrusion r:orensics.
On peut exiger d'un auditeur des SI ou lui demander de participer
à une analyse d'expertise judiciaire en cours pour foumir une
opinion d'expe1i ou pour s'assurer de 1'interprétation correcte de
l'infOrmation recueillie.
Lexpcrtise judiciaire en informatique comprend toutes les
activités qui impliquent l'exploration et l'application des
méthodes pour rassembler, traiter. interpréter et utiliser la preuve
numérique qui aide à corroborer si un incident est survenu, par
exemple:
• Valider qu'une attaque est vraiment survenue.
• Rassembler des preuves numériques qui peuvent être utilisées
plus tard dans les procédures judiciaires.
N'importe quel document ou donnée électronique peut être
utilisé comme preuve numérique, à condition qu'il y ait
suffisamment de preuve manuelle ou électronique pour prouver
que les contenus de la preuve numérique sont dans leur état
original ct n'ont pas été touchés ou modifiés lors du processus du
rassemblement et de l'analyse.
Il est primordial de préserver une preuve dans toute situation.
La plupart des entreprises ne sont pas bien équipées pour
s'occuper des intrusions et des crimes électroniques d'un point
de vue opérationnel et procédural, et ils y répondent seulement
lorsque l'intrusion s'est produite et que le risque est réalisé. La
preuve perd son intégrité et sa valeur dans les procédures lëgales
si elle n'a pas été conservée et est sujette à la chaîne de garde
documentée. Cela se produit lorsque l'incident est mal géré ct
répondu d'une manière ad hoc.
Pour que la preuve soit admissible dans une cour de loi, la
chaîne de garde doit être maintenue professionnellement.
Essentiellement, la chaîne de preuve contient des informations en
ce qui concerne :
• Qui a eu accès à la preuve (d'une manière chronologique).
• Les procédures suivies lors du travaîl avec la preuve (p. ex., la
reproduction de disques, le vidage de la mémoire virtuelle).
• La preuve que l'analyse est basée sur les copies qui sont
identiques à la preuve originale (p. ex .. de la documentation, des
sommes de contrôle, des timbres de temps).
Il est important d'utiliser de bonnes pratiques spét:ifiques à
l'industrie, des outils prouvés et la diligence raisonnable pour
s'assurer de la qualité de la preuve.
Il s'avère aussi important de démontrer l'intégrité ct la fiabilité
de la preuve pour qu'elle soit acceptable aux autorités de la fore-e
de l'ordre. Par exemple, si l'auditeur fait démarrer un ordinateur
suspecté de contenir des informations stockées qui pourraient
représenter des preuves dans une affàire judiciaire, l'auditeur ne
pourra nier ultérieurement avoir écrit des données sur le disque
dur, car la séquence de démarrage écrit un enregistrement sur le
disque. C'est la raison pour laquelle des outils spécialisés sont
utilisës pour elfectuer une véritable copie du disque, qui est
ensuite utilisé dans l'enquête.
444
e .:;' " ~~::
On retrouve quatre considérations majeures dans la chaîne
des événements en cc qui concerne la preuve dans l'experiîsc
judicaire en infOrmatique :
" [.?identification- Elle f-ltit réf-ërence à l'identi1ication de
l'infOrmation qui est disponible et pourrait constituer la preuve
d'un incident.
• La conservation- Elle ütit référence à la pratique de récupérer
de l'information identifiée et de la conserver comme une
preuve. La pratique inclut généralement la création d'une image
du média original en présence d'une tierce partie indépendante.
Ce processus exige aussi d'être capable de documenter la chaîne
de garde pour qu'elle puisse être établie dans une cour de loi.
• LJanalyse -·-Elle implique l'extraction,le traitement et
l'interprétation de la preuve. Les données extraites pourraient
être des données binaires intelligibles après avoir été
traitées et converties dans un format lisible pour un humain.
L'interprétation des données exige une connaissance en
profondeur de la manière dont les différents éléments de preuve
peuvent être associés entres eux. t;analyse doit être exécutée en
utilisant une image du média et non l'original.
• La présentation-·- Elle implique la présentation aux
diverses audiences comme la direction, les avocats, la cour,
etc. !;acceptation de la preuve dépend de la manière de
la présentation (puisqu'elle doit être convaincante), des
qualifications du présentateur et de la crédibilité du processus
utilisé pour conserver et analyser la preuve.
L:auditcur des SI doit prendre en considéra! ion les éléments clés
de l'expertisejudiciaire en intûrmatîque lors de la planification
de l'audit. Ces éléments essentiels sont déc1its dans les sous-
sections suivantes.
PROTECTION DES DONNÉES
Afin d'empêcher que de l' infonna1ion recherchée ne soit altérée,
toutes les mesures doivent être en place. Il s'avère important
d'établir des protocoles spécifiques pour informer les parties
appropriés que la preuve électTonique sera recherchée et de ne la
détruire par aucun moyen.
L'infrastructure et les procédés pour la réponse et le traitement
de l'incident doivent être en place pour permettre une réponse
efficace et une enquête d'expe1iise judiciaire en infOrmatique si
un événement ou un incident se produit.
ACQUISITION DE DONNÉES
Toutes les iniürmations et les données requises doivent être
transférées dans un emplacement contrôlé; cela inclut les types
de média électronique comme les disques durs fixes ct le média
amovible. Chaque appareil doit être vérifié pour s'assurer qu'il
est protégé en écriture. Cela peut se faire il l'aide d'un appareil
appelé<< bloqueur d'écriture».
Il est aussi possible d'obtenir des données de l'infOrmation
à partir des témoins ou des parties reliées par des énoncés
enregistrés.
Avec des données volatiles, les enqLtêteurs peuvent déterminer
ce qui se passe sur un système. Ce type de données comprend les
ports ouverts. les fichiers ouverts, les procédés actifs, les noms
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
e Certified lnfo~uon
Systems Auditl)l'"
;:;;~-
Chapitre 5 - Protection des Actifs Informationnels
d'utilisateur et d'autres données présentes dans la mémoire vive.
Cette infOrmation est perdue lorsque l'ordinateur est fermé.
TRAITEMENT DE lJIMAGE
Le traitement de l'image est un processus qui permet à quelqu'un
d'obtenir une copie des données octet pour octet pour éviter des
dommages aux données ou aux informations originales lorsque
de multiples analyses sont effectuées. Le traitement de lïmage
est fait pour obtenir des données résiduelles, comme des fichiers
supprimés, des fragments de fichiers supprimés et d'autres
infOrmations présentes, à partir du disque pour l'analyse. Cela
est possible car le traitement de l'image reproduit la surface du
disque, secteur par secteur.
Avec des outils appropriés, on peut parfois récupérer des
informations détruites (même celles supprimées lors du
re formatage) à partir de la surface du disque.
EXTRACTION
Cc proce..:;sus est composé de l'identification et de la sélection de
données à partir de l'ensemble de données images. Ce processus
doit inclure des normes de qualité, d'intég1ité et de fiabilité. Le
processus d'extraction inclut le logiciel utilisé et le média dans
lequellïmage a été faite.
Le processus d'extraction pourrait inclure différentes sources
comme des syslog, des journaux de coupe-feu, des journaux de
nom d'utilisateur, des pistes d'audit et de l'information sur la
gestion du réseau.
INTERROGATION
L'interrogation est utilisée pour obtenir des indicateurs ou des
relations antérieures, incluant les numéros de téléphone, les
adresses l Pet les noms des personnes, à partir des données
extraites.
CONVERSION/NORMALISATION
Ce processus convertit l'information extraite dans lm format qui
peut être compris par les enquêteurs. Il comprend la conversion
de données hexadécimales ou binaires dans des caractères lisibles
ou dans un format approprié pour les outils d'analyse de données.
Il est possible de créer des relations à partir des données par
l'extrapolation, en utilisant des techniques comme la fusion, la
corrélation, les graphiques, la mise en correspondance ou la ligne
de temps, qui pourraient être utilisées dans la construction de
l'hypothèse de l'enquête.
RAPPORT
L:infünnation obtenue à partir de l'expertise judiciaire en
informatique possède une valeur limitée lorsqu'elle n'est ni
rassemblée ni rapportée de la bonne manière.
Lorsqu'un auditeur des SI écrit un rapport, il doit inclure la
raison pour laquelle le système a été révisé; comment les données
informatiques ont été révisées et quelles conclusions ont été tirées
de cette analyse.
Le rapport doit atteindre les buts suivants (tirés du Mandia,
Kevin; Matt Pepe; Chris Prosise; Incident Response & Computer
fàrensics, 2'"1 Edition, McGraw Hill/Osborne, Ê.-U., 2003) :
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
.. Décrire avec justesse les détails de l'incident;
• I~tre compréhensible pour les décideurs;
• Ètre en mesure de résister li un barrage légal d'examen
minutieux;
• Ne pas être ambigu c-t ne pas pori er à mauvaise interprétation:
• l:tre t-acilement référencé;
• Contenir toutes les infOrmations requises pour expliquer les
conclusions obtenues;
• Offrir des conclusions, opinions ou recommandations valides
lorsque nécessaire;
• Être créé rapidement.
Le rapport doit aussi identifier !"entreprise, les rapports et les
restrictions d'échantillon sur la circulation (s'il y en a) et inclure
toutes les réserves ou les qualifications que 1'auditeur des SI
possède en conformité avec l'attribution.
Protection de la preuve et de la chaîne de garde
La preuve d'un crime infonnatîque existe sous la forme de
fichiers journaux, de timbres de temps de fichier, de contenus de
mémoire, etc. Le redémarrage du système ou l'accès aux fichiers
pourraient entraîner que de tel! es preuves soient perdues, altérées
ou écrasées. Par conséquent, une des premières choses à f-il ire
doit être de copier une image, ou plus d'une, du système at1aqué.
Le contenu de la mémoire doit aussi être vidé dans un fichier
avant le redémarrage du système. Toute analyse plus poussée doit
être exécutée sur une image du système et sur les copies de la
mémoire vidée, et non sur le système original en question.
De plus, pour la protection de la preuve, il s'avère aussi important
de conserver la chaîne de garde. La chaîne de garde fait référence
à la documentation, en détail, de la manière dont la preuve est
manipulée et maintenue, induant son droit de propriété, son
transf-Crt et sa modification. Il est nécessaire de respecter les
exigences légales qui demandent un haut niveau de confiance en
ce qui concerne l'intégrité de la preuve.
5.6 AUDIT DE LA SÉCURITÉ DE
!.:INFRASTRUCTURE RÉSEAU
Lors de l'exécution d'un audit de !"infrastructure réseau,
l'auditeur des SI doit:
• Réviser les diagrammes réseau (réseaux campus LAN, WAN,
réseaux métropolitains) qui identifient l'infrastructure d'inter
réseaux des entreprises, qui peuvent inclure les passerelles, les
coupe~J-Cu, les commutateurs, les concentrateurs, les serveurs
d'accès, les modems, etc. Cette information est importante car
l'auditeur des SI voudra évaluer ces liens pour déterminer si les
contrôles d'accès physiques et logiques sont en fonction et pour
dresser l'inventaire des diverses connexions du terminal pour
s'assurer que le diagramme est précis.
• Identifier la conception réseau implantée, incluant la stratégie
IP utilisée, la segmentation des routeurs ct des commutateurs
pour les environnements campus, et les configurations ct les
protocoles des WAN.
• Déterminer que les politiques, normes, procédures et
recommandations applicables sur la gestion du réseau et leur
utilisation existent et qu'elles ont été distribuées au pel"Bonncl, à
la direction du réseau et à l'administralion. Il doit s'assurer que
445
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
les membres du personnel ont été formés dans leurs tâches et
responsabilités.
• Identifier la personne en charge de la sécurité et du
fonctionnement des connexions Internet, el évaluer si elle
possède les connaissances et 11expérience suffisante pour
assumer ce rôle.
• Déterminer si on s'est suffisamment attardé aux problèmes
juridiques découlant de l'utilisation d'Internet. (Les
considérations doivent inclure la responsabilité qui provient
des pages Web incorrectes; la législation en ce qui concerne la
vente et la publicité des produits régularisés; les implications de
vendre/acheter dans diflCrcnts pays; ct l'état d 1applîcation des
modalités standard du contrat au commerce électronique.)
• Déterminer si un processus de balayage de la vulnérabilité
est en place. Le balayage de la vulnérabilité se réfère à un
processus automatisé visant à identifier de manière proactive les
t~liblcsses de sécurité d'un réseau ou d'un système individuel.
Il peut détecter les vulnérabilités connues et recommander des
correctifs, des mises à jour ou des solutions de contournement.
• Si le service est imparti, réviser l'ANS pour s'assurer qu"il
inclut des dispositions pour la sécurité en plus de la disponibilité
et de la qualité du service.
• Réviser les procédures de l'administrateur réseau pour s'assurer
que les composantes de l'équipement et de logiciel sont mises à
jour en réponse à de nouvelles vulnérabilités.
• Examiner le support de transmission utilisé pour le réseau
local et sa protection de la sécurité physique afin d'établir la
vulnérabilité aux écoutes.
• Revoir la conception topologique du résef.lu pour s'assurer
qu'il est sulfisamment résilient pour maintenir la continuité
des activités en cas de perturbation. Par exemple, un réseau en
anneau est plus résilient qu'une qu'un réseau en étoile.
• Revoir la conception du réseau afin d'identifier les points de
défectuosité, comme toutes les connexions WAN qui pénètrent
dans un bâtiment au même endroit.
5.6.1 AUDIT DE !:ACCÈS À DISTANCE
t:utilisation des ressources d'infOrmation à distance améliore
grandement la productivité d'affaires, mais génère des problèmes
de contrôle et de sécurité. Les auditeurs des SI doivent déterminer
que toutes les capacités d'accès à distance utilisées par une
organisation fournissent la sécurité efficace des ressources
d'information de l'organisation. Les contrôles de sécurité
d'accès à distance doivent être documentés et implantés pour
les utilisateurs ;:~utorîsés en dehors de l'environnement réseau
sécurisé.
Lors de la révision d'architectures existantes d'accès à distance,
les auditeurs des Sl doivent établir les points d'entrée de l'accès à
distance pour aborder combien il en existe (e-onnus/inconnus) et
si davantage de contrôle centralisé des points d'accès distant est
nécessaire. Les auditeurs des SI doivent aussi réviser les points
pour les contrôles adéquats, comme dans l'utilisation des VPN,
des mécanismes d'authentification, le chifli"ernent, les coupe-feu
et les systèmes de détection d 1intrusion.
Dans le cadre de cette révision, l'auditeur des SI doit aussi
tester les contrôles d'accès par ligne commutée. Pour tester
l'autorisal"ion d'accès par ligne commutée, l'auditeur des Sl
doit appeler l'ordinateur à partir d'un numéro autorisé et non
446
autorisé des lignes téléphoniques. Si les contrôles sont adéquats,
la connexion réussie se produira avec les numéros autorisés
seulement. L'auditeur des SJ doit tester si les contrOles logiques
invoqués après les connexions autorisées à l'ordinateur sont
réussies en utilisant des connexions d'accès par ligne commutée
pour tenter d'obtenir l'accès aux fichiers non autorisés.
L'exécution de ce test doit être coordonnée par Padministrateur
de la sécurité pour éviter d'enfreindre les réglementations de la
sécurité.
En révisant des initiatives futures d'accès à distance, les auditeurs
des SI doivent premièrement déterminer si la conception et le
développement des approches de 1'accès à distance sont basés
sur une solution rentable, en fonction du risque et qui tient
compte des exigences opérationnelles. Cela inclut l'évaluation
des types d'environnement à distance applicables, 11intégrité et la
disponibilité des services de télécommunications et les mesures
requises d;ms la protection de l'infrastructure d'entreprise à
respecter.
Audit des points de présence Internet
Lors de l'audit de la présence d'une entreprise sur Internet,
l'auditeur des SI doit réviser l'utilisation d'Internet pour s'assurer
que l'analyse de cas à été démontrée pour les utilisations
suivantes possibles ;
• Courriel ( c.-à-d. les communications aux/par les partenaires
d'affaires, les clients ct le public en général)
.. Marketing (c.-à-d. le mécanisme pour la communication des
valeurs du client, comme le catalogue d'achat ù domicile en
ligne)
• Les canaux de vente et le commerce électronique (p. ex., la
commande électronique de biens/services, ln vente de biens
du catalogue d'achat à domicile nvec la catte de crédit, ou la
transmission électronique de messages de commandes formatés
selon le principe d'échange de données informatisé faits par les
partenaires commerciaux)
• Le canal de livraison pour les biens/services (comme les
librairies en ligne ct la banque virtuelle)
" Le groupement d'infOrmations (p. ex., le personnel qui navigue
sur le Web pour trouver de l'information)
Test d'Intrusion de réseau
Les combinaisons de procédures, lorsqu'un auditeur des SI
utilise les mêmes techniques qu'un pirate, sont nommées tests
de pénétration, tests d'intrusion ou piratage éthique. Il s'agit de
méthodes efficaces pour identifier en temps réel le risque que
cou1i un environnement de traitement de l'information. Lors des
tests d'intrusion, un auditeur tente d'encercler les caracjéristiques
de la sécurité d'un système ct d'exploiter les vulnérabilités pour
obtenir l'accès qui ne serait autrement pas autorisé.
La portée peut varier en se basant sur les termes, les conditions et
les exigences du client. Cependant, d'un point de vue du risque
d'audit, les points suivants doivent être mentionnés clairement
dans l'étendue de 1'audit :
• Les adresses/plages JP spécifiques qui doivent être testées;
• Hôtes restreints (c.-à-d.les hôtes non testés);
• Les techniques de test acceptables (c.-à-d.l'ingénicrie sociale,
le déni de service/le déni de service distribué, les injections
SQL, etc.);
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . Certi1ied lnformatloo
.M. Systems Auéitor"
;.~--
Chapitre 5 - Protection des Actifs Informationnels
• !;acceptation de la méthodologie proposée par la direction;
• Le temps de ln simulation de l'attaque (c.~à-d. les heures
d'ouveJiurcs, les heures de fcm1cturc 1 etc.);
• Les adresses IP d0ln source de la simulation d'attaque (pour
identifier les diHërcnces entre l'attaque simulée approuvée et une
vraie attaque);
• Le point de contact à la fois pour Je contrôleur/auditeur
d'intrusion ct le propriétaire/l'administrateur du système ciblé;
• La manipulation de l'information recueillie par le contrôleur/
l'auditeur dïntrusion (c.-à-d. des accords de non-divulgation ou
des références à des règles d'engagement standard);
• l:averlissemcnt de danger du contrôleur/de l'administrateur
d'intrusion avant la simulation pour éviter des fausses alarmes
aux corps des 1-i:xces de l'ordre.
Les différentes phases des tests d'intrusion appamissent dans
la ligure 5.22 ct leurs procédures correspondantes dans le
tableau 5.23.
Les tests d'intrusion sont conçus pour imiter un pirate expérimenté
qui attaque un site opérationneL Ce test doit seulement être
exécuté par des professionnels qualifiés et expérimentés qui
sont conscients des risques d'entreprendre un tel travail et qui
peuvent limiter les dommages résultant d'une interruption à un
site opérationnel (p. ex., éviter des attaques de dénis de service).
JI s'agit d'une simulation d'une attaque réelle qui peut être limitée
par les lois, la politique d'une entreprise et les réglementations
fëdérales; par conséquent, il est impératif d'obtenir le
consentement écrit de la direction avant la finalisation de la p01tée
du test/de l'engagement.
On retrouve plusieurs types de tests d'intrusion selon ln pOliée,
l'objectif et ln nature du test. Les types de tests d'intrusion
généralement acceptés sont :
• Les tests externes~ Ils font réfërence aux attaques et aux
tentatives de faire échouer le contrôle sur les périmètres du
réseau cible à partir de l'extérieur du système cible (c.-à-d.
habituellement Internet).
• Tests internes - Ils font référence aux attaques et aux tentatives
de faire échouer le contrôle sur la cible à lïntérieur du périmètre.
L'objectif est d'identifier cc qui se- produirait si le périmètre
réseau externe était compromis avec succès ou si un utilisateur
autorisé ù l'intérieur du réseau voulait compromel1re la sécurité
d'une ressource spécifique sur le réseau.
• 'lèsts à l'aveugle Ils font réfërence à la condition de test
lorsque le contrôleur de l'inlrusion bénéficie d'une connaissance
limitée ou est sans connaissance du tout des systèmes
d'information de la cible. De tels tests sont coütcux, puisque
les contrôleurs de la pénétration doivent rechercher la cible ct
établir sur quoi elle est basée seulement pour les infOrmations
disponibles publiquement.
• lèsts à double insu -Il s'agit d'une extension du test à
l'aveugle puisque l'administrateur et le personnel de la sécurité
de la cible ne sont pas au courant du test. De tels tests peuvent
évaluer efficacement la manipulation d'incident et la capacité de
réponse de la cible.
• Tests ciblés·- Ils font rdërence aux attaques ct aux tentatives de
faire échouer le contrôle sur la cible, lorsque l'équipe des Tl de
la cible avec les contrôleurs d'intrusion sont conscients de ces
activités de test. Les contrôleurs de pénétration se font donner
de l'information reliée à la conception de la cible ct réseau. De
Manuel de Préparation CISA 26' édition
ISACA. Tous droits rêservés.
Section deux : Contenu
plus, ils peuvent aussi se voir remettre un compte d'utilisateur
possédant un privilège limité qui sera utilisé comme point de
dépati pour identifier les possibilités de privilège-escalade dans
le système.
Même si lt.~ direction peut appuyer les activités des tests
d'intrusion, certains des risques associés comprennent:
• Les tests d'intrusion ne foumissent pas l'assurance que toutes les
vulnérabilités sont découvertes et peuvent ne pas atteindre leur
objectif de découvrir des vulnérabilités importantes.
• La mauvaise communication peut entraîner que les objectif..;; de
test ne soient pas atteints.
• Les activités de test peuvent déclencher, par inadvertance, des
procédures d'escalade qui peuvent ne pas avoir été planifiées
adéquatement.
• L'information sensible peut être divulguée, augmentant le niveau
d'exposition de la cible.
• Sans les vélifications de la f01mation ct des qualifications
appropdées des contrôleurs d'intrusion, un contrôleur de
pénétration peut endommager les actifs infOrmationnels ou mal
utiliser l'infOnnatïon obtenue pour des avantages personnels.
De plus, ces techniques deviennent de plus en plus populaires pour
tester la fiabilité des contrôles d'accès du coupe-feu. t:auditcur
des SI doit être extrêmement attentif s'il tente d'entrer dans un
système de production opérationnel. S'il réussit, l'auditeur des
SI peut entraîner l'échec du système. !:autorisation d'utiliser de
telles techniques doit toujours être obtenue de la part des cadres
supérieurs. L'autorisation de la pmi des cadres supérieurs est
aussi requise pour déterminer quels autres tests peuvent être
exécutés sans en informer le personnel en charge du contrôle et
du signalement des infractions de sécurité (si l'une de ces attaques
survient, ils seront probablement plus attentif..;; qu'à 1'habitude).
Révisions de l'évaluation du système entier
À la suite de la complétion des lests d'intrusion, une révision
exhaustive de toutes les vulnérabilités du système doit se faire
pour déterminer si les menaces à la confidentialité, ù l'intégrité
ct à la disponibilité ont été identifiées. Les révisions suivantes
devraient avoir lieu:
• La politique et les procédures de la sécurité doivent être révisées
pour déterminer que de bonnes pratiques sont en piace.
• Les configurations du réseau et du coupe-feu doivent être
évaluées pour s'assurer qu'elles ont été conç.ues pour soutenir
la sécurité des services qui sont fournis (p. ex., les routcurs de
tramage, les hôtes doubles/ multiconnectés, le sous-réseau de
tramage, les serveurs de proxy de zones démilitarisées).
• Les contrôles d'accès logiques doivent être évalués pour
s'assurer qu'ils soutiennent la séparation des tâches
(p. ex., le développement en comparaison avec l'opération,
l'administration de la sécurité en comparaison avec l'audit).
• Les points suivants doivent être déterminés:
~Un logiciel de détection d'intrusion est en place.
--Le filtrage s'exécute.
~Le chiffrement est utilisé (prendre en considération les VPN/\a
tunnellisation, les signatures numériques pour le courriel, etc.).
-Des formes d'authentification fermes sont utilisées (considérer
l'emploi de cartes intelligentes, de biométrie, etc .. pour
s'authentifier à des coupe-feu, au matériel ou au logiciel
interne au sein du réseau, ainsi qu'au matériel ou au logiciel
externe).
447
Section deux : Contenu Chapitre 5 -Protection des Actifs Informationnels eiSA" M
CErtifted lnfo~ation
Systems Aud1l0r"
"'''""""'"'''''"""

l=igure 5;22. -lll\ase$ ile test il'inttusion '

Planification· Découverte Attaque

Rapport

Tableau 5.23 -llhases et procédures des testS d'inttüsion.

Phase Procédures
Planification • Règles d'engagement
• Approbation/finalisation de la direction
• Méthodologie de test adoptée
• Test d'intrusion ou non intrusif
• Buts/objectifs identifiés et sur lesquels on s'est entendu
• Horaires/dates butoirs sur lesquelles on s'est entendu
• Points clés identifiés
• Technique d'attribution du suivi du temps comprise et communiquée
• Produits livrables sur lesquels on s'est entendu
• Outils rassemblés/installés/testés dans un environnement de test
Reconnaissance/ • Mise en correspondance du réseau
découverte • Interrogation du système de noms de domaine
• Requêtes du programme Whois (à partir d'lnternic)
• Chercher de l'information cible sur le site Web
• Chercher des données connexes ala cible sur les moteurs de recherche
• Chercher dans les curriculum vitae des employés actuels et anciens de la cible (révéler les détails qui sont reliés au système)
• Saisie/reniflage de paquets (seulement lors des tests internes)
• Détection des hôtes (protocole ICMP, SNS, Whois, Ping Sweep, scans TCPIUDP, etc.)
• Détection de service (balayage des ports, balayage furtif, détection d'erreur/de bannière, etc.)
• Détection de la topologie réseau (protocole ICMP, etc.)
• Détection du SE (analyse de la pile TCP, etc.)
• Mise en correspondance du site Web
• Analyse de la page Web
• Pages/scripts inutilisés
• Liens brisés
• Liens cachés/fichier accessible
• Logique/utilisation de l'application
• Points d'entrée de l'extraction de la bannière de la page d'erreur
• La classification des vulnérabilttés (basée sur l'information rassemblée lors des étapes précédentes, les vulnérabilités sont
cherchées sur les moteurs de recherche disponibles ou sur les référentiels personnalisés)

Quelques-unes des techniques d'attaque sont les suivantes:

• Navigation du répertoire
• Code du témoin
•Injection d'erreur
• Contrôles sur l'entrée type et rebondissant

448 Manuel de Préparation CISA 26" édition

ISACA. Tous droîts réservés.
e Ccrtified!nfo~ation
Systems Aut11tor
"'~'~"'"''""'
Chapitre 5 - Protection des Actifs Informationnels Section deux : Contenu

'
Tableau 5.23- Phases et procédures des t!l$l$ d'intrusion (sultè)
Phase Procedures
Attaques •Injection de caractères spéciaux (métacaractères, caractères de fuite, etc.)
• Analyse des noms d'utilisateur des témoins/de la session
• Faire échouer l'authentification
• Longue entrée
• Fonctions du système (échappement essentiel, etc.)
• Altération logique (injection de requêtes SOL, etc.)
• Manipulations d'identifiants de témoin/session
• Exploitation du service Internet (bind, mdac, unicode, apache-http, statd, sadmind, etc.)
• Exploitation du système d'exploitation
• Exploitation du réseau (inondation du caractère de synchronisation, redirection du protocole ICMP, empoisonnement du système
ONS, etc.)

De plus, une fois qu'une attaque est réussie, elle suivra normalement les sous-procédures d'une phase d'attaque :
• Le privilège d'escalade- Si seulement un accès de niveaux utilisateur a été précédemment obtenu, le testeur tentera donc
d'obtenir un accès super niveau (c.-à-d. en se basant sur UNIX/Linux et les administrateurs sur Windows et plus récents).
• La cueillette d'information à partir de l'inténeur- Cattaquant examinera en profondeur les systèmes du réseau efficacement
en utilîsant les systèmes compromis comme une aire de lancement et tentera par conséquent d'avoir accès aux systèmes
sécurisés/à haut risque.
• Cinstallation d'outils d'attaque en profondeur à l'intérieur du système- Cattaquant peut exiger l'installation d'outils
supplémentaires et le logiciel de test d'intrusion pour obtenir plus d'accès aux ressources, aux systèmes
Rapport Cette phase se produit en même temps que les trois autres phases.

Lors de la phase de planification, les règles d'engagement, le consentement écrit et les protocoles de test sont élaborés et font
l'objet de discussions et de rapports.

Lors de la phase de découverte, des journaux écrits sont tenus et des rapports périodiques sur l'état des affectations sont
présentés à la direction, au besoin.

Àla suite de la phase d'attaque, les vulnérabilités et faiblesses découvertes sont rapportées, accompagnées d'une évaluation du
risque fondée sur la facilité d'exploitation et d'une évaluation de l'impact fondée sur les résultats de l'attaque ou les ressources
et avertissements officiels du fournisseur. De plus, les recommandations contiennent des étapes visant à atténuer les risques et à
corriger efficacement les faiblesses.

-Les coupe-feu ont été configurés adéquatement (prendre
en considération la suppression de tous les logiciels non
nécessaires, l'ajout de sécurité et la vérification de logiciel,
la suppression de noms d'utilisateur non nécessaires, la
désactivation des services non utilisés).
-· Les passerelles du niveau d'application ou du circuit en usage
fOnt fOnctionner des serveurs proxy pour tous les services
légitimes (p. ex., le réseau Tclnet, 1-ITTP, FTP).
-Le balayage de virus est utilisé.
Des tests dïntlusion périodiques sont compiCtés.
- Lajournalisation d'audit est entreprise pour tous les systèmes
essentiels (p. ex., coupe-feu, passerelles d'application,
routeurs, etc.) et les journaux d'audit sont copiés sur des
systèmes de flchiers sécurisés (envisager l'utilisation d'un
logiciel de gestion de la sécurité de l'information et des
événements).
- Les administrateurs de ln sécurité sc tiennent à jour quant
aux plus récentes vulnérabilités connues par l'intermédiaire
des fournisseurs de l'organisation ainsi que de leurs bases de
données locales, internationales et de vulnérabilité (p. ex.,
la base de données nationales des vulnérabilités tenue par le
NIST).
Développement et autorisation des changements
réseau
Les changements à la confïguration pour mettre à jour des
liaisons de télécommunication, des terminaux, des modems ou
d'autres appareils réseau doivent être autorisés par écrit par la
direction et implantés rapidement. !.:auditeur des SI peut tester cc
contrôle en :
• Prenant un échantillon des demandes récentes de changement~.
en recherchant l'autorisation appropriée et en faisant
correspondre la demande aux appareils réseaux courants
• Établissant une correspondance entre les changements récents
au réseau, comme des nouvelles lignes de télécommunication,
et les tenninaux ajoutés et aux demandes de changement
autorisées
Pour un contrôle ajouté, l"auditeur des SI doit déterminer qui peut
avoir accès au logiciel de changement du réseau. Cet accès doit
être limité aux administrateurs supérieurs du réseau.
Des procédures de développement et de changement de contrôle
doivent être en place pour les composantes d'équipement ct de
logiciel du réseau. Les procédures doivent couvrir :
• Les coupe-feu;
• Les routcurs;
• Les commutateurs;
• Les passerelles d'application;
• La topologie du système DNS/du réseau;
• Le logiciel client;
• Le logiciel de gestion du réseau;
• L'équipement ct la configuration du serveur Web;
• Le logiciel d'application;
• Les pages Web.

Manuel de Préparation CISA 26" édition 449

ISACA. Tous droits réservés.
 Section deux ; Contenu Chapitre 5- Protection des Actifs Informationnels
Changements non autorisés
Un des objectifs les plus importants des procédures de contrôle
des changements est de prévenir ou de détecter des changements
non autorisés au logiciel, aux configurations ou aux paramètres,
ainsi qu'aux données. Les chnngements non autorisés incluent
tous les changements faits au logiciel ou aux configurations/
paramètres qui surviennent en ne respectant pas les procédures
de contrôle de changement. Ils peuvent inclure des situations
dans lesquelles les changements sont faits nu code logiciel snns
autorisation, en plus des changements légitimes qui sont faits en
respectant les procédures de contrôle de changement.
Les contrôles pour prévenir des changements non autorisés f:1its
au logiciel et les configurations logicielles incluent;
• La séparation des tâches entre le développement du logiciel,
l'administration du logiciel et les opérations infOrmatiques;
" Limiter l'accès de l'équipe de développement du logiciel à
J'environnement du développement seulement;
• Limiter l'accès aux codes sources du logiciel.
Les contrôles pour dëtecter des changements non autorisés au
logiciel incluent des utilitaires de comparaison du code source.
1,cs changements non autorisés aux configurations/paramètres
peuvent être détectés par lajournalisation oule contrôle des
activitës de l'administrateur du système.
Les changements aux données sont normalement contrôlés par les
applications. Les mécanismes de contrôle d'accès d'application
et les contrôles d'application incorporés empêchent normalement
l'accès non autorisé aux données. Ces contrôles peuvent être
contournés par l'accès direct aux données. Pour cette raison,
l'accès direct aux données (spécialement l'accès« écrit)~ ou
«modifié'>) doit être limité et contrôlé.
5. 7 EXPOSITIONS ET CONTRÔLES
ENVIRONNEMENTAUX
Comme pour tout élément conçu par l'humain, l'infrastructure
des Tl et, par conséquent. les actifs infOrmationnels sont exposés
à l'environnement. l}audlteur des SI doit être conscient de ces
risques ct doit connaître les contrôles utilisés pour les atténuer.
5.7.1 PROBLÈMES ET EXPOSITIONS
ENVIRONNEMENTAUX
Les expositions environnementales sont ducs principalement
aux catastrophes naturelles comme la fOudre, un tremblement de
terre, une éruption volcanique, un ouragan, une tornade ct autres
types de conditions météorologiques extrêmes. Les résultats de
telles conditions peuvent entraîner plusieurs types de problèmes.
Un volet particulier de problèmes est la panne de courant pour
les ordinateurs et les systèmes environnementaux secondaires.
Généralement, les pannes de courant peuvent être groupées en
quatre catégories, basées sur leur durée et la gravitë relative de la
panne:
• Panne totale (panne électrique)~ Une perte complète de
l'électricité, qui peut s'étendre d'un seul édifice à toute une
région géographique et qui est souvent causée par des conditions
météorologiques (p. ex., tempête, tremblement de terre)
ou l'incapacité d'une compagnie électrique à répondre aux
demandes des utilisateurs (p. ex., en été).
450
el$"' Certiflildfnfo~ma
M Systems Auditer'. '""'
'"'"l.t.\'"0<1<'"' ""
• Voltage gravement réduit (baisse de tension) L'incapacité
d'une compagnie électrique à fournir l'électricité à l'intérieur
d'une étendue acceptable (c.-à-d. 108-125 volts en coumnt
alternatif aux l~tats-Unis). Une telle panne place une
défom1ation sur l'équipement électronique et peut limiter sa
durée de vie opérationnelle ou même causer des dommages
permanents .
.. Flèches, pointes and surtensions -- Diminutions temporaires
et rapides (flèches) ou augmentations (pointes and surtensions)
dans les nivaux de voltage. Ces anomalies peuvent entraîner
une perte de données, la corruption des données, les erreurs de
transmission réseau ou des dommages physiques aux appareils
d'équipement (p. ex., disques durs ou cmies mémoires).
• Perturbations électromagnétiques (EMI) ·- Causées par des
tempêtes électriques ou de l'équipement électrique bruyant
(p. ex., des moteurs, J'éclairage fluorescent, les transmetteurs
radio). Cette interférence peut entraîner les systèmes
informatiques à s'accrocher ou à s'effondrer tout comme les
dommages similaires <1 ceux causés par les flèches, pointes et
surtensions.
Des interruptions à court terme comme les flèches, les pointes
et les surtensions, qui durent entre un millionième de seconde
et un millième de seconde, peuvent être empêchées en utilisant
des protecteurs de surtensions placés adéquatement. Les
interruptions de temps intermédiaires, qui peuvent durer entre
quelques secondes et 30 minutes, peuvent être contrôlées par des
appareils onduleurs. Finalement, des interruptions il long terme,
qui peuvent durer entre quelques heures et plusieurs jours, exigent
l'utilisation de génératrices d'électricité. Ces génératJiccs peuvent
être portatives ou faire partie de l'infrastructure de l'édifice et
sont alimentées par des sources alternatives d'énergie comme le
diésel, le gaz ou le propane.
Un autre volet ù problème traite des dégâts causés par l'eau
et les inondations. Il s'agit ct·un problème même lorsque les
installations sont situées aux étages supérieurs d'un gratte~ciel,
car les dégâts causés par l'eau surviennent normalement à la suite
d'un bris: de la conduite d'cau.
Les menaces causées par l'homme incluent les menaces ou
attaques terroristes, le vandalisme, les chocs électriques et la
panne de l'équipement
Voici quelques questions que l'organisation doit aborder en lien
avec les problèmes et les expositions environnementaux :
• Est~ce que l'alimentation électrique de l'équipement
informatique est contrôlée adéquatement pour assurer que
l'électricité demeure dans les spécifications Ju fablicant?
• Est-ce que les systèmes de contrôle de la climatisation, de
l'humidité et de la ventilation pour l'équipement infonnatique
sont adéquats pour maintenir les températures dans les
spécifications du fabricant?
• Est-cc que l'équipement informatique est protégé des efli~ts
de l'électricité statique à l'aide d'un tapis antistatique ou d'un
vapolisateur antistatique?
• Est~ce que l'équipement informatique est conservé loin de la
poussière, de la fumée el d'autres matières comme la nouniture?
• Est-ce que des politiques interdisent la consommation de
noutTiture, de breuvages et de produits du tabac près de
l'équipement informatique?
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . Certified. tnformatron
M Systems Auditor'
;::-~;,::;--·-
Chapitre 5 - Protection des Actifs Informationnels
• Est-ce que le média de sauvegarde est protégé des dommages
causés par des températures extrêmes, des effets des champs
magnétiques et des dégâts causés par l'cau?
5.7.2 CONTRÔLES POUR LES EXPOSITIONS
ENVIRONNEMENTALES
Les expositions environnementales doivent se voir attJibucr le
mème niveau de protection que les expositions physiques et
logiques.
Tableaux de contrôle d'alarme
Un tableau de contrôle d'alarme doit idéalement être :
• Séparé des systèmes de vols ou de sécurité situés sur les
installations;
• Acces:-;iblc au personnel du service d'incendie en tout letnps;
• Situé dans une boîte à l'abli des intempéries;
• En lien avec les exigences de température du fabricant;
• Situé dans une pièce contrôlée pour empêcher 1'accès par le
personnel non autorisé;
• Alimenté en électricité à partir d'un circuit dédié et séparé;
• Capable de contrôler ou de désactiver des zones séparées à
l'intérieur des installations;
• Conforme aux réglementations locales et nationales ct approuvé
par les autorités locales.
Détecteurs d'eau
Dans la salle des ordinateurs, des détecteurs d'cau doivent être
placés sous les faux-planchers près des drains, même si la salle
des ordinateurs est située à un étage supérieur (vu la possibilité
d'infiltration d'cau). Toute installation de stockage d'équipement
qui n'est pas surveillée doit atL'>SÎ posséder des détecteurs d'eau.
Lorsqu'ils sont activés, les détecteurs doivent produire une alarme
sonore qui peut être entendue par le personnel de la sécurité
et de contrôle. L'emplacement des détecteurs d'cau doit être
ins~.:rit sur le taux-plancher de la salle d'ordinateur pour faciliter
l'identification ct l'accès. Lorsqu'elles entendent l'alarme, les
personnes spécifiques doivent enquêter sur la cause ct initier des
mesures correctrices: d'autres membres du personnel doivent être
informés par le personnel de la sécurité et de contrôle des risques
de choc électrique.
Extincteurs portables
Des extincteurs doivent être placés dans des emplacements
stratégiques dans toute l'installation. Ils doivent être étiquetés
pour l'inspection et être inspectés au moins une f(,is par année.
Alarmes d'incendie manuelles
Des alarmes d'incendies qu'on tire avec la main doivent être
placées stratégiquement dans toute l'installation. Elles se trouvent
habituellement près des pmies de sortie pour assurer la sécurité
du personnel. L'alarme sonore résultante doit être reliée à une
station de garde contrôlée.
Détecteurs de fumée
Les détecteurs de fumée doivent être installés au-dessu,<:;: et sous
des tuiles du plafond dans toute l'installation et sous le faux-
plancher de la salle d'ordinateur. L.es détecteurs doivent produire
une alarme sonore lorsqu'ils sont activés et être reliés à une
station de contrôle (de préférence avec le service d'incendie).
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réserves.
Section deux : Contenu
L'emplacement des détecteurs de fumée au dessus des tuiles du
plafond et en sous le faux-plancher doit être identifié sur les tuiles
pour faciliter l'identification et l'accès. Les détecteurs de fumée
doivent améliorer, et non remplacer les systèmes de lutte active
contre 1'incendie.
Systèmes d'extinction des incendies
Ces systèmes sont conçus pour s'activer automatiquement
immédiatement après la détection d'une température élevée
causée habituellement par un incendie. Comme les détecteurs
de fumée, le système produit une alarme sonore lorsqu'il est
activé et est relié avec une station de garde centrale qui est
contrôlée régulièrement. Le système doit aussi être inspecté et
testé annuellement. Les intervalles de test doivent respecter les
normes et les recommandations de l'industrie et de l'assurance.
Idéalement, le système doit déclencher automatiquement d'autres
mécanismes pour localiser l'incendie. Cela inclut de fermer les
portes coupe-tèu, d 1nvertir le service d'incendie, de tbrmer les
points de ventilation et de fermer l'équipement électrique non
essentiel. De plus, Je système doit être segmenté pour qu\m
incendie dnns une pmiie d'une grande installation n'active pas le
système entier.
De façon générale, deux méthodes permettent d'appliquer un
agent extincteur: la saturation et l'application locale.
Les systèmes qui fonctionnent selon le principe de la saturation
appliquent un agent extincteur dans un espace tridimensionnel
encloisonné afin d'obtenir une concentration de l'agent extincteur
(pourcentage du volume de !'agent dans l'air) appropriée pour
éteindre l'incendie. Ces types de systèmes peuvent être mis
en fonction automatiquement, par des contrôles de détection
et connexes, ou manuellement, par la mise en marche d'un
actionneur.
Les systèmes qui fonctionnent selon le principe de l'application
locale appliquent un agent extincteur directement sur les flammes
(habituellement une zone bidimensionnelle), ou dans la zone
tlidirncnsionnclle entourant la substance ou l'objet enflammé.
La principale différence entre l'application locale et la saturation
se situe dans l'absence de barrières physiques cncloisonnant
l'incendie dans Je concept de l'application locale.
Dans le cas des système;.; d'extinction d'incendie automatiques,
l'application locale ne fflit normalement pas appel à l'utilisation
d'extincteurs ù vérin ou portatif.:;, bien que la nature de l'agent
extincteur soit semblable.
Le moyen de lutte active contre l'incendie peut varier, mais il est
normalement un des suivants :
• Les systèmes basés sur l'eau font normalement réfërence à
des systèmeR de gicleurs. Ces systèmes sont enïcaccs, mais
sont aussi peu populaires car ils endommagent l'équipement
et la propriété. Le système peut être à air comp1imé ou chargé
(l'cau est toujours dans les tuyaux du système). Un système
chargé est plus fiable mais il possède le désavantage d'exposer
l'installation à de coûteux dégâts causés par l'eau si les tuyaux
fuient ou se brîsent.
• Un système d'extincteurs automatique sous air n'a pas d'eau
dnns les tuyaux jusqu'à ce qu'une alarme d'incendie électronique
451
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels eiSA'
n'active la pompe à eau qui envoie l'eau dans le système. Ce
système est en opposition à un système entièrement chargé
de tuyau d'eau. Les installations d'extinction nutomatique
sous air possèdent l'avantage qu'une panne dans le tuyau
n'entraînera pas l'écoulement de l'eau dans de l'équipement
sensible au-dessus. Puisque l'eau et l'électricité ne se mélangent
pas, ces systèmes doivent être combinés avec un commutateur
automatique pour fermer l'alimentation en électricité de la zone
protégée.
• Les systèmes au halon relâchent des gaz ha lon qui enlèvent
l'oxygène de l'air, cc qui fait étouffer le feu. Le halon était
populaire, car il s'agit d'un gaz inerte qui n'endommage pas
l'équipement comme Je f..1it l'cau. On doit retrouver une alarme
sonore et un bref délai pour évacuer la zone ou pour outrepasser
et déconnecter le système. Les systèmes au ha lon ont été chose
courante pendant de nombreuses années, mais puisque le hal on
affecte négativement la couche d'ozone, il a été interdit par le
Protocole de Montréal (Canada) en 1987. Par conséquent, les
accords internationaux requièrent que toutes les installations
au ha lon soient éliminées. Les méthodes de remplacemenl'>
populaires .sont le FM-200'~' et l'Argonitek.
• Le FM-200'': Le HF<>227 ou HFC-227ea (nom ISO), aussi
appelé heptafluoropropanc, est un halocarbure gazeux incolore
et inodore, qui est sécuritairc pour l'utilisation là où se trouvenl
des personnes. Habitue11ement, il est utilisé comme agent
extincteur gazeux. L'agent extincteur 1-IFC-227 a été le premier
substitut non menaçant pour 1'ozone du !"Jalon 1301. De plus, le
HFC-227 ne lnîsse aucun résidu sur les équipements de valeur.
Les noms commerciaux comprennent notamment le FE-227'1~'
(DuPont"'), le FM-200" (DuPont) et le Solkaflam 227" (Solvay
Chemicals). Cet agent supprime le feu en déchargeant un gaz
sur la suJiàcc des matériaux combustibles. De grandes quantités
d'énergie calorifique sont absorbées à p:.u1ir de la surface du
matériel qui brflle, ce qui fait baisser la température sous Je point
de combustion. Les systèmes de lutte active contre l'incendie
FM-200 possèdent une faible vie atmosphérique, un faible taux
de réchauffement de la planète et de potentiel de diminution de
l'ozone.
" Argonitc'w est le nom de la marque (une marque déposée
propriété de Ginge-Kcrr) d'un mélange composé à 50%
d'argon (Ar) et à 50% d'azote (NJ C'est un gaz inerte utilise
dans les systèmes gazeux de suppression des incendies. Ces
systèmes servent à éleimire les incendies dans des endroits
où il Hmt éviter d'endommager les équipements. Bien que
l'argon soit non toxique, il ne comble pas le besoin du corps en
oxygène. C'est une substance asphyxiante. Des personnes ont
suflOque après avoir inhalé accidentellement de l'argon.
Contrairement aux systèmes d'extinction des incendies
à base de dioxyde de carbone (CO~) qui sont inaptes à
protéger la vie humaine, les sy.stènÏes à base de FM-200 et
d'Argonite respectent l'environnement. Ceux-ci constituent
une méthode efficace et sécuritaire d'extinction des incendies
et, contrairement aux systèmes de gicleurs, ils n'ont pas
l'inconvénient d'exposer les précieux equipements de traitement
de l'information aux dommages causés par l'cau lors de la lutte
contre l'incendie ou lors d'une fuite ou du bris d'un conduit.
• Les systèmes au CO, relâchent des gaz de dioxyde de carbone
dans la zone protégéC pour remplacer l'oxygène requis pour
la combustion. À l'opposé du Halon et de ses remplaçants
452
Certlfied
.H. Systems Aud1tor"
lnfo~mauon
"'"'""'""'""''""
ultérieurs, toutef{)ÎS, le CO, ne protège pas la vie humaine.
Par conséquent, dans la phlpart des pays, il est illégal que de
tels systèmes soient réglés pour la relâche automatique si des
humains sont dans la zone. En raison de cela, les systèmes sont
normalement déchargés manuellement, ce qui introduit un
délai supplementaire au moment de combattre l'incendie. Les
installations au CO~ sont autorisées là où aucun être humain
n'est régulièrement- présent, comme les centres de données sans
personnel (ou« sites noirs))), mais il est nécessaire d'avoir
une installation automatisée qui arrêtera le système lorsqu'une
personne pénètre dans le secteur.
Emplacement stratégique de la salle des ordinateurs
Afin de réduire le risque d'inondation, la salle des ordinateur
ne doit pas être située dans un sous-sol ou au dernier étage. Si
elle est située dans un édifice à plusieurs étages, des études
indiquent que le meilleur emplacement pour la salle d'ordinateur-
-l'emplacement qui réduit Je risque de dommages causés par le
feu. la fumée ou l'eau--est l'étage du milieu (p. ex., le troisième,
quatrième, cinquième ou sixième étage). Les tuyaux d'eau ou
de gaz adjacents doivent être: évités, à l'exception des systèmes
de lutte active contre l'incendie. Il faut prendre soin d'éviter de
placer les salies d'ordinateurs à proximité de lieux où des tâches
à haut risque sont effectuées, par exemple l'entreposage de
papier. [~activité des entreprises avoisinantes doit être prise en
considération au moment d'établir une installation d"ordinateurs.
Il faut par exemple éviter les emplacements adjacents à un
aéroport ou à des usines de produits chimiques où des gaz
explosifs peuvent être présents.
Lorsqu'un centre de données se trouve dans une zone vulnérable
aux inondations, comme un sous-sol, plutôt que de faire de
coûteux déplacements, il est possible de se munir d'une feuille de
plastique, ou « parapluie )), qui couvrira la zone et détournera tout
écoulement d'eau loin de l'équipement sensible.
Inspection régulière du service d'incendie
Afin de s'assurer que tous les systèmes de détection d'incendie
sont conformes aux codes des édifices, le service d'incendie doit
inspecter le système et les installations annuellement. Aussi, le
service d"incendie doit être averti de l'emplacement de la salle des
ordinateurs, afin d'avoir l'équipement adéquat pour éteindre les
1èux d'origine électriqtle.
Murs, planchers et plafonds Ignifugés de la salle des
ordinateurs
Les murs qui entm1rent l'installation de 1Taîtement de
1'information doivent contenir le feu ou l'empêcher de sc
propager. Les murs avoisinants doivent joindre le plancher et le
plafond vélitablcs et posséder un classement de résistance au feu
d'au moins deux heures.
Protecteurs de surtensions électriques
Ces appareils électriques réduisent le risque de dommages f..1its à
l'équipement en raison des pointes d'électricité. Les régulateurs
de voltage mesurent le courant électrique entrant ct augmente
ou diminue la chnrge pour assurer un courant régulier. De tels
protecteurs sont normalement incorporés dans les systèmes
d'alimentation sans coupure.
Manuel de Préparation C/SA 26" édition
ISACA. Tous droits réservés.
e Gertifioo tntonnation
Systems Audllor"
;;::;;:;:;;±;:;:-···
Chapitre 5 - Protection des Actifs Informationnels
Alimentation électrique ininterrompue/Génératrice
Un système d'alimentation sans coupure est composé d'une
bat1erie ou d'une génératrice qui ·IOnctionnc à l'essence ct qui
interface avec l'alimentation électrique qui entre dans l'installation
et l'alimentation électrique qui entre dans l'ordinateur. Le système
nettoie normalement l'alimentation pour s'assurer que la tension
dans l'ordinateur est normale. Le système d'alimentation
sans coupure continue de fournir l'alimentation électrique à
l'ordinateur ù partir de la génératrice pendant un certain temps
en cas de panne d'électricité. Selon le niveau de perfection du
système d'alimentation sans coupure, l'alimentation électtique
pourrait continuer de fonctionner pendant des jours ou pendant
quelques minutes seulement afin de permettre une fcnneture
ordonnée des ordinateurs, Un système d'alimentation sans
coupure peut être incorporé dans un ordinateur ou être une pièce
d'équipement externe,
Commutateur de mise hors tension d'urgence
Il peut être nécessaire de mettre hors tension immédiatement
l'ordinateur et des appareils périphériques, par exemple lors d'un
incendie de la salle d'ordinateurs ou d'une évacuation d\Jrgencc,
Deux commutateurs de mise hors tension d'urgence doivent servir
à cette fin, un dans la salle des ordinateurs et l'autre près de la
salle des ordinateurs, mais à l'extérieur de celle-ci,
Les commutateurs doivent être clairement identifiés et facilement
accessibles à cette fin, mais seules les personnes autorisées
devraient pouvoir y accéder, Les commutateurs doivent être
protégés afin d'empêcher une activation accidentelle,
Chemin d'alimentation de deux postes électriques
Les !ignes d'alimentation électrique qui alimentent l'installation
sont exposées à plusieurs dangers environnementaux ; l'eau, le
feu, les éclairs, une coupure causée par un creusage imprudent.
Afin de réduire le risque d'une panne électrique en raison de
ces événements. qui pour la plupmt sont en dehors du contrôle
de J'entrep1ise, des lignes d'alimentation redondantes doivent
alimenter l'installation, De cette manière, l'interruption d'une
ligne d'alimentation électtique n'a pas d'effets néfastes sur
Palimcntation électrique,
Câbles placés dans les panneaux et /es tubes
protecteurs électriques
Afin de réduire le risque qu'un incendie d'origine électrique
survienne et sc répande, le câblage doit être placé dans des
panneaux et des tube._.:, protecteurs résistants au feu. Ces tubes
protecteurs sont génCralement situés sous le faux-plancher
ignifugé de la salle des ordinateurs,
Activités inhibées au sein de l'Installation de
traitement de l'Information
L'utilisation de nourriture, de breuvages et de tabac peut causer:
des incendies, !"accumulation de contaminants ou des dommages
aux équipements sen.sibles (spécialement dans le cas des liquides),
Ils doivent être interdits dans l'installation de traitement de
l'infommtion (ITJ), Cette interdiction doit être manifeste, par
exemple une indication à l'entrée,
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés,
Section deux : Contenu
Matériaux de bureau résistant au feu
Les corbeilles à papier, les rideaux, les bureaux, les cabinets et
autre matériel de bureau général dans I'ITJ doivent être résistants
au fCLL Les liquides nettoyants pour les bureaux, les écrans de
console ainsi que d'autre équipement/accessoires ne doivent pns
être inflammables,
Plans d'évacuation d'urgence documentés et testés
Des plans d'évacuation doivent mettre l'accent sur la sécurité
humaine, sans toutefois laisser I'ITI physiquement sans sécurité.
Des procédures doivent être en place pour une fermeture
contrôlée de l'ordinateur dans des situations d'urgence, si le
temps le permet.
5. 7.3 AUDIT DES CONTRÔLES ENVIRONNEMENTAUX
Les procédures de test ci-après doivent également être appliquées
à tout stockage hors site ct installations de traitement Lorsque
cette fOnction est confiée à une tierce partie, un droit d'audit
contractuel peut être requis. D'autres méthodes peuvent aussi
fournir l'assurance, comme les rapport quant aux contrôles des
organisn1es de services (SOC),
Veuillez noter que le premier souci de l'auditeur des SJ doit être
d'établir le risque environnemental en évaluant l'emplacement
du centre de données, Les éléments à haut risque requièrent
davantage de contrôles environnementaux spécifiques,
Détecteurs d'eau et de fumée
Une véritïcatîon visuelle de la présence de détecteurs d'eau
et de fumée dans la salle des ordinateurs est nécessaire, On
doit déterminer si l'alimentation électrique est suffisante pour
ces détecteurs, spécialement dans le cas des appareils gui
fonctionnent à piles. De plus, les emplacements des appareils
doivent être choisis de façon à avcttir rapidement en cas
d'incendie, comme immédiatement au-dessus de l'équipement
infOrmatique qu'ils protègent, et doivent être clairement marqués
et visibles.
Extincteurs portables
Les extincteurs portables doivent être très visibles, situés dans des
emplacements stratégiques dans toute l'installation ct ils doivent
être inspectés annuellement.
Systèmes d'extinction des incendies
Les systèmes d'extinction des incendies sont coüteux ii vérifier et,
par conséquent, la capacité de 1'auditeur des SI à en déterminer le
fonctionnement est limitée, Les auditeurs des SI peuvent devoir
limiter leurs tests à la révision de la documentation pour s'assurer
que Je système a été inspecté et testé au cours de la dernière
année, L'intervalle exact des tests doit être en conformité avec les
normes ct les recommandations de l'industtie et de l'assurance,
Inspection régulière du service d'incendie
La personne responsable de l'entretien de l'équipement
d'incendie doit être contactée et on doit lui demander si
l'inspecteur du service d'incendie local ou !'évaluateur
d'assurances ont été récemment invités à faire le tour des
installations et à les inspecter. Dans l'affirmative, une copie du
rapport doit être obtenue, et la manière d'aborder les déficiences
notées doit être déterminée.
453
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
Murs, planchers et plafonds ignifugés de la salle des
ordinateurs
Avec !'aide de la direction de J'édifice, il fltut situer
l'emplacement de la documentation qui identifie la cote des
murs qui entourent I'JTL Ces murs doivent posséder une cote de
résistance au feu d'une durée d'au moins deux heures.
Protecteurs de surtensions électriques
La présence de protecteurs de surtensions électriques sur
l'équipement întOrmatique sensible et coûteux doit être
visuellement observée.
Chemin d'alimentation de deux postes électriques
Avec l'aide de la direction de I'Cdifice, la documentation qui
concerne l'utilisation et le placement de lignes électriques
redondantes dans I'ITI doit être située.
Plan de continuité des activités documenté et testé
Consultez la section 2.12.1 0 Mise à l'essai du plan pour une
description des tests de PCA.
Câbles placés dans /es panneaux et /es tubes
protecteurs électriques
Les câbles dans I'ITJ doivent être placés dans des panneaux et des
tubes protecteurs résistants au feu.
Système d'alimentation sans coupure/Génératrice
La plus récente date de test doit être déterminée et ks rapports de
tests doivent être révises.
Plans d'évacuation d'urgence documentés et testés
Une copie du plan d'évacuation d'urgence doit être obtenue. Elle
doit être étudiée pour déterminer si elle décrit comment quitter
l'ITI d'une manière organisée qui ne laisse pas les installations
physiquement non sécurisées. Il faut rencontrer un échantillon
d'employés des sr pour déterminer s'ils sont familiarisés avec le
plan documenté. Les plans d'évacuation d'urgence doivent être
affichés dans toutes les installations.
Contrôle de l'humidité/de la température
1; fT! doit être visitée à des intervalles réguliers pour détenniner si
la température et l'humidité sont adéquates.
5.8 EXPOSITIONS ET CONTRÔLES D'ACCÈS
PHYSIQUE
Les expositions physiques pourraient entraîner des pertes
financières, des répercussions légales, !a perte de crédibilité
ou !a perte de l'avantage concurrentid. Elles proviennent
principalement des dangers naturels ct causés par 1'homme,
et peuvent ex poser 1' entreprise à des accès non autorisés et à
l'indisponibilité de l'infOrmation commerciale.
454
e•s·· Ccrtif!OO!nfo~mation
H Systems A1X11tor"
-
"''"(:Jt'"'''""'"'
.
5.8.1 PROBlÈMES ET EXPOSITIONS DE !:ACCÈS
PHYSIQUE
Les problèmes d'accès physique sont une préoccupation majeure
en matière de sécurité. Les expositions et les intrus possibles sont
décrits dans les sous-sections suivantes.
Les expositions d'accès logiques
Les expositions résultant d'une infraction accidentelle ou
intentionnelle de ces chemins d'accès incluent:
• L'entrée non autorisée;
• Les dommages, le vandalisme ou le vol d'équipement ct de
documents;
• La copie ou le visionnement d'information sensible ou
protégées par des droits d'auteur;
• L'altération de l'équipement ou d'information sensible;
• La divulgation publique d'infOrmation sensible;
• L'abus cie ressources de traite1nent des données;
• Le chantage~
• Le détournement de fonds.
Intrus possibles
Les intrus possibles incluent les employés ayant un accès auto1isé
ou non autorisé qui sont :
• Mécontents (en colère ou inquiets à propos d'une mesure prise
par l'entreprise ou sa direction);
• En grève;
• Menacés par des mesures disciplinaires ou un licenciement;
• Dépendants à une substance ou au jeu;
• Aux prises avec des problèmes linanciers ou émotionnels;
• Avisés de leur mise à pied.
D'autres intrus possibles incluent:
• Des anciens employés;
• Des étrangers intéressés ou informés tels que des concurrents,
des voleurs, le crime organisé et des pirates;
• Un contrevenant accidentel, (p. ex., quelqu·un qui commet une
infraction sans le savoir).
La source d'exposition la plus probable provient d'une personne
non int(>rméc, qui commet une infraction accidentelle ou qui
ignore qu'elle a commis une infraction, bien que les conséquences
les plus importantes proviennent des actions malveillantes ou
frauduleuses.
D'autres questions et préoccupations à considérer incluent les
suivantes:
• Est-ce que les installations de matériel sont protégées
raisonnablement contre les introductions par effraction?
• Est-ce que les clés des installations informatiques sont
contrôlées convenablement pour réduire le risque d'accès non
autorisé?
• Est-cc que !cs terminaux informatiques sont verrouillés ou
sécurisés pour empêcher le déplacement de cartes, de puces ct
de l'ordinateur lui-même?
• Doit-on obtenir un laissez-passer d'équipement avant de pouvoir
retirer de l'équipement informatique de son environnement
sécurisé nom1al?
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Ccrtified Informa.uon
~~cmsAIJditG:
"''""""""~"'"'"'"
Chapitre 5 - Protection des Actifs Informationnels
Du point de vue des SI, les installations à protéger incluent:
• La zone de programmation;
• La salle des ordinateurs;
• Les pupitres de commande et les terminaux;
• La bibliothèque de bandes, les bandes, les disques et tou-. les
m(:dias magnétiques;
• Les salles de stockage et les fournitures;
• L'installation hors site de stockage des fichiers de sauvegarde;
• La 8allc de contrôle d'entrée/sortie;
• Les placards de communication;
• Céquipcment de télécommunication (incluant les rndios, les
satellites, les câbles, tes modems et les connexions réseau
externes);
• Les microordinateurs et les ordinateurs personnels;
• Les sources d'alimentation:
• Les lieux d'élimination;
• Les mises en place de miniordinateurs;
• Des téléphones dédiés/lignes téléphoniques;
• Des unités de contrôle et processeurs frontaux;
• De l'équipement pmiatif(scanneurs portables el appareils de
codage, des lecteurs de codes ù barre, des ordinateurs portatif..,,
des imprimantes, des adaptateurs de LAN de poche, et d'autres);
• Des imprimantes sur le site ct à distance;
• Des réseaux d·accès locaL
De plus, la documentation sur le système, 1ïnJ-I-astructurc ou
l'application logicielle doit être protégée contre les accès non
autorisés.
Pour que ces mesures de protection soient efficaces, elles doivent
aller au-delà de l'installation informatique afin d'inclure tous
les points d'accès vulnérables au sein de l'entreprise dans son
ensemble ct aux fhmtières/interfaces organisationnelles avec
les entreprises extemes. Cela peut inclure des emplacements
à distance ct des installations louées, prêtées ou partagées. De
plus, l'auditeur des SI peut exiger l'assurance que des contrôles
semblables existent chez les fournisseurs de services ou d'autres
tierces parties, s'ils sont des poinL'> d'accès à l'information
sensible potentiellement vulnérables au sein de l'entrcplisc.
5.8.2 CONTRÔLES D'ACCÈS PHYSIQUE
Les contrôles d'accès physique sont conçus pour protéger
J'entreprise contre les accès non autorisés. Ces contrôles
doivent limiter l'accès aux personnes autorisées par la direction
seulement. Cette autorisation peut être explicite, comme dans
le cas d'une serrure pour laquelle la direction vous autorise à
posséder une clé, ou implicite, comme dans la description de
l'emploi qui implique le besoin cravolr accès aux rapports et aux
documents d'accès sensibles.
Les serrures de portes à verrous exigent la clé de métal
traditionnelle pour entrer. La clé doit posséder une inscription
« ne pas 1·cproduire )> et doit être gardée et émise selon des
contrôles de gestion stricts.
Les serrures de porte à combinaison (serrures à chiffre)
utilisent un pavé numérique ou un cadran pour entrer; on peut en
voir fféquemmcnt sur les portes d'embarquen1ent des aéroports
et dans les petites salles de serveurs. La combinaison doit être
changée ù des intervalles réguliers ou à toutes les fois qu'un
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
employé qui po;:;sède l'accès e.._.:.;t trans1ëré, renvoyé ou sujet à des
mesures disciphnaires. Cela réduit le risque que la combinaison
soit connue par des personnes non autorisées.
Les serrures électroniques utilisent une carte~c!é en plastique
basé~ sur la puce magnétique ou gravée ou un jeton que l'on entre
dans un lecteur capteur pour entrer. Un code spécial stocké à
l'inté1ieur de la carte ou du jeton est lu par l'appareil capteur, qui
active ensuitt: le mécanisme de serrure de la porte. Les serrures
électroniques possèdent les avantages suivants en comparaison
avec les serrures à verrous ct à combinaisons :
• En passant par le code interne spécial, les cartes peuvent être
attribuées à une personne identifiable.
• En passant par le code spécial interne et les appareils capteur,
J'accès peut être limité en se basant sur les besoins d'accès
uniques à une personne. Des restrictions peuvent être attribuées
à des portes particulières ou à des heures de la journée
particulières.
• Elles sont difficiles ù reproduire.
• L~cntrée par carte peul êtTe facilement désactivée advenant
qu'un employé est renvoyé ou si une cmie est perdue ou volée.
Des alarmes silencieuses ou sonores peuvent être activées
automatiquement si une entrée non autoJiséc est tentée.
~.?émission, la justification ct la recherche des cmtes-clés sont
des processus administratifs qui doivent être bien contrôlés.
La carte-clé est un élément important à récupérer lorsqu 'un
employé quitte l'entreprise. Un exemple d'une technique
commune utilisée pour l'entrée par carte est de glisser la cmtc.
Le fait de glisser la carte est une technique de contrôle physique
qui utilise une carte en plastique avec une bande magnétique qui
contient des données chiffrées pour des emplacements limités
ou sécurisés. Les données codées peuvent être lues par un
appareil à fente électronique. Après qu'une cmie a été glissée,
l'application reliée à l'appareil à fente électronique empêche
J'accès physique non autorisé à ces emplacements sensibles, tout
comme elle journalise tous les utilisateurs de carte qui tentent
d'entrer à l'emplacement sécurité.
Les serrures biométriques de porte sont activées par des
caractéristiques physiques uniques à une personne, comme
la voix, la rétine, les empreintes digitales, la géométrie des
mains ou la signature. Ce système est utilisé dans !cs cas où des
installations extrêmement sensibles doivent être protégées, par
exemple dans l'armée.
La journalisation manuelle signifie que tous les visiteurs
doivent être obligés de signer un journal de visiteur, qui indique
leur nom, le représentant de l'entreprise, la raison de la visite,
la personne à voir et la date et l'heure d'entrée et de sortie. Cela
se fait normalement au comptoir de réception et à l'entrée de
la salle des ordinateurs. Avant d'obtenir l'accès, le~ visiteurs
doivent aussi être obi igés de fournir une preuve de leur identité
comme un permis de conduire, une carte d'affaire ou une étiquette
d'identification de distributeur.
La journalisation éledronique est une caractéristique des
systèmes de sécurité électroniques et biométriques. Tous les accès
peuvent être joumalisés, en mettant l'accent sur les tentatives
i 11 fructueuses.
455
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
Les cartes d'identification (pièce d'identité avec une photo)
doivent être portées et affichées par tout le personnel. Les cartes
d'identi rication des visiteurs doivent être d'une couleur diilërentc
de celles des employés pour faciliter l'identification, Des pièces
d'identification élaborées avec photo peuvent aussi être utilisées
comme des cat1es clés électroniques. L'émission, !a justification
et la récupération des cartes ct Identification est un processus
administratif qui doit être bien contrôlé.
Les caméras vidéo en circuit' fermé (CCTV) doivent ètre
situées dans des points stratégiques et contrôlées par des gardiens
de séclllité. Des caméras élaborées peuvent être activées par le
mouvement. Les enregistrements de la surveillance vidéo doivent
être conservés pour des visionnements possibles tùturs ct les
images doivent être enregistrées avec une résolution suffisante
pour pouvoir agrandir l'image et identifier un intrus.
Les gardiens de sécurité sont vraiment utiles si leur travail est
complété par des caméras vidéo et des portes verrouillées. Les
gardiens fournis par une agence exteme doivent être cautionnés
pour protéger l'entreprise de pertes.
L'accès aux visiteurs contrôlé signifie que tous les visiteurs
doivent être escortés par un employé responsable. Les visiteurs
incluent les amis. le personnel d'entretien, les distributeurs
informatiques, les consultants (sauf à long terme~ dans de tels cas,
un accès d 1invité spécial peut être donné) et les auditeurs externes.
Tout personnel de .service à contrai', comme les personnes de
l'entretien et les services de stockage hors site, doit être du
personnel cautionné. Cela n'améliore pas la sécurité physique,
mais limite l'exposition financière de l'entreprise.
Les portes de sécurité, aussi appelées sas ou antichambre, sont
un système à deux portes qui se trouve généralement aux entrées
d'installations comme les salles d'ordinateurs et les secteurs à
haute sécurité. Pour que la deuxième po11e fOnctionne, la première
porte d'entrée doit se fermer ct se verrouiller, autorisant une seule
personne dans l'aire d'attente. Cela réduit le risque de talonnage,
lorsqu'une personne non autorisée suit une personne autorisée par
une entrée sécurisée. À certains endroits, le même eflèt est obtenu
en utilisant un tourniquet pleine hauteur. Les poi1es de sécUiité
peuvent aussi servir aux secteurs de livraison et de répartition,
où les portes extérieures s'ouvrent pour laisser entrer un camion
ct où les pmies intérieures ne peuvent être ouvertes pour le
chargement ou le déchargement qu'une fois les portes extérieures
fermées ct verrouillées.
Les cadenas pour postes de travail verrouillent l'appareil au
bureau, ce qui empêche l'ordinateur d'être allumé ou désengage
la reconnaissance du clavier, ce qui empêche l'utilisation. Une
autre caractéristique disponible est les cadenas <]ui empêchent
d'allumer un poste de travail d'ordinateur personnel tant qu·un
verrou n'est pas déverrouillé par une clé ou une carte-clé. C'est
parfois le cas avec les postes de travail à haute sécurité, comme
ceux utilisés pour le traitement de la paie.
lJn point d'entrée unique contrôlé surveillé par une
réceptionniste doit être utilisé par tout le personnel entrant. De
multiples points d'entrée augmentent le risque d'entrées non
456
eiSA' Certl.'"".!nlo~tion
.M. Systems Auditor•
;;~~-
autorisées. Les points d'accès inutiles ou inutilisés, comme
les portes menant à des zones fumeurs ou zones de pause à
l'extérieur, doivent étre éliminés. Les sorties d'urgence peuvent
être œliées à une barre antipaniquc protégée par une alarme pour
tàciliter l'évacuation rapide.
lJn système d'alarme doit être relié à tous les points d'entrée
inactifs, aux détecteurs de mouvement et à l'inversion du dëbit de
portes d'entrée ou de sortie seulement. Le personnel de la sécmité
doit être en mesure d'entendre l'alanne lorsqu'elle est activée.
Des chariots sécurisés de distribution des documents et des
rapports, comme des chatiots de poste, doivent être couverts ct
verrouillés ct ne doivent pas être laissés sans surveillance.
Les installations comme les salles d'ordinateurs ne doivent pas
être visibles ni identifiables de l'ext01icur. Elles ne doivent pas
être munies de fenêtres ni d'affiches. Le plan du bâtiment ou du
service doit idenlificr discrètement J'emplacement général du
traitement de ! 'information. Si des fenêtres sont présentes, elles
doivent ètrc faites de verre renforcé, et si elles se trouvent au rez-
de-chaussée du bâtiment, elles doivent disposer d'une protection
supplémentaire comme des barreaux.
5.8.3 AUDIT DE !:ACCÈS PHYSIQUE
Effectuer une visite du site informatique est utile afin que
l'auditeur puisse obtenir une compréhension et une perception
générale de 11installation vérifiée. Comme pour les contrôles
environnementaux, si J'emplacement appartient à un tiers, un
droit d'audit contractuel pourrait être néccssnirc. Ceue visite
permet de commencer à réviser les limites de l'accès physique
(p. ex., le contrôle sur les employés, les visiteurs, les intrus ct les
distributeurs).
Le site informatique (c.-à-d., la salle des ordinateurs, la zone
des développeurs, l'entrepôt des suppmis d'infOrmation, les
stations d 1impression et les bureaux de la direction) ct toutes les
installations de stockage hors site doivent être inclus dans cet1e
visite.
Beaucoup de tests des sauvegardes physiques peuvent être réalisés
en observant visuellement les sauvegardes notées précédemment.
Les documents qui peuvent aider dans cette tâche incluent les
procédures d'évacuation d'urgence, des fiches de contrôle
(inspection récen!e?), les résultats du test de lutte active contre
l'incendie (réussi? testé récemment?) et les journaux des verrous
(toutes les clés sont justifiées et celles des anciens employés ou
consultants ont été récupérées?).
Les tests doivent s'étendre à plus que la salle des ordinateurs pour
inclure les installntions connexes suivantes :
• L'emplacement de toutes les consoles système;
• Les salles d'impression;
• Les salles de stockage des ordinateurs (cela inclut les salles
d'équipement, de papier ct de fOurniture);
• Le système d'alimentation sans coupure/génératrice:
• L'emplacement de tout l'équipement de communication
identifié sur le diagramme réseau;
• L'entrepôt des supports d'infonnation;
• L'installation de stockage de sauvegarde hors site.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e .
'. M
ertifrod fnfo:mation
Systems Audit()(
~,,,__..,.,,,.,.'""'
Chapitre 5 - Protection des Actifs Informationnels Section deux : Contenu

Pour une vérification en protèmdeur, l'auditeur des SI doit • Au dessus des plafonds !mspcndus et ROus les f..1ux-planchers;
regarder par-dessus les panneaux du plafond et sous le faux- .. Les systèmes de ventilation;
plancher dans le centre d'opérations informatique pour vérifier .. Au-dessus d'un rideau, ümx mur.
qu'il y a des détecteurs de fumée et d'cau, une propreté générale
et des murs qui vont du plancher jusqu'au plafond réel (pas
seulement jusqu 'au faux plafOnd ou plafond suspendu). Pour
5.9 INFORMATIQUE MOBILE
une salle d'ordinateurs située au rez-de-chaussée, l'auditeur peut
L'informatique mobile se réfère aux appareils qui sont transportés
aussi inspecter 1'extérieur de la salle, regarder 1'installation depuis
ou déplacés dans le cadre de leur utilisation normale. Voici
toutes les fenêtres, examiner les po1ics de sortie d'urgence pour
quelques exemples d'appareils mobiles courants :tablettes.
savoir si elles sont fréquemment utilisées (p. ex., la prCsence de
téléphones intelligents, ordinateurs portables, périphériques de
mégots de cigarettes ou de déchets) et vérifier les appareils de
stockage USB, appareils photo numériques et autres technologies
climatisation. L'auditeur doit aussi évaluer sïl existe d'autres
similaires. Leur mobilité rend plus difficile la mise en œuvre de
menaces à proximité de la salle, comme un entrepôt de matières
contrôles d'accès logiques ct physiques.
dangereuses ou inllammab!es.
Le tableau 5.24 présente certaines vulnérabilités connues des
t.es chemins d'entrée physiques qui suivent doivent être évalués
appareils mobiles ainsi que les menaces associées qui doivent être
pour une sécurité appropriée :
comprises.
• TOutes les portes d'entrée;
• Les pOlies de sortie d'urgence;
En outre, cetiaincs entreprises encouragent les membres du
• Les fenêtres et les murs en verre:
pcn;;onnel à utiliser leurs propres appareils mobiles à des fins
• Les murs amovibles et les bureaux modulaires à cloison;
protèssionnellcs, ce qui ajoute un autre niveau de complexité

Tableau 5.24 ~ Vûlnérabllités, menaces et risques des appareils mobiles

Vulnérabilité
!:information circule par les réseaux sans fil qui
sont souvent moins sécurisés que les réseaux
filaires.
La mobiliTé offre aux utilisateurs la possibilité de
quitter les frontières de l'entreprise et élimine
ainsi de nombreux contrôles de sécurité.
La technologie Bluetooth est trés pratique pour
de nombreux utilisateurs et leur permet d'avoir
des conversations mains libres. Cependant,
elle est souvent laissée activée et est donc
détectable.
De l'information non chiffrée est stockée sur le
périphérique.
La perte de données peut affecter la productivité
des employés.
Aucune exigence d'authentification n"est
appliquée à l'appareil.
!:entreprise ne gère pas l'appareil.
!:appareil permet d'installer des applications
tierces non approuvées.
Source: !SAGA, Securing Mobile Deviees, É.-U., 2012
Menace
Des personnes malveillantes peuvent causer du
mal à l'entreprise.
Les appareils mobiles franchissent les frontières
et les périmètres des réseaux. Lorsqu"ils
comportent des logiciels malveillants, ils peuvent
les apporter dans le réseau de l'entreprise.
Les pirates peuvent découvrir l'appareil et lancer
une attaque.
Dans le cas où une personne malveillante
intercepte les données en transit ou vole un
appareil, ou si l'employé perd l'appareil, les
données sont lisibles et utilisables.
Les appareils mobiles peuvent être perdus
ou volés en raison de leur portabilité. Les
données sur ces appareils ne sont pas toujours
sauvegardées.
Dans le cas où l'appareil est perdu ou volé, des
étrangers peuvent y accéder ainsi qu'à toutes
ses données.
S"il n'existe aucune stratégie visant les appareils
mobiles, les employés peuvent choisir d'apporter
leurs propres appareils non sécurisés.
Les applications peuvent contenir des logiciels
malveillants qui propagent des chevaux de Troie
ou des virus; les applications peuvent aussi
transformer l'appareil en une passerelle vers
le réseau de l'entreprise pour des étrangers
malveillants.
Risque
Interception de 1'information ayant pour résultat
la violation de données sensibles, la détérioration
de la réputation de l'entreprise, le non-respect
d'un règlement ou une action en justice.
Propagation de logiciels malveillants entraînant
des tuiles de données, la corruption de données
et l'indisponibilité des données requises.
Corruption de l'appareil, perte de données,
interception d'appels. exposition possible de
!"information sensible.
Exposition des données sensibles pouvant
causer des dommages à l'entreprise. aux clients
ou aux employés.
Incapacité pour les travailleurs qui dépendent
des appareils mobiles de travailler en cas de bris,
de perte ou de vol, et lorsque les données ne
sont pas sauvegardées.
Exposition des données pouvant entraîner des
dommages à l'entreprise et des questions de
responsabilité et de régulation peuvent survenir.
Perte ou vol de l'appareil pouvant causer des
fuites de données, la propagation de logiciels
malveillants ou la perte de données à une échelle
inconnue.
Propagation de logiciels malveillants. luites
de données ou intrusion sur le réseau de
l'entreprise.

Manuel de Préparation CISA 26• édition 457

ISACA. Tous droits réservés.
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
pour protéger ces appareils. Les contrôles qui suivent réduiront
le risque de divulgation des données sensibles stockées sur les
appareils mobiles. Beaucoup d'entre eux peuvent être protégés
par des solutions de gestion des terminaux mobiles et des
conteneurs sécurisés (un espace chiffré et authentifié séparément
dans l'appareil mobile, qui est utilisé pour séparer les données
sensibles des données personnelles), et ce, tant pour les appareils
d'entreprise ct personnels:
• Enregistrement des appareils-~ Tous les appareils mobiles
autorîsés pour l'utilisation commerciale doivent être
enregistrés dans une base de données. Ceux qui appattienncnt
personnellement à des employés doivent être signalés. Les
entreprises peuvent pousser des mises à jour ou gérer les
appareils autmisés et exclure les appareils mobiles personnels.
• Repérage- Le fait de repérer physiquement l'appareil avec un
identifiant d'actif peut favoriser son retour s'il devait être perdu;
cependant, il peut être risqué d'identifier l'organisation qui
possède l'appareil.
• Sécurité physique-·- Si l'appareil est stationnaire ct le permet. il
est possible d'utiliser un système de verrouillage de câbles ou un
système doté d'un détecteur de mouvement qui déclenche une
alarme sonore.
• Stockage des données-~ Il ne faut stocker sur l'appareil que
ce qui est absolument nécessaire. Avec la possibilité d'accéder
ù des serveurs centraux à distance, l'obligation de stocker des
données localement doit être remise en question. Si les données
ne sont pas stockées localement, elles ne repr~sentcront pas un
problème si l'appareil est perdu ou volé. Les données stockées
doivent être sauvegardées sur une base régulière, plutôt que
d'utiliser des dossiers partagés sur le serveur de fichiers de
l'entreprise.
• Détection et contrôle des virus- La menace associée aux virus
s'applique à tous les appareils mobiles. L'enl-reprise doit mettre
à jour le logiciel antivirus de l'appareil mobile afin d'éviter la
propagation de logiciels malveillants.
• Chiffrement- Les appareils mobiles utilisés pour stocker de
l'information sensible ou contïdcnticlle doivent être chiffrés
en respectant les politiques de sécurité de J'infOrmation de
l'entreprise, rendant obligatoire l'utilisation d'un mécanisme de
chiffrement ferme.
• Conformité .. Les appareils mobiles doivent se conformer aux
exigences de sécurité telles que définies dans les nonnes de
l'entreprise. Tous les appareils mobiles doivent requérir un mot
de passe. Une authentification à deux facteurs peut être utilisée
pour améliorer davantage la sécurité.
"'Approbation· .[_;utilisation d'appareils mobiles doit être
autorisée convenablement et approuvée en respectant les
politiques et les procédures de l'entreprise.
• Politique d'utilisation acceptable-- Une politique de sécurité
doit exister pour les appareils mobiles. Centreprise doit avoir
une politique sur l'utilisation d'appareils mobiles qui précise les
types d'infOrmation, d'appareils et de services d'infonnation qui
peuvent être accessibles par les appareils.
• Diligence raisonnable- Les employés doivent exercer une
diligence raisonnable dans les environnements de bureau ct
spécialement lorsqu'ils voyagent. La perte ou le vol d'un
appareil mobile do il être traitée comme une brèche de sécurité et
rapportée immédiatement conformément aux politiques et aux
procédures de la gestion de la sécmité.
• Formation sur la sensibilisaHon --L'orientation de J'employé
458
e k:E:,:~;."""
et la formation sur la sensibilisation à la sécurité doivent couvrir
la politique ct les recommandations concernant les appareils
mobiles. La fOrmation permettra d'accroître la sensibilisation au
fait que les appareils mobiles sont d'importants outils d'affaires
lorsqu'ils sont utilisés adéquatement el qu'ils possèdent
des risques qui leur sont associés s'ils ne sont pas gérés
convenablement.
• Authentification, autorisation et responsabilisation sur le
réseau·- Les organisations de Tl devraient adopter une solution
qui leur permet de relier les appareils qui se branchent au réseau
à l'identité et au rôle de chaque utilisateur, afin d'appliquer
une politique fondée sur le rôle pour accorder les privilèges
d'accès adéquats. Cela permet aux organisations de Tl de
différencier l'accès pour ditlërents niveaux d'employés ou
d'invites, ou même par type d'appareil. Les organisations de Tl
peuvent également alors adopter une attitude active quant à la
surveillance de l'utilisation des appareils mobiles sur le réseau.
"'Transmission sécurisée Les appareils mobiles doivent sc
connecter au réseau de l'entreprise par une connexion sécurisée,
comme sur un VPN.
"Applications standard pour appareils mobiles~ La
configuration ct l'utilisation des appareils mobiles doivent être
établies et contrôlées. Seules les applications qui respectent
!·architecture de sécurité de J'entrcpdse ou qui sont livrées
comme une norme pour les appareils mobiles doivent être
autorisées et toutes les applications logicielles doivent avoir la
bonne licence et être installées adéquatement par l'équipe de
soutien de l'organisation des SI. Les solutions de gestion des
terminaux mobiles peuvent y parvenir.
• Repérage par géolocalisation- Il y a de nombreux débats
entourant les enjeux de confidentialité liés au repérage par
système de localisation GPS, mais les capacités de localisation
intégrées aux appareils mobiles peuvent avoir une valeur
inestimable en cas de perte ou de vol.
• Effacement ct verrouillage à distance .... Vu la nature des
appareils mobiles, de nombreuses solutions de gestion sont
axées sur la sécurisatîon de l'appareil en cas de perte ou de vol.
Certaines solutions de gestion des terminaux mobiles permettent
au service des Tl d'envoyer une alerte à l'appareil afin d'aider
l'utilisateur à le repérer; si l'appareil est véritablement perdu, le
service peut alors nettoyer et verrouiller à distance l'appareil ou
le contenant.
"'Appareils mobiles personnels Les employés doivent être
tenus de se confOrmer à un accord sur les appareils mobiles
personnels ou un accord d'utilisation acceptable (AUA) avant
que J'appareil puisse être utilisé à des fins commerciales. Il
peut également stipuler que les appareils peuvent être saisis,
au besoin, pour des questions juridiques. Un AUA assure
que le maintien de la sécurité lors de l'utilisation d'appareils
personnels est une responsabilité partagée par l'utilisateur et le
service des Tl. En outre, la direction générale doit approuver les
appareils mobiles personnels et ceux-ci doivent être soumis à
une surveillance ct un suivi.
• Soutien à distance sécurisé~ Les employés qui utilisent
beaucoup leurs appareils personnels travaillent souvent à
l'extérieur du bureau. Pour maintenir la satisfaction des
employés, il est impératif de disposer d'un moyen de fournir
du soutien et de réparer les appareils à distance. Selon le type
d'appareil, les solutions de soutien à distance peuvent permettre
aux centres d'assistance de configurer les appareils, de faire
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e . Certifled Information
Systems Auditof'
'"~'"'"'~'-'"'"""
Chapitre 5 - Protection des Actifs Informationnels Section deux : Contenu

du clavardage, de transférer des fichiers et même de consulter
et contrôler les appareils à distance. Il est important de choisir
une solution qui prend en charge un grand nombre d'appareils
et conserve tous !es journaux d'accès et d'activité derrière le
coupe-f:Cu de l'entreprise afin d'assurer la sécurité.
5.10 INFORMATIQUE PAIR-À-PAIR
L'infOrmatique pair-::i-pair est une architecture distribuée dans
laquelle les tâches ou les charges de travail sont patiagées entre
les pairs. En informatique pair-à-pair, on ne se branche pas à un
serveur en pmticulicr. En général, la connexion est établie entre
deux pairs : une connexion entre deux ou plusieurs systèmes
ayant un intérêt commun. Les réseaux pair-à-pair sont utilisés
presque exclusivement pour le partage de fichiers. Les entreprises
doivent évaluer très sérieusement le risque par rappOit aux
avant.:'lgt.--s perçus avant d'autoriser l'accès aux ré:;eaux pair-à-pair
(tableau 5.25).
5.11 MESSAGERIE INSTANTANÉE
Les médias sociaux diffèrent des médias traditionnels par
le niveau d'interaction et d'interactivité à la disposition du
consommateur. Par exemple, un spectateur peut regarder les
nouvelles à la télévision sans quïl y ait de mécanismes de
rétroaction interactifs, tandis que les outils des médias sociaux
permettent aux consommateurs de faire des commentaires, de
discuter et même de diffUser les nouvelles. !.:utilisation des
médias sociaux a créé des platefonncs de communication très
eJficaces où t.out utilisateur, peu importe où il sc trouve dans le
monde, peut librement créer du contenu et le diffuser en temps
réel à un public mondial dont la taille peut varier de quelques
personnes à littéralement quelques millions d'individus.
Il existe de nombreux types d'outils de médias sociaux : les
blogues (p. ex, WordPress), les sites de partage d'images et de
vidéos (p. ex., Fhckr ct YouTube), les réseaux sociaux (p. ex.,
Facebook) ct le réseautage professionnel (p. ex., Linkedln). Le
lien commun entre toutes les formes de médias sociaux est que
le contenu est fourni et géré par les utilisateurs individuels, qui
exploitent les plateformes et outils fournis par les sites de médias
sociaux.

La messagerie instantanée (Ml) est un service de communication
qui permet à un utilisateur de dialoguer en temps réel par un
réseau sur Internet. C'est un outil populaire pour collaborer· et
rester en contact. Cela permet d'entrer en relation avec un autre
utilisateur, de discuter et. d'obtenir des réponses rapides, plutôt
que d'échanger un grand nombre de messages courricl. Il y a
toutefois un 1isque associé à la Ml (tableau 5.26).
Les entreprises utilisent les médias sociaux pour accroltre
la reconnaissance de la marque, les ventes, les revenus et la
satisl~1ction des clients; cependant, il existe un risque associé ù
leur utilisation. Ce risque peut être divisé en deux catégories :
les entreprises ayant une présence corporative dans les médias
sociaux (tableau 5.27) et celles dont les employés utilisent les
médias sociaux (tableau 5.28).

5.12 MÉDIAS SOCIAUX 5.13 INFONUAGIQUE

La technologie des médias sociaux implique la création et la Comme l'indique la section 2.9.2 Pratiques d'externalisation,
diffusion de contenu par les réseaux sociaux à !'aide d'Internet. il existe différents modèles de service (laaS, PaaS ct SaaS) et

'Tableau 5.25 -Risque de l'informatique pair-'à-gair

Menaces et vulnérabil~és
Introduction de virus et de logiciels
malveillants sur le réseau de
l'organisation
Contenu protégé qui se trouve sur le
réseau d'entreprise
Utilisation excessive du pair-à-pair
dans le lieu de travail
Exposition de l'adresse IP
Risque
• Fuites de données, vo!
• Systèmes appropriés (ordinateurs
zombies)
• Temps d'arrêt du système
• Ressources requises pour nettoyer
les systèmes
• Sanctions réglementaires et amendes
• Actions juridiques indésirables
• Problèmes de licences
• Atteinte à la réputation
• Problèmes d'utilisation du réseau
• Perte de productivité
• Usurpation d'adresse IP
• Reni!lage du trafic
• Autres attaques basées sur l'adresse
IP
Contrôles
• Veiller à ce que les contrôles antivirus et anti-logiciels malveillants
soient installés sur tous les systèmes et mis à jour quotidiennement
• Bloquer le trafic pair-à-pair.
• Empêcher l'installation de clients pair-à-pair.
• Établir ou mettre à jour des politiques et des normes.
• Développer et organiser des formations et des campagnes de
sensibilisation pour informer les employés du risque encouru avec
le pair-à-pair.
• Bloquer le trafic pair-à-pair.
• Empêcher l'installation de clients pair-à-pair.
• Établir ou mettre à jour des politiques et des normes.
• Développer et organiser des formations et des campagnes de
sensibilisation pour informer les employés du risque encouru avec
le pair-à-pair.
• Limiter l'utilisation du pair·à-pair.
• Établir ou mettre à jour des politiques et des normes.
• Développer et organiser des formations et des campagnes de
sensibilisation pour informer les employés du risque encouru avec
le pair-à-pair.
• Bloquer le trafic pair-à-pair.
• Empêcher l'installation de clients pair-à-pair.
• Établir ou mettre à jour des politiques et des normes.
• Traduire les adresses de réseau.

Manuel de Préparation CISA 26" édition 459

ISACA. Tous droits réservés.
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels eiSA
""'
Certified lnformatioo
Systems Auditor·
----+---
'""C<'"""'"''"'

modèles de déploiement ( infonuagique privée, communautaire,
publique et hybride} lorsque l'on considère l'infbrmatique en
nuage.
Peu importe les modèles déployés, les objectifs de sécurité requis
pour répondre aux besoins d'affaires de l'organisation doivent
être atteints. Cela comprend :
• S'assurer de la disponibilité continue de leurs systèmes
d'information et des données.
• S'assurer de l'intégrité de l'information en transit et de ccHe
stockée sur leurs systèmes infOrmatiques.
• Préserver la confidentialité des données sensibles lorsqu'elles
sont stockées et en tmnsiL
• S'assurerdc la conformité aux lois, aux réglementations et aux
normes applicables.
• Assurer le respect des exigences de confiance ct d'obligation
en lien avec toute infOrmation reliée à un individu identifié
ou identifiable (c.-ù-d. le sujet des données) en fonction
de sa politique en matière de confidentialité ou des lois ct
réglementations applicables concernant la confidentialité.
.. S'assurer que les données sensibles sont protégées adéquatement
pendant le stockage et le transport, selon les exigences de
1'organisation.
Le risque associé à l'informatique en nuage ct les contrôles
associés sont décrits au tableau 5.29.

Tableau 5;26- Risque assm:ié à la m~gerie ioSlâiffiinee

Menaces et vulnérabilités
Introduction de virus et de
logiciels malveillants sur le
réseau de l'organisation (en
particulier par hameçonnage).
Écoute illégale
Utilisation excessive de la Ml
dans le lieu de travail
Risque Contrôles
• Fuites de données, vol • Veiller à ce que les contrôles antivirus et anti-logiciels
• Systèmes appropriés (ordinateurs zombies) malveillants soient installés sur tous les systèmes et mis à
• Temps d'arrêt du système jour quotidiennement.
• Ressources requises pour nettoyer !es systèmes • Bloquer le trafic de Ml.
• Autoriser uniquement une solution close de messagerie
ipstantanée d'entreprise.
• Etablir ou mettre à jour des polrtiques et des normes.
• Développer et organiser des formations et des campagnes
de sensibilisation pour informer les employés du risque
encouru avec la Ml.
• Fuites de données, vol • Chiffrer le trafic de Ml.
• Autoriser uniquement une solution close de messagerie
instantanée d'entreprise.
• Établir ou mettre à jour des politiques et des normes.
• Développer et organiser des formations et des campagnes
de sensibilisation pour informer les employés du risque
encouru avec la ML
• Problèmes d'utilisation du réseau • Limiter l'utilisation de la Ml.
• Perte de productivité • Établir ou mettre à jour des politiques et des normes.
• Développer et organiser des formations et des campagnes
de sensibilisation pour informer les employés du risque
encouru avec la Ml.

Tableau 5.21- Risque assm:lé à une présence co!Porative dans les médias sociaux
Menaces et vulnérabilités
Introduction de virus et de
logiciels malveillants sur le
réseau de l'organisation.
Exposition de clients et de
l'entreprise en raison d'une
présence corporative frauduleuse
ou détournée.
Risque
• Fuites de données, vol
• Systèmes appropriés (ordinateurs zombies)
• Temps d'arrêt du système
• Ressources requises pour nettoyer les systèmes
• Contrecoup des clients, actions juridiques
indésirables
• Exposition des renseignements se rapportant
au client
• Atteinte à la réputation
• Attaques d'hameçonnage ciblées sur des clients
ou des employés
Contrôles
• Veiller à ce que les contrôles antivirus et anti-logiciels
malveillants soient installés sur tous les systèmes et mis à
jour quotidiennement.
• Utiliser la technologie de filtrage de contenu pour restreindre
ou limiter l'accès à des sites de médias sociaux.
• Veiller à ce que les contrôles appropriés soient également
installés sur les appareils mobiles comme les téléphones
iptelligents.
• Etablir ou mettre à jour des politiques et des normes.
• Développer et organiser des formations et des campagnes
de sensibilisation pour informer les employés du risque
encouru par l'utilisation des sites de médias sociaux.
• Engager une firme de protection de la marque qui peut
surveiller Internet et chercher des traces de mauvaise
utilisation de la marque de l'entreprise.
• Donner régulièrement de l'information aux clients afin de
maintenir leur sensibilisation face aux fraudes potentielles et
afin d'établir des lignes directrices claires sur l'information
qui peut être publiée dans le cadre de la présence
corporative dans les médias sociaux.

460 Manuel de Préparation CISA 26" édition

ISACA. Tous droits reservés.
e Certifiedlnf~_tion
Systems Aud1tor
.. --
"''""""""""""'
Tableau 5.27- Risque assoéûi à une présence COlJWl!live t!lîns les mediassoclaux (suite)
Menaces et vulnérabilités
Droits de contenu imprécis
ou mal définis relativement
à l'information affichée sur
les médias sociaux.
Passage à un modèle
d'affaires numérique
pouvant accroître les
attentes en matière de
service à la clientèle.
Mauvaise gestion
des communications
électroniques pouvant
être touchées par des
règlements de rétention ou
d'investigation informatique.
Source: lSACA, Social Media: Business Benefits and Sewrity, Govemance and Assurance Perspectives, É.-U., 2010, fiyure 1
Menaces et vulnérabilités
Utilisation de comptes
personnels afin de
communiquer des
informations liées au
travail.
Affichage par les employés
de photos ou d'information
qui les lient à l'entreprise.
Utilisation excessive des
médias sociaux dans le lieu
de travail.
Accès des employés aux
médias sociaux sur des
appareils mobiles fournis
par l'entreprise (téléphones
intelligents, tablettes).
Source : ISACA, Social Media: Business Benefits and Security, Governance and Assurance Perspectives, Ë.-U., 2010, figure 2
Manuel de Préparation CISA 26' édition
ISACA. Tous droits reservés.
Chapitre 5 - Protection des Actifs Informationnels
Risque
• Perte de contrôle ou de droits légaux
relativement à l'information affichée sur les
médias sociaux.
• Insatisfaction de la clientèle face à la rapidité • Veiller à ce qu'il y ait suffisamment de personnel pour traiter la
de réaction dans ce secteur, entraînant de
potentiels dommages à la réputation de
l'entreprise ainsi que des problèmes de
rétention de la clientèle.
• Sanctions réglementaires et amendes
• Actions juridiques indésirables
Tableau 5.28- Ri!!llue associé à l'il!illsation personnelle des médias sociaux par les employés
Risque
• Violations de confidentialité
• Atteinte à la réputation
• Perte de l'avantage concurrentiel
• Dommages à la marque
• Atteinte à la réputation
• Problèmes d'utilisation du réseau
• Perte de productivité
• Augmentation du risque d'exposition aux
virus et aux logiciels malveillants en raison
d'une plus longue durée des sessions.
• Infection des appareils mobiles
• Vol de données à partir d'appareils mobiles
• Contournement des contrôles d'entreprise
• Fuite de données
Section deux : Contenu
Contrôles
• Veiller à ce que les équipes juridiques et de communication examinent
attentivement les accords de l'utilisateur des sites de médias sociaux
envisagés.
• Mettre en place des politiques claires qui dictent aux employés et aux
clients quelles informations doivent être affichées dans le cadre de la
présence corporative dans les médias sociaux.
• Si possible et approprié, s'assurer de la capacité de capter et
d'enregistrer toutes les communications.
quantité de trafic qui pourrait être généré par une présence sur les
médias sociaux.
• Créer des avis qui donnent des délais de réponse clairs.
• Établir des politiques, processus et technologies appropriés afin de
suivre et d'archiver de façon appropriée les communications sur
les médias sociaux qui peuvent être touchées par des litiges ou des
règlements.
• Notez que, selon le site de média social, le fait de maintenir une
archive pourrait ne pas être une approche recommandée.
Contrôles
• Travailler avec le service des ressources humaines (RH) afin d'établir
de nouvelles politiques ou de veiller à ce que les politiques existantes
abordent la diffusion par l'employé de l'inforrration liée au travail.
• En collaboration avec le service des ressources humaines, développer
la formation et les campagnes de sensibilisation qui renforceront ces
politiques.
• Collaborer avec le service des RH pour développer une politique qui
précise de quelle façon les employés peuvent utiliser les images
corporatives, les actifs et la propriété intellectuelle dans leur présence
en ligne.
• Gérer l'accessibilité aux sites de médias sociaux par le filtrage de
contenu ou en limitant le débit du réseau pour les sites de médias
sociaux.
• Si possible, diriger les téléphones intelligents vers les technologies
de filtrage du réseau de l'entreprise afin de restreindre ou de limiter
l'accès aux sites de médias sociaux.
• Veiller à ce que les contrôles appropriés soient également installés
et continuellement mis à jour sur les appareils mobiles comme les
téléphones intelligents.
• Établir ou mettre à jour les politiques et les normes relatives à
l'utilisation des téléphones intelligents pour accéder aux médias
sociaux.
• Développer et organiser des formations et des campagnes de
sensibilisation pour informer les employés du risque encouru par
l'utilisation des sites de médias sociaux.
461
Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
TabWâû 5:29- R~ue associe à l'infonnàtiq® en nuage
Risque Description
Exigences Les fournisseurs d'informatique en nuage sont souvent des
juridiques entreprises mettant à disposition leurs services dans plusieurs pays
lransfrontalières qui ont souvent des environnements juridiques différents, et ce
notamment en matière de gestion des informations personnelles.
~entreprise faisant appel aux services en nuage pourrait violer
les régulations d'autre pays quand elle stocke, traite, transmet
des données via l'infrastructure du fournisseur d'informatique en
nuage sans avoir mis en place les contrôles nécessaires pour la
mise en conformité. En outre, les entités gouvernementales dans le
pays où sont hébergées les données pourraient exiger l'accès aux
informations avec ou sans notification du client.
Sécurité La sécurité physique est nécessaire dans toute infrastructure.
physique Lorsque l'entreprise déplace des actifs vers une infrastructure en
nuage, ces actifs sont toujours sujets à la politique de sécurité de
l'entreprise, mais ils peuvent aussi être accessibles physiquement
par le personnel du fournisseur d'infonuagique, qui est soumis à la
politique de sécurité de ce fournisseur. Il pourrait y avoir une lacune
entre les mesures de sécurité prévues par le fournisseur et les
besoins de l'entreprise.
Disposition de Une disposition appropriée des données est impérative pour prévenir
données une divulgation non autorisée d'information. Si des mesures non
appropriées sont prises par le fournisseur d'informatique en nuage,
des actifs informationnels pourraient être envoyés (sans approbation)
dans des pays ou les données pourraient être légalement divulguées
selon que les régulations locales concernant les données sensibles
Les disques durs pourraient être remplacés ou recyclés sans avoir
subi un effacement approprié, laissant ainsi de l'information stockée
qui pourrait être récupérée plus tard. Lorsqu'un contrat est expiré, le
fournisseur d'informatique en nuage doit s'assurer de la disposition
sécuritaire ou de la destruction des toutes les sauvegardes
précédentes. Toutes les données introduites dans l'application
du fournisseur doivent être effacées immédiatement à l'aide des
outils appropriés afin d'éviter les divulgations et les violations de
confidentialité (un nettoyage juridique peut être nécessaire pour les
données sensibles).
Mutualisation et Un des principaux avantages de l'informatique en nuage est la
bris d'isolation possibilité d'effectuer une allocation dynamique des ressources
physiques lorsque cela est requis. L'approche la plus commune est
celle de la mise en place d'un environnement partagé (nuage public)
où différentes entttés partagent un même groupe de ressources
comprenant le stockage, le matériel et les composants réseaux.
Toutes les ressources allouées à un particulier doivent être isolées et
protégées pour éviter la divulgation d'information auprès des autres
locataires. Par exemple, lorsqu'un espace de stockage alloué n'est
plus nécessaire à un client, celui-ci peut être librement réaffecté à un
autre. Dans ce cas, des données sensibles pourraient être divulguées
si l'espace de stockage n'a pas été complètement nettoyé à l'aide de • Utiliser un modèle de déploiement de nuage privé (pas de
logiciels spécialisés (par exemple en utilisant un logiciel d'enquête).
En outre, des entités malveillantes dans le nuage pourraient proftter
de l'information partagée, par exemple en utilisant des tables de
routage partagées pour cartographier la topologie du réseau interne
d'une entreprise, préparant ainsi la voie à une attaque interne.
462
9asa· H.
Cert. il!er:i!nlo~maucm
Systems Audllor"
~-·-·
~
Contrôle
• Demander la liste de fournisseurs d'infonuagique des
infrastructures et vérifier que la réglementation dans ces
endroits est alignée avec les exigences de l'entreprise.
• Inclure des clauses contractuelles visant à restreindre
le déplacement des actifs de l'entreprise vers les seules
zones reconnues pour être conformes à la réglementation
de l'entreprise.
• Empêcher la divulgation, chiffrer tous les actifs avant la
migration vers le fournisseur d'infonuagique et s'assurer
d'une gestion clé appropriée.
• Demander la politique de sécurité physique du fournisseur
d'infonuagique et veiller à ce qu'elle soit alignée avec la
politique de sécurité de l'entreprise.
• Demander au fournisseur de fournir une preuve d'avis de
sécurité indépendant ou des rapports de certification qui
répondent aux exigences de l'entreprise (p. ex., rapports
SOC, SOX, PCI DSS, HIPAA, certification ISO).
• Inclure dans le contrat une clause qui exige que le
fournisseur soit aligné avec la politique de sécurité
de l'entreprise et qu'il mette en œuvre les contrôles
nécessaires pour garantir cet alignement.
• Demander les plans de reprise après sinistre du
fournisseur et veiller à ce qu'ils contiennent les contre-
mesures requises pour protéger les actifs physiques
pendant et après un sinistre.
• Demander au fournisseur les caractéristiques techniques
et les contrôles qui garantissent que les données ont été
correctement effacées et que les médias de sauvegarde
ont été détruits sur demande.
• Inclure au contrat des modalités relatives au nettoyage
obligatoire des données, qui sera réalisé sous la
supervision de l'entreprise lors de l'expiration du contrat
ou de tout événement mettant fin au contrat.
• Demander au fournisseur les détails techniques pour
approbation et requérir des contrôles supplémentaires
pour assurer la confidentialité des données lorsque
nécessaire.
• Un accord contractuel est requis af1n de clarifier
officiellement qui est autorisé à accéder aux informations
de l'entreprise, en nommant des rôles spécifiques aux
employés du fournisseur et aux partenaires externes.
~accord de contrat ou l'accord de niveau de service
(ANS) doit documenter clairement tous les contrôles qui
protègent les actifs informationnels de l'entreprise.
mutualisation).
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e '". ' ified. lnfo~auon
Systems Aud1tor'
:~-
Chapitre 5 - Protection des Actifs Informationnels
Tableau 5.29- Risque associe à l'imonnatique en nuage (suité)
Risque Description
Élimination de Lorsque les applications sont développées dans un environnement
l'application PaaS, les originaux et sauvegardes doivent toujours être disponibles.
Dans l'éventualité d'une fin de contrat, les détails d'une application
pourraient être divulgués et utilisés pour attaquer de manière
plus sélective les autres applications, ou pourraient être copiés en
violation avec la propriété intellectuelle de l'entreprise.
Manque de Les entreprises qui utilisent des applications distribuées au moyen
visibilité dans le de l'informatique en nuage ont peu de visibilité sur le cycle de vie
cycle de vie du de développement des systèmes logiciel. Les clients ne connaissent
développement pas en détail comment les applications ont été développées et
des systèmes quelles considérations de sécurité ont été mises en place lors
logiciel (SDLC) du développement de l'application. Ce fait pourrait conduire à un
déséquilibre entre le niveau de sécurité fournie par l'application et
celle nécessaire aux clients ou utilisateurs.
Manque de Les fournisseurs sont en mesure d'introduire rapidement des
contrôle du correctifs dans leurs applications. Ces déploiements sont souvent
processus de effectués sans l'approbation (ou même à l'insu) des utilisateurs
gestion des de l'application pour des raisons pratiques: si une application est
versions. utilisée par des centaines d'entreprises, un fournisseur aurait besoin
d'un temps extrêmement long pour obtenir l'approbation formelle
de chaque client. Dans ce cas, l'entreprise pourrait n'avoir aucun
contrôle (ou aucune vision) sur le processus de gestion des versions
et pourrart être sujette à des effets secondaires inattendus.
Gestion des Des entrtés non autorisées pourraient accéder aux actifs
identités et des informationnels en raison de mesures ou de processus de gestion
accès d'accès défaillants ou vulnérables. Cela pourrait provenir d'une
falsification ou d'un vol d'identifiants légitimes ou d'une pratique
technique commune (p. ex., la dérogation des permissions
d'administrateur).
Vulnérabilités La sécurité des architectures orientées service présente de nouveaux
des défis, car les vulnérabilités sont amenées non seulement par les
architectures éléments de manière individuelle, mais aussi par le fait de leurs
orientées interactions mutuelles. Du fait que les bibliothèques SOA sont sous
services la responsabilité du fournisseur d'informatique en nuage de se!Vice
et ne sont pas complètement visibles par le client, il peut exister des
vulnérabilités induites dans les applications développées.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
Contrôle
• Inclure dans le contrat des modalités rela1ives à
l'élimination appropriée des applications, y compris les
objets, la source et les sauvegardes.
• Inclure dans le contrat des clauses de non-concurrence .
• Si possible, un droit d'audit doit être inclus dans le
contrat.
• Inclure dans le contrat une clause qui exige que le
fournisseur soit aligné avec la politique de sécurité
de l'entreprise et qu'il mette en œuvre les contrôles
nécessaires pour garantir cet alignement.
• Exiger des ANS qui comportent un calendrier de
changement de logiciels.
• Si possible, un droit d'audit doit être inclus dans le
contrat.
• Inclure dans le contrat une clause qui exige que le
fournisseur soit aligné avec la politique de sécurité
de l'entreprise et qu'il mette en œuvre les contrôles
nécessaires pour garantir cet alignement.
• Exiger des ANS qui comportent un calendrier de correctifs
et de versions de logiciels.
• Si possible, un droit d'audit doit être inclus dans le
contrat.
• Inclure dans le contrat une clause qui exige que le
fournisseur soit aligné avec la politique de sécurité
de l'entreprise et qu'il mette en œuvre les contrôles
nécessaires pour garantir cet alignement.
• Demander au fournisseur de fournir une preuve d'avis de
sécuriTé indépendant ou des rapports de certification qui
répondent aux exigences de l'entreprise (p. ex., rapports
SOC, SOX, PCI DSS, HIPAA, certification ISO).
• Si possible, un droit d'audit doit être inclus dans le
contrat.
• Inclure dans le contrat une clause qui exige que le
fournisseur soit aligné avec la politique de sécurité
de l'entreprise et qu'il mette en œuvre les contrôles
nécessaires pour garantir cet alignement
• Demander au fournisseur de fournir une preuve d'avis de
sécurité indépendant ou des rapports de certification qui
répondent aux exigences de l'entreprise (p. ex., rapports
SOC, SOX, PCI DSS, HIPAA, certification ISO).
463
Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
Tâbleau 5.29 -1\islll!e associé à l'lôfôrmaligue en nuage (suite)
Risque Description
Strategie de sortie Actuellement, il existe peu d'outils, de procédures ou d'offres facilitant
le transfert des donnees ou le transfert d'un service d'un fournisseur
d'informatique en nuage vers un autre. La migration d'un fournisseur
d'informatique en nuage vers un autre ou simplement le fait de ramener
le service dans le périmètre de l'entreprise pourrait donc être difficile.
De plus si le fournisseur d'informatique en nuage fait faillite, fait race à
une action en justice ou est la cible potentielle pour une acquisition par
une autre entreprise (avec probabilité de changement soudain dans la
politique du fournisseur d'informatique en nuage et les accords en place)
cela pourrait avoir des impacts sérieux sur les affaires de l'entreprise.
Si la relation client-fournisseur d'informatique en nuage tourne mal et
que l'entreprise souhaite rapatrier ses données, la question de pouvoir
exploiter les données de manière sécuritaîre devient critique, car les
applications internes ont peut-être été mises hors service ou sont
simplement échues. Un scénario de panique constitue également une
autre situation possible, au cours de laquelle on assiste à une elise de
confiance face à la situation financière du fournisseur, ce qui a pour
résultat une sortie de masse et le retrait sur une base du premier
arrivé, premier servi. S'il existe des limites relativement à la quantité de
contenu qui peut être retiré dans un laps de temps donné, l'entreprise
pourrait ne pas être en mesure de récupérer toutes ses données dans le
temps spécifié.
Facilité de souscrire à Les directions de l'organisation peuvent obtenir des applications en • Exiger que l'achat de services d'infonuagique
un service SaaS mode informatique en nuage sans processus d'approvisionnement respecte les procédures établies. Acet égard,
adéquat ni approbation, violant ainsi les politiques internes de conformité assurer le soutien de la haute direction.
de l'entreprise.
Dommages Si un locataire d'informatique en nuage publique est attaqué, il peut y
collatéraux avoir un impact pour les autres locataires,
et ce même s'ils ne sont pas la cible (par exemple le déni de service
distribué). Un autre scénario engendrant des dommages collatéraux
serait qu'une vulnérabilité soit exploitée sur un logiciel installé par un
locataire dans le cas d'un modèle de service public de type laaS.
Attaques des Les hyperviseurs sont des éléments vitaux pour la virtualisation. Ils sont
hyperviseurs le lien entre les machines virtuelles et la couche matérielle sous-jacente
requise pour faire fonctiOnner les machines grâce aux hyper-appels
(similaire aux appels systèmes, mais pour les systèmes virtuels). Un
attaquant utilisant une machine virtuelle dans la même informatique en
nuage pourrait mimer des hyperappels pour injecter du code malicieux
ou découvrir des bogues dans l'hyperviseur. Potentiellement, cela
peut être utilisé pour violer la confidentialité ou l'intégrité des autres
machines virtuelles ou faire planter l'hyperviseur (cela serait similaire à
une attaque par déni de services distribué).
Support de l'audit et Les audits de sécurité et les enquêtes électroniques sont vitaux pour
des investigations l'entreprise, ceci afin d'évaluer les mesures de sécurité du fournisseur
électroniques d'informatique en nuage (préventives et correctives) et quelques
fois le fournisseur d'informatique en nuage lui-même (p. ex., pour
authentifier le fournisseur d'informatique en nuage). Cela soulève de
nombreux problèmes, car faire ces actions nécessite un accès étendu à
l'infrastructure du fournisseur d'informatique en nuage et ses capacités
de surveillance, qui sont souvent partagées avec les autres clients du
fournisseur d'informatique en nuage.
Source: Tiré de !'ISACA; Considérations de sécurité pour l'informatique en nuage, É.-U., 2012.
464 Manuel de Préparation CISA 26" édition
e ~::":;·!loo
Contrôle
• Avec le fournisseur, prévoir par contrat ou ANS
une stratégie de sortie qui spécifie les modalités
qui déclencheront la récupération des actifs de
l'entreprise dans le délai requis par l'entreprise.
• Mettre en œuvre un plan de reprise après
sinistre, en tenant compte de la possibilité de
perturbation complète du fournisseur.
• Demander au fournisseur d'inclure l'entreprise
dans son processus de gestion des incidents
qui traite de la notification des événements
collatéraux.
• Inclure des clauses contractuelles et des
contrôles afin d'assurer que la capacité
contractuelle de l'entreprise est toujours
disponible et ne peut être dirigée vers d'autres
locataires sans approbation.
• Utiliser un modèle de déploiement de nuage privé
(pas de mutualisation).
• Si possible, un droit d'audit doit être inclus dans
le contrat.
• Inclure dans le contrat une clause qui exige que
le fournisseur soit aligné avec la politique de
sécurité de l'entreprise et qu'il mette en œuvre
les contrôles nécessaires pour garantir cet
alignement.
• Dans le cadre du contrat ou de l'ANS, demander
au fournisseur le droit d'audit. Si ce n'est pas
possible, demander des rapports de sécurité et
d'audit réalisés par des tiers de confiance.
• Dans le cadre du contrat ou de l'ANS, demander
que le fournisseur offre un soutien approprié et
opportun uournaux, traces, images de disque
dur, etc.) pour l'analyse judiciaire. Si ce n'est
pas possible, demander l'autorisation de faire
effectuer des analyses judiciaires par des tiers de
confiance lorsque cela est nécessaire.
ISACA. Tous droits réservés.
e :::,:~;;""" Chapitre 5 - Protection des Actifs Informationnels
5.14 FUITE DE DONNÉES
Comme mentionné précédemment, la fuite de données implique
le siphonage ou la fuite d'information à partir de l'ordinateur.
Cela inclut le fait de f.1ire une copie papier de fichiers ou voler les
rapports informatiques et les enregistrements. À l'opposé de la
fiJitc de produit~ la fuite de données laisse la copie originale afin
de ne pas être détectée.
Fondamentalement, la fuite de données implique le transfert non
autorisé d'informations sensibles ou propriétaires d"un réseau
interne vers le monde cxtétieur.
Ces infOrmations peuvent quitter l'entreprise par les réseaux pair-
à-pair, la messagerie instantanée, les médias sociaux, les courriels.
le stockage en nuage et les solutions de partage de fichiers. ~ un réseau, ils sont généralement divisés en paquets. Pour
Les contrôles communs de prévention des fuîtes de données ont
également été traités, y compris l'identification des actifs, leur
classification ct l'utilisation d'un système de gestion de la sêcuritë
de l'information, y compris les politiques et procédures.
En dépit de ces contrôles, de nombreuses cntrepdses subissent
encore des fuites d'informations sensibles. Ces fuites créent
un risque pour les entreprises, leurs clients et leurs pmienaircs
d'affaires, et peuvent avoir un impact négatif sur la réputation,
la conformité, l'avantage concurrentiel et les finances d'une
entreprise.
Les inquiétudes sur la nécessité de mieux contrôler et de protéger
les informations sensibles ont donné naissance à un nouvel
ensemble de solutions. Les capacités ct les méthodologies de ces
solutions diffèrent, mais collectivement, ces solutions ont été
placées dans la catégorie de la prévention des tllites de données
(ou la protection).
5.14.1 PRÉVENTION DES FUITES DE DONNÉES
La prévention des fuites de données représente la suite de
technologies et de processus connexes qui localisent, surveillent
et protègent les lniürmations sen_'>ible.;; contre la divulgation non
autorisée. La plupart des solutions de prévention des fuîtes de
donn0es comprennent un ensemble de technologies qui répondent
à trois objectifs clés:
• Localiser ct cataloguer les informations sensibles stockees dans
toute l'entreprise.
• Surveiller et contrôler k mouvement des infOrmations sensibles
dans les réseaux d'entreprise.
"Surveiller ct contrôler le mouvement des informr~tions sensibles
dans les systèmes des utilisateurs finaux.
Ces o~jectit:<> sont associés à trois états principaux de
l'information: les données au repos, les données en mouvement
et les données en cours d'utilisation. Chacun de ces trois états est
abordé par un ensemble particulier de technologies offertes par les
solutions de prévention des fuites de données.
Données au repos
La capacité d'identîfü:r ct d'enregistrer les endroits où sont
stockés certains types d'infOrmations (p. ex., numéros de cartes
de crédit ou d'assurance sociale) constitue une fOnction de base
des solutions de prévention des fuites de données. Pour ce faire, la
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
plupmi des systèmes de prévention des fuites de données utilisent
des robots, qui sont des applications déployées à distance pour
se connecter à chaque système et passer en revue les magasins
de données. Leur objectif est de chercher et d'enregistrer
l'emplacement d'ensembles d'informations précis en f(mction
d'un groupe de règles qui ont été entrées dans la console de
gestion du système de prévention.
Données en mouvement (réseau)
Pour surveiller les mouvements des données sur les réseaux
d'entreprise ainsi que capturer et analyser le trafic réseau
de l-3.çon sélectîve 1 les solutions de prévention des fuites de
données utilisent des appareils de réseau part·iculiers ou une
technologie intégrée. Lorsque les fichiers sont envoyés à travers
inspecter l'information envoyée dans le réseau, la solution de
prévention des fuites de données doit être en mesure de surveiller
passivement le trafic du réseau, de reconnaître les flux de données
correctes afin de capture!~ d'assembler les paquets collectés,
de reconstruire les fichiers transportés dans le flux de données
et d'effectuer la Tnêmc analyse que celle qui est réalisée sur les
données au wpos afin de déterminer si une pm1ic du contenu
est limitée par ses règles. Un processus connu sous le nom
d'inspection approfOndie des paquets se trouve au cœur de cette
capacité. Ce processus va au-delà des informations d'en-tête
de base d'un paquet ct lit le contenu même du paquet {principe
semblable à une lettre dans une enveloppe postale), Si elle détecte
que des données sensibles circulent vers une destination non
autorisée, la solution de prévention des fuites de données peut
générer une alerte ct éventuellemenl bloquer les Ou x de données
en temps réel ou presque, en fonction des règles définies dans
sa composante centrale de gestion. La solution peut également
meure en quarantaine ou chiffrer les données en question.
Données en cours d'utilisation
Les donnees en cours d'utilisation se rëfcrent principalement à
la surveillance de la circulation des données provenant d'actions
prises par les utilisateurs finaux sur leurs postes de travail, qu'il
s'agisse de la copie de données sur un lecteur flash, l'envoi
d'informations à une imprimante ou même le fait de couper
et coller des données entre les applicntions. Les solutions de
prévention des fUites de données accomplissent généralement
cette tâche par l'utilisation d'un logiciel connu sous le nom
d'agent, qui est idéalement contrôlé par les mêmes capacités de
gestion centrale que la solution globale de prévention des tùites
de données.
Pour que la solution de prévention des fuites de données soit
considérée comme complète, elle doit posséder la capacité
d'aborder les trois états de l'information ct être intégrée par une
fonction de gestion centralisée. La gamme de services disponibles
dans la console de gestion varie selon les produits, mais beaucoup
ont des fonctions communes, comme ce !les décrites dans les
sections suivantes.
Création et gestion des politiques
Des politiques (ensembles de règles) dictent les mesures prises
par les diiférents composants du système de prévention de-s fuites
de données. La plupart des solutions de prévention des fuites
de données possèdent des politiques préconfigurées (règles)
465
 Section deux : Contenu Chapitre 5 - Protection des Actifs Informationnels
qui correspondent à des règles communes. JI est tout aussi
lm portant de pouvoir adapter ces politiques que d'en créer des
personnalisées. Cellcs~ci doivent sc baser sur les exercices de
gestion des actif'! ct de classification des données réalisés par
1'entreprise.
Intégration des services de répertoire
[;intégration des services de répertoire permet ù la console de
prévention des fuites de données de cm1ographier une adresse
réseau ct de la lier à un utilisateur final nommé.
Gestion du flux de travail
La plupati des solutions complètes de prévention des fuites de
données ont la capacité de configurer la gestion des incidents,
cc qui permet au système central de gestion d'acheminer les
incidents spécifiques aux pmties appropriées en fOnction du type
de violation, de la gravité, de l'utilisateur et d'autres critères
similaires.
Sauvegarde et restauration
Les caractéristiques de sauvegarde et de restauration perme11cnt
de préserver les politiques ct autres paramètres de configuration.
Rapport
Une fonction de rapport peut être interne ou elle peut tirer parti
des outils de rapport externes.
5.14.2 RISQUES, LIMITES ET CONSIDÉRATIONS EN
MATIÈRE DE PRÉVENTION DES FUITES DE DONNÉES
• Mauvais réglage des modules de prévention des fuites de
données sur réseau-- Il doit y avoir eu un ajustement adéquat
et une mise à l'essai appropriée du système de prévention
des fllitcs de données avant d'activer le blocage du contenu.
l:activation du système en mode de surveillance uniquement
permettra de 1'ajuster ct d'alerter les utilisateurs sur les
processus et activités non confOrmes, afin qu'ils puissent
faire les ajustements nécessaires. Le fait d'impliquer les
pat1ies prenantes d'af'fàircs ct des Tl appropriées dans les
étapes de planification et de suivi permettra d'assurer que les
petiurbations des processus seront anticipées et atténuées. Enfin,
il Hmt mettre en place des moyens d'assurer l'accessibilité, pour
le cas où un contenu critique serait bloqué en dehors des heures
de bureau, lorsque l'équipe gestion de la solution de prévention
des fuites de données n'est pas disponible.
• Rapports excessifs et faux positifs-- Comme pour un système
de détection d'intrusion mal configuré, les solutions de
prévention des fuites de données peuvent créer d'importantes
quantités de faux positif.'!, qui accablent le personnel et
peuvent masquer les problèmes véritables. Évitez l'utilisation
excessive de modèles ou de solutions de type « boîte noire »,
qui permettent peu de personnalisation. La plus grande
caractéristique d'une solution de prévention des fuites de
données est la possibilité de personnnliser les règles ou les
modèles. JI est également important que le système soit mis
en œuvre en plusieurs phases, en se concentrant d'abord sur
les zones les plus à risque. Le fait d'essayer dès le départ
de surveiller trop de modèles ou d'activer trop de points de
détection peut vite surcharger les ressources.
• Chiffrement-- Les solutions de prévention des fuites de
466
eiSA '"', ifioo,,m,ormauon
Systems
:;;,~·-
Aud1tor·
données peuvent uniquement inspecter les informations
chiffrées qu'elles peuvent d'abord déchifhcr. Pour ce faire, les
agents, les appareils de réseau ct les robots doivent avoir accès
aux clés de déchiffrement approp1iécs et être en mesure de les
utiliser. Si les utilisateurs emploient des paquets de chiffrement
personnels dont les clés ne sont pas gérées par l'entreprise et
fOurnies à la solution de prévention des fuites de données, les
fichiers ne peuvent pas être analysés. Pour atténuer ce risque,
les polîtiquts devraient interdire l'installation ct. l'utilisation
de solutions de chiffrement qui ne sont pas gérées de façon
centralisée. En outre, les utilisateurs doivent comprendre que
tout cc qui ne peut pas être déchiHi:·é pour l'inspection (c.-à-d.
lorsque la solution ne possède pas la clé de chiffrement) sera
ultimement bloqué.
• Solutions graphit]uc-s --Les solutions de prévention des
fuites de données ne peuvent pas interpréter intelligemment
les fichiers graphiques. Si toutes ces informations ne sont pas
bloquées ou inspectées manuellement, il existera une lacune
importante dans le contrôle de l'information de l'entreprise. On
trouve dans cette catégorie les informations sensibles numérisées
dans un fichier graphique ou toute propriété intellectuelle en
format graphique. comme des documents de conception. Les
entrep1ises qui possèdent d'importants éléments de propriété
intellectuelle en format graphique devraient développer de
i01ies politiques qui régissent l'utilisation et la difll1sion de
cette infOrmation. Bien que les solutions de prévention des
fuites de données ne puissent pas lire intelligemment le contenu
d'un fichier graphique, elles peuvent identifier des types de
fichiers spécifiques, leur source et leur destination. Combinée
à une analyse de la circulation bien définie, cette capacité peut
indiquer tout mouvement inhabituel de ce type d'information et
fournir un certain degré de contrôle.
5.:1.5 RISQUE ET CONTRÔlES ASSOCIÉS
À LA SÉCURITÉ DE !:INFORMATIQUE
D'UTiliSATEUR FINAl
Comme l'indique le chapitre 4, l'informatique individuelle réfère
à l'aptitude des utilisateurs à concevoir et exécuter leur propre
système d'information gnîce à l'utilisation de produits logiciels.
Peu importe les avantages mentionnés ci-dessus, le manque
de supervision du service des IT peut conduire à un risque de
sécurité. En voici des exemples :
• Autorisation !! pourrait ne pas y avoir de mécanisme sécurisé
pour autoriser l'accès au système.
• Authentification ~ Il pourrait ne pas y avoir de mécanisme
sécurisé pour authentifier les utilisateurs du système.
• Enregistrement des audits·-- Ceci n'est pas disponible dans
les solutions standards d'informatique d'utilisateur final (p. ex.,
Microsoft Excel, Access, etc.).
• Chiffrement--- L'application peut contenir des données sensibles
qui n'ont pas été chiHi·écs ou autrement protégées.
!.?auditeur des SI doits 'assurer de l'existence de politiques
relatives à l'utilisation de l'informatique d'utilisateur final.
Selon le chapitre 4 Gestion des actif.'! des Tf, il doit y avoir un
inventaire de toutes ces applications. Dans la plupart des cas, les
applications d'informatique ct•utilisateur final ne poseront pas
de risque important pour l'cntreptisc. Néanmoins, la direction
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e :~:.:~::::.""' Chapitre 5 - Protection des Actifs Informationnels
doit définir dt:s critères de risque pour déterminer la criticité de
l'application. Ces applications devraient égakmcnt être soumises
à la classification des données avec celles qui sont jugées
suffisamment essentielles, et soumises aux mêmes contrôles que
toute autre application.
5.16 ÉTUDES DE CAS
Les études de cas qui suivent servent d'outil d'apprentissage pour
renforcer la connaissance des concepts présentés dans ce chapitre.
5.16.1 ÉTUDE DE CAS A
La direction envisage actuellement l'adoption de mesures
pour augmenter la sécurité physique ct la protection de son
centre de données. On a demandé à l'auditeur des SI d'aider au
processus en évaluant l'environnement actuel ct en tftisant des
recommandations pour son amélioration. Le centre de données est
composé de 15 000 pieds carré (l 395 mètres) de faux-plancher
au rez-de-chaussée de l'édifice du siège de J'entreprise. Un total
de 22 membres du personnel opérationnel ont besoin d'un accès
régulier. Actuellement, l'accès au centre de données est obtenu
en utilisant une cmie de- proximité, qui est attribuée à chaque
personne autorisée. On retrouve trois entrées à chaque centre de
données, et chacune d'die utilise un lecteur de cartes ct possède
une caméra qui contrôle l'entrée. Ces caméms dirigent leurs
signaux à un moniteur au bureau de la réception, qui navigue dans
ces images avec celles des vues des autres caméras à l'intérieur
et à l'extérieur de r édifice. Deux des portes du centre de
données possèdent aussi des verrous qui contoument le système
électronique pour qu'une catie de proximité ne soit pas requise
pour l'entrée. t:utilisation des cartes de proximité est consignée
dans un journal électronique. Cc joumal est conservé pendant 45
jours. Lors de la révision, l'auditeur des SI a notC que 64 cmics
de proximité sont actuellement en fonction et émises à divers
membres du personneL Le centre des données ne possède pas de
fenêtres extérieures, même si un mur est en verre et surplombe
!'entrée et !a zone de réception pour l'édifice.
lltüde de cas A: questions
At. Lequel des risques suivants serait réduit en ajoutant le
système de carte de proximité à un scanneur biométrique
pour foumir une aulhentification de deux facteurs?
A. Le talonnage
B. Le partage de cartes d'accès
C. Cincapacité de journaliser l'accès
D. La copie de clés
A2. Lequel des mécanismes d'accès suivants présenterait la
plus grande difficulté en ce qui concerne l'acceptation de
l'utilisateur?
A. La reconnaissance de la géométrie à main
B. Les empreintes digitales
C. Le balayage de la rétine
O. La reconnaissance de la voix
Voir les réponses et les explications aux questions des études de cas à la fin du
chapitre (page 468).
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
Section deux : Contenu
5.16.2 ÉTUDE DE CAS B
Une compagnie doit permettre Paccès ù distance il un de ses
serveurs pour des besoins d'entretien à distance. La politique du
coupc-teu n'a pas permis l'nccès exteme aux systèmes internes.
Par conséquent, il a été décidé d'installer un modem sur cc
serveur et d·activcr le service d'accès à distance pour permettre
l'accès par ligne commutée. A titre de contrôle, une politique a
été implantée pour allumer manuellement le modem seulement
lorsque la tierce pmiie demande l'accès au serveur ct pour que
l'administrateur de système de l'entreprise le débranche lorsque
l'accès n'est plus nécessaire. Puisque de plus en plus de systèmes
sont maintenus à distance, 1'entreprise demande à un audîteur
des SI d'évaluer les risques actuels de la solution existante ct de
proposer la meilleure stratégie pour aborder les exigences de la
conncctivité future.
EtUde de cas B ; questions
.
B1. Quel test effectué par l'auditeur des SI dans le cadre de sa
révision des contrôles d'accès par ligne commutée est le
PLUS important?
A. Composer le numéro du serveur à partir de lignes
téléphoniques autorisées et non autorisées.
B. Déterminer les exigences de la bande passante de
l'entretien à distance et la capacité maximale de vitesse
de transmission d'une ligne.
C. Vérifier si la disponibilité de la ligne est garantie pour
permettre un accès à distance en tout temps.
O. Vérifier si la procédure de rappel n'est pas utilisée et que
le coût des appels est facturé à la tierce partie.
B2. Quel risque doit évaluer l'auditeur des SI en ce qui concerne
la pratique d'accès à distance existante est le PLUS
important?
A. Le modem n'est pas allumé/éteint lorsque nécessaire.
B. Un accord de non-divulgation n'a pas été signé avec la
tierce partie.
C. Les données échangées sur la ligne ne sont pas chiffrées.
D. Les contrôles du coupe-feu sont contournés.
B3. Laquelle des recommandations suivantes réduira
probablement le PLUS le niveau actuel de risques d'accès à
distance?
A. Garder un journal d'accès avec la date et l'heure à laquelle
le modem a été allumé/éteint.
B. Chiffrer le trafic sur la ligne téléphonique.
C. Faire passer l'accès à ligne commutée à une solution
Internet VPN.
O. Mettre à jour les politiques du coupe-feu et implanter un
système de IDS.
B4. Quel contrôle doit être implanté pour empêcher une attaque
sur le réseau interne initiée par le biais d'une connexion
Internet VPN?
A. Les règles du coupe-feu sont révisées périodiquement.
B. Tous les VPN terminent à un seul concentrateur.
C. Un IDS capable d'analyser le trafic chiffré est implanté.
D. Un logiciel antivirus est installé sur tous les serveurs de
production.
V01f les réponses et les explications aux questioas des études de cas à la fin du
chapitre (page 469).
467
 Section deux : Contenu Chapitre 5- Protection des Actifs Informationnels
5.16.3 ÉTUDE DE CAS C
<( Ma musique » est une entreprise vouée à la production et à
la distribution de clips spécialisés dans la musique jazz. Née
dans J'ère d'Internet, l'entreprise a fait la promotion active de
l'utilisation d'ordinateurs portables par ses employés pour qu'ils
les utilisent lorsqu'ils voyagent ou lorsqu'ils travaillent de la
maison. Grâce à Internet, ils peuvent avoir accès aux bases de
données de l'entreprise et fournir des informations en ligne
aux clients. Cette décision a entraîné une augmenta lion de la
productivité et du moral élevé parmi les employés qui sont
autorisés à travailler jusqu'à deux jours par semaine à partir
de la maison. En se basant sur des procédures écrites et sur un
cours de 1-è>rmation, les employés apprennent les procédures de
sécurité pour éviter le risque d'accès non autorisés aux données
de l'entreprise. L'accès des e-mployés aux données de !'entrep1ise
inclut \"utilisation des noms d'utilisateur et des mots de passe
pour accéder au serveur d'application par le biais d'un VPN. Les
mots de passe initiaux sont attribués par l'administrateur de la
sécurité. Lorsque J'employé ouvre une session pour la première
fois, le système f<)rce le changement d'un mot de passe pour
améliorer la confidentialité.
La direction considère actuellement des moyens d'améliorer la
protection de la sécurité pour l'accès à distance des employés. On
a demandé à l'auditeur des SI d'aider au processus en évaluant
l'environnement actuel et en fàisant des recommandations pour
son amélioration.
Etude de &as C: questions
C1. Lequel des niveaux suivants fournit un degré de protection
plus élevé dans l'application du logiciel de contrôle d'accès
pour éviter les risques d'accès non autorisés?
A. Niveau du réseau et du système d'exploitation
B. Niveau d'application
C. Niveau de la base de données
D. Niveau du fichier journal
C2. Lorsqu'un employé avertit l'entreprise qu'il a oublié son mot
de passe, qu'est·ce que qui devrait être fait en PREMIER par
l'administrateur de la sécurité?
A. Permettre au système de générer un nouveau mot de
passe au 11asard.
B. Vérifier l'identification de l'utilisateur par un système de
questiOn/réponse.
C. Donner à l'employé le mot de passe par défaut et lui
expliquer qu'il devrait être changé dès que possible.
D. Demander à l'employé de se rendre au terminal de
l'administrateur pour générer un nouveau mot de passe
afin d'assurer la confidentialité.
a
Voir les réponses et les explications aux questions des études de cas la fJ/1 du
chapitre (page 469).
5.16.4 ÉTUDE DE CAS D
Une institution financière importante vient juste d'implanter une
solution bancaire centralisée dans une de ses succursales. Elle a
une préoccupation secondaire de s'occuper du marketing de la
banque. Les employés d'une personne morale séparée travaillent
sur les lieux de la banque, mais ils n'ont pas accès au logiciel des
468
eiSA" M
Cerlifiedlnformalion
Systems
~.
Audltar•
.
"''""""""':"''"'
solutions bancaires. Les employés d'autres succursales obtiennent
la formation sur celte solution à partir de cette succursale ct. à
des fins de formation, ils ont également des permissions d'<tccès
temporaires. Les auditeurs des SI ont observé que les employés
des personnes morales séparées ont aussi accès au logiciel de
la solution bancaire centralisée par l'entremise des permissions
d'accès des employés de la succursale. L.e.s auditeurs des Si ont
aussi observé qu'il existe un grand nombre de noms d'utilisateur
actifs des employés ayant reçu la formation de la succursale et qui
sont depuis retoumés à leur succursale d'origine.
Étude de cas ll: guestlons
D1. Lequel des éléments suivants les auditeurs des SI doivent·ils
recommander afin d'éliminer efficacement le partage de mot
de passe?
A. ~assimilation de la sécurité doit conserver le mot de passe
secret
B. Des règles rigoureuses qui interdisent le partage de mot
de passe.
C. ~utilisation de carte intelligente conjuguée à celle d'un
mot de passe efficace.
D. ~utilisation de carte intelligente avec celle de la pièce
d'identification du terminal de l'employé.
D2. Lequel des points suivants aborde le MIEUX la gestion de
l'identification de l'utilisateur des employés en formation?
A. Les noms d'utilisateur inutilisés doivent être effacés
périodiquement.
B. ~intégration des droits d'accès avec le processus de
ressources humaines.
C. Le mot de passe d'un nom d'utilisateur inutilisé mais actif
doit être suspendu.
D. Le répertoire de nom d'utilisateur actif dort être vérifié
fréquemment.
Voir les réponses et les explications aux questions des études de cas à la fin du
chapitre (page 469).
5.17 RÉPONSES AUX QUESTIONS DES
ÉTUDES DE CAS
RÉPONSES AUX QUESTIONS DE !:ÉTUDE DE CAS A
At. B L'authentification à deux f:1cteurs qui implique
1'utilisation des caractéristiques biomét1iques
empêcherait etricacemcnt le pmiage de cartes
d'accès puisque ces cmies seraient inefficaces
sans la biométrie correspondante. Le talonnage
ne serait pas réduit puisque le not du trafic ne
changerait pas. Puisque deux entrées utilisent
des verrous qui outrepassent le système d'entrée
électronique, les personnes qui entrent en utilisant
les clés ne seraient pasjournnlisées par le système
électronique, ct les clés demeurernient encore
potcntîei!ement copiables.
A2. C Même s'il s'agit du plus fiable en ce qui concerne
rexactitude, plusieurs personnes ne sont pas à
l'aise avec l'idée d'avoir un appareil qui balaye
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . H
Certîfied lnfurmation
Systems Auditor"
-"·~='-""""""
Chapitre 5 - Protection des Actifs Informationnels
l'intérieur de leur œil. Donc, même :;;i Je balayage
de la rétine peut être le plus fiable en matière
cflefTicacité d'un point de vue du contrôle, son
manque d'acceptation de la part des utilisateurs
peut le rendre inapproprié pour les applications
dans lesquelles Pacœptation des clients est d'une
importance essentielle. Les empreintes digitales,
la géométrie à main et la reconnaissance de la
voix sont moins invasives ct, par conséquent, non
sujettes à des réactions négatives de la part des
utilisateurs. l:objee-tif de cc volet est de s'assurer
que le candidat au titre CISA comprend et peut
fOurnir l'assurance que l'architecture de la sécurité
{les politiques, les normes, lçs procédures et les
contrôles) assure la confidentialité, l'intégrité et la
disponibilité des actifs informationnels.
RÉPONSES AUX QUESTIONS DE t:ÉTUDE DE CAS B
Bl. A L'accès par ligne commutée doit être possible
seulement à partir des lignes téléphoniques
autorisées à titre de contrôle préventif pour l'accès
non autorisé lorsque les qualifications d'ouve1iurc
de session sont compromises ou mal utilisées
par le personnel de la tierce part·ie. Le lancement
de la connexion par le serveur à un numéro de
téléphone autorisé en utilisant la caractéristique de
rappel serait une implantation de cette exigence.
Les options B, C et D abordent les problèmes de
performance ct non Jçs problèmes de contrôle
d'accès.
B2. D Cinti'astructurc de sécurité de l'entreprise repose
sur les contrôles implantés sur le coupe-feu. Le
fait que quelqu'un en dehors du réseau peut se
connecter directement à un système interne, en
contournant les règles du coupe-feu, pourrait
exposer le réseau interne à la tierce partie, facilitant
par conséquent 1'accès non autorisé. Les choix A,
B et C sont des types de risques que doit considérer
l'auditeur des SI, mais concernent seulement
le serveur qui est maintenu à distance, et pas le
système interne en entier.
B3. C t:utilisation d'une solution Internet VPN
éliminera les vulnérahilités de l'accès par ligne
commutée comme le manque de chiffi·emcnt ct
le contournement des contrôles du coupe-feu.
Les options A et B aborderont des problèmes
ponctuels et le choix D n'aura pas d'effet puisque
les contrôles de l'infrastructure de la sécurité sont
contournés par l'accès direct par ligne commutée.
B4. C Un IDS doit être en mesure d'analyser le trafic
chiffré de la connexion VPN pour déterminer les
attaques potentielles. Une révision des règles du
coupe-feu et le fait que tous les VPN terminent
dans un seul conccntrateur empêcheront les
connexions non autorisées au réseau interne, mais
cela n'empêchera pas qu'une attaque se produise
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Section deux : Contenu
par une connexion VPN autorisée. Le logiciel
antivirus éliminera la contamination avec des virus
informatiques, mais le système interne est encore
vulnérable à beaucoup d'autres menaces.
RÉPONSES AUX QUESTIONS DE t:ÉTUDE DE CAS C
Cl. A Le plus haut degré de protection dans l'application
du logiciel de contrôle d'accès contre l'accès non
autorisé des utilisateurs internes et externes se
trouve aux niveaux réseau et platcforme/systèmc
d'exploitation. Ces systèmes sont aussi connus
comme des systèmes de soutien généraux, et ils
fOrment l'infl:astructure de base sur laquelle les
applications et les systèmes de base de données
sonl situés.
C2. B Lorsqu'un employé avertit qu'il a oublié son
mot de passe, l'administrateur de la sécurité
doit enclencher une procédure de génération
de processus seulement après !tt vérification
de l'identification de l'utilisateur en utilisant un
système de question/réponse ou une procédure
semblable. Pour vérifier, il est recommandé que
l'administrateur de la sécurité retourne l'appel de
l'utilisateur après la vérification de sun poste ou en
appelant son superviseur à des fins de vérification.
RÉPONSES AUX QUESTIONS DE t:ÉTUDE DE CAS D
Dl. A L'assimilation du besoin de sécurité pour garder
le mot de passe secret peut seulement permettre
d'éviter efficacement le partage du mot de passe
et une telle assimilation est possible seulement
par des programmes continus et consciencieux
d'éducation et de sensibilisation à la sécurité. Sans
l'assimilation de règles rigoureuses sur les besoins
de sécwité, l'interdiction du pattage des mots de
passe ne peuvent freiner c1ficacemcnt le partage
de mots de passe. Cutilisation de carte intelligente
c01~jointcment avec celle d'un mot de passe
efficace ainsi que l'utilisation de carte intelligente
conjointement avec celle de l'identîfîcahon du
tcmlinal de l'employé n'empêchent pas le partage
de mot de passe.
D2. B !.:intégration des droils d'accès avec le processus
de rcs~ources humaines représente le meilleur
moyen d'aborder la gestion de l'identification
de 1'utilisateur. La suppression automatique
périodique des noms d'utilisateurs non utilisés,
la suspension des mots de passe non utilisés mais
de noms d'utilisateurs actif..:; ct la vérification
fréquente du répe1ioire des noms d'ulilisateur actif.<.;
ne représentent pas la meilleure option puisque
les vulnérabilités persistent au cours de la période
pendant laquelle les noms d'utilisateur demeurent
actifs.
469
 e . .H.
Certifiedlnformatloo
Systems Audilor"
.
"'""""'"'"''"'
.

Page laissée vide intentionnellement

470 Manuel de Préparation CISA 26" édition

ISACA. Tous droits rêservés.
e Gertif!ed Information
~~:.:.,:~i!o~·
ANNEXE A: NORMES, DIRECTIVES, OUTILS ET TECHNIQUES D'AUDIT
ET D'ASSURANCE DES SI
La nature spécifique de l'audit et de l'assurance des SI ainsi que
les aptitudes nécessaires pour les exécuter nécessitent des normes
qui concernent spécifiquement l'audit et l'assurance des SI.
Un des objectifS de I'ISACA consiste à promouvoir les nonnes
afin de répondre à ce besoin. La conception et b diffusion des
nonnes d'audit ct d'assurance des SI sont le fOndement de la
contlibution professionnelle de I'ISACA. Le cadre des normes
d'audit et d'assurance des SI détermine les diifércnts niveaux de
procédures.
Les normes définissent des exigences oblîgatoires en matière
d'audit et d'assurance des SI. Elles informent :
• les professionnels d'audit et d'assurance des SI du niveau
minimal de perlbrmance acceptable requis en regard des
responsabilités professionnelles définies dans le Code d'éthique
professionnelle de I'ISACA;
• les dirigeants d'entreprises ct les autres parties concernées, sur
les attentes du travail de l'auditeur.
• Les titulaires de la désignation CISA des exigences. Les
titulaires qui ne se cont(mnent pas à ces normes peuvent
être soumis à une enquête sur leur conduite par le conseil
d'administration de I'ISACA ou par un groupe approprié
de I'ISACA et, en dernier lieu, peuvent subir des mesures
disciplinaires.
Le.'> directives d'audit et d'assurance des SI expliquent
comment appliquer les normes d'audit et d'assurance des SI.
Le professionnel d'audit et d'assurance des SI doit tenir compte
des directives pour déterminer comment réussir 1'implantation
des normes, faire preuve de jugement professionnel dans leur
application et se préparer à justifïer tout écmt. !.:objectif des
directives d'audit et d'assurance des SI est de fournir davantage
d'infOrmations sur la confOrmité aux normes d'audit et
d'assurance des S 1.
Les outils ct techniques d'audit et d'assurance des SJ fournissent
des exemples de procédures que les prot-èssionnels de l'audit et de
!"assurance des SI peuvent suivre pendant une mission d'audit. Ils
contiennent des renseignements sur le respect des normes d'audit
et d'assurance des SI lors du travail d'audit, mais ne définissent
pas d'obligations. L'objectif des outils et techniques d'audit et
d'assurance des SI est de fournir davantage d'infonnations sur la
confürn1ité aux nonnes d'audit et d'assurance des SI.
Le COBIT est un référentiel couvrant la gouvernance des Tl de
l'entreprise et se1t d'outil de- soutien pour aider les gestionnaires
à combler les écarts entre les exigences, les enjeux techniques
et les risques d'entreprise. Le COBIT facilite le développement
de politiques claires et de bonnes pratiques pour le contrôle des
SI dans toute l'entreprise. Il met l'accent sur le respect de la
réglementation, aide les entreprises à tirer une plus grande valeur
ajoutée des Tl, pem1et l'harmonisation et facilite l'itnplnntation
des concepts du référentiel. Le COBlT est conçu pour être
utilisé tant par les auditeurs des SI que par les entreprises et les
gestionnaires des Tl. Son utilisation facilite la compréhension
des objectifs d'aiTaires, la diffusion des bonnes pratiques ct la
capacité à faire des recommandations relativement. à un cadre de
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Annexe A
travail respecté et compris de tous. Le COBIT peut être téléchargé
sur le site Internet de I'ISACA, www.isaca.org/COBIT.
liEN ENTRE NORMES, DIRECTIVES, OUTilS ET
TECHNIQUES
Les nonnes d'audit et d'assurance des SI sont de bref..:; rapports
obligatoires portant sur les exigences relatives ù l'audit et à
ses conclusions. Les directives, outils et techniques d'audit
et d'assurance des SI constituent des conseils détaillés sur la
tàçon de se conformer ù ces normes. Les exemples d'outils et
techniques retracent les étapes etlèctuées par un professionnel
de 1'audit ct de l'assurance des SI et sont plus détaillés que les
directives d'audit ct d'assumncc des SI. Les exemples sont conçus
pour respecter les normes et directives d'audit et d'assurance
des Sl et fournissent de l'information sur le respect des normes
d'audit et d'a~'iumnce des SI. Ils peuvent aussi établir, jusqu'à un
certain point, les meilleures pratiques à adopter quant aux outils
et aux techniques à employer.
La codification :
• Les nonnes sont divisées en trois catégories :
-· Normes générales (série 1000)- Les normes générales
sont les principes directeurs qui régissent les activités
professionnelles liées à l'assurance des SI. Ces normes
touchent la conduite de toutes les missions. De même, elles
traitent de l'éthique, de l'indépendance, de l'objectivité et de
la diligence des professionnels de l'audit et de l'assurance des
SI, sans oublier leur savoir-faire, leurs compétences et leurs
hnbiletés.
--·Normes de performance (série 1200) ·- EHes ont trait aux
éléments de la conduite de la mission comme la planification
ct la supervision, la définition de la portée, les 1isqucs et
l'importance relative, la mobilisation des ressources, la
supervision ct la gestion de la mission, les preuves d'audit
ct d'assurance, de même que l'exercice de jugement
professionnel et de diligence.
·-Normes de rapports (série 1400) ··-Ces normes traitent
des types de rapports, des moyens de communication et des
renseignements communiqués.
• Les directives sont aussi divisées en trois catégories :
··- Directives générales (série 2000)
Directives de performance (série 2200)
~- Directives de rapport (série 2400)
• Les outils et techniques prennent différentes lOrmes. Ainsi,
lis pourront consister en des document-. de discussion, une
directive technique, des documents de présentation technique,
des programmes ct des manuels d'audit. La publication de
l'ISACA traitant du système SAP ct qui donne des conseils
sur les directives relatives aux systèmes de planification des
ressources de l'entreprise (ERP) en est un exemple.
Veuillez vous référer à www.isaca.org/standards afin d'obtenir
une liste complète des normes. directives, outils ct techniques
d'audit et d'assurance des SI.
471
Annexe A

UTILISATION
On suggère que le professimmel de l'audit et de ['assurance
des SI passe en œvue les normes pour assurer leur respect lors
du programme d'audit annuel, tout comme lors des révisions
individuelles au cours de l'année. Le professionnel de J'audit et de
l'assurance des SI est invité à se référer aux normes de I'ISACA
mentionnées dans Je rapport, qui établissent que la révision a
été eflèctuée en respectant les lois du pays, les règles d'audit
applicables et les normes de I'ISACA.

472 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.

ANNEXE B : INFORMATIONS GÉNÉRAlES SUR l'EXAMEN CISA
L' !SAC A est une association de professionnels composée
d'individus intéressés par l'audit, l'assurance, le contrôle, la
sécmité ct la gouvernance des systèmes d'information. Le groupe
de travail de ceitificalion CISA est responsable de l'établissement
des politiques du programme de certification CISA ct de
l'élaboration de l'examen CISA.
[
~e. marque: Veuillez consulter k WU/W.isacaJHg;/<~ertUieatù~n--l • Exemption de deux années pour l'obtention du statut de membre
our obtenir 1'intOnnatîon la plus à jour concernant les exigences, !l
s dates et les lieux de l'examen CISA. Ces renseignements sont :
ticts à changement..
:_____ -----------------·- - . . --·-------------_j
EXIGENCES DE CERTIFICATION
Le titre CISA est attribué aux personnes qui ont atteint les
exigences suivantes: ( 1) obtenir la note de passage lors dt:
l'examen CJSA; (2) soumettre des preuves vérifiées d'expérience
en audit, contrôle, assurance ou sécurité des systèmes
d'information; (3) respecter le Code d'éthique projessionnef/e;
(4) respecter les politiques de formation professionnelle continue
et (5) respecter les normes d'audit des systèmes d'intènmaüon
adoptées par I'ISACA
RÉUSSITE DE !:EXAMEN CISA
L'examen est ouvert à tous ceux qui Je désirent Les candidats
qui réussissent J'examen ne sont pas certifiés avant d'en avoir
fait la demande (et d'avoir démontré qu'ils répondent à toutes les
exigences) et avant d'avoir reçu l'approbation de I'ISACA.
EXPÉRIENCE EN AUDIT, CONTRÔLE ET SÉCURITÉ
DES SYSTÈMES D'INFORMATION
Un minimum de cinq années d'expérience professionnelle en
audit, contrôle, assurance et sécurité des systèmes d'information
est requis pour la certification. L'équivalence et les exemptions à
1'expérience peuvent être obtenues comme suit:
• Un maximum d"une année d'expérience en audit, contrôle,
<lssurance et sécurité des systèmes d'information peut être
substituée par :
Une année complète d"cxpéricnce en audit non liée aux
services dïntbrmation ou d'expérience en systèmes
d'information, ou
Un baccalauréat ou une maîtrise d'une université qui
enseigne le programme de cours approuvé par I'ISACA
Un grade d'associé (60 crédits universitaires ou
l'équivalent).
" Deux années d'expérience en audit, contrôle, assurance et
sécurité des systèmes d'information peuvent être remplacées
par un baccalauréat (120 crédits universitaires ou 1'équivalent)
ou par une maîtrise.
" Une maîtrise en sécurité de l'information ou en technologies de
l'information d'une université reconnue peut être remplacée par
une année d'expérience.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Annexe B
• Deux années en tant que chargé de cours universitaire à
lemps plein dans un domaine connexe (p. ex., infOrmatique.
comptabilité ou audit de systèmes d'în{bnnation) peuvent être
substit.uécs à chaque année d'expérience en audit contrôle,
assurance ou sécurité des systèmes d'information.
• Exemption de deux années pour la ceiiification complète de
CIMA (Chartered Institutc of Management Accountants).
de l' ACCA décerné par l'Association of Chartercd Cc1iified
Accountants.
i
L:expérience doit avoir été acquise dans les dix années précédant
la date de demande de certification ou dans les cinq années de
la date de passage de l'examen. Une demande de certification
complétée doit être soumise dans les cinq années de la dale de
passage de l'examen CISA. Toute expérience doit être vérifiée
de tàçon indépendante avec les employeurs. Veuillez noter que
les décisions relntives à la certification ne sont pas définitives;
un processus d'appel est en place en cas de refus de certification.
Tout appel entrepris par une personne ayant effectué !"examen
de cetiification, par un candidat au titre ou par un individu
certifié est à sa discrétion et les frais associés seront sous sa
responsabilité. Les demandes liées <1 des refus de certification
peuvent être envoyées ù cert{iication@isaca.wg.
DESCRIPTION DE !:EXAMEN
Le groupe de travail de certification CISA supervise l'élaboration
de l'examen et s'assure de l'exactitude de son contenu. Les
questions de l'examen CISA sont élaborées selon un procédé
multinivcau conçu pour améliorer la qualité de l'examen. Les
questions approuvées par le groupe de travail de certification
CISA forment une réserve de questions de laquelle toutes les
questions de l'examen CJSA sont sélectionnées.
Le but de ccl examen est d'évaluer les connaissances du candidat
ct son expérience en révision ct audits de systèmes d'infonnation.
l:cxamen est composé de !50 questions à choix multiple ct
dure quatre heures. L'examen CISA est offert en 11 langues. À
chaque site d'examen se trouve un surveillant qui parle la langue
principale utilisée à cet endroit.
INSCRIPTION À !:EXAMEN CISA
L'examen CISA se donne trois fois par année. Veuillez vous
référer au Guide d'information destiné aux candidats aux
examens de l'! SAC A au WH'W.isaca.mg/examguide pour
connaître les dates limites d'inscription, pour connaître les
langues dans lesquelles il est possible de passer l'examen ainsi
que pour obtenir des renseignements impo1iants concernant la
journée de l'examen. Les insc1iptions aux examens peuvent sc
faire en ligne au tvwv,üsaca.org!examreg.
473
 Annexe B
PROGRAMME D'ACCRÉDITATION DE CISA
RENOUVELÉ SOUS LA NORME ISO/IEC
17024:2012
l? American National Standards lnstitulc (ANS!) a voté la
poursuite de l'accréditation des certifications CISA. CISM,
CGEIT ct CRI SC sous la norme ISO/fliC 17024:2012, exigences
générales pour les organismes qui œuvrent dans les systèmes de
CCiiification de personnes. CANSI, une organisation privée sans
but lucratif~ délivre des accréditations à d'autres organisations
pour servir en tant que tiers pour les ccJiificatcurs de produits, de
systèmes et de personnel.
La norme ISO/IEC 17024 spécifie les exigences devant être
respectées par les organisntions de certification des personnes.
L'ANSI présente la nonne ISO/If:C~ 17024 en affirmant qu'elle
«jouera probnblcmentun rôle de premier plan pour faciliter
la standardisation globale de la communauté de certification,
l'augmentation de la mobilité entre les pays, l'amélioration de la
sécurité publique et la protection des consommateurs».
L'accréditation de l'ANS! :
• Promeut les compétences uniques et l'expeitisc que fournit la
certification de lïSACA.
" Protège l'intégrité des certifications et appmie une validité
juridique.
• Améliore la confiance des consommateurs et du public envers
les certifications et les gens qui sont certifiés.
• Facilite la mobilité à travers les frontières oules industries.
t:accréditation de l'AN SI signifie que les procédures de J'ISACA
répondent aux exigences essentielles de
I'ANSI en ce qui concerne l'ouverture,
l'équilibre, le consensus et la procédure
établie. Avec cette accréditation, l'ISACA
prévoit que des opportunités impo1iantes
pour les titulaires CISA, CISM, CGEIT
ANS! Accrcdit~d l'n1gr:un
et CRI SC continueront de s'offrir aux PJ:RS()NNEL
l~tats-Unis ct partout dans le monde. Cl·:Rl'lFICAT!ON
PRÉPARATION À ~!EXAMEN CISA
L'examen CISA évalue la connaissance pratique du candidat sur
les domaines d'emploi mentionnés dans cc manuel et en ligne
à l'adresse IFWw.isaca.org/cisqjobpractice. Cela signifie que
l'examen est conçu pour évaluer la connaissance, l'expérience
et le jugement d'un candidat sur les applications appropriées
ou privilégiées d'audit, de sécurité, de principes de contrôle,
de méthodes et de pratiques des systèmes d'information.
Dans la mesure où l'examen porte sur un large éventail de
problèmes relatif."> à l'audit, le contrôle et la sécurité des systèmes
d'information, les candidats ne devraient pas compter uniquement
sur la seule lecture des guides d'études CISA et des documents
de référence pour se préparer à l'examen. Les candidats Cf SA
sont fOrtement encouragés à prendre en compte leur expérience
personnelle lorsqu'ils étudient pour l'examen ct à utiliser les
guides d'études CISA et les documents de référence pour
approfondir leur connaissance des concepts ou des pratiques avec
lesquels ils ne sont pas familiadsés.
474
e '
. ertified lnrormatio!l
Systems Auditof
'---+----
""''"'"'"'~'''"''""
Aucune déclaration ou garantie n'est apportée par l'JSACA sur
ln réussite de J'examen suite à l'utilisation des guides d'études
CISA, des autres publications de I'ISACA, des documents de
références ou suite au suivi de cours.
TYPES DE QUESTIONS D'EXAMEN
Les questions d'examen CISA sont élaborées dans le but
d'évaluer et de vérifier les connaissances pmtiqucs et l'application
des concepts généraux et des nonnes. Toutes les questions sont à
choix multiple ct comportent une réponse optimale.
Chaque question contient une prémisse (la question) el quatre
options (les choix de réponse). Le candidat doit choisir ln
réponse correcte ou la meilleure réponse parmi les options. La
prémisse peut prendre la forme d'une question ou d'un énoncé
incomplet Dans certains cas, un scénario pourrait aussi être
inclus. Ces questions comprennent habituellement une mise en
situation et exigent du candidat qu'il réponde à deux questions
ou plus en fonction de l'information fomnîc. Le candidat doit
lire attentivement la question, éliminer les options qu'il sait être
incorrectes ct choisir la meilleure réponse possible. Pour mieux
comprendre les types de questions qui pourraient être posées
à l'examen et la façon dont ces questions sont développées,
consultez le guide d'écriture, que vous pouvez trouver au ww~-t:
isaca.orglilcmwriting. Des exemples de questions d'examen
CISA sont disponibles au WJ.VH:isaca.orglcisaassessment.
ADMINISTRATION DE ~!EXAMEN
L'ISACA fait équipe avec un organisme d'examen reconnu
intcrnationalcment. Cet organisme sans but lucrntif œuvre dans le
domaine du développement et de l'administration d'examens de
qualification qui ont pour but la certification et la délivrance Je
licences. JI assiste l'ISACA Jans l'élaboration, l'administration et
la cotation de l'examen CISA
lORS DE ~!EXAMEN
Les candidats doivent arriver au lieu où se déroulera l'examen à
l'heure indiquée sur leur billet d'entrée. AUCUN CANDIDAT
NE SERA ADMIS DANS LA SALLE D'EXAMEN LORSQUE
LE VERIFICATEUR EN CHEF AURA COMMENCt LA
LECTURE DES INSTRUCTIONS ORALES. Tout candidat
ne se pr~scntant pas ou <lnivant après le début de la lecture des
instructions ne sera pas autorisé à passer l'examen et les tfai.s
d'inscription ne lui seront pas remboursés. On recommande aux
candidnts de sc familiariser avec l'emplncement exact du lieu
d'examen et de détem1Îner le meilleur moyen de s'v rendre avant
la date de l'exnmcn, nfin qu'ils s'assurent d'arriver~ù l'heure
le jour de l'examen. Les candidats peuvent utiliser leur billet
d'entrée seulement au centre d'examen mentionné sur le billet.
Pour être admis dans la salle d'examen, les candidats doivent
apporter l'imprimé du couniel OU la copie papier de leur billet
d'entrée et une pièce d'identité avec photo acceptable comme un
permis de conduire, un passepmt ou une carte d'identité émise
par le gouvernement Cette pièce d'identité doit être à jour, et il
doit s'agir d'un document original émis par le gouvernement,
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.

non rempli à la main, montrant à la fois le nom du candidat
tel qu'il apparaît sur le billet d'enn·ée et la photo du candidat
Tout candidat qui ne fournit pas de pièce d'identité acceptable
ne sera pas autotisé à passer l'examen et ne pourra pas sc faire
rembourser les frais d'inscription.
Respectez les conventions suivantes lorsque vous passez
J'examen :
• N'apportez pas de documentation d'étude (y compris des
notes. du papier, des livres ou des guides d'étude) ni de papier
brouîllon ou de carnets de notes dans la salle d·examen. Pour
plus de renseignements quant aux effets personnels que vous
pouvez apporter dans la salle d'examen et à ceux qui sont
interdits, veuillez consulter le ww11,: isaca.OJglâsahelongings.
Pendant l'examen, vous ne pouvez consulter aucun article
apporté sur le site de l'examen.
Les candidats n'ont le droit d'appotier aucun dispositif de
communication (p. ex., téléphones cellulaires, tablettes. montres
ou lunettes intelligentes, appareils mobiles, etc.) dans la salle
d'examen. Si l'on constate qu'un candidat a un tel dispositif
en sa possession pendant qu'il passe l'examen, sa copie sera
annulée et on lui demandera de quitter immédiatement la salle
d'examen.
Les candidats qui quittent la salle d'examen sans autorisation
ou sans être accompagné par un surveillant ne seront pas
autorisés à y revenir et risquent d'être disqualifïés.
"'On demande aux candidats d'apporter plusieurs crayons HB
puisqu'aucun crayon ne sera fourni dans la salle d'examen.
• Fournissez le numéro d'identification de !"examen inscrit
sur votre billet d'entrée, ainsi que toute autre information
demandée. Le non-respect de ces conditions peut entraîner un
délai ou des erreurs.
• Lisez attentivement les instructions avant de répondre
aux queslions. Ne pas lire ces instructions ou les lire trop
rapidement pourrait vous faire manquer des informations
importantes ct possiblement perdre des points.
• Il est impératif que les candidats cochent la section approp1iée
lorsqu'ils inscrivent leur réponse sur la feuille-réponses.
Lorsque vous apportez une correction à une question à laquelle
vous avez dèjù répondue, effacez complètement la mauvaise
réponse avant d'en inscrire une nouvelle.
• Assurez-vous de rt!pondre ù chaque question puisqu'il n'y
a pas de sanction pour les mauvaises réponses. La notation
repose uniquement sur le nombre de bonnes réponses. Ne
laissez aucune question sans réponse. l.. . a note de l'examen sera
accordée uniquement en fonction de la feuille réponse.
• Identifiez les mots-clés ou les locutions dans la question
(PLUS, MEILLEUR, PREMIER, etc.) avant de choisir et de
noter la réponse.
• Le vé1i ficateur en chef de chaque salle d'examen ou une autre
personne désignée expliquera à voix haute comment insc1ire
les réponses sur la tèuîlle-réponscs. Il est impératif que les
candidats insc1ivent le numéro d'identification de l'examen
inscrit sur leur billet d'entrée, ainsi que toute autre information
demandée sur leur feuille-réponse. Le non-respect de ces
conditions peut entraîner un délai ou des erreurs.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Annexe B
PLANIFIER VOTRE TEMPS
Voici quelques conseils de gestion du temps pour l'examen :
• On recommande aux candidats de sc familiariser avec
J'emplacement exact du lieu d'examen ct avec la meilleure
façon de s'y rendre avant la date de l'examen.
• Les candidats doivent arriver au lieu où se déroulera l'examen
à l'heure indiquée sur leur billet d'entrée. Ccci permettra nux
candidats de prendre le temps de s'i11stallcr ct. de se familiariser
avec les lieux.
• l_:cxamen dure quatre heures, ce qui représente un peu plus de
1.5 minute par question. Par conséquent, il est recommandé
que les candidats travaillent à un bon rythme afin de compléter
l'examen en entier. Pour cc faire, les candidats doivent répondre
à une moyenne de 38 questions par heure.
• On conseille vivement aux candidats d'insc.:rire leur réponse
directement sur la fl~uille-réponses. Aucun temps additionnel
ne sera alloué ù la fin de l'examen pour transférer ou entrer
les réponses, dans le cas ollles candidats auraient inscrit leurs
réponses sur Je questionnaire.
RÈGlES ET PROCÉDURES
• On demande aux candidats de signer leur feuille-réponses afin
de protéger la sécurité de l'examen et de maintenir la validité
des résultats.
• À la discrétion du groupe de travail de certification Cl SA,
tout candidat peut être disqualifié s'il esl trouvé coupable
de mauvaise conduite, telle que donner ou recevoir de
l'aide, utiliser des notes, des documents ou toute autre
fom1e d'aide, ess<Jyer de passer l'examen à !a place de
quelqu'un d'autre, ou sortir du matériel ou des notes de la
salle d'examen. Lorganisme d'examen fournira au groupe
de travail de certification CfSA des rapports concernant de
telles irrégularités. Le groupe de travail révisera les incidents
rapportés et toutes les décisions prises par ce dernier seront
finales.
• Pour obtenir de 1'information supplémentaire sur les règles
en vigueur pendant !ajournée d'examen, consultez le Guide
d'information destiné aux candidats aux examens de I'ISACA
( l·VWW. isaca. orglexamguide).
.. Les candidats ne peuvent pas conserver le questionnnire après
l'examen.
NOTATION DE !.:EXAMEN
L'examen CISA est composé de 150 questions. Les résultats des
candidats sont reportés comme résultats gradués. Un résultat
gradué est une conversion de la note brute du candidat à l'examen
sur une échelle commune. L'ISACA rapporte les résultats sur une
échelle commune variant de 200 ù 800. Un candidat doit recevoir
une note de 450 ou plus pour réussir l'examen. Un résultat de
450 représente la norme minimale de connaissance établie par le
groupe de travail de certification CISA de I'ISACA. Un candidat
qui reçoit la note de passage peut ensuite faire la demande de
certification si toutes les autres exigences sont respectées.
La réussite de l'examen ne garantit pas la certification
CISA. Pour obtenir Je titre CISA, chaque candidat doit
475
 Annexe B
e Cerlifled lnform.ation
Systems Audit(l('
"'"""'''"'''""'~"

•·épondre à toutes les cxigenl'C'S, y compris la soumission traitées. Toutes les demandes doivent inclure le nom du candidat,
d'une demande de certification ainsi que son approbation. le numéro d'identification de l'examen et l'adresse de retour. Des
t+ais de 75 $US doivent accompagner cette demande.
L'examen CISA contient quelques questions incluses à des
fins de recherche et d'analyse seulement. Ces questions ne sont
pas identifiées séparément et la note du candidat st-!ra basée
uniquement sur les questions courantes. Il y a plusieurs versions
de chaque examen, mais seules les questions courantes comptent
pour votre note.

Un candidat qui reçoit un résultat inférieur à 450 échoue ct

peut reprendre l'examen au cours d'une sénnce ultérieure, en
s'insciivant et en payant les frais d'examen applicables. Afin
d'aider Je candidat ù mieux étudier pour Je fhtur examen, la lettre
de résultat que chaque candidat reçoit comprend une analyse des
résultats par domaine. Un candidat peut passer l'examen autant de
fOis qu'ille désire.

fi:nviron cinq semaines après la date de l'examen~ les résuUats

officiels seront envoyés par la poste aux candidats. De plus,
avec r nccord du cnndîdat lors du processus d'inscription, un
courricl annonçnnt la réussite ou l'échec du candidat. ainsi que le
résultat, sera envoyé aux candidats payants. Cet nvis par courriel
sera envoyé seulement à l'adresse inscrite dans le profil du
candidat au moment de la divulgation initiale des résultats. Afin
d'assurer la confidentialité des résultats, ces derniers ne seront
pas divulgués par téléphone ni par télécopieur. Afin d'empêcher
que 1'avis par cou niel se retrouve dans le dossier pourriels du
candidat, ce dernier devrait ajouter e:ram@isaca.org à son carnet
d'adresses, sa liste blanche ou sa liste d'expéditeurs sécUJitaires.

Afin d'obtenir leur titre d'agrément CISA, les candidats doivent

réussir l'examen CISA, puis remplir et soumettre une demande
d'agrément (ct obtenir la confirmation de l' !SAC A que leur
demande est approuvée). La demande peut être téléchargée sur
le site Internet de !'!SAC A. wwn-:isaca.orgldsaapp. Une fois la
dcmnnde approuvée, le candidat recevra une confirmation de son
approbation. Le candidat n'est pas auditeur agréé CISA et ne peut
pas utiliser le titre d'agrément CJSA tant que sa demande n'a pas
été approuvée. Des droits de traitement doivent accompagner les
demandes de certification à la CISA.

Le bulletin des résultats indiquera le résultat obtenu pour chaque

domaine d'emploi. Ces résultats peuvent être utiles pour identifier
les domaines auxquels Je candidat devrait p01i"er plus d'attention
avant de reprendre l'examen. Les candidats qui échouent doivent
prendre note que le f'~lit de calculer une moyenne simple ou
une moyenne pondérée des résultats par domaine ne donne pas
le résultat gradué total. Les candidats qui rcç.oivent une note
d'échec à l'examen peuvent demander une vérification de leur
feuille-réponses. Cette procédure permet d'assurer qu'aucune
marque, réponse multiple ou autre facteur n'ont affecté la notation
informatique. Les candidats doivent toutefOis comprendre que
toutes les notes sont sujettes à plusieurs vérifications de contrôle
de la qualité avant d'être annoncées; par conséquent, il est peu
probable qu'une réévaluation donne lieu à un changement de
la note. Les demandes de révision manuelle doivent être faites
en écrivant au service de ce1iifïcation dans les 90 jours suivant
la date de publication des résultats de l'examen. Les demandes
de correction à la main reçues après la date limite ne seront pas

476 Manuel de Préparation CISA 26" édition

ISACA. Tous droits rêservés.
e Certifltld lnformatkm
~.Ystcms Audllo~·
'"''""""'"'''"''~'
GLOSSAIRE
Rem:u-quc : Les termes du glossaire sont fournis pour référence
dans le manuel de préparation CISA. Comme l'environnement
technologique est en constante évolution, la définition des termes
peut changer. Veuillez consulter le H'WW.i.wrca.mg!glossary pour
voir les termes ct définitions les plus à jour.
A de caractères alphabétiques.
Accord réciproque~ Accord de traitement d'urgence entre deux
ou plusieurs entreprises qui détiennent de l'équipement ou des
applications semblables. Dans un accord type, les participants
se promettent mutuellement du temps de traitement en cas
d'urgence.
Accord sur les niveaux de service- Accord. prétërablement
documenté, entre un fournisseur de services et les clients ou
utilisateurs, qui définit les cibles minimales de performance pour
un service ct les moyens de les mesurer.
Acheminement divers Méthode d'acheminement du trafic
grâce à des installations de câbles à conducteurs séparés ou
de câbles doubles. L'acheminement peut être réalisé par des
câbles dont les enveloppes sont différentes ou doubles. Si des
enveloppes différentes sont utilisées, Je câble peut être dans
le même canal de communication et, cc faisant, être sttiet aux
mêmes interruptions que le câble qu'il soutient. Cabonné au
service de communication peut dupliquer les installations grâce
<1 des routes alternatives, bien que l'entrée chez le client et à
partir des locaux du client peut sc faire à partir du même canal de
communication. Cabonné peut obtenir les acheminements divers
ct alternatifs par l"entremise du transmetteur local, y compris
les installations d'entrée double. Cependant, ce type d'accès
est lent ct coûteux. La plupart des transmetteurs offrent des
installations pour les acheminements alternatifs ct divers, quoique
la majorité des services soient transmis par des moyens terrestres.
Habituellement, ces installations de câblage sont situées dans
le sol ou dans le sous-sol du bâtiment Les installations dans
le sol sont toutefois vulnérables à cause du vieillissement des
infrastructures urbaines. De plus, les installations de câblage
partagent habituellement le même espace que les systèmes
mécanique et électrique. Ce fhisant, une erreur humaine ou des
catastrophes peuvent les exposer à des risques.
Adminîs1rateur de base de données (DBA) .. _Personne ou
service responsable de la sécurité et du classement des données
partagées d'un système de base de données. Cette responsabilité
comprend la conception, la définition et la maintenance de la
base de données.
Adminis1rateur de la sécurité- Personne responsable de mettre
en place, de surveiller ct de l'aire appliquer les règles de sécurité
établies ct autorisées par la direction.
Administrateur de réseau- Responsable de la planification,
de l'implantation ct de l'entretien de l'infrastructure de
télécommunication; peut aussi être responsable des réseaux
vocaux. Dans les petites organisations, l'administrateur de
réseau peut aussi maintenir un réseau local (LAN) ct aider les
utilisateurs finaux.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Glossaire
Adressage-· Méthode utilisée pour identifier la position d'un
utilisateur sur un r~seau. Idéalement, l'adressage indique la
position de 1'utilisateur plutôt que son identification (nom}, ou
comment y accéder (routage).
Adresse- Dans la mémoire informatique, le code utilisé pour
désigner l'emplacement d'un élément de données précis.
Alpha--- Utilisation de caractères alphabétiques ou d'une chaîne
Amélioration continue-- Les o~jcctif.o;;; de l'amélioration
continue (Kaizen) comprennent l'élimination des rebuts, c'est-à-
dire les activités qui entraînent des coflts sans ajouter de valeur,
la livraison en temps voulu, le nivellement des montants et des
types associés à la charge de production. la standardisation du
travail, les lignes de production ù durées de tâches fixes, les
équipements de dimensions appropiiées. Une définition plus
appropriée de l'utilisation du Kaizen selon les Japonais serait de
<:<démonter les choses et les remonter d'une meilleure façon>>. Ce
sont généralement les processus, les systèmes, les produits ou les
services qui sont démontés. Kaizen est une activité quotidienne
dont l'objectif dépasse la simple amélioration. C'est aussi un
procédé qui, lorsqu'il est suivi correctement, humanise le lieu de
travail, élimine le travail ardu (tant intellectuel que physique), ct
enseigne aux gens comment sc fonder sur la méthode scientifique
pour expélimentcr rapidement et comment apprendre à déceler ct
à éliminer les rebuts dans les processus de l'entreprise.
Analogique --Signal de transmission qui varie continuellement
en amplitude et en temps et qui se propage sous forme d'onde.
Les signaux analogiqtJes sont utilisés en télécommunication.
Analyse comparative-- Approche systémique servant à
comparer la performance d'une organisation par rapport à celui
de ses semblables et de ses concurrents, dans le but d'acquérir
de meilleures pratiques de gestion. Par exemple, des analyses
comparatives sur la qualité, l'efficacité logistique ct autres
variables.
Analyse de cas- Documentation de la justification d'un
investissement commercial, qui sert à la fois à appuyer la
décision de procéder ou non à 1'investissement et comme outil
opérationnel pour aider à la gestion de l'investissement tout au
long de son cycle de vie économique.
Analyse des points fonctionnels-- 1Cchnique employée pour
déterminer la taille d'une tâche de développement selon le
nombre de points fonctionnels. Les points fonctionnels sont des
facteurs comme les intrants, les extrants, les requêtes et les sites
logiques internes.
Analyse des vulnérabilités - Processus d'identî fi cation ct de
classification des vulnérabilités
Analyse du risque~ Premières étapes de la gestion du risque :
analyse de la valeur des aclifs de l'entreprise, identification des
menaces liées à ces actifS et évaluation de la vulnérabilité des
actif..;; à ces menaces. Cela comprend souvent une évaluation de la
fréquence probable d'un événement donné, ainsi que de l'impact
probable de cet événement.
477
 Glossaire
Analyse de l'impact sur les affaires (AJA)-- Processus qui
sert à déterminer les conséquences de la perte de l'apport d'une
ressource. Lévaluation de l'analyse de l'impact sur !es affi1ircs
servira à établir l'importance de cette perte dans le temps. On
estime que la direction, lorsqu'elle dispose de données fiables
pour préciser le possible impact de la perte d'une ressource, peut
prendre une décision qui soit appropriée.
Appel de procédure à distance (RPC) -· Protocole traditionnel
de service Internet largement utilisé depuis plusieurs années
sur des systèmes d'exploitation UNIX et soutenu par I'IETF
(Internet Engineering Task Force), qui permet à un programme
sur un ordinateur d'exécuter un programme sur un autre poste
informatique (p. ex., serveur). Cavantage premier provenant de
son utilisation est que le développeur d"un système n'a pas à créer
de procédures spécifiques pour le système informatique visé.
Par exemple, dans un arrangement client-serveur, le progrnmmc
du client envoie un message au serveur contenant les arguments
appropriés, puis le serveur retourne un message contenant les
résultats du programme exécuté. L'architecture commune de
répartition des requêtes d'ol~jets (CORBA) et le Distribuled
Componcnt Object Mode! (DCOM) sont deux nouvelles
méthodes orientées o~jct pour la fonctionnalité liée au RPC.
Applct- Programme écrit dans un langage informatique portable
ct indépendant d'une plate-forme, tels que Java, JavaScript ou
Visual B~tsic. Habituellement, un applet est incorporé dans
une page HTML (Hypettcxt Markup Language) téléchargée à
partir de serveurs Web, puis exécuté par un navigateur sur des
postes afin de lancer une application Web (par exemple générer
des formulaires de saisie de données sous forme de page Web,
exécuter des programmes audio/vidéo, etc.). Les applets ne
peuvent exécuter qu'un ensemble restreint d'opérations; ceci
prévient, ou à tout le moins minimise, les risques potentiels liés à
!a sécurité des ordinateurs hébergeurs. Cependant, si les applets
ne sont pas contrôlés correctement par le navigateur, l'ordinateur
de l'utilisateur peut être exposé à des risques liés à la sécurité; par
exemple le navigateur ne devrait pas pennettTe à un applct d'avoir
accès à l'information contenue dans un ordinateur sans avoir
1'autorisation préalable de 1'utilisateur.
Application Programme informatique ou ensemble de
programmes informatiques qui effectuent le traitement de
données pour une f-Onction précise. Capplication diffère des
programmes systèmes de type système d'exploitation ou
programme de gestion de réseau, de même que des programmes
utilitaires comme la copie et le tri.
Application vitale Application vitale nux opérations de
!'organisation. Le terme est très populaire pour décrire les
applications requises pour le fonctionnement quotidien d'une
entreprise.
Arrondissement par défaut,_ Méthode de tfaude informatique
impliquant un code machine qui donne la consigne à l'ordinateur
de retirer de petits montants d'argent par une transaction
informatique autorisée en arrondissant par défaut à la valeur
entière la plus près ct en réachcminant le montant arrondi vers le
compte de l'auteur du crime.
478
e . M
Ctlrtilicd lnformatkm
Systems Audilor'
"''"''"'''"''""""'"
ASCII - Le code ASCII (American Standard Code for
InfOrmation lntcrchangc), qui représente 128 caractères, utilise
habituellement 7 bits. Toutefois, cc1iaines vmiations du code
ASCII permettent !"utilisation de 8 bits. Ce code ASCII à 8 bits
permet de représenter 256 caractères.
Assaut passif·- lèntat.ivc par des intrus d'apprendre les
caractéristiques des données transmises. Lors d'un assaut passi(
les intrus pourraient arriver à lire le contenu des données; ainsi, la
confidentialité des données est cntfeinte. Par ailleurs, il pourrait
arriver que le contenu des données en soi demeure sécurisé, mais
que les intrus parviennent à lire et à analyser les identifiants de
source et de destination en texte en clair attachés à un message
aux fins de l'acheminement, ou qu'ils examinent la longueur ct la
fréquence des messages transmis.
Assembleur·· Programme dont l'intrant est un programme
préalablement écrit en langage d'assemblage et qui le üaduit en
code machine ou en langage machine.
Association de sécurité lntl'rnet et protocole de gestion des
clés (ISAKMP) " Un protocole de partage des clés publiques"
Assurance de la qualité (AQ} -- Ensemble piani fïé et
systématique d'actions destinées à donner confiance en la
conformité d'un élément ou produit aux exigences techniques
établies (ISO/IEC 24765)"
Assurance raisonnable- Degré de confort inrérieur à une
garantie, mais jugé adéquat vu les coûts du contrôle et les
bénéfices susceptibles d'être réalisés.
Atténuation du risque··- Gestion du risque par le recours à des
contre-mesures et à des contrôles.
Audit financier-- Audit conçu pour déterminer l'exactitude des
documents financiers ct de l'information financière.
Audit global-·- Audit conçu pour déterminer !"exactitude des
documents financiers et pour évaluer les contrôles internes d'une
fonction ou d'un service.
Audit opérationnel·-·· Audit conçu pour évaluer les divers
contrôles internes, l'économie ct l'efficacité d'une fOnction ou
d'un service.
Audit' permanent-.. Approche qui permet aux auditeurs de SI de
surveiller en continu la fiabilité des systèmes et de recueHlir des
preuves d'audit sélectives par ordinateur.
Authentification- Vérification de l'identité d'un utilisateur et de
ses droits d'accès aux données informatiques. L'authentification
sert de protection contre les ouvertures de session frauduleuses.
Elle peut aussi fflire référence ù la vérification de l'exactitude
d'une donnée.
Autocommutateur privé (PBX)- Central téléphonique dont le
gestionnaire est une entreprise privée et non un fOurnisseur public
ou une compagnîe de téléphone.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e Gertlfied lnformallon
Systems Allditor"
"
..,J,.G<'<M''""'"~
""
Autorité de certification (AC)- Organisme tiers de confiance,
au service des infrastructures ou organisations, qui inscrit les
entités ct leur attribue des certificats.
Autorité d'enregistrement {AE) -Institution qui valide la
preuve d'identité d'une entité et confirme qu'une paire de clés
appartient à cette dernière.
B
Badge-· Catie, ou autre dispositif: présentée afin d'obtenir
l'accès à un environnement contrôlé; cette cmie constitue un
symbole d'autorité ou simplement un moyen d'identification. Les
ca1ics d'identification sont également utilisées dans la publicité.
Bande de base--- Forme de modulation dans laquelle les
signaux de données sont envoyés par impulsion sur le dispositif
de tran.c.;mis.-;;ion sans qu'il y ait division de fréquence;
habituellement, un émetteur-récepteur est utilisé. Toute la largeur
de bande du moyen de transmission (par exemple le câble
coaxial) 11e forme qu'un seul canal de transmission.
Base de données . _ Ensemble structuré de données dont les
organisations et les personnes ont besoin afin de satisfaire à leurs
exigences de traitement ct de récupération.
Base de données hiérarchique-·- Base de données structurée
selon une relation arbre/racine ou parent/enfant. Chaque parent
peut avoir plusieurs enfants, mais chaque enfant ne peut avoir
plus d'un parent.
Bibliothécaire- Personne responsable de la sauvegarde et de
l'entretien de tous les programmes et fichiers de données.
Biométrie-- Technique de sécurité qui vérifie l'identité d·un
individu en analysant une caractéristique physique unique telle
que l'empreinte de la main.
Brouillage d'ondes radio- Superposition de deux ou de
plusieurs ondes radioélectriques qui créent un protocole Je
communication d'ondes radioélectriques beaucoup plus diiTicile à
intercepter ct à décoder correctement.
Bruit-- Perturbations dans la transmission des données, comme
des parasites, qui causent une mauvaise interprétation des
messages par le destinataire.
Bus-- Chemin ou canal commun entre les périphériques. Il peut
être situé entre les composantes internes d'un ordinateur ou entre
les ordinateurs d'un réseau de communication.
c numérique est produite à l'aide de la clé privée de l'expéditeur ou
Câble coaxial-- JI est fonné d'un fil recouvert qui passe au
centre de chaque câble, d'un second fil entourant l'isolant du
fil intérieur comme une gaine, et d'un isolant extérieur qui
enveloppe le second fil. Il possède une plus grande capacité de
transmission que les c<ibles standards à paire torsadée, mais sa
portée efficace est limitée.
Carte à puce-~ Petit dispositif électronique qui contient une
mémoire électronique et possiblement un circuit intégré. Les
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
Glossaire
cartes à puce peuvent avoirdiflCrcntcs fonctions, y compris le
stockage de certificats numériques ou de monnaie électronique,
ou servir de jeton pour authentifier les utilisateurs.
Carte d'interface réseau- Carte de communication qui, lorsque
insérée dans l'ordinateur, pennet de communiquer avec d'autres
ordinateurs sur un réseau. La plupart des cartes d'interface réseau
sont conçues pour un typè particulier de réseau ou de protocole,
Cartographie- Données sous fOrme de diagrammes pouvant
être échangés de façon électronique, ct comprenant leur
utilisation et les systèmes de gestion d'entrep1ises en ayant
besoin. JI s'agit d'une étape préliminaire pour le développement
de liens d'application. (Voir traçage logique et de cartographie de
programmes applicatiiS.)
Centre <Passistance- Service otlCrt par téléphone ou Internet
par une organisation à ses clients ou employés, qui fOurnit
de J'information, de l'aide, des conseils de dépannage sur les
logiciels, le matériel ou les réseaux. Un centre d'assistance est
composé de gens qui peuvent soit résoudre le problème par eux-
mêmes, soit acheminer le problème au personnel spécialisé. Un
centre d'assistance est souvent doté de logiciels dédiés de gestion
des relations avec la clientèle (CRM), qui notent les problèmes et
en font le suivi jusqu'à ce qu'ils soient résolus.
Centre de traitement à façon- lnst~1\Jation infOrmatique qui
fOurnit des services de traitement de données aux clients en
continu.
Centre de traitement informatique (CTI)- Salle des
ordinateurs ct aires de soutien.
Centre informatique de secours équipé--- Installation hors-site
de traitement des données tout à fait opérationnelle équipée de
matériel et de logiciels d'exploitation pouvant être utilisés dans le
cas d'une catastrophe.
CEf·fl' (équipe d'intervention d'urgence informatique)~
Groupe de personnes rattachées ù une organisation, dont la
pince et les responsabilités sont bien définies, ct qui fournissent
une assistance lorsqu'une u1-gencc relative aux systèmes
d'information se présente. Ce groupe agira à titre de contrôle
correctif efficace ct constituera l'unique point de contact en
matière d'incidents et de problèmes relatifs aux systèmes
d'information.
Certificat numéri<1ue- Élément d'information, ou fOrme de
signature numérique, qui garantit l'authenticité de l'expéditeur,
l'intégrité du message et la non-répudiation. Une signature
en appliquant une fonction de hachage <Î sens unique.
ChaÎne de possession- Principe juridique concernant la
validité et l'intégrité des preuves. Il nécessite que l'on rende
compte de tout élément utilisé comme preuve dans une action
judiciaire et que 1'on puisse en assurer la trace du moment de la
cueillette jusqu'au moment où il est présenté en cour. La chaîne
de possession sous-entend la consignation de qui a eu accès à
la preuve et quam~ ainsi que la capacité d'identifier la preuve
479
Glossaire
comme étantl'êlémcnt précis récupéré ou testé. Le manque
de contrôle sur une preuve peut entraîner son rejet La chaîne
de possession repose sur la capacité à démontrer que la preuve
n'a pas pu être altérée. Pour cela. la preuve doit être scc!léc de
manière à ne pas pouvoir être modifiée. Un registre de possession
doit être fourni, confirmant que la preuve a été rigoureusement
surveillée en tout temps et n'a pu subir aucune altération.
Champ- Élément de donnée individuel dans un enregistrement
infom1atique. Des exemples sont le nom de l'cmployé,l'adresse
du client, le numéro de compte, le prix unitaire du produit et la
quantité de produits en stock.
Chargement du programme initial (IPL) ·-Procédure
d'initialisation qui amorce le chargement en stockage d'tm
système d'exploitation au début d'une jou mée de travail ou après
un mauvais fonctïonneinent du système.
Chemin d'accès-· Parcours logique qu'emprunte un utilisateur
final pour accéder nux données infonnatiqucs. Habituellement:
il parcourt tout le système d'exploitation. le logiciel de
télécommunications, le logiciel d'application sélectionné ct le
système de contrôle d'accès.
Cheval de Troie~- Code malveillant ou destructeur
volontairement caché à r intérieur d'un programme informatique
autorisé. Contrairement à un virus, le cheval de Troie ne se
réplique pas. mais il peut être tout aussi destructeur pour un
ordinateur unique.
Chiffre de contrôle·-· Valeur numérique, calculée de façon
mathématique, ajoutée aux données pour assurer que la donnée
Oiiginale n'a pas étë altérée ou qu'une concordance erronée,
mais valide est survenue. Le chiffre de contrôle est efficace pour
détecter des erreurs de transposition et de transcription.
Chiffrement-- Processus selon lequel on npplique une fonction
mathématique (algorithme de chiffrement doté d'une clé) à un
message non chitlfé (texte en clair) afin de produire un message
chiffré (cryptogramme).
Chiffrement par clé publique- Système de chiffrement utilisant
deux clés. L'une d'elles est publique et connue de tous, alors que
la seconde est ptivée, ou secrète. Cette dernière n'est connue que
du destinataire du message.
Clause de confidentialité--· Un contrat légal entre au moins
deux parties, résumant les éléments confidentiels que les parties
veulent se partager à des fins précises. mais dont elles veulent
empêcher l'utilisation générale; un contrat par lequel les parties
s'entendent à ne pas divulguer les types d'information inclus dans
J'entente. Aussi appelée entente de divulgation confidentielle,
entente de confidentialité ou accord de non-divulgation. Une
clause de confidentialité crée une relation confidentielle entre
les parties afin de protéger tout type de secret commercial. Ainsi,
une c{ause de confidentialité peut protéger des informations
commerciales confidentielles. Dans le cas de certaines entités
gouvernementales, la confidentialité de l'information, autre
que des secrets commerciaux, peut être sujette aux exigences
légales applicables ct, dans certains cas, peut être révélée à
une tierce partie qui en fait la demande. En général, J'entité
480
gouvernementale ~joutera une disposition au contrat, qui
permet au vendeur d'examiner une demande de divulgation
d'inf(mnation qu'il identifie comme étant confidentielle; le
vendeur peut en appeler d'une telle décision de divulgation. Les
clauses de confidentialité sont normalement signées lorsque
deux entreprises ou personnes examinent la possibilité d'établir
une relation commerciale, et doivent comprendre le processus
utilisé dans chacune des entrep1ises afin d'évaluer la relation
d'aftàires potentielle. Les clauses de confidentialité peuvent être
«mutuelles}), ce qui signifie que les deux parties sont limitées
dans l'utilisation des éléments fOurnis, ou alors elles peuvent
limiter une seule partie. Il est aussi possible pour un employé
de signer une clause de confidentialité ou une autre entente du
même type avec une entreprise au moment de l'embauche; en
f:1it, certains contrats de travail comprennent une clause limitanl
la divulgation d'« information confidentielle>>.
Clé asymétrique (clé publique)- Technique de chiffrement
utilisant des clés cryptographiques différentes pour chiffrer et
déchim·er un message (voir chiflfement de clé publique).
Cl~ de chiffrement-- Une pièce d'information numérisée.
utilisée par un algorithme de chiffrement afin de convertir le texte
en clair en cryptogramme.
Cl~ de déchiffrement l::lément d'infOrmation utilisé
pour récupérer le texte normal à paitir du cryptogramme
correspondant.
Clé étrangère·- Valeur qui représente une référence à un uplet
(une rangée d'un tableau) contenant la valeur d'une clé candidate
correspondante. Le problème consistant à s'assurer que la base de
données n'inclut pas de clé étrangère invalide est par conséquent
connu comme étant le problème d'intégrité référentielle.
La contrainte selon laquelle les valeurs d'une clé étrangère
donnée doivent con·espondre aux valeurs de la clé candidate
correspondante est connue comme une contrainte rétèrentielle.
La relation (table) contenant la clé étrangère est appelée relation
de rëférencement et la relation qui contient la clé candidate
correspondante est connue comme étant la relation référencée
ou la relation de cible. (Selon la théorie relationnelle, ce serait la
clë candidate, mais dans les vraies implantations de systèmes de
gestion de base de données (SGBD) il s'agit toujours de la clé
p1imaire.)
Client-serveur··· Groupe d'ordinateurs reliés par un réseau dans
lequel le client est un ordinateur demandeur et le serveur est
l'ordinateur fournisseur. Le traitement peut se faire sur l'un ou
l'autre des ordinateurs, mais il est transparent pour l'utilisateur.
Code barres-·· Code imprimé lisible par un appareil, composé de
barres parallèles dont la largeur et l'espacement varient.
Code binaire·-· Code représenté par les seuls nombres zéro el un.
Code binaire standardisé pour l'échange d'informations
Voir ASCII.
Code exécutable- Code de langage machine généralement
appelé objet ou module de chargement.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Certifie!! lrllonnation
..._ Systems Auditor'
~'---f----
"';'""""'~'"'""""'
Code o~jet --Consignes lisible"' par la machine produites par
un programme de compilation ou d'assemblage qui a accepté et
traduit le code source.
Code source- Le langage dans lequel est rédigé un programme.
Il est traduit en un code objet par des assembleurs et des
compilateurs. Dans certains cas, le code source peut être
transformé automatiquement en un autre langage par un
programme de conversion. Il ne peut être exécutë directement par
!"ordinateur. Il doit d'abord être transformé en langage machine.
Cohésion - La capacité maximum d'un système central-- sous-
programme, programme, module, composant, sous-système
ù exécuter une fonction unique. En général, plus les unit0s
sont cohérentes, plus il est facile de maintenir et d'améliorer
le système puisqu'il est plus aisé de déterminer où et comment
apporter une modification.
Comité direct-eur des Tl~· Comité à l'échelon de la haute
direction qui soutient l'exécution de la stratégie de TI, supervise
les activités de prestation de services de TI et les projets de Tl au
quotidien, et se concentre sur les aspects de mise en œuvre.
Comité stratégique des Tl - Comité à 1'échelon du conseil
d'administration qui veille à ce que cc dernier participe aux
principaux enjeux ct décisions en matière de TL Le comité
est principalement responsable de gérer les portetèuilles
d'investissements en Tl, les services de Tl et autres ressources en
Tl. Le comité est le détenteur du portefeuille.
Commentaire de programme- Fournit une explication détaillée
des organigrammes de programmation, y compris les points de
contrôle ct tout intrant externe.
Commerce électronique- Processus selon lesquels les
entreprises mènent des affaires par voie électronique avec leurs
clients, leurs fOurnisseurs ct d'autres partenaires externes,
en employant 1' Internet comme technologie de tacilitation.
Le commerce électronique englobe les modèles d'ail3ires
interentreprises et d'entreprise à dient, mais ne s'applique pas
aux transactions électroniques hors Internet fondées sur des
réseaux privés comme celles réalisées par échange de données
informatisé (ED!) ou par la Society for Worldwidc lntcrbank
Financîal Telecommunication {SWIFT).
Communication de données--- Transfert des données entre
deux sites ou dispositifs séparés de traitement informatisé par
l'entremise de lignes léléphoniqucs, de micro-ondes ou de
liaisons satellites.
Commutateurs···· Généralement considérés comme étant des
appareils de couche liaison de données. les commutateurs
permelicnt la création et l'interconnexion de segments de réseau
local (LAN); ils possèdent l'avantage de réduire les domaines de
collision dans les réseaux Ethemet.
Commutateur \VAN- Un dispositif de la couche liaison de
données utilisé pour mettre en œuvre diverses technologies WAN
comme le- mode- de tr:msfe1i asynchrone, les solutions à relais de
trame point à point et les réseaux numériques à intégration de
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Glossaire
services (ISDN). Les commutateurs WAN sont habituellement
associés ;] des réseaux porteurs fournissant aux entreprises la
commutation WAN ct les services de routcur par des connexions
1:1 ouT-3~
Commutation de message- Méthodologie de
télécommunication qui contrôle le trafic ct dans laquelle un
message complet est envoyé à un point de concentration et
emmagasiné jusqu 'à ce que la voie de communication soit établie.
Commutation par paquets Processus de transmission de
messages. L'information est découpée ct réassemblée une fois
arrivée à destination.
Compétence professionnelle- Degré démontré de capacité,
souvent lié à des nttcstations remises par les ordres professionnels
pertinents en conformité avec leurs codes de pratique et leurs
normes.
Compilateur-- Programme qui traduit un langage de
programmation (code source) en des instructions machine
exécutables {code objet).
Composants (comme dans<< développement à base de
composants»)- Ensembles coopératifs de logiciels exécutables
dont les se1vices sont disponibles par le biais d'intelfaccs
définies. Ces composants utilisés dans le développement de
systèmes peuvent être des produils commerciaux ou fabriqués sur
mesure. Toutefois, le but du développement à base de composants
consiste à utiliser le maximum de composants déjà développés et
testés.
Configuntion de réseaux en bus-- Tous les appareils (nœuds)
sont reliés à une ligne de communication sur laquelle tous les
nœuds reliés reçoivent les transmissions. Cette architecture est
fiable sur de tr0s petits réseaux; elle est aussi facile à utiliser et
à comprendre. Cette configuration nécessite une longueur de
câble minimale afin de brancher tous les ordinateurs ensemble
ct, ce faisant, elle est moins coûteuse que d'autres dispositifs de
câblage. Elle est aussi plus f~1cile à déployer. Un câble peut êtTc
al long~ enjoignant deux câbles à l'aide d'un connecteur afin de
pouvoir relier d'autres ordinateurs au réseau. Un répéteur peut
également être utilisé pour déployer la configuration de réseaux
en bus.
Con1ïguration maillée- Structure de réseau dans laquelle les
équipements sont reliés par de nombreuses interconnexions
redondantes entre les nœuds du réseau (utilisée principalement
dans les réseaux d'infrastructure).
Console opérateur- lèrminal spécial utilisé par le personnel
des opérations informatiques afin de contrôler l'ordinateur et les
fonctions d'exploitation des systèmes. Ces terminaux fournissent
habituellement un niveau supérieur d'accès informatique et
doivent être sécurisés de façon adéquate.
Consultation de table-~ Sert à assurer que les données saisies
correspondent aux critères prédéterminés consignés dans une
tH ble.
481
 Glossaire
Contrat de licence -- Contrat qui établit les termes et conditions
de licence d'un logiciel (c.-à-d. disponible légalement pour
utilisation), du développeur du logiciel (propriétaire) <i
!"utilisateur.
Contrat d'entiercement Une entente juridique dans laquelle
un actif(souvent de l'argent, mais parfois d'autres biens comme
une œuvre d'mi, un titre de propriété, un site internet un code
source pour un logiciel, ou encore une clé cryptographique)
est envoyé à un tiers (nommé dépositaire légal) pour qu'ille
tienne en fidéicommis pendant une contingence ou la réalisation
d'une ou des condition(s) d'un contrat. Dès l'entrée en vigueur
du contrat d'entiercement le dépositaire légal remet l'actif au
titulaire approprié; sinon, le dépositaire légal a l'obligation
fiduciaire de garder le compte de garantie bloqué. Un code
source bloqué signifie que le code source d'un logiciel a été
déposé dnns un compte détenu par un dépositaire légal. Le contrat
d'entierccment est généralement requis par une partie concédant
une licence de logiciel (à un titulaire ou un acheteur) pour assurer
l'entretien du logiciel. Le code source du logiciel est révélé par le
dépositaire légal au titulaire si le bailleur de licence (le vendeur
ou l'entrepreneur, par exemple) déclare faillite ou n'est pas
capable d'assurer 1'entretien ou la mise à jour le logiciel comme il
était convenu dans la licence d'utilisation du logiciel.
Contrefaçon de paquet Internet·- Attaque utilisant les
paquets possédant des adresses de paquets Internet sources
Jl·auduleux. Celte technique vise des applications utilisant des
authentifications basées sur des adresses IP. Cette technique peut
aussi permettre à un utilisateur non autorisé d'obtenir un accès
administrateur au système cible.
Contre-mesure-·· Tout processus qui atténue directement une
menace ou vulnérabilité.
Contrôle compensatoire -Contrôle interne qui atténue le risque
lié à une faiblesse de contrôle existante, ou potentielle, résultant
en des erreurs et omissions.
Contrôle correctif-· Contrôle conçu pour corriger les erreurs,
les omissions et les utilisations non autorisées, ainsi que les
intrusions une fois qu'elles sont détectées.
Contrôle d'accès- Processus, règles ct mécanismes de
déploiement qui régissent J'accès aux systèmes d'information ct
aux ressources, uinsi que l'accès physique aux locaux.
Contrôle d'accès au support-· Adresse unique de 48 bits,
incorporée au programme, d'un équipement, comme un réseau
local Ethernet ou une carte réseau sans fil. Le contrôle d'accès
au support est appliqué à 1'équipement en usine et ne peut être
modifié,
Conlrôle d'accès des appels entrants-· Empêche l'accès non
autorisé par des utilisateurs à distance qui tentent de pénétrer
dans un environnement sécurisé. S'exerce de différentes façons,
du contrôle des rappels à l'authentification des utilisateurs à
distance.
482
e . M
Certified lllformatioo
Systnms Atlditor'"
"'""""'"'"''''""'
Contrôle d'accès discrétionnaire (DAC)-- Moyen de limiter
les droits d'accès aux ressources selon l'identité des sujets ou
les groupes auxquels œs derniers appmiicnnent. Les contrôles
sont discrétionmlires dans le sens qu'un sujet détenant certaines
perrnissions d'accès peut transmettre ces pennissions (peut-être
indirectement) à un autre sujet
Contrôle d'accès obligatoire (MAC)- Appliqué au matériel en
usine et impossible à modifier, le MAC est une adresse unique
codée en dur de 48 bits dans un dispositif de la couche physique,
par exemple un réseau local (LAN) Ethernet ou une carte réseau
sans fil.
Contrme d'accès simultané"- fait référence il une catég01ic de
contrôles utilisés dans les systèmes de gestion de base de données
(SGBD), afin d'assurer que les transactions sont traitées d'une
manière atomique, cohérente, isolée et durable. Cela suppose
que seuls des horaires en série ct récupérables sont permis et
que les transactions engagées ne sont pas rejetées lorsque des
transactions interrompues sont annulées.
Cont1·ôle de détection -Contrôles destinés à détecter ct à
rappo11er les erreurs, les omissions et les utilisations ou les accès
non autorisés.
Contrôle de lots··- Contrôle de l'intégrité des données et saisies
en lots, plus particulièrement à l'étape de préparation des
données. Il existe deux formes principales de contrôle de lots: le
contrôle séquentiel, qui consiste à numéroter consécutivement les
enregistrements d'un lot de façon à ce que la présence de chaque
enregistrement puisse être confirmée, et le total de contrôle, qui
consiste en un total des valeurs de champs sélectionnés parmi les
transactions.
Contrôle de parité- Contrôle physique qui permet de détecter
les erreurs dans les données lorsque ces données sont consultées
à partir de la mémoire ou communiquées d'un ordinateur à un
autre. Le caractère numérique d'un bit (0 ou 1) est ajouté ;:i une
donnée élémentaire pour indiquer si le total est pair ou impair.
Lorsque le bit de parité entre en conflit avec les autres bits,
l'ordinateur produit une errem~ La probabihté de la détection
d'une erreur lors d'un contrôle de parité est de 50%.
Contrôle d~ saisie-- Techniques ct procédures utilisées pour
vérifier, valider et éditer les données, afin de s'assurer que seules
les données correctes sont entrées dans l'ordinateur.
Contrôle de séquence --Vérification que les numéros de contrôle
se suivent en ordre et que tout numéro de contrôle hors séquence
est rejeté ou noté dans un rapport d'exception pour faire l'objet
d'une recherche ultérieure. Peut être alphabétique ou numérique
et emploie habituellement un champ clé.
Contrôle de séquence informat'ique --Vérifie que les numéros
de contrôle sc suivent dans l'ordre et que toul numéro de contrôle
non confOrme à la séquence est r~jeté ou noté dans un rapport
d'exception pour examen ultérieur.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits reservés.

Contrôle de valeur limite"-· Teste un nombre spécifié de champs
par rapport aux limites supérieures ou infëricures d'acceptabilité
stipulées. Lorsque les valeurs supérieure et inférieure sont
utilisées, ce test peut s'appeler contrôle des limites.
Contrôle de validation~- Détecte les erreurs dans la portion
saisie de l'information qui est envoyée à l'ordinateur pour être
traitée. Ils peuvent être manuels ou automatisés, et permettent à
l'utilisateur de modifier les erreurs de données avant qu'elles ne
soient traitées.
Contrôle de valiùité ~Vérification programmée de la validité
des données conformément à des critères prédéterminés.
Contn)le de vraisemblance··- Compare les données à des limites
de rationalité prédéfinies ou à dt:s taux d'occurrence établis pour
ces données.
Contrôle des limites-· Contrôle assurant que les données
correspondent à une plage prédéterminée.
Contrôle d'intégralité- Contrôle conçu pour assurer qu'un
document électronique est complet.
Contrôh.~ informatique géné1·al- Contrôle, autre qu'un
contrôle d'application, relatif à l'environnement dans lequel
les systèmes d'applications informatiques sont mis au point,
entretenus et exploités, et qui touche par conséquent toutes les
applications. Les objectifs des contrôles généraux sont de garantir
la mise au point et l'implantation adéquates des applications
ainsi que l'intégrité des fichiers de programmes ct de données
et des opérations informatiques. Tout comme les contrôles
d'application, les contrôles généraux peuvent être manuels ou
programmés. l~élaboration et la mise en œuvre d'une stratégie
de SI ct d'une politique de sécurité des SI, l'organisation
du personnel des SI pour séparer les tâches en conflit ella
planification de la reprise après sinbire sont tous des exemples de
contrôles généraux.
Contrôle numérique"- Vérification des modifications conçue
pour garantir que 1'élément de données dans un champ particulier
est numérique.
Contrôle opérationnel- Contrôle les activités quotidiennes de
l'entreprîse ou de l'organisation afin de s'assurer que tous les
objectif:.:.; sont atteints.
Contrôle par redondance- Détecte les erreurs de transmission
en ajoutant des éléments calculés à la fin de chaque segment de
données.
Contrôle préventif--- ContTôlc interne qui sert à éviter des
événements indésirables, erreurs et autres occurrences que
l'entreprise a désignés comme susceptibles d'avoir un effet
négatif concret sur un processus ou sur un produit fini.
Contrôles administratifs~ Règles, procédures et pratiques liées
à l'efficacité opérationnelle, à l'efficience et à la conformité aux
règles ct politiques de l'entreprise.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits reserves.
Glossaire
Contrôles d'accès logique - Contrôles relatif.<; aux politiques,
aux procédures, à la structure organisationnelle et à raccès
électronique, conçus pour restreindre l'accès aux logiciels ct aux
fichiers d~: données.
Contrôles d'application·· Politiques, procédures et activités
conçues pour offrir une assurance raisonnable que les objectifs
relatifs à une solution (application) automatisée donnée sont
atteints.
Contrôles internes--- Politiques, procédures, pratiques ct
structures organisationnelles conçues pour fournir rassurance
raisonnable que les objecti[" d'entreprise seront atteints et que les
événements indésirables seront empêchés ou détectés ct corrigés.
Contrôles par écho- Détectent les erreurs de traitement en
renvoyant les données à l'appareil expéditeur pour comparaison
avec la transmission d'origine.
Contrôleur de session en périphérie (CSP) -·- Foumit des
caractéristiques de sécurité pour le trafic Vo!P (Voicc-over
Internet Protocol) similaires à celles fournies par un coupe-feu.
Le CSP peut être configuré pour filtrer des protocoles VolP
spécifiques, eilCctuer la surveillance d'attaques entraînant un
refus de service, et offre des capacités de traduction d"adresses et
de protocoles réseau.
Convertisseur de protocole~ Appareil capable d'effectuer
la conversion entre deux types de transmission, synchrone et
asynchrone, par exemple.
Couche application- Dans le modèle de communication OSI
(de l'anglais Open Systems Interconncction, interconnexion des
systèmes ouverts), la couche application fournit les services pour
un programme d'application afin d'assurer que la communication
efficace avec un autre programme d'application du réseau est
possible. La couche application n'e.';;t pas l'application dont
provient la communication~ il s'agit d'une couche service qui
permet la communication.
Couche de sockets sécurisés (SSL) ~Protocole utilisé pour
transmettre des documents ptivés par Internet. Ce protocole
nécessite l'utilisation d'une clé privée pour chiffrer les données à
transfërer par la connexion SSL.
Coupe-feu- Système ou combinaison de systèmes qui impose
une frontière entre deux réseaux ou plus, servant ainsi de barrîèrc
entre un environnement sécurisé ct un environnement ouvert
comme l'Internet.
Couplage~ Mesure de l'interconnectabihté dans la structure des
programmes de logiciels. Le couplage dépend de la complexité
de !'interH1ce entre les modules. Elle peut être définie comme le
point où est faite l'entrée ou la réfërcnce à un module, et quelles
données passent à travers \'intcrf'flce. Dans le domaine de la
conception de logiciel d'application, il est prétërable de viser
le couplage le moins élevé entre les modules. La connectabilité
simple entre les modules a pour résultat un logiciel plus
h1cile il comprendre et à maint en il: il est aussi moins enclin à
l'effet d'entraînement ou de domino causé lorsque des eJTeurs
483
 Glossaire
surviennent à un emplacement el se propagent à l'ensemble du
système.
Courricl/ messagerie interpersonnelle- Une personne qui
se sert d'un tcnninal, d'un ordinateur ou d'une application peut
accéder à un réseau pour envoyer un message non structuré ù une
autre personne ou à un groupe.
Cycle de gestion et de contrôle des projets informatiques
(SDLC) --·Phases mises en place lors du développement ou de
l'acquisition d'un système logiciel. Le SDLC est une approche
utilisée pour planifier, concevoir, tester et implanter un système
d'application ou une modification majeure à un tel système. Les
phases habituelles comprennent l'étude de ülisabilité, J'étude et la
définition des besoins. la conception détaillée, la programmation,
la mise à J'essai. l'installation et la révision postimplantation.
Cycle de vic~ Suite d"étapes qui caractérî~ent le cours de
l'existence d'un investissement organisationnel (p. ex. produit,
projet, programme).
D les exigences de diffusion des infOrmations individuelles de la
Oébit -Quantité de travail utile effectué par un système par unité
de temps. Le débit peut être mesuré en instructions par seconde
ou à l'aide d'une autre unité de mesure de la performance.
Lorsqu'il réfère à une opération de transfert de données, le débit
mesure le taux utile de transfert de données ct est exprimé en
Kbps, Mbps et Gbps.
Débit en bauds - 'I:1ux de transmission pour les données de
télécommunications, exprimé en bits par seconde (bps).
Décentralisation - Processus qui permet de distribuer Je
traitement informatisé à différents endroits dans l'organisation.
Déchiffrement -1èchniquc utilisée pour récupérer Je texte
original elu texte chiffré afin quïl soit compréhensible pour
l'utilisateur. Le déchifiTement est l'opposé du cryptage (ou
chiffrement).
Déclaration de certification (EPC) Ensemble détaillé de
règles qui régissent les activités des autorités de certification.
JI fournit une compréhension de la valeur et de la fiabilité
des certificats émis par une certaine AC. En ce qui a trait aux
contrôles observés par une organisation, la méthode utilisée afin
de valider l'authenticité des demandeurs de certificat ainsi que les
attentes de l'AC quant à l'utilisation des certificats.
Définition des besoins-- Technique caractérisée par la
définition, par les groupes d'utilisateurs touchés, des besoins
relatifs au système afin de répondre aux besoins définis. Il
peut être question tant de besoins en matière d'opérations,
de réglementation et de sécurité que de besoins liés au
développement.
né magnétisation- Application de degrés variables de
courant alternatif dans le but de démagnétiser les suppo11s
d'enregistrement magnétiques. Selon ce processus, Je champ
de courant alternatif est graduellement augmenté de zéro à une
valeur maximale donnée, puis rnbaissé à zéro) cc qui laisse sur
484
e Certlfred lnfot_matkm
Systems Auditor·
"''"'"'"'""'"'"'"''"'
le support un iTès 1àîblc résidu d'induction magnétique. En gros,
démagnétiser signifie efface~:
Demande de proposition (RFP)- Document distribué chez les
fournisseurs de logiciels afin d'obtenir leur soumission d'atTre de
service liée à la conception ou à l'o!Tre d'un logiciel.
llémodulation- Processus de conversion d'un signal de
télécommunications analogue en signal informatique numérique.
Dépositaire légal-·· Personne, agence ou organisation autorisée
à agir au nom d'une autre afin de créer un lien juridique avec
un tiers en vue d'obtenir un contrat d'enticrccment; c'est le
dépositaire d'un actif en vertu d'un contrat d'entiercement.
Quand il s'agit d'une clé cryptographique, un dépositaire légal
représente l'agence ou l'organisation qui a la responsabilité de
garder les composantes fondamentales de la clé unique.
Description de base de données~ Exigences pour
l'établissement d'une application de base de données. Elles
comprennent la définition des champs, leurs exigences ainsi que
base de données.
Description de fichier- Spécifie la longueur de J'enregistrement
du fichier, ainsi que la séquence et la longueur de ses champs.
Une description de fichier spécifiera aussi le type de données
contenues dans chacun des champs. Voici quelques exemples de
types de données : alphanumériques, décimales non comprimées,
décimales condensées et binaires.
Développement d'application rapide- Méthodologie qui
permet aux entreprises de développer rapidement des systèmes
d'importance stratégique, tout en réduisant les coüts de mise
au point et en préservant la qualité, en utilisant un ensemble de
techniques de développement d'applications éprouvées selon une
méthodologie bien définie.
Développement de systèmes axés sur les données -Axé sur
la foumiture aux utllisateurs de rapports ad hoc, en élaborant
une base de données d'infom1ation facilement: accessible et
en donnant l'accès à des données utilisables plutôt qu'à des
fonctions.
Développement en cascade- Aussi appelé développement
traditionnel, un cycle de développement axé sur la procédure,
avec une approbation officielle à la fin de chaque étape.
Dictionnaire des données -· Base de données qui contient le
nom, le type, l'étendue des valetJrs, la source et les autorisations
pennetiant d'accéder à chaque élément dans une base de données.
Il indique aussi quels programmes d'application utilisent ces
données pour que. lorsqu'une structure de données est consultée,
une liste des programmes affectés puisse être générée. Cela
peut être un système d'infonnation autonome utilisé à des fins
de gestion ou de documentation, ou bien il peut contrôler le
fonctionnement d'une base de données.
Manuel de Préparation CISA 26" édition
ISACA. Tous droîts réservés.
e . cerltfied Information
M Systems Allditor•
""'""'. ,~,,..,.,
Direction des systèmes d'information (DSI) Ensemble
organisé de ressources et de procédures requises pour collecter,
traiter et distribuer les données utîlisées pour la prise de décisions.
Dispositif de rappel -- Sert à contrôler les lignes de
télécommunication commutées. Le lien de télécommunication,
établi grâce au dispositif de rappel et à distance, est interrompu
afin que rordinateur puisse refaire la communication vers
l'utilisateur. Le lien sera autorisé seulement si l'uti!isateurest
associé à un numéro de téléphone ou un canal de communication
valide.
Document source- Formulaire utilisé pour enregistrer les
données saisies. Un document source peut être un papier, un
document échangé en aller-retour ou une image alfichée pour
l'entrée de données en ligne.
Données de référence- Données de référence permanentes
utilisées dans le traitement de transactions. Ces données, comme
un fichier de prix d'un produit ou un fichier de nom et d'adresse,
sont rarement modifiées.
Uormées de t'est-- Transactions simulées qui peuvent servir
ù tester la logique de traitement. les calculs ct les contrôles
programmés dans les applications. 11 est possible de tester un seul
programme ou un système entier. Cette technique comprend les
programmes d'essais intégrés (ou ITF, de 1'anglais lntcgrated Test
Facilities) et les évaluations du système de rélërence (ou BCSE,
de l'anglais Base Case System Evaluations).
Droits d'accès--- Permissions ou privilèges accordés à des
utilisateurs, programmes ou postes de travail pour créer, modifier,
supp1imer ou visualiser des données et fichiers au sein d'un
système, définis par les règles fïxécs par les propriétaires des
données ct la politique sur la sécurité de l'information.
Duplication de base de données ~ Processus de création
et de gestion de versions copiées d'une base de données. La
duplication ne concerne pas uniquement la copie d'une base de
données: c'est aussi la synchronisation d'un ensemble de copies,
de sorte que les changements apportés à l'une sont reilétés dans
toutes les autres. La beauté de la duplication est qu'elle permet
à de nombreux utilisateurs de travailler dans leur propre copie
locale d'une base de données, tout en appliquant des mises à
jour comme si tous travaillaient dans une seule base de données
centralisée. Pour les applications de base de données employées
par des utilisateurs répartis sur un vaste territoire géographique, la
duplication est souvent le mode d'accès le plus efficace.
E
EBCI)IC (Code d'échange décimal codé binaire étendu)~
Code 8-bit représentant 256 caractères, utilisé dans la plupart des
systèmes infonnatiqucs d'importance.
ttchange de données informatisées (EDI) ·-Transmission
électronique des transactions (infOrmations) entre deux
organisations. L:EDI favorise un environnement sans papier
plus efficace. Les transmissions par EDI peuvent remplacer
l'utilisation de documents slandards, y compris les factures ou les
bons de commande.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Glossaire
Itchantillonnage aléatoire statistique·-· Technique
d'échantillonnage utilisée pour estimer la valeur moyenne
ou totale d'une population à pmiir d'un échantillon; modèle
statistique utilisé pour prévoir une caractéristique quantitative
telle qu'un montant d'argent
(;:chantillonnage basé sur le ,jugement" Tout échantillon
sélectionné de manière subjective, ou de sorte que le processus
de sélection d'échantillons n'est pas aléatoire ou que les résultats
d'échantillonnage ne sont pas évalués mathématiquement
Échantillonnage par attributs··· Technique utilisée pour
sélectionner des éléments d'une population afin de les analyser.
Seuls les éléments qui possèdent certains attributs ou certaines
caractéristiques sont retenus (p. ex., tous les éléments excèdant
une taille donnée).
(~chantillonnage selon les unités monétaires ---Technique
d'échantillonnage qui permet d'estimer la surévaluation dans le
solde d'un compte.
Échant-illonnage statistique-- Méthode de sélection d'une
partie de population par le moyen de calculs mathématiques et de
probabilités, dans le but de faire des inférences saines, du point
de vue scientifique et mathématique, liées aux caractéristiques de
la totalité de la population.
Écoute téléphonique- Pratique d'écoute clandestine
d'infOrmations transmises par liens de télécommunication.
Encapsulagc (objets)- La technique utilisée par des protocoles à
couche, dans laquelle une couche inférieure du protocole accepte
un message d'une couche supétieure et le place dans la portion de
données d'une trame de la couche inférieure.
Enregistrement- Em;cmble d'informations apparentées
ct traitées en tant qu'unité. Des champs distincts au sein de
l'enregistrement sont utilisés pour traiter l'information.
Espace d'adresse- Nombre d'emplacements di flërents auxquels
on peut référer avec l'adresse mémoire de l'ordinateur. Pour
la plupart des ordinateurs binaires, il équivaut à 2n, où n est le
nombre de blis que contient la mémoire de l'ordinateur.
Essai sur papier·- Révision des étapes d'un test sans les
eftèctuer réellement. Généralement utilisé lors de la reprise après
sinistre et des tests de contingence, lors desquels les membres
de l'équipe se familiarisent avec les plans et leurs rôles et
responsabilités, et les révisent.
Estimation ou calcul du risque-· Processus de comparaison du
risque estimé avec les critères de risque fournis pour déterminer
l'importance de cc risque, [ISO/IEC Guide 73:2002]
Ethernct - Protocole de réseau ct système de câblage largement
diffusé qui ulilise une topologie en bus et un accès multiple par
détection de porteuse et détection de collision (AMDP/DC, ou en
anglais CSMA/CD) afin de prévenir les échecs ou les collisions
de réseau lorsque deux appareils tentent d'accéder au réseau en
même temps.
485
 Glossaire
iüude de faisabilité Phase de la méthodologie d'un cycle de
gestion ct de contrôle des projets infOrmatiques (appelé SDLC
en anglais) qui étudie la ütisabilité ct la suffisance des ressources
pour Je développement ou l'acquisition d'une solution système
qui répond à un besoin de l'utilisateur.
Étude d'impact Examen des consequences possibles d'un
nsque.
ltvaluaHon du risque "- Processus utilisé pour repérer ct
évaluer les risques et leurs cffCts potentiels. L'évaluation du
risque comprend l'examen des fOnctions critiques nécessaires
pour que l'organisation continue ses activités d'entreprise, la
définition des contrôles en place pour diminuer l'exposition de
l'organisation et l'évaluation des coûts de tels contrôles. L'analyse
du risque comprend souvent une évaluation des probabilités d'un
événement donné.
Exposition-- Compromission potentielle d'un domaine dans
l"éventualité d'un événement indésirable.
Extermllisation -Entente olficielle avec une tierce partie qui
fournira des services de SI ou d'autres fonctions opérationnelles à
une entreprise.
Extranet ~Réseau privé qui réside sur Internet et qui permet à
une entreprise, d'une part, de partager de façon sécuritaire des
informations d'affaires avec ses clients, fournisseurs ou tout
autres entreprises, et d'autre part d'effectuer des transactions
électroniques. Ne pas confondre avec un réseau Intranet (un
réseau Extranet réside à l'extérieur du coupe-feu de l'entreprise).
Par conséquent, un réseau Extranet repose sur l'utilisation de
certificats numériques émis de Ülçon sécuritaire (ou autres
méthodes d'authentification des utilisateurs) et le chiffrement
des messages. Un réseau privé virtuel (RPV, ou VPN en anglais),
ainsi que la tunnellisation, sont souvent utilisés pour mettn;
en place des réseaux Extranet afin d'assurer la sécurité et la
confidentialité.
F aux dossiers se fait uniquement de manière séquentielle. C'est le
f•"'acteur clé de succès- Le plus important des enjeux ou des
mesures que la direction doit maîtriser pour assurer le contrôle de
ses processus de Tl.
Facteur de performance- Mesure considérée comme fàcteur
déterminant d'un indicateur tardif Comme la mesure peut être
prise avant que le resultat soit clair, on l'appelle<< indicateur
précurseur H. JI existe entre les deux une relation présumée
suggérant qu'une meilleure performance de l'indicateur
précurseur stimule une meilleure performance de l'indicateur
tardif. Également désignés indicateurs clés de performance (ICP),
ils servent à indiquer si les o~jectifs sont susceptibles d'être
atteints.
Falsification de données- Modifier des données, avec une
intention malveillante, avant ou pendant la saisie des données
dans le système.
Fausse autorisation ,. Aussi appelée fausse acceptation. Se
produit lorsqu 'une personne non autorisée est identifiée comme
486
une personne autorisée par Je système biométrique.
Fausse inscription·- Se produit lorsqu 'une personne non
autorisée parvient à s'inscrire d<ms le système biométriquc.
[inscription est le processus initial d'obtention d'une
caractéristique biométtique et de sa sauvegarde comme réfërencc
personnelle sur une carte à mémoire, un ordinateur ou dans une
base de données centrale.
Fibre optique·- Fibres de verre qui transmettent les signaux
binaires par un réseau de télécommunication. Les systèmes
à fibre optique ont moins de pertes de transmission que les
paires de câbles torsadés; ils n'Cmettent pas d'énergie et ne
conduisent pas l'électricité. Ils sont à l'abri de la corruption, des
interférences provoquées par les éclairs et réduisent le risque
d'écoute téléphonique.
Fichier-- Regroupement d'enregistrements.
Fichier d'al1ente -· Fichier informatique utilisé pour conserver
les informations (transactions, paiements et autres événements)
jusqu'à ce qu'une décision appropriée ait Cté prise concernant
leur élimination. Une fois ceUc décision prise, le fichier doit
être supprimé du fichier d'attente et traité conformément aux
procédures relatives il la transaction en cause. Deux exemples
d'éléments pouvant être inclus dans un fichier d'attente sont
le reçu d'un paiement provcnnnl d'une source qui n'est pas
immédiatement identifiée ou les données qui n'ont pas encore été
identifiées lors d'une migration vers une nouvelle application.
Fichier maitre Fichier d'iniDrmation semi-permanente utilisé
fréquemment pour le traitement des données ou à différentes
autres fins.
Fichier partitionné-- Format de fichier selon lequel le fichier est
divisé en de multiples sous-fichiers, répe11oriés dans un registre
établi dans le but de localiser chacun d'eux.
Fichier séquentiel-- Format de stockage de fichiers
inf01matiques dans lequel un dossier en suit un autre. L'accès
format obligatoire avec les bandes magnétiques.
File d'attente-- Groupe d'éléments en attente d'utilisation ou de
tmitement.
Filtre heuristique·- Méthode souvent utilisée par les logiciels
antipollupostage pour filtrer les pourriels en utilisant les critères
êtablis dans une base de données centralisée de règles. Chaque
couniel reçoit un rang, bnsé sur son en-tête ct son contenu, et
est par la suite opposé à des seuils préétablis. Un message qui
dépasse le seuil sera étiqueté comme étant un poutTicl et mis de
côté, retourné à l'expéditeur ou placé dans un dossier pourrie]
pour examen par le destinataire prévu.
Filtre intelligent-· Méthode souvent employée dans les logiciels
antipollupostage afin de filtrer les pourriels selon des facteurs
de probabilités. L'en-tête du message, ainsi que chaque mol ou
nombre, sont considérés comme des jetons et une probabilité leur
est associée. Ensuite, une valeur de probabilité de pourrie! est
attribuée à J'ensemble du message. Un message dont la valeur de
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
e Certified klformation
Systems Auditor"
""'"'"""""'''""'""
probabilité est élevée sera signalé comme pourrie! et rejeté, puis
il sera retourné à l'expéditeur ou déposé dans un répertoire de
pourriels pour que le destinataire visé puisse le consulter.
Fin anormale·-- Fin anormale d'un travail inrorrnatisé: fin d'une
tâche infOrmatisée avant qu'elle ne soit achevée en raison d'une
erreur qui ne peut ê1Te résolue pm les procédures de récupération
alors que s'exécute la tâche.
G
Génie logiciel assisté par ordinateur (GLAO)- Utilisation d'un
ensemble de logiciels qui procurent une aide à toutes les étapes
du développement d'un système d'infonnation. L'analyse de
système, la programmation et la documentation de la conception
sont également proposées. Les changements eftèctués dans un
tableau de GLAO entraîneront la mise: à jour automatique de tous
les autres tableaux connexes. Le Ci LAO peut être installé sur un
micro-01·dinateur pour en faciliter l'accès.
Gestion de configuration- Contrôle des changements selon un
ensemble d'éléments de configuration tout au long du cycle de
vie d'un système.
Gestion de la chaÎne de sous-traitance (SCM) -· Concept
qui permet à une organisation de gérer de façon plus efficace
et efficiente les activités de conception, de fabrication, de
distribution, de service et de recyclage des produits ct services
pour ses clients.
Gestion des changements- Approche holistiquc et proactive
pour gérer la transition de l'état organisationnel actuel à l'état
désiré, en mettant l'accent sur les éléments critiques humains du
changement. Comprend des activités parlant sur la culture du
changement (valeurs, croyances ct attitudes), le développement
de systèmes de récompenses (mesures et incitatifs appropriés),
la conception organisationnelle, la gestion des parties prenantes,
les politiques et procédures de ressources humaines, Je coaching
de gestion, la fOrmation en leadership du changement, la
consolidation d'équipe, ainsi que la planification et l'exécution
des communications.
Gestion des programmes de correction --· Un des aspects
de la gestion de systèmes, qui comprend l'acquisition, le
test et l'installation de multiples programmes de correction
(modification du code) dans un système infonnatique administré,
afin de maintenir les logiciels à jour et de parer aux risques liés à
la sécurité. Les tftches associées à la gestion des programmes de
correction sont les suivantes: rester informé sur les programmes
de correction disponibles, choix des correctifs appropriés en
fOnction des diffërents systèmes, veiller à cc que les programmes
de correction soient installées correctement, tester les systèmes
après l'installation, et enfin documenter toutes les procédures
associées, par exemple les configurations spécifiques requises.
Un certain nombre de produits sont proposés pour automatiser les
tâches de gestion des progrmnmes de correction. Les programmes
de correction sont parfois inefficaces ct peuvent engendrer de
nouveaux problèmes. Les cxpe1ts en gestion des programmes
de correction suggèrent aux administrateurs système de prendre
des mesures de sécurité élémentaires avant 1'installation, telles
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Glossaire
que la sauvegarde et le test des correctifs sur des systèmes non
essentiels. La gestion des programmes de correction peut être
considérée comme faisant partie de la gestion du changement.
Gestion des relations avec la clientèle- Une façon d'identifier,
d'acquérir ct de retenir des clients. La gestion du service à la
clientèle est aussi une expression de 1'industJie pour désigner des
solutions logicielles qui aident une organisation ù gérer, de façon
structurée, les relations avec le client.
Gestion du riS<JUe- Activités coordonnées de direction et de
contrôle d'une organisation en regard du risque (dans cette
nonne internationale, le terme« contrôle)) est utilisé en tant que
synonyme de« mesure))). [ISO/lEC Guide 73:2002]
Glissement de port'ée "-Aussi appelé glissement d'exigence; il
fait réfërence aux changements incontrôlés dans la pmtée d'un
projet Ce glissement peut se produire lorsque la portée d'un
projet n'est pas définie, documentée et contrôlée adéquatement.
Généralement, l'extem:ion de la portée se rapporte il de nouveaux
produits ou de nouvelles carnctéristiques ajoutées à des produits
déjà approuvés. Par conséquent, l'équipe du projet s'éloigne de
son objectif premier. À cause de la tendance à mettre l'accent sur
un seul aspect d'un projet, le glissement de portée peut également
avoir pour résultat le dépassement, par 1'équipe du projet, du
budget et du calcnd1ier. Par exemple, le glissement de portée
peut être le résultat d'un mauvais contrôle des changements,
d'un manque dans l'identification adéquate des produits ct des
caractéristiques nécessaires à l'atteinte des objectifs du projet, ou
d'un mauvais gestionnaire de projet ou cadre délégué.
Goût du rÏS(Jue --De manière générale, quantité de risque qu'une
entité est prête à accepter dans la conduite de ses activités.
Gouycrnance --Assure que les besoins, conditions et options
des parties prenantes sont évalués pour déterminer des objectif.~
d'affaires à atteindre équilibrés, qui font consensus; fixe
l'orientation par la ptiorisation et la prise de décisions; surveille
la performance et la conformité relativement à l'orientation et aux
objectifs convenus. Les conditions peuvent comprendre le coût du
capital, les taux de change. etc. Les options peuvent comprendre
transfërer la fnbrication à d'autres sites, sous-traiter une partie des
activités à des tiers, sélectionner un assortiment de produits pm-mi
de nombreux choix possibles, etc.
Gouvernance de l'entreprise··· Système par lequel
les organisations sont ditigées ct contrôlées. Le conseil
d'administration est responsable de la gouvernance de
l'organisation. La gouvernance se compose de structures
de direction et d'organisation, ainsi que de processus qui
garantissent que l'organisation soutient cl déploie des stratégies et
des objectifs.
Gouvernance de la sécurité de l'information -· Ensemble de
responsabilités et pratiques exercées par le conseil et la haute
direction dans le but de fournir une orientation stratégique,
d'nssurer l'atteinte des objectif">, de confirmer que le risque est
géré adéquatement et de vérifier que les ressources de l'entreprise
sont employC--es de façon responsable.
487
 Glossaire
Groupe de contrôle -- Membres du service des opérations qui
sont responsables de la collecte, de la consignation et de la
soumission de données pour les différenls groupes d'utilisateurs.
Groupe de travail 1ETF Organisation . avec des sociétés
atlïlîées internationales provenant de réseaux de représentants
de l'industrie, qui fixe les nom1es Internet. Ceci comprend tous
les développeurs et chercheurs de l'industrie du réseau impliqués
dans !"évolution et la croissance planifiées d'Internet.
H une interruption ou une réduction de !a qualité de cc service.
l-lamcçonnage ··" 1)tpe d'a11aque par courricl qui consiste à tenter
de convaincre un utilisateur que l'expéditeur est authentique,
afin d'obtenir des renseignements qui seront ensuite utilisés
dans l'ingénierie sociale. Les attaques par hameçonnage peuvent
prendre la fOrme d'un expéditeur de message qui se J·àit passer
pour un organisme de loterie avisant le destinataire ou encore
la banque avec laquelle 1'utilisntcur fUit affaire que ce dernier
vient de gagner une importante somme d'argent; dans les deux
cas, l'objectifest d'obtenir le numéro de compte et le numéro
d'identification personnelle (NIP) de l'individu. D'autres types
d'attaques visent à obtenir des renseignements apparemment
anodins qui peuvent ensuite être utilisés dans une autre tOnne
d'attaque.
Héritage {objets) Structures de base de données qui suivent
une hiérarchie stricte (pas d'héritages multiples). L'héritage peut
être le point de départ d'autres objets, peu importe la hiérarchie
de classe; il n'y a donc pas de hiérarchie stricte des objets.
Hexadécimal -Système de numérotation en base 16 qui fait
appel à 16 caractères: 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E etE
Les programmeurs emploient le système hexadécimal parce qu'il
s'agit d'un moyen pratique de r(!présenter les nombres binaires.
Identifiant SSIO- Identifiant unique à 32 caractères associé
à l'en-tête des paquets transmis sur un réseau local sans fil
(WLAN), qui agit comme mol de passe lorsqu'un périphérique
mobile tente de se brancher à l'ensemble de services de base
(ou BSS, pour basic service set). Le SSID distingue un réseau
local sans fil d'un autre; <Jinsî, tous les points d'accès et: tous les
périphériques qui tentent de se brancher ù un réseau local sans
fil donné doivent employer le même SSID. Un périphérique ne
sera pas autorisé à se brancher au BSS à moins de pouvoir fOurnir
le SSID unique. Le SSID ne procure aucune sécurité au réseau
puisqu'il est possible cie l'obtenir en texte clair à partir d'un
paquet. Le SSID est aussi appelé nom de réseau, car il ;:;'agit du
nom qui identifie un réseau sans fiL
Incident . _. Toul événement ne tàisant pas pnrtie de l'activité
habituelle d'un service et causant, ou pouvant causer, une
interruption ou une réduction de la qualité de cc service.
Incident de sécurité- Série d'événements inattendus impliquant
une attaque ou une série d'attaques (compromission et/ou brèche
dans la sécurité) sur un ou plusieurs sites. Un incident de sécurité
comprend habituellement une estimation de son niveau d'impact.
Un nombre limité de niveaux d'impacts sont définis et, pour
488
e . H
Certifled Information
Systems Auditor·
*''"Cl'"~'''""''"'
chacun, les actions spécifiques requises et les personnes ù aviser
sont identifiées.
Incident informatique- Tout évènement qui ne fait pas panic
des activités ordinaires d'un service et qui cause, ou pourrait
causer, une interruption du service ou une réduction de la qualité
du service.
Incident de Tl·- Tout événement ne faisant pas p~uiic de
l'activité habituelle d'un service et causant ou pouvant causer,
Indépendance""- Autonomie et liberté d'un auditeur des SI
face aux conllits d'intérêts et à l'abus d'influence. L'auditeur
des SI doit être libre de prendre ses propre-S décisions, sans être
influencé pnr J'organisation en cours de vérification ou par ses
dirigeants et employés.
Indicateur clé de performanœ (JCP)- Une mesure qui
détermine la performance du processus dans l'atteinte de
J'objectif JI s'agit d'un indicateur clé permettant de savoir si
un o~jectif sera vraisemblablement atteint ou non, ct un bon
indicateur des capacités, pratiques ct habiletés. Il mesure les
objectifs d'activité, qui sont les actions que le responsable du
processus doit entreprendre afin d'augmenter l'efficacité du
processus.
Indicateur clé d'objectif (ICO)- Mesure qui indique à
la direction, après le ü1it, si un processus de Tl a atteint les
exigences d'entreprise attendues de lui; s'exprime habituellement
en critères informationnels.
Informatique en nuage-- Modèle permettant un accès réseau,
pratique et sur demande, à un ensemble JXHiagé de ressources
informatiques confîgurables (p. ex., réseaux, serveurs,
stockage, applications et services) qui peuvent être rapidement
dimensionnées et diffusées en limitant au minimum les
démarches de la pmi de la direction ou les interactions avec le
fOurnisseur de services.
1nformatique individuelle --Aptitude des utilisateurs à
concevoir et à exécuter leur propre système d'information grâce à
l'utilisation de produits logiciels.
Informatique judiciaire- Application d'une méthode
scientifique aux l'I afin d'établir une preuve destinée à la révision
judiciaire. il s'agit souvent d'effectuer une enquête sur les
systèmes informatiques afin de déterminer s'ils sont ou s'ils ont
été utilisés pour des activités illégales ou non autorisées. En tant
que discipline, elle associe des éléments de droit et de science
informatique pour recueillir et analyser des données provenant
des systèmes d'information (ordinateurs personnels, réseaux,
communications sans fil et: dispositifS de stockage numérique,
par exemple), d'une manière telle que les éléments découverts
peuvent servir de preuve devant un tribUJml.
Infrastructure à clés publiques (ICP)- Série de processus et
technologies servant à associer les clés de chiffrement aux entités
auxquelles ces clés ont été attribuées.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits rëservês.
e. Certified lnfonnation
M Systems Audltor'
~-+--···
"''"""""''''""'""
Infrastructure critique- Système dont 1'incapacité ou la
destruction aurait un e'flèt néfllstc sur la sécurité économique
d'une entreprise, d'une communauté ou d'un pays.
Infrastructure des Tl-- Ensemble de matélicl.logiciels ct
installations qui représente les actifS des Tl de l'organisation. De
façon plus spécifique, l'équipement (comprenant les serveurs,
les routcurs, les commutateurs ct le câblage), les logiciels, les
services et produits utilisés pour l'entreposage, le traitement, la
transmission et l'atfichage de toutes les formes d'information
pour les utilisateurs de !"organisation.
Intégrité··· Protection contre la modification ou la destruction
inappropriée de l'information; inclut l'assurance de la non-
répudiation ct de l'authenticité de l'information.
Intelligence artificielle-· Systèmes informatiques avancés qui
peuvent simuler les habiletés humaines, comme l'analyse, selon
un ensemble de règles prédéterminées.
Interface de programmation d'applications (API)--
Ensemble de routines, de protocoles et d'outils appelés parfois
<<composantes de base>) (building blocks) et utilisés dans le
développement de logiciels d'application d'entreprise. Une bonne
APl facilite le développement d'un programme en foumîssant
toutes les composantes de base liées aux camcté1istiques
tbnctionnelles d'un système d'exploitation dont les applications
ont besoin pour préciser, par exemple, quand faire interface
avec le système d'exploitation (par exemple, l'APl proposée
par Microsoft Windows, ou ditlèrentt::s versions d'UNIX).
Un programmeur utilise ces API lors du développement
d'applications qui peuvent s'exécuter efficacement sur la
platetbrmc choisie.
Interface X.25 ~ Jnteiface entre l'équipement terminal de
données (ETD) et l'équipement de tem1inaison de circuit de
données ( ETCD) pour les tenninaux fonctionnant en mode
paquet sur certains réseaux de données publics.
Internet-· 1) Deux réseaux ou plus connectés à l'aide d'un
routeur; 2) le plus gros réseau mondial utilisant le protocole TCP-
IP (Transmission Control Protoco!llnternet Protocol) pour lier le
gouvernement, les universités ct les institutions commerciales, de
même que les individus.
Intoxication du système de noms de domaines (ONS)·-
Corrompt la table du DNS d'un serveur Internet en remplaçant
une adresse Internet avec une autre adresse vagabonde ou une
adresse malveillante. Si un utilisateur du Web cherche la page
possédant cette adresse, la requête est redirigêe par l'entrée
malveillante de la table vers une adresse différente. L'intoxication
de cache diffère d'une autre tbrme d'intoxication de DNS dans
laquelle l'attaqueur usurpe les comptes de courricl V<llides et
inonde les boîtes de réception des contacts adminîsh-atif"ï et
techniques. !.?intoxication de cache est liée à l'intoxication URL
ou d'emplacement quand le comportement d'unutilisateur
d'Internet est retracé en ajoutant un numéro d'identification à
la ligne d'emplacement du navigateur qui peut être enregistré à
me.sure que l'utilisateur visite les pages du site. On l'appelle aussi
intoxication de cache DNS ou simplement intoxication de cache.
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Glossaire
Irrégularité- Infraction intentionnelle contrevenant à une
politique de gestion ou exigence réglementaire établie. Cela
peut être une déclaration inexacte délibérée ou une omission
d'information concernant le domaine ÜlÎsant l'objet d'un audit ou
l'ensemble de l'organisation; négligence grave ou acte illégal non
intentionnel.
J
.Jalon~ I~lément terminal qui marque l'achèvement d'un
ensemble ou d'une phase de travail. Il est nommlement identifié
par un événement de haut niveau comme !"achèvement d'un
projet, la réception, l'endossement ou la signature d'un produit
livrable défini au préalable, ou une rencontre de révision de haut
niveau au cours de laquelle on s'accorde sur le niveau approprié
d'achèvement du prqjet. Unjnlon est associé à des décisions qui
exposent les grandes lignes de l'avenir d'un projet ct, pour un
projet externe, peut signifier un paiement à l'entrepreneur associé
au projet.
.Jeton~ Dispositif qui se1i à authentîfier un utilisateur,
généralement en plus d'un nom d'utilisateur et d'un mot de passe.
Un jeton est habituellement un dispositif de la taille d'une cnrtc
de crédit qui affiche un nombre pseudo-aléatoire changeant à
quelques minutes d'intervalle.
Jeton d'interrogation/réponse- Méthode d'authentification
de l'utilisateur qui repose sur l'utilisation du protocole CHAP
(authentification par défi-réponse). Qunnd un utilisateur tente de
se connecter à un serveur Cl-lAI~ il reçoit un« défi 11, soit une
valeur aléatoire. Cutîllsateur saisit un mot de passe, qui sert de
clé de chiffrement pour chiffrer Je « défi )) avant de le retourner
au serveur. Le serveur connaît le mot de passe. Il peut donc
chiffrer la valeur du<( défi>) et la comparer à la valeur reçue
de 1'utilisakur. Si les valeurs se correspondent, 1'utilisateur est
authentifié. Cactlvité interrogation/réponse continue tout au long
de la session pour contrer les attaques par reni nage de mots de
pa._~.;;e. Par ailleurs, le CHAP n'est pa"i vulnérable aux attaques de
type« homme du milieu)), car la valeur du« défi>) est aléatoire
et change à chaque tentative d'accès.
Journal -- Enregistrement des activités dans un système,
respectant habituellement la chronologie des événements.
Journal de console Rapport automatisé détaillé des activités
d'un ordinateur.
Journal des transactions Journal automatisé de toutes les
mises à jour effectuées sur les fichiers de données et les bases de
données.
L
Langage de balisage extensible (XML)- Répandu dans tout le
consortium W3C, le XML est une technique de développement
d'application Web qui permet aux développeurs de créer des
balist!s sur mesure, pcm1ettant ainsi la définition, la transmission,
la validation et l'interprétation de données entre applications ct
organisations.
489
 Glossaire
Langage de quatrième génération (4GL) -- Langage de
programmation évolué, convivial et non procédural, utilisé pour
programmer ou lire ct traiter des fichiers infOrmatiques.
Langage IITML (HTML) ~Langage conçu pour la création de
pages Web avec hypertexte et autres infOrmations affichées dans
le navigateur Internet. Le 1--ITML est- utilisé afin de structurer
l'information, en indiquant certains textes comme étant des titres,
paragraphes, listes, etc., et peut être utilisé pour décrire, jusqu'à
un celiain point, l'apparence et la sémantique d'un document.
Langage structuré tPintermgation (SQL) ·-Langage
couramment utilisé à la fois par les programmeurs et les
utilisateurs pour accéder aux bases de données relationnelles.
Langage WSDL (Web Ser·vices Description Language)-
Langage formaté ù l'aide du langage de balisage extensible
(XML). Sct1 à décrire les capacités d'un service Web en tant
qu'ensembles de points terminaux de communication capables
d'échanger des messages; le WSDL est. le langage employé
par l' LJDDI (Universal Description, Discovery and Integration
UDDI). Voir également UDDI (Univcrsal Description, Discovery
and Integration).
Large bande- De multiples canaux sont formés en divisant
le moyen de transmission en niveaux de fréquence discrets. En
général, un modem doit être utilisé pour la large bande.
Largeur de bande ·- Écart entre la fréquence de transmission
la plus haute et la plus basse. Ceci équivaut à la capacité de
transmission d'une ligne électronique ct sa valeur est exprimée en
octets par seconde ou en Hertz (cycles par seconde).
Lecteur de cartes ·rechnique de contrôle physique qui
requiert une cmie ou pièce d'identité sécurisée pour autoriser
l'accès ù un emplacement très sensible. Conçu correctement, le
lecteur de cartes agit en tant que contrôle préventif pour l'accès
physique aux emplacements sensibles. Après la lecture des
cartes, l'application reliée au lecteur physique consigne tous les
utilisateurs qui tentent d'entrer à l'emplacement sécurisé. Le
lecteur de cartes empêche les accès non autorisés et conserve un
registre de toutes les t·cnt:ativcs d'entrée à l'emplacement sécurisé.
Lecteur de cartes magnétiques -" Lit les cartes dotées d'une
surface mngnétique sur laquelle des données peuvent être
stockées ct récupérées.
Ligne de code source (LCS) -"Souvent utilisées pour le calcul
des estimations de taille des logiciels par point unique.
Ligne louée-- Ligne de communication permanente établissant la
liaison entre deux points, contrairement à une ligne commutée qui
n'est disponible ct ouverte que quand une connexion est établie
en composant le numéro de la machine ou du ré.senu cibles. Aussi
appelée ligne spécialisée.
Liste de contrôle- Liste d'éléments qui sert à vérifier
l'achèvement d'une tâche ou la réalisation d'un objectif Elle est
utilisée en assurance de la qualité (ainsi que pour les audits de
systèmes d'information). afin d'évaluer la conformité du procédé,
490
e ".. ified Information
Syslems
;;·,~-
Audilor"
la normalisation des codes et la prévention des erreurs, ainsi que
d'autres éléments pour lesquels des processus ou des normes de
cohérence ont été définis.
Liste de contrôle d'accès (ACL) --Table interne infOrmatisée
de règles d'accès relatives aux niveaux d'accès intünnatisés
accordés aux utilisateurs et aux terminaux. Correspond aussi aux
tables de contrôle d'accès.
Liste de révocation des certificats (LRC) -·Liste qui permet.
de vérifier la validité continue des ce1tificats pour lesquels
l'autorité de certification (AC) est resp0nsable. La LRC énumère
les ceiiÎficats numériques qui ne sont plus valides. Le délai entre
deux mises à jour est crucial et représente un risque en ce qui a
trait à la vérification des certificats numériques.
Logiciel Programme et documentation s'y rattachant qui
permettent et fàcilitent l'utilisation de l'ordinateur. Le logiciel
dirige le fonctionnement du matériel et le traitement des données.
Logiciel antivirus-- Logiciel d' applîcation déployé à de
multiples points d'une architecture des Tl. Il est conçu pour
détecter la signature virale, et potentiellement éliminer le virus,
avant que des dommages ne soient raits, ct pour réparer ou mettre
en quarantaine les fichiers qui ont déjà été infectés.
Logiciel de production- Logiciel utilisé ct exécuté pour appuyer
des opérations organisationnelles normales ct autorisées. Le
logiciel de production sc distingue du logiciel de test, qui a été
mis au point ou modifié, mais dont l'utitisation n'a pas encore été
approuvée par la direction.
Logiciel espion-- Logiciel dont l'objectif est de surveiller les
actions d'un utilisateur (p. ex., les sites Web qu'il visite), et
qui produit un rapport de ces activités pour une tierce partie,
et cc, sans le consentement du propriétaire de l'appareil ou
de l'utilisateur légitime. Il existe une forme particulièrement
malveillante de logiciel espion qui fait un suivi des frappes pour
obtenir des mots de passe, ou qui recueille des renseignements
confidentiels tels que des numéros de cartes de crédit, puis les
transmet à une tierce pmi·ie malveillante. Le terme de logiciel
espion a également été créé pour taire référence, au sens plus
large. à des logiciels qui permettent l'exploitation de r ordinateur
au profit d'une tierce pmiîe.
Logiciel général d'audit (LGA) ··" Logiciel d'audit polyvalent
pouvant être utilisé pour des processus généraux tels que la
sélection des enregistrements, leur comparaison, le calcul et le
rapport.
Logiciel intc1·médiaire ou médiateur~ Autre terme pour
désigner une interface de programmation d'applications. l!
fUit référence aux interfaces qui permettent aux programmeurs
d'accéder à des niveaux de services inférieurs ou supérieurs en
fournissant une couche intermédiaire qui comprend une tûnction
d'appel de services.
Logiciel malveillant- Conçu pour infiltrer ou endommager
un système informatique, ou en obtenir de l'inf"Ormation, sans
le consentement du propriétaire. Les programmes malveillants
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.

transportent couramment des virus informatiques, des vers,
des chevaux de Troie, des logiciels espions et des logiciels
publicitaires. Les logiciels espions ont habituellement des
objectifS commerciaux et ne sont donc pas tellement mauvais,
même s'ils ne sont généralement pas les bienvenus. Cependant,
les logiciels espions peuvent aussi être utilisés pour recueillir
de l'information liée au vol d'identité ou pour d'autres buts
clairement illicites.
Logiciel publicitaire-· Un logiciel qui diffuse, affiche ou
télécharge du matériel publicitaire sur un ordinateur après qu'il a
été installé sur 1'ordinateur ou lors de l'utilisation de 1'application.
Dans la plupart des cas, cela se tàit sans en aviser l'utilisateur ou
sans son consentement. l~ expression '.< logiciel publicitaire >) peut
aussi faire référence à des logiciels qui affichent des publicités
avec ou sans le consentement de l'utilisateur dans le but d'offrir
une alternative au paiement de droits d'utilisation de partagiciels.
Cc sont des logiciels publicitaires en ce sens qu'ils financés par
la publicité, ct non des logiciels espions. Cette forme de logiciel
publicitaire ne fOnctionne pas de manière furtive ou en trompant
1'utilisateur et elle fournit un service précis ù 1'utilisateur.
Logiciel système - Ensemble de programmes informatiques
utilisés lors de la conception, du traitement et du contrôle de
toutes les applications. Programmes et routines de travail de
préparation qui contrôlent le matériel, y compris le système
d'exploitation et les programmes de service.
Logithè(JUC ··Base de données d'entreprise qui emmagasine et
organise les données.
M Méthode de programmation optimale (MilO)- Technique de
J\'iasquage- Technique informatisée pour bloquer l'affichage
d'information sensible, comme le.s mots de passe, sur un terminal
informatique ou un rapport
Matérhllité- Concept d'audit portant sur l'importance d'une
information relativement à ses impacts ou ses effets sur le
fonctionnement de l'entité vérifiée. Il s'agit de l'expression de la
signincalion relative ou de l'importance relative d'un sujet précis
dans le contexte de l'organisation globale.
Mal·ériel- Composantes physiques d'un système informatique.
Maturité- En affaires, indique le degré de fiabilité ou de
dépendance que l'entreprise peut attribuer à un processus qui
atteint les buts ou objectifs désirés.
Mécanisme de test intégré- Méthodologie de test dans laquelle
les données testées sont traitées en systèmes de production.
Les données représentent habituellement un ensemble de
fausses entités comme des services, des clients et des produits.
Les résultats sont vérifiés afin de confirmer l'exactitude du
traitement.
Mémoil"e tampon Mémoire dédiée à la sauvegarde temporaire
des données afin de compenser les diflërences entre les vitesses
de traitement des di1lërents dispositifS, tels que l'imprimante
et l'ordinateur. À l'inté1ieur d'un programme, les mémoires
tampons sont des zones réservées de la mémoire vive (RAM) qui
conservent les données tandis qu'elles sont traitées.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Glossaire
J\·Jémoirc vive (RAM) Mémoire de travail principale de
l'ordinateur. Chaque octet de mémoire vive est alloué au hasar(~
peu importe les octets adjacents.
Menace . _ Toute chose (p. ex., objet, substance, être humain)
capable d'agir contre un actif de manière à lui nuire. Cause
potentielle d'un incident indésirable (ISO/IloC 13335).
Messagerie inst-antanée (Ml)-·- Mécanisme en ligne ou forme de
communication en temps réel entre deux personnes ou plus, basés
sur du texte saisi manuellement ct des données multimédias. Le
texte est acheminé au moyen d'ordinateurs ou d'autres appareils
électroniques (p. ex., un téléphone cellulaire ou un appareil
portatif) connecté à un réseau comme Internet.
Messagerie vocale - Système de stockage de messages dans un
support d'enregistrement privé, qui permet au destinataire de
récupérer les messages par la suite.
Méthode d'accès-- Technique utilisée pour sélectionner, un à
la fois, les enregistrements dans un fichier, pour le traitement,
1a recherche ou le stockage. La méthode d'accès est liée, tout
en étant distincte, à 1'organisation des fichiers qui détermine
comment les enregistrements sont stockés.
Méthode d'accès séquentiel indexé-- Méthode d'accès au
disque qui emmagasine les données séquentielles tout en
conservant un index des champs clés à tous les enregistrements
dans le fichier pour avoir la capacité d'y accéder directement.
gestion de projet utilisée pour la planification et le suivi, ct qui
détennine le chemin ct l'activité critique d'un projet.
Microprogrammation- Puces de mémoire avec codes de
programme intégrés qui gardent leur contenu lorsque l'appareil
est éteint.
Mode de transfert asynchrone (ATM)- Technologie de
commutation et de multiplcxage à large bande passante ct à
faible retard, qui permet l'intégration de voix, de vidéos et de
données en temps réel. l: ATM est un protocole en couche dans
une liaison de données. Il s'agit d'un mécanisme de transport
indépendant du protocole. Il permet des transferts de données à
haut débit,jusqu'à 155 Mbps. Attention de ne pas confondre avec
l'acronyme ATM qui désigne, en anglais, un guichet automatique
bancaire (automatcd tell er machine).
Modèle de maturité·-- Voir modèle de stabilisation des capacités
(CMM).
Modèle de stabilisation des capacités (CCM)- Modèle
d'estimation des capacités pour un logiciel proposé par le
Software Engineering lnstîtutc (SEI). Il est utilisé par de
nombreux organismes afin d'identifier les pratiques exemplaires
utiles dans l'évaluation et l'augmentation de la maturité de leurs
processus de développement de logiciels.
Modulation -- Processus de conversion d'un signal infOrmatique
numéJiquc en un signal de télécommunication analogique.
491
 Glossaire
Module intégré d'audit-- Partie intégrante d'un système
d'application conçue pour repérer et rappo1ier des transactions ou
autres infi:mnations données, d'après des critères prédéterminés.
Le repérage des éléments à rapp011:er fait pmiie du trnitcment en
temps réeL Le rapport peut sc faire en ligne, en temps rée!, ou
selon une méthode de stockage et retransmission. Aussi appelé
programme d'essai intégré ou module d'audit continu.
Mot de passe- Suite de caractères protégés ct encodés par
l'ordinateur qui pem1et l'authentification de l'utilisateur d'un
ordinateur dans le système informatique.
N Orientation objet -Approche de développement de systèmes
Normalisation-- Élimination des données redondantes.
Norme·- Une exigence, un code de pratique ou une
caractéristique technique obligatoires approuvés par une
organisation de normalisation externe reconnue, comme
l'International Organization for Standardization (ISO).
Numéro d'identification personnelle (NIP) Mot de passe
(numéro secret assigné à un individu) qui, en concomitance avec
l'identification de l'individu, se11 à vérifier l'authenticité de cc
dernier. Les NIP ont été adoptés par les institutions financières
pour la vérification des clients dans un système de transfert
électronique des fonds (TEF).
0 L'opération XOR est une opération booléenne qui renvoie un 0 si
Objectif de contrôle- I;noncé déc1ivant le résultat désiré ou le
but à atteindre par la mise en œuvre de procédures de contrôle
dans un processus donné.
Objectif de l'audit-- Raison d'audit. Les objectifs ont souvent
pour but l'audit de la présence de contrôles internes afin de
minimiser les risques de l'entreprise.
Objectif de point de reprise (OPR) ---Déterminé en fonction
du niveau de pe1ie acceptable de données !ors d'une interruption
des opérations. Il indique le premier point dans le temps où il
est acceptable de récupérer les donnêes. t:OPR quantifie de
façon efficace la quantité tolérable de données perdues en cas
d'interruption.
Objectif de temps de reprise (OTR) Quantité de temps alloué
pour la reprise d'une fonction ou ressource opérationnelle après la
survenue d'un sinistre.
Objectivité -1-labilcté d'un auditeur des SI à exercer
son jugement à exprimer ses opinions ct à présenter ses
recommandations avec impartialité.
Ordonnancemen1 ·-Méthode utilisée dans le centre de traitement
inf(mnatique (CTI) pour établir l'enchaînement' du traitement des
travaux informatiques.
Organigramme de programmation - Montre la suite de
consignes d'un programme ou d'une sous-routine unique. Les
symboles utilisés dans les organigrammes de programmation
devraient correspondre à la norme acceptée mondialement. Les
492
organigrammes de programmation devraient être mis à jour au
besoin.
Organigramme du système - Représentation graphique de
la suite d'opérations dans un système d'information ou un
programme. L'organigmmme d'un système d'information
montre le passage par l'ordinateur des données des documents
sources, en vue d'être distribuées aux utilisateurs finaux. Les
symboles utilisés devraient correspondre à la norme acceptée
mondialement. t:organigramme du système doit être mis à jour au
besoin.
selon laquelle l'attention est centrée sur un objet, qui englobe
à la fois les données (attributs de l'objet) et la tünctionnalité
(méthodes de l'objet). Les objets sont habituellement créés
selon un modèle général appelé classe. La classe est la base de
la majorité du travail de conception des objets. Une classe ct ses
objets communiquent selon des manières définies. Les classes
agrégées interagissent par des messages, soient des requêtes de
service dirigées d'une classe (le client) ù une autre (le serveur).
Une classe peut partager la structure ou les méthodes définies
dans une ou plusieurs autres classes ·une relation qu'on appelle
héritage.
OU exclusif (XOR) -·!~opérateur OU exclusif renvoie la valeur
TRUE seulement si une seule de ses opérandes est TRUE.
deux entrées booléennes sont identiques (0 et 0 ou 1 et 1) et qui
renvoie un 1 si deux entrées sont différentes (1 ct 0). À l'opposé,
un opérateur OU inclusif renvoie la valeurTRUE si une ou les
deux opérandes sont TRUE.
Ouverture de session- Processus de connexion à l'ordinateur
qui requiert habituellement l'entrée d'un nom d'utilisateur et d'un
mot de passe dans un terminal.
Oxydation des supports - Détérioration, causée par une
exposition à l'oxygène et à l'humidité, des supports sur
lesquels des données numériques sont entreposées. Des bandes
qui se détériorent dans un environnement chaud et humide
constituent un exemple d'oxydation des supports. Des contrôles
environnementaux appropriés devraient prévenir ou ralentir ce
processus de füçon significative.
p
Paire torsadée- Moyen de transmission à faible capacité; paire
de petits fils isolés qui sont enroulés l'un autour de J'autre pour
minimiser 1'interférence causée par d'autres fils dans le câble.
Paquet·-· Ensemble de données transmis de sa source à sa
destination par un réseau à commutation de paquets. Un paquet
contient à la Ibis des informations sur Je routage ct des données.
Le protocole TCP/1 P est un exemple de réseau ft commutation de
paquets.
Parasurtenseur -- Filtre les pics et sauts de tension.
Passerelle- Dispositif (routeur, coupe-feu) d'un réseau qui se11
de point d'accès à un autre réseau.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés,
e Certified Information
Systems AUt1itor'
"'""""'""''""'""
Pérennité du système~· Prévention d'une interruption;
atténuation ct récupération à la suite d'une interruption. Les
termes« planification de reprise des activités>~,« planification de
reprise après sinistre>> et« plan de s!!cours >>peuvent aussi être
utilisés dans ce contexte; ils se rapportent tous aux activités de
récupération que suppose la pérennité du système.
Période de tlottemenl- Dans un échéancier de projet, période
dont l'utilisation n'a pas d'effet sur Je chemin critique du projet;
le temps minimal nécessaire à l'achèvement du projet en fonction
du temps estimé pour la réalisation de chaque segment du projet
et leurs relations. La période de flottement est habituellement
tncntionnéc comme« flotteur" et n'est généralement ln
{{propriété» d'aucune des parties impliquées dans la transaction.
Périphériques-- Équipement matétiel infom1atlque auxiliaire
utilisé pour la saisie, la sortie et le stockage de données. Les
lecteurs de disque el les imprimantes sont des exemples de
périphériques.
Pirate- Personne qui tente de pénétrer sans autorisation dans un
système informatique.
Pirate téléphonique--- Personne qui contourne les contrôles des
systèmes téléphoniques et autres réseaux de communication.
Piste d'audit- Preuve visible permettant de retracer, jusqu 'à sa
source. l'infOrmation contenue dans les états ou les rapports.
Plan d'audit-· 1. Plan contenant la nature, l'échéancier ct la
portée des procédures d'audit à exécuter par
les membres de l'équipe de mission afin
d'obtenir des preuves d'audit suifisantes
sur lesquelles fonder une opinion. Inclut les
secteurs qui feront l'objet de l'audit, le type
de travail prévu, les objectif.~ de haut niveau
et la portée du travail, de même que des stdets
comme le budget, l'attribution des ressources,
le calendrier, le type de rapport et le public
auquel cc dernier est destiné, en plus d'autres
aspects généraux du travaiL
2. Description de haut niveau du travail d'audit à
effectuer durant une période donnée.
Plan de continuité des activités (PCA) ·Plan utilisé par une
organisation pour réagir en cas d'interruption des processus
opérationnels critiques. Dépend du plan d'urgence pour le
rétablissement des systèmes critiques.
Plan de reprise après sinistre (PRS) -- Ensemble de ressources
humaines, physiques, techniques et procédurales utilisées
pour reprendre, dans un délai ct à un coût précis, une activité
interrompue par une urgence ou un sinislre.
Plan de secours-- Processus d'élaboration préalable d'ententes
ct de procédures permettant à une entreprise de réagir en cas
d'événement dû au hasard ou de circonstances imprévues.
Plan stratégique des Tl- Un plan ù long tem1e (c.-ù-d. horizon
de !rois à cinq aœ) dans lequel la direction de l'entreprise et
Manuel de Préparation CISA 26" édition
ISACA. Tous droits reservés.
Glossaire
celle des TI décrivent. de manière collaborative, comment les
ressources de TI contribueront aux objectifs stratégiques de
l'entreprise.
Politique·-· 1, En général, un document qui consigne un principe
ou plan d'action de haut niveau qui a été convenu.
L'objectif souhaité est d'influencer et de guider la
prise de décisions présentes et futures de manière
à les aligner sur la philosophie, les objectifS ct
les plans stratégiques établis par les équipes de
direction de l'entreprise. En plus du contenu
de la politique, le document doit décrire les
conséquences du non-respect de la politique, les
moyens de gérer les exceptions et des techniques
pour vérifier et mesurer la confOrmité à la
politique.
2. Intention et orientahon globales officiellement
exprimées par la direction {perspective du
CO BIT 5).
Politique d'utilisation acceptable·- Politique qui établit un
accord entre les utilisateurs et l'entreprise et définit, pour toutes
les pmiies, les utîlisations approuvées qui encadrent l'accès à un
réseau ou à l'lntemet.
Politique de sécurité-- Document de haut nive..1u représentant
la philosophie et l'engagement d'une entreprise en matière de
sécurité de l'information.
Pont -Appareil qui connecte deux réseaux semblables.
Ponts-routeurs --Dispositifs qui intègrent à la fois les fonctions
de pont et de route ur. Un pont-routeur fonctionne au niveau des
couches de liaison de données et des couches réseau. Un des
grands avantages du pont-routeur est qu'il COilnecte les mêmes
segments de réseau local {LAN) de liaison de données aussi bien
que des segment'i différents. Tout comme le pont, il transmet
des paquets de données basées sur 1· adresse de la couche de
liaison de données vers un réseau difrérent de même type. De
plus, il t-raite et transmet au besoin des messages à un réseau de
type liaison de données différent selon l'adresse du protocole du
réseau. Lorsqu'un pont-routcur relie des réseaux de type liaison
de données semblables, il est aussi rapide qu'un pont, en plus
d'être capable de relier des réseaux de type liaison de données
difl-'érents.
Porte dérobée- Sortie électronique non autorisée, ou porte,
permettant de quitter un programme électronique autorisé pour
pénétrer dans un ensemble de consignes ou de programmes
malveillants.
Portefeuille·- Un regroupement« d'objets d'intérêt (programmes
d'investissement, services de Tl, projets de TI, autres actifs ou
ressources de Tl) gérés ct surveillés de manière à optimiser
la valeur pom l" entreprise. (Le portefeuille dïnvestissements
est principalement d'intérêt pour Va liT. Les portefeuilles de
services, de projets, d'actif:<; et d'autres ressources de Tl sont
principalement d'intérêt pour CO BIT.)
493
 Glossaire
Portefeuille de projet- Ensemble des projets menés par une
entreprise. Comprend habituellement les principales lignes
directrices de chaque projet, telles que les objectifS, le calendrier,
les coûts ct tout autre renseignement propre au projet.
Postes de travail sans disque- Poste de travail ou ordinateur
personnel branché à un réseau qui ne possède pas son propre
disque. Les données sont plutôt sauvegardées dans un fichier du
serveur de réseau.
Pot de miel -Serveur configuré de façon spéciale, aussi appelé
serveur piège, conçu pour attirer et surveiller les intrus afin que
leurs actions ne nuisent pas aux systèmes de production.
Pratique clé de gestion- Pratique de gestion nécessaire pour
l'exécution réussie des processus d'entrep!ise.
Pratique de contrôle- Mécanisme de contrôle clé appuyant
!'atteinte d~s objectifs de contrôle par l'utilisation responsable des
ressources, la gestion adéquate du risque et l'alignement des Tl
sur le reste de l'entreprise.
Preuve -Information qu'un auditeur recueille lorsqu'il exécute
un audit des SI. La preuve est pertinente si elle se rattache aux
objectif<> de l'audit et qu'elle a une relation logique avec les
résultats ct les conclusions qu'elle doit supporter.
Preuve d'audit- Information servant à appuyer l'opinion de
l'auditeur.
Procédure -Document contenant une description détaillée
des étapes nécessaires pour effectuer des opérations précises
conformes aux normes applicables. Les procédures sont définies
dans Je cadre des processus.
Procédures de recours-- Plan d'action ou ensemble de
procédures effectués si l'implantation, la mise à jour ou la
modification d'un système ne fonctionne pas comme prévu.
La restauration du système à un état précédant l'implantation
ou le changement est parfois nécessaire. Les procédures de
recours garantissent le fonctionnement normal des processus de
l'entreprise dans l'éventualité d'un échec et devraient toujours
être prises en compte lors d'une migration ou de l'implantation
d'un système.
Procédures de redémarrage au point de contrôle- Point d'une
routine auquel suffisamment d'information peut être stockée pour
pem1ettre le redémarrage du calcul à partir de cc point.
Procédures de sécurité- Documentation des étapes et des
processus opérationnels qui précisent comment atteindre les buts
et objectifs de sécurité énoncés dans la politique et les normes de
sécurité.
Procédure d'ouverture de session- Procédure effectuée par un
utilisateur pour obtenir l'accès à une application ou à un système
d'exploitation. Si 1'utilisateur est bien identifié ct authentifié par
la sécurité du système, il pourra accéder au logiciel.
494
e CertifJOCIInformation
Systems Auditor"
~'''"'='~'''""'"'
Processeur· de communication -Ordinateur intégré à un
système de communications qui, habituellement, exécute des
tâches de classification du trafic de réseau et d'application
des fonctions relatives aux règles du réseau. Le processeur
des données de message du centre de rérérencc du Digital
Divide Network (DDN) en est un exemple. Des processeurs de
communication plus perfectionnés peuvent exécuter des fonctions
additionnelles.
Processus~·· En général, un ensemble d'activités influencées
par les politiques et procédures de l'entrep1ise, qui réunit des
intrants de dîtlërentes sources (y compris d'autres processus),
les manipule et produit des extrants. Les processus ont des
raisons d'être opérationnelles bien déf-inies et' ont des détenteurs
responsables; les rôles et responsabilités concernant l'exécution
du processus sonl clairs, tout comme les moyens de mesurer la
pertürmance.
Progiciel de gestion intégré"·- Système de logiciel de gestion
prêt à l'emploi qui permet à une organisation d'automatiser et
d'intégrer la majorité de ses processus opérationnels, de partager
des données et pratiques communes dang toute l'entreprise
ainsi que de produire de l'information ct d'y accéder dans un
environnement en temps réel. SAI~ Oracle Financials et J.lJ
Edwards en sont quelques exemples.
Programmation d'applications·~ Les activités ou les fonctions
relatives au développement et à la maintenance des programmes
d'application.
Programme d'application~ Programme qui traite les données
d'une entreprise gràce à des activités telles que la saisie de
données, la mise à jour ou la requête. Il diffère des programmes
systèmes de type système d'exploitation ou programme de
gestion de réseau, de même que des programmes utilitaires
comme la copie et le tri.
Programme d'audit-- Ensemble de procédures et d'instructions
d'audit détaillées qui devraient être exécutées afin de réaliser un
audit.
Programme de comparaison - Programme servant à examiner
les données et qui utilise des tesü; logiques ou conditionnels afin
de détem1iner ou d'identifier les similitudes ou les différences.
Programme de production- Programme utilisé pour le
traitement de données réelles reçues en tant qu 'intrant dans
1'environnement de production.
Programmes de test- Programmes testés et évalués avant d'être
approuvës pour l'environnement de production. En suivant une
série de mesures de contrôle des changements, les programmes
de test migrent de l'environnement de test à l'environnement de
production pour devenir des programmes de production.
Programme utilitaire·- Logiciel d'exploitation spécialisé utilisé
pour accomplir des tâches ct des routines informatisées qui sont
souvent nécessaires lors du traitement habituel. Par exemple le tri,
la sauvegarde et l'effacement.de données.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . Certified lnfnrmation
M Systems Audltor·
~
"'~"""'<..""""'""·
~
Projet- Ensemble d'activités concemant la livraison à
l'entreprise d'une capacité définie (nécessaire. mais insuffisante
pour atteindre un résultat d'entreprise donné) à temps et dans le
respect du budget.
Pr·opriétairc des données --- Personne, habituellement un
gestionnaire ou un directeur, qui est responsable de 1'intégrité
des données informatiques, ainsi que de leur diffusion ct de leur
utilisation adéquates.
Protection de la vie privée- Droits d'un individu à avoir
confiance qu'autrui utilisera, stockera, partagera et détruira ses
informations personnelles ct sensibles de manière appropriée
et respectueuse, selon le contexte, et aux fins pour lesquelles
ces informations ont été recueillies ou extmites. La « manière
appropriée » dépend des circonstances connexes, des lois ct
des attentes raisonnables de l'individu. L'individu a aussi le
droit d'assurer un contrôle raisonnable sur ses infOrmations
personnelles et sensibles ct d'être tenu au courant lorsque leur
collecte, leur utilisation et leur divulgation ont lieu.
Protocole~ Règles par lesquelles un réseau fait fonctionner et
contrôle le llot et la priorité des transmissions.
Protocole de sécurité Internet (IPSec)- Un ensemble de
protocoles élaboré par le groupe de travailiETF (Internet
Engineering Task Force) pmn· appuyer l'échange sécurisé de
paquets.
Protocole de transfert de fichiers (FTP)--- Protocole utilisé
pour transfërer des fichiers sur un réseau TCPIIP (Transmission
Control Protocollfnternet Protocol) (Internet, UNIX, etc.).
Protocole de transfert de fichie1·s (FTP) à accès anonyme
- Méthode de téléchargement de fichiers publics par le biais
du protocole de transfèrt de fichiers. Le FTP à accès anonyme
est ainsi appelé parce que les utilisateurs n'ont pas besoin de
s'identifier avant d'accéder aux fichiers d'un serveur particulier.
Habituellement, l'utilisateur saisit le mot<< anonyme)) quand
\'hébergeur demande un code d'utilisateur; n'importe quel mot
de passe peut être saisi, par exemple l'adresse électronique
de l'utilisateur ou tout simplement le mot« invité H. Dans de
nombreux cas, le site FTP ù accès anonyme ne demandera ù
l'utilisateur de saisir ni un nom ni un mot de passe.
Protocole BllCI' (Oynamic Host Configuration Protocol)
·-·Un protocole utilisé par les ordinateurs en réseau (clients)
pour obtenir les adresses IP et d'autres paramètres comme la
passerelle par défaut, les masques de sous-réseau et les adresses
IP des se1-veurs de systèmes de noms de domaines {ONS) d'un
serveur DJ-JCP. Le serveur DHCP assure que toutes les adresses
IP sont uniques (p. ex., aucune adresse IP n'est attribuée à un
second client tant que 1'attribution du premier client est valide [le
contrat de location n'est pas expirC]). Ainsi, la gestion du bassin
d'adresses IP est faite par le serveur ct non par un administrateur
réseau humain.
Protocole point à point (PPP) - Protocole utilisé pour
transmettre de.:; données entTc deux extrémités d'une connexion.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Glossaire
Protocole SOAP -~Protocole formaté, indépendant des
platefonnes et tbndé sur Je langage XML, donnant la capacité aux
applications de communiquer entre elles par Internet. L:utilisation
de ce protocole peut comporter un risque significalifpour !a
sécurité relativement aux opérations liées aux applications Web.
En effet, le prolocole SOAP accède de iàçon superposée à un
modèle objet du document Web, ct est transmis par le HTTP
(poli 80) pour pénétrer dans les coupe-feu du serveur, qui sont
habituellement configurés pour accepter les requêtes des ports
80 ct 21 (FTP). Les modèles de documents Web définissent la
façon dont les objets d'une page Web sont associés et la 1àçon de
les manipuler au moment où ils sont envoyés d'un serveur vers
un navigateur client. Le protocole SOAP utilise généralement
le XML pour le formatage de la présentation et L\joute aussi les
en-têtes en HTTP appropriées pour l'envoyer. Le protocole SOAP
forme la couche de base de la pile de services Web en fournissant
un cadre de messagerie de base à partir duquel davantage de
couches abstraites peuvent être créées. Il existe différents modèles
de messagerie liés au protocole SOAP, mais le plus utilisé, et de
loin, est le modèle d'appel de procédure à distance (APD). Dans
ce modèle, un nœud de réseau (le client) envoie un message de
demande à un autre nœud (le serveur), qui envoie immédiatement
une réponse nu client.
i>rotocole TCPJII>- Constitue la bnse d'Internet: ensemble de
protocoles de communication qui comprend l'accès au média, le
transport de paquets, les communications de session, le transfert
de fichiers, le courrier électronique, \"émulation de terminaux,
l'accès aux fichiers distants et la gestion de réseau.
Protocole WPA (Wi-Fi protccted access) ·-Classe de systèmes
utilisés pour sécuriser les réseaux informatiques sans fil (Wi-
Fi). Le WPA n 0té créé pour combler plusieurs lacunes graves
constatées par les chercheurs dans le système précédent, le
système WEP (confidentinlité équivalente aux transmissions
par fil). Le WPA met en oeuvre la majorité de la nonne
IEEE 802.11 i, ct a été destiné en tant que mesure intermédiaire
pour remplacer le système WEP pendant que le 802.1 li était
préparé, Le WPA a été conçu pour fonctionner avec toutes les
cartes interfaces de réseau sans fil, mais pas nécessairement
avec les points d'accès sans fil de première génération. Le
WPA2 implante la nonne complète, 1nais ne fonctionne pas avec
ce1i:aincs cartes réseau plus vieilles. Les deux offrent une bonne
sécurité, mais deux points importants !>Ont à noter. D'abord, le
WPA ou le WPA2 doit être activé et choisi au détriment du WEP;
le WEP apparaît habituellement comme le premier choix en
matière de sécurité dans la plupart des instructions d'installation.
Ensuite, en mode« personnel >>(le choix le plus probable pour les
maisons et les entreprises de petite taille), une phrase de contrôle
est nécessaire; pour une sécwité totale, cette phrase doit être plus
longue que les mots de passe de six à huit car~1ctères employés
habituellement par les utilisateurs.
Prototypage,_ Processus selon lequel on assemble rapidement
un modèle de tmvail (un prototype) afin de mettre à l'essai divers
aspects d'une conception, d'illustrer des idées et caractéristiques
et de recueillir les premiers commentaires d'usagers. Le
prototypage nécessite l'utilisation de méthodes de simulation
programmées pour présenter un modèle du sysième final à
l'utilisateur en vue d'obtenir des avis et des critiques. L'accent
495
 Glossaire
esl mis sur les écrans des utilisateurs finaux et sur les mppm1s.
Les contrôles internes ne sont pas considérés comme une priorité
puisqu'il s'agit seulement d'un modèle.
R l'utilisation de matériel ou de logiciels redondants afin d'assurer
Rapport de temps d'immobilisation-- Rapport qui indique
combien de temps un ordinateur a mal fonctionné en raison d'une
défaillance de la machine.
Rapport d'exception-- Rapport produit par un programme
qui identifie les transactions ou les données qui semblent
erronées. Les rappmis d'exception peuvent être hors de la portée
prédéterminée ou peuvent ne pas être confOrmes aux critères
spécifiés.
Réaction aux incidents-- Réponse d'une entreprise à un sinistTe
ou à un autre incident majeur qui pourrait lui nuire ou encore
nuire à son personnel ou à sa capacité à fonctionner de manière
productive. La réaction li un incident peut inclure l'évacuation
des installations, J'application d'un plan de reprise après sinistre.
I'Cvaluation des dégùts ou toute autre mesure nécessaire pour
stabiliser l'état de l'entreprise.
Réingéniede ~~Processus impliquant l'extraction des
composantes des systèmes existants et leur restructuration en vue
de développer de nouve:wx systèmes ou d'améliorer l'efficacité
des systèmes existants. Les systèmes existants peuvent ainsi étre
modcmisés afin de prolonger leur fonctionnalité. Un exemple:
un logiciel convertisseur de codes qui peut prendre tm système
hiérarchique de bases de données existant et en faire un système
de bases de données relationnelles. La technologie de génie
logiciel assisté par ordinateur (CASE) inclut la possibilité de
réingénie1ie de codes source.
Réingénierie des processus de l'entreprise~ Analyse complète
ct restructuration majeure des processus adminîstratif"l et
systèmes de gestion afin d'établir une structure plus performante,
qui répond mieux aux besoins de la clientèle ct aux conditions du
marché, tout en réalisant des économies de coûts matériels.
Relais de trame Technologie de réseau éfcndu (WAN) à
commutation de paquets qui propose des performances plus
rapides que les anciennes technologies WA N. Les relais de trame
sont mieux adaptés aux transfert-s d'images el de données. En
raison de leur architecture de paquets de longueur vmiablc, il ne
s'agit pns de la meilleure technologie pour !a voix ct les vidéos
en temps réel. Dans un réseau de relais de trame, les terminaisons
établissent une connexion au moyen d'un circuit virtuel
pennanent (PVC).
Rendement du capital investi (RCI)- Mesure de la
performance et de l'efficacité d'exploitation, calculée dans sa
plus simple forme en divisant Je revenu net par Je total de l'actif
pour la période visée.
Répéteur".. Appnreil à couche physique régénérant et distlibuant
les signaux électriques entre deux segments de réseau. Les
répéteurs reçoivent les signaux provenant d'un segment de
réseau et les amplifient (régénèrent) afin de compenser pour les
signaux (analogiques ou numériques) défOrmés par les perles de
496
e Certifled Information
Systems Audilor"
"'~'"'''~'''"''"'
transmission, causées par l'atténuation du signal au cours de la
transmission.
Réplication- Dans son sens infonmüique large, implique
la disponibilité ct la tolérance aux dé13illrmccs. Dans le contexte
d'une base de données, la réplication implique le partage des
données entre les bases de données pour réduire la charge de
travail des serveurs de bases de données, améliorant ainsi la
performance du client tout en maintenant la cohérence entre les
systèmes.
Réseau- Système d'ordinateurs interconnectés ct d'équipements
de communication utilisés pour les connectee
Réseau à commutation de circuits·- Service de transmission
de données nécessitant l'établissement d'une connexion à
commutation de circuits avant que les données puissent être
transt-ërées de l'équipement terminal de données (ETD) source
à ! 'ETD récepteur. Un service de transmission de données à
commutation de circuits fàit appel à un réseau de connexion.
Réseau à valeur ajoutée (VAN)-·- Réseau de communication
de données bonifié par des services de traitement comme la
correction d'eneurs et la traduction ou le stockage de données à
la fonction de base de transpmi des données.
ll.éseau d'informatique répartie·-· Système d'ordinateurs reliés
ensemble par un réseau de communication. Chaque ordinateur
traite ses données et le réseau supporte l'ensemble du système.
Un tel réseau améliore la communication parmi les ordinateurs
reliés et permet un accès aux fichiers partagés.
Réseau d'infrastructure-- Principal canal de communication
d'un réseau numé1ique. C'est la partie du réseau qui traite la
circulation principale. Il utilise les chemins de transmission
à débit supérieur du réseau et peut aussi parcomir les plus
longues distances. De plus petits réseaux sont attachés au
réseau d'infrastructure, et les réseaux directement branchés
sur l'utilisateur final ou sur Je client sont appelés<~ réseaux
d'accès». Un réseau d'infrastructure peut s'étendre à un espace
géographique de n'importe quelle grandeur, qu'il s'agisse d'un
immeuble unique, d'un complexe de bureaux ou d'un pays. Il
peut tout aussi bien être aussi petit que le panneau arrière d'un
simple cabinet.
Réseau en boucle Utilisé soit avec les réseaux en anneau à
jeton, soit avec les réseaux d'interfà.ces de données distribuées
sur fibre (FDDI). Toutes les stations (nœuds) sont connectées à
une unité de raccordement aux réseaux multipostcs (URRM).
qui ressemble physiquement à une topologie en étoile. Un réseau
en boucle est créé lorsque ces URRM sont liées pour tOnner
un réseau. Dans ce réseau, les messages sont envoyés de façon
déterministe de l'expéditeur et du destinataire par une petite
trame, transmise comme un anneau à jeton. Pour envoyer un
message, l'expéditeur obtient le jeton avec la priorité appropriée
pendant que le jeton circule dans 1'anneau, pendant que les nœuds
de réception lisent les messages qui lui sont adressés.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e Cerlifted Information
Systems Audilor'
-··----f-----
"'"'"'"""''"""""
Réseau étendu (WAN)- Réseau informatique reliant diftërents
lieux, ceux-ci pouvant être rapprochés, comme un étage ou un
bâtiment, ou très éloignés, comme une grande région ou plusieurs
pays.
Réseau local (LAN)-- Réseau de communication servant
plusieurs utilisateurs dans une région géographique donnée. Les
fonctions de LAN d'un ordinateur personnel fonctionnent comme
un système de tTaitement distribué dans lequel chaque ordinateur
du réseau fait son propre traitement et gère quelques-unes des
données. Les données partagées sont emmagasinées dans un
serveur de fichiers qui agit comme un lecteur de disque distant
pour tous les utilisateurs du réseau.
lléseau numérique à intégr·ation de services (RNIS) ~-Réseau
de télécommunication numérique public de bout en bout, avec
des capacités de signalement, de commutation ct de transport,
supportant une large gamme de services accessibles par les
interfaces standardisées avec un contrôle intégré du client. Le
standard permet la transmission numérique de la voix, de vidéos
ct de données sur des lignes à 64 Kpbs.
Réseau redond~mt de disques indépendants (RAID)-· Permet
l'amélioration de la pe1fonnance et des capacités de tolérance
aux erreurs à l'aide de matériel ou de solutions infOrmatiques
grâce à la distribution des données sur une série de disques pour
améliorer la performance ou sauvegarder de façon simultanée des
fichiers importants.
Réseaux de stockage (SAN)- Adaptation d'un réseau local
(LAN) conçu pour ln connexion d'npparcils de mémoire
aux serveurs et aux autres appareils infOrmatiques. Les SAN
centralisent le processus de stockage et d'administration des
données.
Résilience·- Capacité d'un système ou d'un réseau à récupérer
rapidement à la suite d'une interruption. généralement avec des
effets identifiables minimaux.
Résolution de problème par la hiérarchie~· Processus de
résolution des problèmes qui s'appuie sur l'intervention, dans un
premier temps. du personnel de première ligne, puis du transfert
vers les échelons supérieurs si une solution ne peut être apportée
à ce niveau. Cette méthode est souvent utilisée dans ln gestion des
centres d'assistance; les problèmes non résolus sont transférés à
des personnes occupant un poste plus élevé dans la hiérarchie,
jusqu'à ce qu'ils soient réglés.
Responsable des données-- Personnes ou services responsables
du stockage et de la protection des données informatisées. Ces
responsables tèmt habituc\len1ent partie du service des SI.
Revue par un tiers~ Audit indépendant de la structure de
contrôle d'une organisation de service, comme un centre de
traitement à façon, dans le but de fournir aux utilisateurs de
l'organisation de service l'assurance que la structure de contrôle
interne est adéquate, cflïcace et solide.
Risque··- Combinaison de la probabilité et des con~'équenccs d'un
événement (ISO/IEC 73).
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rêservës.
Glossaire
Risque d'audit-- Probabilité que l'infom1ation ou les rapports
financiers contiennent des erreurs matérielles et que 1'nuditcur
n'en détecte pas la présence.
Risque d'échec des contrôles- Risque qu'une erreur matérielle
se produise et qu'elle ne puisse être prévenue ou détectée à temps
par le système de contrôles internes.
Risque de détection-- Risque que des erreurs matérielles ou des
mauvaises affirmations ne soient pas détectées par l'auditeur de
SI.
Risques de l'entreprise-· Situation probable dont la fréquence
est incciiaine, pouvant entraîner des pertes (ou gains) d'envergure
imprévisible.
Risque inhérent-- Degré de risque ou d'exposition si l'on ne
tient pas compte des mesures que la direction a prises ou pourrait
prendre (p. ex. mise en place de contrôles).
Routage alternatif-- Service qui offre l'option de routage
alternatif afin d'effectuer un appel lorsque la destination indiquée
n'est pas disponible. Dans le domaine de la signalisation, une
route alternative consiste à attribuer une route substitut à un
flot de circulation précis dans le cas où une défaillance nuirait
nux tronçons ou aux routes régulières empruntées par ce flot de
circulation.
Routage circulaire-· Dans une architecture de systèmes ouverts,
le routage circulaire est le chemin logique d'un message dans un
réseau de communication fondé sur une série de passerelles de la
couche réseau physique du modèle OSJ.
H.outeur --Appareil de mise en réseau pouvant envoyer
(acheminer) des paquets de données d'un réseau local (LAN)
ou étendu (_\VAN) fOndé sur l'adressage ù la couche de réseau
(couche 3) dans le modèle OSJ. Les réseaux connectés par routeur
peuvent utiliser des protocoles réseau différents ou similaires.
Les rouleurs permettent habituellement le filtrage de paquets
selon des paramètres tels que l'adresse d'origine, !"adresse de
destination, le protocole ct l'application réseau (ports).
Routeur de filt-rage-- Route ur configuré pour autoriser ou
bloquer le trafic selon un ensemble de règles de permission
installées par l'administmteur.
RSA Système de chiffrement à clé publique conçu par R.
Rivest, A. Shamir et L. Ad leman, conçu tant pour le chiffrement
que pour les signatures numériques. Le RSA a deux clés
différentes: la clé publique de chiffrement ct la clé secrète
de déchiffrement La fOrce du RSA dépend de la difficulté
de Ütctorisation des nombres premiers. Pour les applications
présentant un haut niveau de sécurité, le nombre de bils de la de
de déchiffrement doit être supérieur à 512.
s
Salle blanche -Installation de secours pour les SI. Elle est vide
de tout matériel informatique, mais elle possède les composants
électriques et physiques nécessaires pour recevoir une installation
informatique. Cette salle est prête à recevoir le matériel
497
 Glossaire
informatique de remplacement au cas où les utilisateurs doivent
se déplacer de l'emplacement principal vers une autre installation
informatique.
Sauvegarde-· Fichiers, équipement, données et procédures qu'il
est possible d'utiliser en cas d'interruption ou de pe1ie, lorsque
les données 01iginales sont détruites ou inaccessibles.
Scanneur anthropométrique- Appareil biomètrique servant à
authentifier un utilisateur par un balayage de la paume de la main.
Scanneur optique- Périphérique de saisie qui lit les caractères
ct images imprimés ou peints sur papier et les transfère à
l'ordinateur.
Scénario de rélërcnce - Ensemble de données normalisées
servant à eHèctuer des essais. Normalement. cc sont les
utilisateurs qui les définissent. Les scénarios de référence valident
les systèmes d'application productique et testent l'exuctitude des
opérntions courantes du système.
Script utilitaire·- Enchaînement de signaux d" entrée dans un
fichier simple pour automatiser une tâche spécifique et répétitive.
Le script utilitaire est ensuite exécuté, automatiquement ou
manuellement. pour réaliser ln tâche. Sous UNIX, il est connu
sous le nom de procédure d'interpréteur de commandes.
Sécurité de l'information -Assure qu'au sein de 1'entreprise,
1'infOrmation est protégée contre la divulgation à des
utilisateurs non autOJisés (confidentialité), les modifications
inappropriées (intCgrité) ct l'indisponibilité lorsqu'on en a besoin
(disponibilité).
Sécurité des données-·- Contrôles destinés à maintenir ln
confidentialité, l'intég1ité ct la disponibilité de l'information.
Sensibilisation à la sécurité- Degré auquel chaque membre
d'une entreprise et tout autre individu ayant potentiellement accès
à l'information de l'entreprise comprend:
• La sécurité et les niveaux de sécurité appropriés pour
1'entreprise.
• [~impmtancc de la sécurité et les conséquences d'un manque de
sécurité.
• Ses responsabilités individuelles en matière de sécurité (et les
actions conséquentes).
Cette définition est inspirée de la définition de sensibilisation à
la .sécurité des Tl énoncée dans Implementation Guùle:How to
Make Your 01gm1;zation Aware offT Securi~v, Forum européen
de sécurité, Londres, 1993
ScnsibiHsation des utilisa1curs Processus de formation sur
des questions de sécurité spécifiques utilisé pour réduire les
problèmes dans cc domaine; les utilisateurs sont souvent le
maillon le plus faible de la chaîne de sécurité informatique.
Séparation des tâches"'" Contrôle inteme de base qui prévient
ou détecte les erreurs et irrégularités en affectant à des personnes
distinctes la responsabilité d'amorcer et de consigner les
transactions ainsi que de protéger les actif..:;. La séparation des
498
tâches est fi·équemment employée dans les grandes organisations
de Tl, de s011e qu'aucun individu n'est en mesure d'introduire du
code frauduleux ou malveillant sans être repéré.
Serveur d'accès -- Permet une gestion centTale des contrôles
d'accès afin de gérer les services d'accès à distance.
Serveur de fichiers- Disque à haute capacité de stockage ou
ordinateur qui emmagasine les données de fàçon centralisée pour
les utilisateurs du réseau et qui s'occupe de l'accès à ces données.
Les serveurs de fichiers peuvent être dédiés, ce qui tàit qu'aucun
procédé autre que la gestion du réseau ne peut être exécuté
pendant que le réseau est accessible; les serveurs de fichiers
peuvent aussi être non-dédiés, ce qui tàit que les npplications
d'utilisateur normales peuvent fi)nctionner lorsque le réseau est
accessible.
Sl'rvcur de stockage en r·éseau (NAS)- Utilise les mémoires
spécialisées qui centralisent le stockage des données. De tels
appareils n'oHJ·ent généralement pas les services habituels de
fichier/impression ou d'application<
Serveur mï.mdataire- Serveur qui agit pour le compte d"un
utilisateur. Un mandataire typique accepte la connexion
d'un utilisateur. décide si l'adresse IP de l'utilisateur ou du
client a l'autorisation d'utiliser le mandataire, effectue une
authentification supplémentaire au besoin, et termine la
connexion au destinataire distant pour le compte de 1'utilisateur.
Service d'accès distant (SAD)- Réfère à une combinaison de
matériel et de logiciels qui permettent J'accès à distance aux
outils ou aux infonnations qui se trouvent habituellement dans un
réseau d"appareils Tl. Matricé initialement par Microsoft lorsqu'il
se réfère aux outils d'accès à distance NT intégrés, le SAD était
alors un service fourni par Windows NT qui permettait que la
majorité des services soient accessibles par un réseau à l'aide
d'un modem. Au fil du temps, plusieurs fournisseurs ont offert à
la fois le matériel et les logiciels d'accès à distance, par réseau, à
différents types d'information. En réalité, la plupart des routcurs
modernes possèdent la capacité de SAD de base pouvant être
activé pour toute interface commutée.
Servlet -A pp let Java ou petit programme qui fonctionne dans
un environnement de serveur Web. Un miniscrvcur Java est
semblable à une interface de passerelle commune (!PC), mais
contrairement à un programme IPC, une fois démarré, il demeure
en mémoire ct peut exécuter plusieurs requêtes, économisant ainsi
du temps d'exécution de serveur et accélémnt les services. Les
servlcts sont au serveur Web cc que les applcts sont au navigateur
pour le client
Signature numérique-- Élément d'information ou signature
chiH'rée, qui confirme l'authenticité du signntaire ct qui assure
l'intégrité du message et sa non-répudiation. Une signature
numé1ique est générée en utilisant la clé privée du signalaire ou
en appliquant une fonction de hachage à sens unique.
Site de secours intermédiaire~ Semblable à un centre de
secours immédiat, sans être entièrement équipé de tout le matériel
nécessaire à la reprise des activités.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits rêservês.
e • Certîfled lnfOJ.ll13.1iOfl
Systems Auditor"
"'~'<>'""'''"''""
Sit-e mobile- Installations mobiles/temporaires sct-vant
d'emplacement pour la reprise des opérations. Ces installations
peuvent habituellement être livrées à n'importe quel site et
accueillir des technologies de l'information ct le personnel
nécessaire.
SM ART- Acronyme pour<< stratégique, mesurable, atteignable,
réahste, temporel,,, généralement utilisé pour décrire des
objectifs fixés adéquatement
Sondage de dépistage--- Fonne d'échantillonnage par atttibut
utilisée pour déterminer une probabilité précise d'obtenir au
moins une occurrence d'un attribut dans une population.
So1·tie du syst'èrnc Cmactéri.stiqucs et utilitaires spéciaux d'un
système de logiciel qui pennet1ent à l'utilisateur d'effectuer
la maintenance complexe du système. Le recours à la sortie
du système laisse souvent l'utilisateur agir hors du système de
contrôle d'accès sécurisé.
SPOOL (file d.'aUente d'impression)-- Fonction informatisée
pouvant être basée sur un système d'exploitation ou une
application, et dans laquelle les données électroniques
transmises entre les zones de stockage sont mises en attente ou
emmagasinées jusqu'à ce que l'appareil de réception ou la zone
de stockage soient prêts à recevoir l'information. SPOOL permet
des transferts de données électroniques plus eftïcaces d'un
appareil ù l'autre, en permettant aux fOnctions de transfe11 plus
rapides, comme la mémoire interne, de poursuivre les opérations
plutôt que d'attendre après des appareils de réception plus lents,
comme une imp1imante.
Standard de chiffrement des données (DES) --Algorithme
servant au chiffrement des données binaires. Il s'agit d'un
système cryptographique à clé privée publié par le National
Bureau of Standards (NBS), le prédécesseur de l'US National
lnstitute of Sl1ndards and Technology (NIST). Le DES a été
défini en tant que nonne fédérale de traitement de 1'infOrmation
(FIPS) en 1976 et a servi communément au chitTrcment de
données dans des logiciels ou sous forme de code intégré dans le
matériel. (Voir système cryptographique à clé privée.)
Stockage hors site-· Installation située loin de l'édifice qui
abrite le centre de traitement intûnnatique (CT!} ptincipal, utilisé
pour le stockage de média inf()rmatiquc comme des données de
sauvegarde hors ligne et des fichiers de stockage.
Stratégie de reprise- Approche d'une entreprise visant à assurer
la reprise et la continuité de ses activités en cas de sinistre ou de
panne majeure. Les plans et méthodologies sont déterminés par
la stratégie d'entreprise. Il peut y avoir plus d'une méthodologie
ou solution pour la stratégie d'une entreprise. Voici quelques
exemples de méthodologies et de solutions : prévoir la location
d'une salle blanche ou d'un centre de secours immédiat;
construire une salle blanche ou un centre de secours immédiat à
l'interne; désigner une zone de travail de rechange; consortium
ou accord réciproque; prendre des dispositions pour un centre de
reprise mobile ou un déménagement Il en existe nombre d'autres.
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.
Glossaire
Structure de gouvernance des Tl·-- Modèle intégrant un
ensemble de directives, politiques et méthodes qui représentent
l'approche organisationnelle de la gouvernance des Tl. Selon le
COB Il~ la gouvernance des Tl est la responsabilité du conseil
d'administration et des cadres de direction. Il s'agit d'une partie
intégrante de la gouvernance institutionnelle, et est constituée
du leadership ct des structures ct processus organisationnels qui
assurent le soutien ct 1'extension, par lesT! de 1'organisation, des
objectifs et de la stmtégie de l'organisation.
Structure des données Relation entre les fichiers d'une base de
données et entre les données de chaque fichier.
Symbole littéral- Toute notation représentant une valeur du code
source de programmation (par exemple une chaîne de caractères),
représentée « telle quelle )) dans les données compressées.
Système d'aide à la décision (SAD)-·· Système interactif qui
fournit à l'utilisateur un accès facile à des modèles décisionnels
ct à des données provenant de plusieurs sources afin de l'assister
dans les tâches liées au processus décisionnel semistructuré.
Système d'alimentation sans coupure (lJPS)- Fournit au
système informatique une alimentation de secours à court
terme à l'aide de batteries lorsque J'alimentation électrique est
interrompue ou dimittue jusqu'ù atteindre un seuil de tension
insuffisant
Système de chiffrement à clé privée--- Utilisé pour le
chiffrement de données, il nécessite une clé secrète pour chiffrer
le texte en clair. Il exige également l'utilisation de la même clé
pour le déchiffrement du cryptogramme vers le texte en clair
correspondant. Dans ce cas, la clé est symétrique (la clé de
chiffrement est semblable à la clé de déchiffrement).
Système de chitTrement à clé publique-· Utilisé pour le
chiffrement de données, il nécessite une clé secrète, mais
publique, pour chiffrer le texte en clair par rapport au
cryptogramme. Il utilise une clé de déchift'rement différente, qui
agit comme clé secrète, pour le déchiffrement du cryptogramme
en texte en clair correspondant. Contrairement au système de
chiffrement à clé privée, la clé de déc hi tlrement doit être secrète;
néanmoins, le chiffrement peul être connu den 'importe qui. Dans
le cas d'un système de chiffrement à clé publique, les deux clés
sont asymétriques (la clé de chiffrement n'est pas semblable à la
clé de déchifti·cment).
Système de gestion de base de données (SGBD)- Ensemble de
logiciels qui contrôle J'organisation, le stockage ct la récupération
des données d'une base de données.
Système de gestion des bandes (SGB) -·Outil logiciel
d'exploitation qui consigne, surveille ct dirige l'utilisation de
bandes informatiques.
Système de noms de domaine (ONS)- Base de données
hiérarchique, distribuée sur Internet, qui assure la traduction des
noms en adresses IP (et vice versa) afin de localiser des services
tels que les serveurs Web ou de courrier électronique.
499
 Glossaire
Système de paie- Système électronique utilisé pour le traitement
de la paie; intetfaces associées- électroniques (p. ex., contrôle
électronique des présences ou système des ressources humaines),
humaines (p. ex., commis à la paie) ct externes (p. ex., banque).
Plus généralement, il s'agit du système électronique utilisé pour
générer les chèques de paie ou les virements automatiques aux
employés.
Système d'exploitation (SE)- Programme de contrôle maître
qui fait fonctionner l'ordinateur et qui agit comme programme
de gestion et contrôleur de trafic. Il s'agit du premier programme
ù être copié dans la mémoire de l'ordinateur lorsqu'il est allumé
et doit rester en mémoire en tout temps. C'est le logiciel qui
interface entre le matériel infOrmatique (disque, clavier, souris,
réseau, modem, imptimante) et les !ogidels d'application
(trnitement de texte, chiffrier, courriel). Il contrôle également
l'accès aux dispositif.<>, est partiellement responsable des
composants de sécwité et fixe les normes des programmes
d'application qui y tournent.
Système d'extinction à colonne sèche-- Système d'extincteurs
dont les conduites ne sont pas remplies d'eau au repos,
contrairement à un système d'extinction chargé dont les conduites
sont pleines d'cau en tout temps. Un système d'extinction à
colonne sèche est activé au moment où l'alerte incendie est
lancée. l:eau est transmise aux conduites à pmtir d'un réservoir
pour ensuite étTC libérée à l'endroit de l'incendie.
Système d'infOrmation géographique (SIG)- Outil utilisé
pour intégrer, convertir, manipuler, analyser et produire de
l'infOrmation sur la surface de la terre. Les données SIG existent
en cmies. en modèles virtuels trîdimensîonnels, en listes et en
tableaux.
Système expert T)rpe de système infOrmatique le plus répandu,
né de la recherche sur l'intelligence mtificielle. Un système
expert contient une hiérarchie intégrée de règles ayant été
acquises grâce à l'expertise humaine dans le domaine approprié.
Une fOis que les données d'entrée lui sont f-Oumies, le système
doit être en mesure de définir la nature du problème et de faire
des recommandations afin de le résoudre.
Système ouvert- Système dont les caractéristiques détaillées
des composantes sont publiées dans un environnement non
exclusif, permettant à des entreprises concurrentes d'utiliser
ces composantes normalisées pour construire des systèmes
compétitifs. Les avantages de l'utilisation des systèmes ouvcJi-s
comprennent la portabilité, lïnteropérabiiité et l'intégration.
Systèmes d'information (SI)-- Combinaison d'activités
stratégiques, de gestion et opérationnelles concernant la
collecte, Je traitement, le stockage, la distribution et l'utilisation
de l'information et des technologies connexes. Les systèmes
d'information sont distincts des technologies de l'information
(Tl): un système d'information possède une composante de Tl
qui interagit avec les composantes de processus.
S.vstème \-VEP (confidentialité équivalente aux transmissions
par Iii)- Protocole qui Jàit partie de la nonne de réseau1age
sans fil IEEE 802 Il (aussi connue sous le nom de réseaux
500
e Certified lnlo:matioo
Syst~:ms Alldi!Gr"
. ..
AA~OU'C..!,!<>"'"
Wi-Fi). Puisqu'un réseau sans fil diffuse des messages par radio,
il est particulièrement susceptible de Jàirc l'objet d'une écoute
clandestine. Le WEP était destiné à otH·ir une confidentialité
comparable à celle obtenue avec un réseau traditionnel avec fil
(en particulier, il ne protège pus les utilisateurs du réseau de
chacun d'entre eux). Plusieurs faiblesses importantes ont été
relevées par des cryptoanalystes, ct le WEP a été remplacé par le
WPA en 2003, puis par la norme complète IEEE 802.11 i (aussi
connue sous le nom de WPA2) en 2004. Malgré ces faiblesses, le
WEP oil're un niveau de sécurité qui peut prévenir la surveillance
de trafic occasionnelle.
T
Tableau de bord prospectif équilibré- f~laboré par Robe1i
S. Kaplan et David P. Notion en tant qu'ensemble cohérent de
mesures de la perfOrmance, organisées en quatre catégories qui
incluent les mesures financîères classiques, auxquelles on ajoute
les perspectives des clients, des processus d'entreprise internes. de
J'apprentissage et de la croissance.
Table d'allocation de fichiers (FAT)--- Table utilisée par le
système d'exploitation pour connaître ou suivre la disposition
de chaque fichier sur Je disque. Puisqu'un fichier est. souvent
fragmenté, ct donc subdivisé dans plusieurs secteurs à 1'intérieur
du disque, l'infOrmation gardée dans la FAT est utilisée lors du
chargement du fichier ou lor~ de la mise à jour du contenu du
fichier.
Table de contrôle d'accès -·Table interne infOrmatisée de règles
d'accès relatives aux niveaux d'accès informatisés accordés aux
utilisateurs et aux terminaux.
Technique d'audit assistée par ordinateur {TAAO)- TOute
technique d'audit automntisée, telle qu'un logiciel d'audit général
(GAS), des générateurs de données d'essai, des programmes
d'audit informatisés ou encore des utilitaires d'audit spécialisés.
lCchnique du saucissonnagc ---·Méthode de fraude infOrmatique
selon laquelle un programme malveillant indique à un ordinateur
de re-trancher de petites sommes d'argent à des transactions
autorisées ct de les rediriger au compte du malf-àiteur.
Téléchargement- Transfert de données informatisées d'un
ordinateur il un autre.
Télécommunications- Communications par voie électronique
ù l'aide d'appareils spécifiques qui peuvent couvrir des distances
importantes ou entre des appareils qui fOnt obstacle aux échanges
interpersonnels directs.
Témoin~- Message conservé dans le navigateur Web qui sert ù
identifier les utilisateurs et, le cas échéant, à leur préparer des
pages Web personnalisées. La première fois qu'un témoin est
mis en place, il est possible que l'utilisateur doive s'enregistrer.
Par la suite, chaque fOis que le message du témoin est envoyé
au serveur, un contenu personnalisé en tOnction des préférences
de J'utilisateur p-ourra être affiché. Toutefois, l'implantation de
témoins par le navigateur Web a soulevé des questions entourant
la sécwité du f.'lit de la possibilité de provoquer des brèches
dans la sécmité ct entraîner le vol de renseignements personnels
Manuel de Préparation CISA 26' édition
ISACA. Tous droits réservés.

comme les mots de passe qui servent à valider l'identité de
l'utilisateur ct à autoriser des services Web restreints.
rlèrrninal passif- ·rcnninal d'affichage sans capacité de
traitement. Les terminaux passif-> dépendent de l'ordinateur
principal pour Je traitement. Toutes les données entrées sont
acceptées sans modification ni validation.
Terminaux de point de vente (TPV)- Permet la saisie de
données au moment ct à l'endroit de la transaction. Les terminaux
de point de vente peuvent utiliser des scanncurs optiques pour
!•utilisation avec des codes···banes. ou des lecteurs de cartes
magnétiques pour· les cartes de crédit. Ils peuvent être reliés à
un ordinateur central ou nécessiter l'utilisation de terminaux
autonomes ou de micro-ordinateurs qui conserveront les
transactions jusqu'à la fin d'une période déterminée pour les
envoyer ensuite à 1'ordinateur principal pour le traitement par lot.
Test de charge··- Test d'une application par de grandes quantités
de données afin d'évaluer sa performance en période de pointe.
Aussi appelé test de volume.
Test de conformité~ Test de contrôle conçu pour obtenir des
preuves d'audit relatives à l'elficacité des contrôles et à leur
fonctionnement pendant la pé1iode visée par J'audit.
Test de corroboration-·- Obtention de preuves d'audit sur la
complétude, la justesse ou l'existence d'activités ou transactions
durant la pé1iode visée par J'audit.
Test de pénétration-· Test en temps réel de l'efficacité des
mécanismes de sécurité en imitant les actions de véritables
agresseurs.
lest de performance~ Comparaison de la performance du
système ù d'autres systèmes équivalents en se basant sur des
points de réfCrence bien précis.
Test de régression~· Méthode de test utilisée pour tester de
nouveau des fins an01males de programmes ou des erreurs de
logique survenues à la suite de changements ou modi fîcations.
Test de reprise··· Se1i à vérifier la capacité du système à
récupérer à la suite d'une défaillance logicielle ou matérielle.
Test de sécurité- Assurance que Je nouveau syskme ou le
système modifié comprend des contrôles appropriés ct ne crée
pas de faille dans la sécurité qui pourrait compromettre les autres
systèmes ou entraîner une mauvaise utilisation du système ou de
l'information qu'il contient.
Test de système- Test effectué sur un système intégré complet
afin d'évaluer la confümlité de cc système avec les exigences
spéci riées. Les procèdures de test de système sont habituellement
mises en œuvre par le personnel de maintenance du système dans
leur bibliothèque de développement.
Test d'interface- Technique de test employée pour évaluer la
production d'une application alors que l'înfonnation est envoyée
en tant qu'intrant d'une autre application.
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
Glossaire
Test d'unité Technique de test utilisée pour mettre la
logique de programme à l'essai dans un programme ou un
module particulier. L'objectif du test est de s'assurer que
Je fonctionnement interne du programme sc fait selon les
spécifications. Le test nécessite l'utllisntîon d'une série de
scénarios de test qui mettent l'accent sur la structure de contrôle
de la conception procédura!e.
Test en boite noire~ Méthode d'essai nxée sur la fonctionnalité
de 1'application ou du logiciel ct qui ne nécessite aucune
connaissance de la programmation.
Test en parallèle-·· Processus selon lequel on alimente deux
systèmes avec des données d'essai, un système modifié et un
système de référence (possiblement le système d'origine),
pour ensuite comparer les résultats et mettre en évidence
les correspondances et les écmis entre les deux versions de
l'application.
Test incrémentiel··- Test qui porte volontairement uniquement sur
les fOnctionnalités <:1 valeur ajoutée d'un élément logiciel.
Test structurel ·~Approche de test qui repose sur la connaissance
de la conception de base et des intervalles de code d'un
programme ou module pour vérifier le compmiement attendu.
Texte chiffré·~ Information générée par un algorithme de
chiffrement afin de protéger le texte ct inintelligible par le lecteur
non autorisé.
lèxte en clair Information numérique, comme un message en
clair, immédiatement intelligible pour un lecteut:
Tolérance au risque- Degré de va1iation acceptable que la
direction est prête à tolérer pour un risque pmi·icu\ier dans la
conduite de ses activités.
Tolérance au sinistre Correspond au laps de temps pendant
lequel 1'entreprise peut se pasHer des installations de Tl.
Tolérance aux pannes·· Degré de résilience d'un système qui lui
permet de réagir sans perturbation à une panne de matériel ou de
logiciel.
Topologie-· Aménagement physique selon lequel des ordinateurs
sont reliés entre eux. La topologie en réseau, en étoile et en bus en
sont des exemples.
Topologie en anneau- Type d'architecture de réseau local
(LAN) dans laquelle Je cflblc forme un anneau autour duquel des
postes sont disposés à intervalle. Dans une topologie en anneau,
les signaux transmis autour de l'anneau prennent la forme de
messages. Chaque poste reçoit les messages et détermine, sur la
base de l'adresse, s'il peut accepter ou traiter un message donné.
Toutefois, après la réception d'un message, chaque poste agit en
tant que répéteur et retransmet le message selon sa lOrce de signal
d'origine.
Topologie en anneau à jeton ·- ·rype de topologie de réseau
local (LAN) en jeton, dans lequel une trame contenant un f-Ormat
donné, appelée jeton, passe d'un poste au suivant tout autour
501
 Glossaire
de r anneau. Quand un poste reçoit le jeton, il est autodsé à
transmettre. Le poste peut envoyer autant de trames qu'il le
désire jusqu 'à ce qu ·une limite de temps prédéfinie soit atteinte.
Lorsqu'un poste n'a plus de trames à envoyer ou qu'il atteint la
limite de temps, il passe le jeton au suivant. Le passage du jeton
empêche les collisions de données qui se produisent quand deux
ordinateurs commencent à transmettre en même temps.
Topologie en étoile ·-1)'pe d'architecture de réseau local
(LAN) qui emploie un contrôleur central auquel tous les
nœuds sont directement connectés. Avec la topologie en étoile,
toutes les transmissions d'un poste il un autre passent par le
contrôleur centrnl responsable de gérer ct commander toutes
les communications. Le contrôleur central agit souvent comme
commutateur.
Total obtenu par hachage- TOtal de tout champ de données
numériques dans un document ou un fichier informatique. Ce
total est comparé à un total de contrôle du même champ pour
faciliter l'exactitude du traitement.
'lbiaux de contrôle··- Valeur mathématique assignée à un fichier
et utilisée pour le tester à une date uhérieure, afin de vérifier
l'intégrité des donnees contenues dans celui-ci. Une somme
de contrôle cryptographique est créée en effectuant une série
d'opérations mathématiques complexes (appelée algorithme
cryptographique) qui traduit les données du fichier en une chaîne
de chitTres précise appelée valeur de hachage, laquelle est ensuite
utilisée comme somme de contrôle. Il est fort peu probable qu'une
personne non autorisée soit en mt:sure de modifier les données
sans changer la somme de contrôle CO!Tespondante; surtout si elle
ignore quel algorithme cryptographlque a été utilisé pour créer
la valeur de hachage. Les sommes de contrôle cryptographiques
sont utilisées lors de la transmission et du stockage des données.
Elles sont aussi connues en tant que codes d'authentification de
message, valeurs de contrôle de l'intégrité, codes de détection des
modifications ou codes d'intégrité des messages.
lOtaux intermédiaires- Preuve qu'un programme traite toutes
les données d'entrée et les traiJc correctement.
Traçage logique et de cartographie de programmes applicatifs
-- Outils spécialisés qui peuvent être utilisés pour analyser le ilux
de données, du début à la fin du processus logique elu logiciel
d'application, et pour documenter la logique, les chemins, les
conditions de contrôle et les séquences de traitement. 'l:1nt le
langage de commande ou les ordres de contrôle de travaux que le
langage de programmation peuvent être analysés. Cette technique
comprend des programmes et systèmes : cartographie, traçage
logique, instantanés, simulations parallèles ct comparaisons de
code.
Traitement des données en ligne- Sc tàit en saisissant
de l'information à l'ordinateur par un tcnninal à écran de
visualisation. Avec le traitement en temps réel, l'ordinateur
accepte ou rejette immédiatement l'inf01mation à mesure qu'elle
est saisie.
502
e . CertifJCd Information
M Systems Auditor•
;,~--
Traitement des images··- Processus de saisie électronique d'un
document source en prenant une image de celui-ci, éliminant ainsi
la nécessité de l'entrer manuellement.
Traitement du risque···- Processus de sélection ct d'implantation
des mesures de modification du risque. [JSO/IEC Guide 73:2002j
Traitement en temps réel··· Capacité interactive d'un système
en ligne, qui met immédiatement à jour les fichiers infOrmatiques
lorsque des transactions sont amorcées par l'intennédiairc d'un
terminal.
Traitement par lots-- Traitement simultané d'un groupe de
transactions. Les transactions sont recueillies et comparées aux
fichiers principaux à un moment précis.
Traitement sans contrôle du label-- Technique de lecture d'un
fichier informatisé tout en contournant Je label défini du fichier
ou des données intemes. Ce processus permet de contourner le
système de contrôle de l'accès au niveau de la bande magnétique
sécuritaire.
Transaction-- Êvéncmcnts d'affaires ou inf-Ormations regroupés
puisqu'ils présentent un objectif commun ou semblable.
Une transaction s'applique habituellement à un calcul ou un
événement qui a ensuite comme résultat l'actualisation de pièces
ou de fichiers maîtres.
Transfert du risque- Processus d'attribution du risque à
une autre entreprise, habituellement par J'achat d'une police
d'assurance ou par l'cxtemalisation du service. Aussi appelé
partage du risque.
Transfert électronique de fonds (TEF) - Échange de valeurs
monétaires au moyen des télécommunications. Le TEF fait
référence à toutes les opérations financières qui proviennent d'un
terminal et qui eftèctuent le virement d'un montant d'argent d'un
compte vers un autre.
Transmission asynchrone- Transmission caractère par
caractère.
Transmission par micro-ondes --Transmission de signaux de
données en ligne directe à haute capacité dans l'atmosphère, qui
requie1i souvent des stations de rd ais.
Transmission sychrone ~~Transmission de données un bloc à la
fois, dite aussi transmission par blocs ou par trames.
Tunnellisation ~- Se1t généralement à faire la passerelle entre
des ordinateurs hôtes ou des rouleurs incompatibles ou pour
le chiffrement, une méthode par laquelle un protocole réseau
cncapsule un autre protocole à l'intérieur de lui-même. Lorsque
Je protocole A encapsule le protocole B, un en~ tête de protocole A
ct des en-têtes de tunnellisation optionnels sont ajoutés au paquet
original du protocole B. Le protocole A devient alors la couche
liaison de données du protocole B. Des exemples de protocoles
de tunnellisation: le IPSec, le protocole point à point sur Ethernet
(PPPoE) et le protocole de tunnellisation de la couche 2 (L2TP).
Manuel de Préparation CISA 26" édition
ISACA. Tous droits réservés.
e . Certified Information
M Systems AuditOT'
·····----f----·-
~""-'CA'C~"''"'"'
u soumis; test assurant que les données sont conformes à un format
Unicode~ Norme pour la représentation de caractères en tant
que nombres entiers. L'unicode fonctionne en 16 bits, ce qui peut
représenter plus de 65 000 caractères uniques; ceci est nécessaire
lors de l'utilisation de langues telles que le chinois et le japonais.
Unité arithmétique et logique (lJAL) ·-Partie de l'unité
œntralc de traitement effectuant des opérations mathématiques et
logiques.
Unité centrale (UC) ~Composante qui renferme les circuits
logiques qui contrôlent et dirigent toutes les opérations d'un
système informatique.
Unité de contrôle·- Zone de l'unité centrale (UC) qui fâit
fonctionner le logiciel, alloue la mémoire interne et transfère !es
opérations entre les sections mithmétiqucs-logiques, de stockage
interne et de s01iie de l'ordinateur.
Unité de service de canal/Unité de sen·ice numérique (CSU/
DSlJ)- Périphé1iquc qui interface avec la couche physique du
modèle de référence OS!, de l'~quipement terminal de traitement
de données (ETD) et de !"équipement de terminaison de circuit
de données (ETCD), ct est destiné aux réseaux à transmission
commutée.
lJplet- Rangée ou écriture consistant en un ensemble de paires
de valeurs d'attribut (colonne ou champ) dans une structure de
données rclntionnelle.
lJSB (lJniYersal Seriai Bus)- Norme de bus externe qui offre la
possibilit-e de transférer des données à une vitesse de 12 Mbps. Un
port USB peut connecter jusqu'à 127 appareils périphériques.
Usurpation d'identité Concept de sécurité lié à Windows NT
qui permet à une applicntion serveur d'« être>> temporairement
le client en terme d'accès à des objets sécwisés. !.:usurpation
d'identit~ possède trois niveaux : l'identification, qui laisse le
serveur inspecter l'identité du client; l'usurpation d'identité,
qui laisse le serveur agir nu nom du client; et la délégation, qui
est la même chose que l'usurpation d'identité, mais étendue
aux systèmes à distance auxquels le serveur se connecte (par
la préservation des pièces d'identité). !.."usurpation d'identité,
en imitant ou en copiant lïdentification, le comportement ou
les actions d'une autre personne, peut aussi être utilisée dans
l'ingénierie sociale afin d'obtenir un accès physique autrement
non autorisé.
v
Vaccin - Programme conçu pour détecter les virus infomltltiqucs.
Validation- Permet de s'assurer que les données sont conformes
aux critères établis préalablement ct facilite l'identification rapide
d'erreurs potentielles.
Vérification-- Processus permettant de s'assurer que les données
ont été entrées correctement.
Vérification de format ·-·Application d'une modification, selon
une définition de zone préétablie, dans un flux d'information déjà
Manuel de Préparation CISA 26• édition
ISACA. Tous droits réservés.
Glossaire
prédéfini.
Vidage de mémoire- Acte de copier des données brutes d'un
endroit à un autre avec peu ou pas de fOrmatage pour la hsibilîté.
Habituellement. le vidage fait réfCrence au copiage de données de
la mémoire principale à un écran principal ou à une imprimante.
Le vidage est utile pour diagnostiquer des bogues. Lors de
l'échec d'un programme, l'examen du vidage permet d"analyser
le contenu de la mémoire au moment de 1'incident. Le vidage de
mémoire n'est utile que si chaque personne sait quoi chercher,
car le format de sortie du vidage est habituellement difficile à lire
(fOrmat binaire, octal ou hexadécimal).
Virus- Programme possédant la capacité de reproduire ou de
modifier d'autres programmes pour se répliquer. Un virus peut
contenir du code destructeur capable de s'immiscer dans de
multiples programmes, fichiers ou dispositif:.:; d'un système et sc
propager à plusieurs systèmes en réseau.
Voix par IP (VoJP) --Aussi appelée téléphonie !P. téléphonie
Internet et téléphone à large bande, il s'agit d'une technologie qui
rend possible les conversations vocales pm Internet ou par tout
réseau de protocole Internet dédié (IP) au lieu de lignes dédiées
de transmission de la voix.
Vol de données·~- ExtTaction ou divulgation de renscignemcntfl en
vidant des fichiers informatiques ou en volant des rapports ou des
bandes informatiques.
l
Vulnérabilit.é Faiblesse dans la conception, la mise en œuvre,
l'exploitation ou le contrôle interne d'un processus qui pourrait
exposer le système à des menaces d'événements nuisibles.
1.: ~--- ----- --~ ---- -~ ---- -~ -- - -
· Remarque: l e candtdat au htre CISA pourrait souhmtet se
!'amîhm1ser avec le Glossa1re ISACA, lequel peut être consulté
a www Jsru a org;glos~WT. Une hste tern1mologJque hée-
l aux examens CISA. 1édtgée en dtfférentes langues, est aussi
1
Ld1spo~~le _à_~~::V~--~~a~:~ org ~(Tf~l?!_l:!~n! _ _
1
_~_ _
503
 Page laissée vide intentionnellement

504 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e . H.
Certi!led Information
Systems Aut!it(l('

"'""...""''''"''""
Acronymes

ACRONYMES
Vous trouverez ci-dessous une liste d'acronymes courants utilisés dans le Manuel de préparation CISA. Ces acronymes peuvent être
définis dans le texte pour plus de clarté.

4GL Fourth~generation language CAM Computer-aîdcd manufacturing

AC ID Atomicity, consistency, isolation and durability CASE Computcr-aided software engineering
ACL Acccss control list CCK Complementary Code Keying
AES Advanced Encryption Standard C:CM Constructive Cost Mode\
AH Authentication header CCTV Closed-circuit television
Al Artificial intelligence CD Compact disk
AICPA Ametican fnstitute ofCertîfied Public C:D-R Compact disk-recordable
Accountants CD-RW Compact disk-rcwritable
ALE Annual Joss expectancy CDDF Cali Data Distribution Function
ALU Arithmetic-logic unit CDPD Cellular Digital Packet Data
AN SI Amcrîcan Nationnl Standards fnstitute CEO Chief executive oflïcer
APl Application programming interface CERT Computer emcrgency response team
ARP Address Resolution Protocol CGI Common gateway interface
A SC Il American Standard Code for Information Cl A Confidentiality, integlity and availability
lnterchangc ClAC Computer Incident Advisory Capability
ASIC Application-specifie integrated circuit C:IC:A Canadian lnstitutc ofChmtered Accountants
ATDM Asynchronou~ time division multiplexing CIM Computer-intcgrated rnanufacturing
AfM Asynchronous Transfèr Mode CIO Chief information otficcr
AIM Automated teller machine CIS Continuous and intermittent simulation
B-to-B Business-tc-business C:ISO Chief infonnation security officer
B-to-C Business-tc-consumer CMDB Configuration management database
B-to-E Business-to-ern p 1oyee CMM Capability Maturity Modcl
B-to-G Business-to-government C:MMI Capability Maturity Mode\ Integration
BCI Business Contînuity lnstîtutc
CNC Computerized Numeric Control
BCM Business continuity management C:OC:OM02 Constructive Cost Mode!
BCP Business continuity plan
CODASYL Conference on Data Systems Language
BCP Business continuity planning COM Componcnt Objcct Mode!
BDA Business dependency assessmcnt COM/DCOM Component Objcct Modei/Distributed
BI Business intelligence Componcnt Object Mode!
BIA Business impact analysis COOl' Continuity of operations plan
BI MS Biometrie Information Management and SccUJity COR BA Common Object Requcst Broker Architecture
BI OS Basic [nput/Output System CoS Class of service
BIS Bank for International Settlements coso Committcc of Sponsoring Organizations of the
Bit Binary digit Treadway Commission
BLP Bypass label process CPM Critical Path Mcthodology
BNS Backbone network services CPO Chief privacy o!Ticer
130M Bill ofmaterials CPS Certification practice slatemcnt
BOMP Bill ofmaterials processor CPU Central proccssing unit
BPR Business process rccngineering C:RC: Cyclic redundancy check
BRP Business recovery (or resumption) plan CRL Certificate revocation list
BSC: Balanced scorccard CRM Customer relationship management
C-to-G Consumer-to-government CSA Control self-assessment
CA Certificate authoJity C:SF Critical success factor
CA Ar Computer-assisted audit technique CSIRT Computer security incident response team
C:AD Computer-assisted design CS MA/CA Carrier sense Multiple Access/Collision
CAE Computer-~:~ssisted engineering Avoidance

Manuel de Préparation CISA 26" édition 505

ISACA. Tous droits réservés.
Acronymes
e . M
Certif!Cd lnformaticm
Systems Auditor"
'"'~"""'"'''""'""

CSMA/CD Carrier sense Multiple Access/Collision EER Equal-error rate

Detection EFT Electronic funds transfer
cso Chief security ofTicer EIGRP Enhanced lnterior Gateway Routing Protocol
CSU-DSU Channel service unit/digital service unit EJB Enterprisc java beans
DAC Discretionnry acccss control EMI Elcctromagnetic intcrtèrcnce
DASD Direct access storage deviee EMRT Emergency response time
DAT Digital audio tape ERD Entity rclationship diagram
DBA Databasc administrator ERP Entcrprise rcsource planning
DBMS Data base management system ESP Encapsulating secwity payload
DCE Data communications cquipment EVA Earncd value analysis
DCE Distributed computing environrnent FAR ralse-acceptanœ rate
DCOM Distributcd Component Object Mode! FAT File allocation table
(Microsoft) FC Fibre charmcls
DCT Discrete Cosine Transform FDDI Fibcr Distributed Data Interface
DD/DS Data dictionary/directory system FDM Frequency division multiplexing
DDL Data Definition Language FEA Federal enterprisc architecture
DDN Digital Divide Network FEMA Federal Emergcncy Management Association
DDoS Dist1ibuted deniai of service (USA)
DECT Digital Enhanced Cordlcss 'ICiecommunications FER Pailure-to-enroll rate
DES Data Encryption Standard FERC Federa! Energy Regulatory Commission (USA)
DFD Data flow diagram FFIEC Federal Financial Institutions Examination
DHCP Dynamic Host Configuration Protocol Council (USA)
[)![) Direct inward dînl FFT rast Fourier Translürm
DIP Document image processing FIISS Frequency-hopping spread spc<:trum
DLL Oynamic link library FIPS Federal Information Proccssing Standards
DMS Dîsk management system FI' Function point
DMZ Demilitarizcd zone FPA Function poinl analysis
DNS Domain name system FRAD Frame relay assembler/disassembler
DoS Deniai of service FRB Federal Reserve Board (USA)
DR Il Disastcr Rccovery Institutc International FRR Falsc-rejcctîon rate
DRM Digital rights management FTP File Transfcr Protocol
DR!' Disaster recovery plan GAS Generalizcd audit software
DRP Oîsaster rccovery planning Gb Gigabit
DSL Digital subscriber !ines GB Gigabyte
DSS Decision support systems GID Group ID
DSSS Direct Sequence Spread Spectrum GIS Geographie information systems
DTE Data terminal cquipment GPS Global posîtioning system
DTR Data terminal rcady GSM Global system for mobile communications
DVD Digital video dise GUI Graphical user interface
DVD-HD Digital video disc-high definition/hîgh density HA High availability
DW Data warchousc HD-DVD High definition/high dcnsity·digital video dise
EA Entcrp1ise architecture HDLC 1-ligh-level data link control
EAC Estimates nt completion HIPAA Health Insurance Portability and Accountability
EAI Enterprise application integration Act(USA)
EAM Embedded audit module HIPO Hierarchy input-pmccss·output
EAI' Extensible Authentication Protocol HM! Human machine interfacing
EBCDIC Extended Binary·coded for Decimal HTML Hypertext Markup Language
1nterchangc Code HTTP 1-Jypertext Transmission Protocol
EC Electronic commerce HTfPS Securcd Hypertext Transmission Protocol
ECC Elliptical Curve Cryptography HW/SW Hardware/software
EDFA Entcrptisc data flow architecture 1/0 Input/output
EDI Electronic data interchange !&A Identification and authentication

506 Manuel de Préparation CISA 26" édition

ISACA, Tous droits réservés.
 Acronymes

lCMP Intemet Control Message Protoco\ MAP Manufacturing accounting and production
lCT Information and communication technologies MIS Management infOrmation system
ID Identification MODEM Modulator/demodulator
IDE lntegrated development environment MOS Maintenance out of service
!DEFI X lntcgmtion Definition tbr lnf<xrnation Modeling MPLS Multiprotoc-ollabel sv.,ritching
IDS Intrusion detection system MRP Manufacturing resources planning
IETF Internet Engineering Task Force MSAUs Multistation access units
!MS Integrated manufacturing systems lviTBF Mean time bctween failurcs
IP Internet protocol lviTS Microsoft's Transaction Server
IPF Information processing facility lviTTR Mean time to rcpair
!PL Initial program Joad NAP Network nccess point
!l'MA International Project Management Association NAS Network access server
JPRs lntel\ectual propcrty 1ights NAS Nct\vork attached storagc
lPS Intrusion prevention system NAT Nctwork address translation
!l'Sec IP Security NCP Nctwork Control Protocol
!PX 1ntemctwork Packet Ex change NDA Nondisclosurc agreement
IR lnfrarcd NFPA National Pire Protection Agency (USA)
JRC Internet relay chat NFS Network Pile System
!rDA Infrarcd Data Association NIC Network intcrfhcc carel
JRM Incident response management NIST National Institutc of Standards and Technology
IS/DRP IS disaster recovery planning (USA)
lSAKMP/ 1nternet Security Association and Key NNTP Network News Trans fer Protocol
Oak ley Management Protocol/Oaklcy NSP Namc Server Protocol
IS InfOrmation systems NSP Network service provider
!SAM lndexed Sequcntial Acccss Method NT New technology
ISDN lntegrated services digital network NTFS NT l'ile system
ISO International Organization for Standardization NTP Network Time Protocol
lSP Internet service provîder OBS Object breakdown structure
lT Information technology OC:SP Onlinc Certificate Status Protoco\
!TF lntegrated test facility ODC On-demand computing
lTGI JT Governancc Instîtutc OECD Organization for Economie Cooperation and
!TIL Information Technology Infrastructure Library Development
lTSM tT service management OEP Occupant cmergency plan
!TT Invitation to tender OLAP Onlinc analytical processing
!TU International Telecommunications Union OOSD Objcct-orientcd system dcve!opmcnt
IVR Interactive voice re.sponse ORB Objcct requcst broker
JlT Just in ti me os Operating system
Kb Kilobil OSl Open Systems lntcrconnection
KB Kilobyte OSPF Open Shortest Path First
KB Knowledge base PAD Packc1 assembler/disa.sscmbler
KG! Key goal indicator PAN Persona! arca nctwork
KPI Key performance indicator PBX Privatc branch exchange
KRl Key !isk indicator PC Persona! computer/microcomputcr
L2TI' Layer 2 Tunneling Protocol l'CR Program change request
LAN Local arca network l'DCA Plan-do-check-act
LCI' Link Control Protocol PDN Public data network
lvi&A Mergers and acquisition PER Package-cnabled recngineering
MAC Mandatory acccss control PERT Program Evaluation Review Technique
MAC Message Authentication Code PICS Platforn1 tOr lntemel Content Selection
MAC Address Media Access Control Addt·css PlD Process ID
MAN Mctropolitan atea network l'ID Project initiation document

Manuel de Préparation CISA 26" édition 507

ISACA. Tous droits réservés.
Acronymes
e . H
Certiflil<l Jnfonna.Uoo
Systems Auditor"
------+--·-
.... '"""""'"~""-'

PIN Persona! identification number SC ADA Supervisory Control and Data Acquisition
PKI Public key infrastructure SCARF Systems Control Audit Review File
PLC Programmable logic control!crs SCARF/EAM Systems Control Audit Review File and
I'MBOK Project Management Body of Knowlcdge Embedded Audit Modules
PMI Projecl Management lnstitute SCM Supply chain management
l'OC Proof of concept SCOR Supp!y chain operations reference
POP Proof of possession SDLC System development !ife cycle
l'OS Point of sale (or Point-of-sale systems) SD/MMC Sec ure digital multimedia card
POTS Plain old telephone service SDO Service delivcry objective
ppp Point-tc-point Protocol SEC Securities and Exchange Commission (USA)
PP PoE Point-to-point Protocol Over Ethernet SET Secure electronic transactions
PPTP Point-to-Point Tunneling Protocol SIP Service improvcment plan
PR Public relations SLA Service leve! agreement
PRD Project request document SLIP Seriai Une Internet Protocol
PRINCE2 Projects in Controlled Environments 2 SLM Service leve! management
l'ROM Progmmmable Read-only Memory SLOC Source li nes of code
PSTN Public switchcd telephone network SM ART Specifie, measurable, at1ainablc, rcalistic, timely
PVC Permanent virtual circuit SME Subjcct mat1er expert.
QA Quality assurance SMF System management facility
QAT Quality assurance testîng SMTP Simple Mail Transport Protocol
RA Registration authority SNA Systems network architecture
RAD Rapid application development SNMP Simple Network Management Protocol
RADIUS Remote Acccss Dial-in User Service so Sccurity offiœr
RAID Redundant Array off nexpensive Disks SOA Service-oriented architectures
RAM Random access memory SOAP Simple Object Acccss Protocol
RAS Remote access service SOHO Small office-home office
RBAC Role-based acccss control SOW Statement ofwork
RDBMS Relational database management system SPI Security parameter index
RF Radio frequcncies SPJCE Software Proccss lmprovcmenl and Capability
RFI Rcqucst fOr information dEetermination
RFID Radio frequcncy identification SPOC Single point of contact

RFP Request for proposai SPOOL Simultancous pe1iphera! operJtions online

Routing InfOrmation Protocol SQL Structured Query Language
RIJ'
RMI Remotc method invocation SSH Sccurc Shell

ROI Rcturn on investment SSJD Service set identifier

ROLAP Relational online analytical proccssing SSL Sccure Sockets Layer

ROM Read-only memory sso Single sign-on

Rl'C Remotc procedure cali svc Switchcd virtual circuits

RPO Recovcry point objective SYSGEN System generation

RSN Robust secure nctwork lACACS 'JCnninal Access Controllcr Access Control
System
RST Reset
TCO Total cost of ownership
RTO Rccovery ti me objective
TCP Transmission Control Protocol
RTU Rcmote terminal unit
TCP/JP Transmission Control Protocol/Jntemct Protocol
RW Rewrita ble
TCP/UDP Transmission Control Protoco!/User Datagram
S/HTTP Secure Hypertext Transfer Protocol
Protocol
S/MIME Secure Multipurposc Internet Mail Extensions
Time-division multiplexing
TDM
SA Security Association
TEL NET Teletype nctwork
SAN Storage arca network
TES TCrminal emulation software
SANS SysAdmin. Audit, Network, Securily
TFTP Trivial File Transport Protocol
SAS Statement on Auditing Standards
Temporal Key I ntcgrity Protocol
TKIP
SBC Session border control 1er

508 Manuel de Préparation CISA 26" édition

ISACA. Tous droits rèservês.
e . M
Certified lnfnrmation
Systems Audiror·

"""'""''""'''""'''"
Acronymes

TLS Trun sport layer security WAN Wide area network

TMS 'L1pe management system WAP Wircless Application Prolocol
TP monitors Transaction proccssing monitors WBS Work breakdown structure
TQM Total quality management WEP Wired Equivalent Privacy
TR Teclmical report WLAN Wirclcss local arca netv.:ork
UAT User acccptance testing WML Wire!ess Markup Language
UBE Unsolicitcd bulk email WORM \V rite Once and Rcad Many
UDDI Universal description, discovcry and integration WP Work package
UDP User Datagram Protocol WPA Wi-Fi Protccted Acccss
UID User ID WPAN Wireless persona! arca network
UML Uni fied Modding Language WSDL Web Services Description Language
urs Uninterruptiblc power supply WWAN Wîrelcss wide area network
URl Uniform resource identiller www World Wide Web
URL Uniform rcsource locator X-to-X Exchange-to-cxchangc
URN Uni form resource na me XBRL Extensible Business Repo1iing Language
USB Universal Seriai Bus XML Extensible Markup Language
VLAN Virtual local arca network XOR Exclusive-OR
Voll' Voice-over IP Xquery XML query
VPN Virtual privatc nctwork XSL Extensible St.ylesheet Language

Manuel de Préparation CISA 26" édition 509

ISACA. Tous droits réservés.
 Page laissée vide intentionnellement

510 Manuel de Préparation CISA 26' édition

ISACA. Tous droits rëservês.
 Index

INDEX
S\Y;iMBDii!ES AND. Voir accord de non-divulg<1lion
anneau {1 jeton 317. 496
00-Busic ! 93 annualloss cxpect<~ney 505
(lCP) 209,488 ANP. Voir Assistant numérique personnel (ANP)
ANS. Voir accord sur les niveaux de service (ANS)
ANS! 505. Voir aussi Amcrican N<ltional Stand~nds lnstitutc (ANSI)
AO. Voir appel d'offres tAO)
ABD. Voir ndnünistralcur de base de données (ABD)
apache 449
AC. Voir Autorité de ccrtilication (AC)
APF. Voir analyse des points !{metionncls (APF)
acc<.mtuation de coutraslç 2 !9
API 505. Voir aussi intcrthce de progr:.11nmation d'applications (API)
llcceplance tcsting 509
Appd de procédure ù distance 331, 478
accès tl distance 127, 150, 295, 312, 320, 321. 322, 323, 336. 338, 387. 405,
Appel de procédure ù distance (RPC) :r;!
406,407,408,416, 4.14. 4:16,446.467.468,498
appel d'of1i·çs (/\0) 1S8
accès au système 112, 128, 147, 14S. 2!R, 220.256,383. 391,400,402,
appel RMI 232
403,408,432,43),434
applct 327.478
accès muhipk avec écoute de porteuse ct de détection de collision (CSMA/
Applct 478
CD) 316
Applicalion 231,314.321.478, 4R8
acccss control 505
Application de mission 47S
accès simultané 126,482
application programming interface 505
accord Je non~divulgation 440,467
approche d'audit 52, 62, 259
accords de réciprocité 342
AQ. Voir assurance qualité
accord sur les niveaux de serviœ {ANS) 114, 287
architecture e-lient·servcur 330
acaéditation 16, 176. lBS, 195, 19ô. 201,202.240.474
arc]Jitccturc commune de répartition des requêtes d'objets (CORBA) 232.
ACID 259, 505
47X
ACP 479
architeclllre de commerce électronique 209
acquisition de matérid 121, 124,333
architecture réseau 2l-ll, 311, 310, 332
ActiveX 212.430
arithmetic-logic unit 505
administrateur de base de données (ABD) 126
arrién.': 130
administrateur de la sécurité 89, 125, 126, 173, 180, 383. 40 L 402, 406.
arronJiss.:ment 396
408, 409.437,440,441,442,443,446, 4GR, 469
Arrondissement par d~fJut 478
Administrateur de systèmes 128
arlificial intelligence 505
administration de !ti sécurité 89, IOJ. 125. ! 27, 3lB. 406, 410, 447
ASCII 199,213.311.478.481.505
udministration des bases de données 126
Asmodcous 416
Al:. Voir Autorité d'enregistrement
Asscmhlcur 4 78
AES 505. Voir aussi Advanced Encryption Standard
Assistant numérique personnel (ANP) 478
aflichage 258.489, 500
assurance 31. 42, 44,45. 46, 48, 49, 50, 55, 57, 58, 60, 61, 68, 69, 92. 99,
AJA. Voir analyse d'impact sur les alTa ires (AlA)
lOI, JOH, 118. 124. 126. 131, 175, 182, 192, 194,201,209,212.216,
AICPA 505. Voir aussi Aml!rican Institute ofCcrtified Public Accoun-
233,244,247,250,254,256,263.285.291,293,303.315,380,385,
tants tAI CP A)
387.188, 415. 428, 447, 451, 453. 455, 469, 473, 490
ALE 505
assurance qualité 244. 285
algorithme Cl)1ltographiquc 502
Assmancc qualité 478
alignement 92, 93. 96, 97. lOO, lOI. 130. 148. 172.235,403
assurance raisonnable ::n. 45, 48, 49. 55
nlimentation sans cnupurc (lJPS) 499
asymétrique 214, 215.322,480
allocation des ressources 178
asynchrmtous timc division mu!tipkxing 505
alpha 195, 402
ATDM 505
ALU 505
ATM 505. Voir aussi mode de translért asynchrone (A Hvl)
AMDP/DC 4l-l5
attaque active 395
AnK>:rir.:un National Standards lnstitutc 505
Attaque en force 193, 416
Anu:rican National Standards 1nstitute {ANSJ) 474
attaque passive 432
amincissement 219
Audit du commerce élcctroniquc ct problèmes de contrôle 208
analogique 431,433,491
Audit Jinam:icr 478
analyse comparative 95. 195,249,250,257, 2go
audits en temps réel en continu 62
analyse des données 69, 70,216,410
authcntication 505, 506, 507
analyse des points J{mctionnels (APF) 17S
authentification 46.21!, '214. 216,265,266,322,324, DL 374.377. 3X3,
Analyse d'impact 478
395. 400. 401. 402, 403, 404, 405, 406, 407. 408, 4! 1. 416, 418. 420.
Ulla lyse du risque 17, 41. 45, 72, llO
434,435,441,446,447,449,4ô7.468.478,486,491,502
ttnt\lyse du tmfic 416,432
Anthentiilcation 208. 478
analyseur de sortie 30H
Autocommutatenr privé (ACP) 479
ancil':ns systèmes 20 l

Manuel de Préparation CISA 26" édition 511

ISACA. Tous droits réservés.
 Index

autocomnmtatcur privé (PBX) 431 cdlulrlirc 324, :125.432,433,491

Autoéva!uation dt:s contrôles 65, 67 Cdlular Digital Packct Data 505
Autorisation de transaction 129 central proccssing unit 505
Autorité ile œrtincation (AC) 209.479 centre de données 149, !SI. 3X3. 467
Autorité d'enregistrement 2W, 479 centre ùc traitement d~: l'infonnation 301
œntres de secoms 342
B . cessation lll,ll2,3X9.437
CCii 505
badge 62 chaîne de possession 50
balayage 6!, 219. 220. 311, 374, 4tH, 404, 428, 429. 440. 448, 449. 467, chaugements aux programmes 127, 131
469 chargcm~nt de programme initial .101
bandr.:: passante .117, ~ 1~. :\19, .120 • .121, 322, .123, 329, 330, :n 1, 193. 430. charte d';wdit 3.\, ôO. 71
467 Chemins d'accès logiques 399
hase dt: bande 3 il cheval de Troie 195, 393
Hase de données hi~rarchique 479 Cheval de Troie 428, 435. 480
bastion 4!8, 419 Chifi'rc de contrôle 254
B( 'L Voir Business Continuîty Institutc (BCJ) chiffn:mcnt 46.130.147. 150,207,209,212.2D,214.2l5.213.219.2ô5,
BCP 505 26ô, 296, 3D. 318,320,321, 32.1, :E4. 328,337.355, 35ô, 374,377,
HIA 505 393. 401' 408, 428, 43 l' 442, 446, 447, 469, 480, 484. 486, 499. 501
bibliothécaire 148, !49, 338 chilTrcmcnt des donné~s 130,218, 32H, 337,499
bibliothèque des programmes 55 chifrrit:rs 295
bidirectionnel à l'altcrnat 3 1') ('.lAC 505. Voir aussi capacité de conseiller sur les incidents informa~
hidircctionnd simnltan~ 319 tiques
bill nf matcrials 505 CIAS. Voir circuib intégrés ù application spécifique (CIAS)
BIMS. Voir gestion dïn(ormation hiométrlquc et de sécurité (BIMS) CIM 505
bloc-notes 295, 324 circuits intégrés à application spécifique (('fAS) 317
Bf .P. Voir invalidation d'étit[udag~ circuit vir!t1el permanent (PVC ') 4%
B!uctooth 311, 323,324,325, 355,415 crs 505
bogue 327 classifiçation des données lOG, J 76, 380. 381. 437
BOM 505. Voir aussi nonwnclatnre Classifications des contrôles 46
Bombe logique 395 clavier 2 t 9, 254, 294, 2%, 456
Bornes J'audit 261 dé de déchiflrement 497.499
BPR 505. Voir aussi rcconfiguration des proœssus opérationnels 03PR) clé privée 209.266,481,498,499
bmit 329 clé puhtique 20f( 209,214,215,124,480,499
hudgd 64, 97, lOS. !20, 130.148,167. 168.175.176,177, l?X, 179, HW. dés symétriques 324
IR2, 199,203,298,318,487 CivlM 505. Voir aussi modèle de stabilisation des capacités (CMM)
budg<.:t des SI 120 CMMI 505. Voir aussi intégration du modèle de stabilisation des cap:lci-
Bus 295,479 tés (CMMI)
business continuity planning 505 CNC 505. Voir aussi commande numérique par calculateur{CNC)
business impact analysis 505 COBIT IV, SS, 171,279,104
business proccss rcenginccring 505 COBOL 193.247
COCOM02 179
code 36, :n. 70, 71, 72, 107. Ill, 127, 148. 149, 150, 167, 178, 17<J, UHL
!lN, 190. 192, 193, 195, 196, 198, 199,201.213.231.232,233,234,
Cl--i 193, 231
240. 24 !. 245, 246, 254, 257, 260, 264, 290, 293, 297' 300. 308, 313.
CA 505
314, :rH. :ns, 39\395,397.401. 404Al4. 4JK 429,450,455, 4?S.
CAAT 505
48[, 482.437, 41)0, 495, 4()1)
câbles coaxiaux 316
code binaire 19S, 393
CAM 505
code d'échange décimal codé bina in.: étendu 313
caméra vidéo 404
Code d'éthique profcssimmd!c de l'ISACA 36.17
capacity management 282
code exécutable J 95, 234. 241, 245, 397
capillaire 404
code nhjct !93, 4S 1
caractéristiques des hases de données 57
codes à bancs 125.215
carbone 452
cohésion 192
cartes mémoires multitnêdia 238
COMIDCOM 505
Cartographlt: 479
comitédîrcdcur 96,97, !00,103, 104,113,124,149,170,172,175,182.
CASE 505. J.~'oir aussi génie logiciel assisté par ordinateur (CAS!:)
225,265
catalogue 207, 2~a, 446
commande numérique par calculateur {C~N(:) 217
CC'K 505
wnHncrc(' électronique 36, 167, 191, 206 .. 207, 208, 209, 211. 232. 259.
CDPD 505. Voir aussi transmission de données pm paquets sur réseau
cellulaire (CDPD)
323, :no, 446
communication de5 donné-:s 225, 300, 302, 320, 400

512 Manuel de Préparation CISA 26" édition

ISACA. Tous droits rêservés.
e Certifî&llnforma.tkm
Systems Audit()("
#~>.tJr'""'"'"'"'
Index

Communiquer les r~sultats de l'audit 63 CSA 505

Commutation Je message :no. :n 1. 481 CSIRT 505
comnn1tation multiprotoco\c parétiqlll:ttc (MPLS) 322 CSMA/CD 50<i. Voir aussi aœ~s multiple uvee écoute de porteuse ct de
commutation par paquets 31 O. 111. 4.10 détection de collision (CSMAJC:D)
compé.tcncc 34, 36, 182. 189 CSO 506. Voir aussi of1icicr principal de la séemité de l'information
comp~tenccs prokssionndks 60 CSU/DSU. Voir Dispositif de transntissiDn de canal/dispositif de transmis-
compilateur J 92 sion numérique
compte de contrôle :252 eve :no
concc-ntratcur 31 6 cyber('rilninalité 50
conception détaillée 190, 191, 192,246,265, 4R4
connectivitl: du réseau 210
consensus 97. 100,223,293,474
Consok opérateur 481 DBA lV. 279.506
contrôk: d'accès 106. 113. 127, 129, 192,238,100,302,307. 30R. 320, DBMS 506
373, 383, 3S4, 387. 388,399. 400, 404, 406. 407. 408. 409. 4.11, 4.18, DCE 506. Voir aussi équipement de conununication des données
441. 442. 443, 450, 468. 469, 482, 490, 500 DCl' 506. Voir aussi transfonnation en cosinus discn~tc
Contrôle d'accès 297,384,482 DD 506. Voir aussi dictionnaire des données
Contrôle de lots 482 DDIDS 506
Contrôle de parité 256, 482 débogage 61. 192. 193. 196, 30l:'l, 395, 435
contrôle des limill's 483 dl:ccntralisation 104
Contrôle de yaJcm limite 254. 483 déchillfemt:nt 207,214. 41S. 480,484.497,499
Contrôle tl'intégralitC 254,483 dl:ci~ions Cllllllllc point de mire 226

contrôk du changement IX2, 222,230 déch::ncheur 249

contrôle du traitement 253 décompîlateur 234
contrôle opératimmcl 297 DECT 506. Voir aussi té!Ccommunicatinns numériques européennes sans
C.\mtrôles administra til$ 48.1 fil (DECT)
contrôles correctifs 12S, 129, no. :n 1 définition des cxigcnœs 167' 175, 182, n;s, 1l-:7, 188. 190, 211. 230
contrôles d'aceCs discrétionnaires 3R4 dég;îts causés par l'cau es les inondations 450
contrôles d'accès obligatoires 384 Délai moyen de réparation 197
contrôks d'accès par ligne commutCc 446,467 délimitation 113
contrôles d'accès physiques 89, 3S3, 445 ddta 2H7
Contrôles d'application 250, 4S3 dçmande de changcnwnt 242. 241
cmllrôlcs de base 1!7 demande de proposition (lW) 188
contrôles di.! la bibliothèque 55 demande d'inf()mwtion (RFJ) 188
contrôks de modification :ns démarche axée sur le risque 52
Contrôles de saisie 251,483 déni de service 393,394.408,414.415.416,432,446
contrôles manuels 248 dépasscmL'nt de ml·moire tampon 393. 420
contrôles préventifs 67, 6S, 249,253.407 déploiement 70.108.183,190,191,195,199,202.214,231,236
contrôles programmés 1ô 7 DES 506. Voit· aussi nonne de chiiTragc des données (DES)
conversion 125, 190, 19R, 199, 200, 20 J, 220, 211, 238. 245, 253. 306. 313. lkscription de fichier 484
336.445,475,481,491 description de J'emploi 455
conversion des données 190, 198, 199, 200. 231. 245, 253 détection de porteuse ct détection de collision 485
convertisseurs de protocoles 31S détcetion tks contours 219
convolution 219 détection des intrusions 147,209.215.416,420
CORBA 505. Voù· aussi architecture commune de r..:partition des développement d'applicl\!ion 246, 4K9
requêks d'objets (C'ORBA) développement rapide d'application (DRA) 186
couche physique 302. 3 n. 314, 317' 319, 320, 496, 502 DFD. Voir diagramme de 11ux de données
(;OUChes d'application 31.1 diagramme de 11ux de données 222
coupe-feu 13, 71, 72. 149, 209. 213. 377. 395. 407. 412, 415, 417, 4 Jîoi, 419, diagramme de Gtmtt 167, 180, 181
420,42\,42!',429.436.440,445.447.467,469,483,486 dictionnaire des données :ws. 335
couplage 207. 4!D dictionnaires 244, 303
couvc1iure d'assurance lOS DID 506
CPM 505. Voir aussi méthode du chemin critique (CPM) Directeur de l'a:>sunmce-qua[itC 124
CPO 505 directeur de pr~jct 172, 17\ 202, 265
CPS 505 directeur des opérations 124, 125
CPU 505. Voir aussi unit0 o.:ntralc de traitement directives 35. %. 37, 39. 40. 43, 53, 57. 61' 66, 69.n, 99, 105. 124. 169,
crime inti.mnatiquc 390, 391, 399,441,445 175, 183, 197, 202. 252. 296. 333, 398, 471, 499
CRL 505 disk management 506
CRM 505 dispositifs de protection en cas de surtension électrique 336
C!yplo-systèmoJ il dé publique 214 distributcd computing cnvironmcnt 506
dîslribukurs automatiques bancaires 60

Manuel de Préparation CISA 26• édition 513

ISACA. Tous droits réservés.
 Index
e . K
Certif!OO lnformatioo
Systems Audit()('
~''""-'"<>."'"''"'

DLL 506 cntkn.:cmcnt 482, 484

DMZ 506. Voir aussi Zone démilitariséè (DMZ) entrée d~~ données 46,252,254,443,485
DNS 506. Voir aussi Syst2:mc de nom de domaine Entrepôt de données 22:\ 3.'\5
documentation de référence technique 25X Entrevue 33 7
docmncnts sources 6 !, 25 !, 252, 25~ environnement inl(mnatiquc distribué 33 J
données de test 61, 71. Tl, 195, 196,260,308 envoi individuel 322
Données pcnnancntcs 255 EPA. Voir estimation des pcrtl's annuelles (EPA)
données pcrsonndlcs 30.410 EPC. flôir J~noncé de pratiques de ccrtilicatinn (EPC)
DoS 506 éqnilibœ 96.1JO, 181,198,411.474
DP. Voir demande de proposition (lW) l·quilibre de la c!wrgc de travail 411
DRA Voir d0vcloppcmcnt rapide d'application (l)RA) équipe de projet 17ô, 188, 189, !90, 195, 199,200,202,246,249.266
DRJI. Voir Disastcr R~:covcty lnstitute International (mU!) équipe d'intervention pour lès înciù...::nts de séeurit0 infOrmatique (EilSl)
DRM 506 39!-\
droils d'accès 55, 57, 5X. 129, !50, 3.15, 373,381,381, 3~7, 390,406, 40H, Cquipl'ment de communic<ltion des données 320
437,46~.469,478 éqt1ipcment tenninnl de tnütcmcnl de données (E1TD) 120
DRP 506,507 ESP 506. Voir aussi donw.:•es utiles de sCeurité pour l'ellCllpsulntitlll
DS. Voir livraison ct soutien espace d'adresse 195
DSL 506. Voir aussi lignes d'abonnés munériqtK·s (DSL) espionnage industri<-'1 390.414
DSS 50(). Voir aussi système d'uide <l !a Jécîsion Ethemet 238, 294.} 12. 3 15, 316, 317, 321. 324, 481, 4g2, 485, 502
DSSS 506 ElTD. Voir système d'aide <i la décision
DTE 506 Ùtudc de faisabilité 2ô.l, 334,485
duplication 6!. 21 J. 212, 251. 254, 305, 407, 4 10 L•valnation du risqm: 30, 44, 70. 71, llO, 182
DVD 296,4ll exactitude 4(J, 49, 55, 57, 106, 148. 193, 198.208,251,252,253,254. 25~.
26o, 261, 2G3. 2so. 287.:101. 3os. :nK 468.473.478,491,497
examen analytique 61
Exigences du commerce élcetroniquL' 208
EA 506 Expertise judiciain! 443
EBCDIC 50ô. Voir aussi code d'éch:mgc décimal codé binnirc élcndu exploration de données 70.216,225
ECC 506 exposition 45, 92, 97. 108. Ill, 115, 150, 195,214,390.396,399.411,
!':change de données în!(mnatisées (FDI) 485 412,436,447.454,456
échantillonnage 30, 52, 55, 58, 59, 61,258,261,485,498 cxknsibilit~ 215,328,355,356,418
échantillonnage par attribut SR, 59, 498 exlcmalisation 104, 112, 1 L\ l 14, 115, 117, IlS. 119. 124, 147, 199.248,
échantillonnage statistique 52, 58, 59 288,386. 387, 389
échéancier 4!-i. 56, 64, 71, 72, 164, 180, 181, 182, 181, 186, JS7, 255,262. extranet 323
285.292.293,139.492 extrapolation 445
écoute clandestine 416,485,500
écran 187. 190. 193,213,246,294,327.336,402.417.417
EDl·"A 506
EDI 506. Voi1· aussi l~chnngc ik données informatisées (!:Dl) lllbrîcation assistée par ordinateur (FAO) 217,232
F.ER 506 facilitateur 65, 67, 2.10. 417
EFT 506 JiJclcurs de risque 53, 227, 390
Eifdl 193 11tctorisation 497
ErGRP 506. Voir aussi f-:nhanccd Jntcrior Gateway Rou ting Pmtocol FAT 506. Voir aussi Table d'allocation de fichiers (FAT)
(EIGRP) !1tux positif 429
EIISI. Voir équipe d'intervention pour les incidents de sécurité infixma- FDDJ 506. Voir aussi interli!ccs ùe données dîstribtlées sur fibre (FDDJ)
tiquc (EIISJ) FDM 506
EJB 506. Voir aussi entente FEMA. Voir l:t.:Lkrat l~mcrgcncy Management Association (FEMA)
éléml'nls prob:mts de l'audit :10 FER 506
embauche 90, %, 106, Ill, 125. ISO. 197.240,254.389,392.480 FERC. Voir Federal Encrgy Rcgulatory ( 'ommîssion ( FERC')
embauche de personnel 11l lèrmctmc de session 442
émetteur 216. 217. 302, .1 11. 318,} 19, 323, 479 FFJEC. Voir Federal Financial Institutions Examination Council (FFfEC')
EMI 506. Vo;r aussi Perturbations électromagnétiques (EMl) FFT 506
empreinte numérique 215 FIISS 506
empreintes digitales 403, 404. 455, 467, 469 fiabilité 33, 46, 49, 56, 58, 59, 61, 66, 67, 68, 168, I?R. 187,205,209,210,
emulation SOS 220, 229. 250, 251, 25\ 259, 265, 292, 299. 312 ..1 l 5, 319, D4, 335,
émulation J Il. 328. 495 3BB,JX9,401.407.40H.430,431,444,445,447,484
encapsulatiou 322, 405 Fibre optique 319, 486
cncryption 505, 506 lkhicrs maîtres 255. 260. 502
f:noncé de pratiques de certification (EPC) 209 file d'attente 499
entente 63,107, !08.112.114, 118,119,147,148,149,190,249,287,293, fik d'attente d'impression 499
JS7.38S,J89,480,482 Filtre intdligent 486

514 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
 Index

Fin anormale 486

FireWirc 296, 311
flmdîon d'audit des sr 33,7 !, 147 ICMP 507. Voir aussi protocole ICMP
Formulaires d'autorisation 129 ICP. Voir infrastructure à clé publiqul.! (JCP)
j()umisseur de scrviœs lntcmd (FSI) 211 ICP. Voir Indicateur clé de performance {[Cl')
FPA 506 IDE 507
thune rday 50ü idcnti!ïcatcur 291, 297
FRR 506 iùentilication ct l'authentification (l ct Al 400
FSl. Voir f(mrnisscur de services lntcmct (FSIJ idcntitieation par radiofréqu~nœ {RFID) 297
FI'P 506. Voir aussi ProtOCt)il' tk: transtl.'rt de fichiers (FTP) lEI~E 324.500
Fuite tk donn(:cs 399 JetA 400.401
IETF 507. Voir aussi groupe de tmvaii!ETF
image proœssing 506
importance rclativt: 30, 51, 52, 62, 491
gardien des JonnCcs 126 ltvlS 507. Voir aussi systèmes intégrés Je li1brieation (lMS)
gatcway 505 incident rcsponsc 505
GCA. Voir Gestion de la chaînt: d'approvisionnement ((iCA) Îlldépcndancc :n, 56, 60. 63. 64, 150, 26!, 103
générntcur de code 308 Indicateur clé dl! pcrfonnam:c (!CP) 4SR
générah::ms de données de test 196 indicateurs de pcr!Onmmcc 93, lOX, 339
génération de système (SYSGiiN) 301 indicateurs d'objectifS clés (JOC) 112
génie logiciel assiste par ordinateur (CASE) 57,496 informatique ù la demande (ODC') 331
gestion de la capacité lB, 2X8, 291, 298, 299, 398 inl(mnatiquc en nuage 95. 99, !02, 115, 116. 117. 119
Gestion de la chaine d'approvisionnement (GCA) 297 Infrarouge 315
gestion de ln qualité 92, 121,248 infwstructurc ù dé publique OCP) 208
gestion des données 35. 124.207,226,301,405 Installation de progmmmation en ligne 192
gestion des problèmes 245, 262, 285. 287. 290, 291, 332. 339 installation hors site 455
Gestion des rclalions avec la clientèle (cnn) 227. 228 integration 505,507
gestion d'information biom6triquc ct de sécurité (BIMS) 405 intégration 60, 100, 101. 104. 108. 169, 183, 188, 194, 1%, 197,206,208,
gestion du changement 46, 70. 72. 92. 191,487 217' 219. 220, 225, 226, 228, 233, 237, 238, 247' 250, 261. 310, 320,
gcstillll du portcièui!lc 105 322, 404, 4GX, 496
gestion du projet 173, 203 intégration dtl modèle de stabilisation des cap.Kit0s ( CMMI) 104. 250
Gestion ct intervention face il lïncidcnt 379 intégrité dt:s données 61. 72, 149, t 90, 198, 199, 200. 201, 211, 216, 219.
Gigabit 316,317 247,25!-\,259,305,308,328,338,393,412.482.494,502
GIS 506 intelligence artificielle 69, 221. 222, 226, 2:\2, 500
GND. Voir b'\--stion num0riquc des droits (UND) ÜJIL'rblocagt: 308, 396
goulot d'6tranglcnwnt 329 interception 150. 2(i(î, 430
Gouvcmancc d'entreprise 93, 487 itJterracc de programmation d'applications (API) 233
gouvernance des TI 70, 89, 92, 93. 94, 95. 96. 97, 101, ill:\, Ill, 148. 149, intcrfaœs de données distribuées sur fibre (FDDI) 496
150. 499 intergicicl 206, 207, 208, 331
Uovernancc 98 luternic 448
urs 397, so6 Îl\teropérabilité 215.113, TH
GR. Voir gestion du risque tGR) intranet 173.225,233,280,322,323,354.355.400
groupe de contrôle 125, 126, !JO, 24L 245.253 intms 2 n, 39:1, 394, 395, 401' 402. 408, 409, 415. 416, 419. 420. 421, 431,
groupe de contrôle des donu6cs 125, 130 432,433,434.435,436,441.454.456
groupe de travail !ETF 123,407 invulidation d'étiquetage 443
GSM 506 IOC. Voir indicateurs d'objectifs clés (lOCJ
uur 506 IP 279.459, 507. 508.509
guiddim:s 279 lPF 507
IPSec 407,412,502
IPX 507
lrDA 507
baJon 452
Îl·is 40 J. 403, 404
IIDLC 506
inél,'l.durités 59,112,119. 128.130.194.l99,4()'J,475
1-Jcullh Insunmcc Portability and Accountability Act (HJPAA) 35
ISDN 507
heuristique 230, 429, 486
isolement 301, 316
hL'xadl·dmalcs 355, 445
lSP 507
liiPAA 506. Voir aussi llcalth lnsurancc Portabîlity and Accountability
!TF 507
Act (IIIPAA)
ITIL IV, 507. Voir aussi Information Tcchnology Infrastructure Libnuy
fiTMI. 506. Voir aussi Langage l-ITML (IITML)
(!TIL)
JIT1'P 506, 50K Voir aussi protocole hllp
nu so1

Manuel de Préparation CISA 26" édition 515

ISACA. Tous droits réservés.
 Index
e Certined Information
Systems Auditor
;:;~~

jakal 416 macro 442

JAT. Voir juste-à-temps (JAT) masquage 442
java 506 mdac 449
JAVA 191, 397 !vfécanismc de test intégré (MT!) 261
.lAVAScript 193 mégots 457
jeton éleetroniquo: 410 mémoire morte (ROM) 429
jointur\!S 306 mémoire tampon 255, :W8, 329, :.93. 394, 420
Jounwux dç la console d'exploitation 339 Mêmoir..: tampon 491
Juger de l'importance rdativc des constatations 62 menaces 44, 45, 53, 92, 107, lOS, 109, 110, 1~6. 215.332.386.390,398,
414, 416, 420, 431. 432, 447, 450. 457. 469, 477, 478
mcsnres tàeialcs 404
m..:tadonnées 207, 225. 305
KDSJ. Voir millio.!rs d'instmctions soun.:es livrées méthode d'accès 305.491
Kcrbcros 405. 406 méthode du chemin critique (CPM) 179
K(fl 507 microcompntcr 507
KLCS. Voir milliers de lignes de code {Kl.CS) microfiche 220
KPI 507 microlilm ~20
micrologiciel 300
microordinateur 30!, 441
Microsoft 1'ransaction Scrvcr (MTS) 232
I 2TP. Voir protocole de tunncllisation de la couche 2 (f 2TP)
MIS 507
LAN 507
mise en Jimnc des données 227
Langage de balisage extensible (XMf.) 489
mobile 118, 325, 342. 457. 498
Langage de Description des Services Web (WSDL) 233
mode de transfCrt asynchrone (ATM) 31 L :n0.122
r.angagc de quatrième génération 489
Modèks de commerce électronique 206
langllgc IITML 193
modem 3! 1, 320, 322, 323, 407, 434, 467, 490. 498. Voir aussi modula-
(,angagc I-ITMI, (1-ITMJ.) 489
tcur/dèmodulatcur
langages de programmation 192. 193, 221, 247, 305
Modification de message 395,416
langage UMI. 331
modulatcuridémodu[atcur 320
langage XMI. 207.233, 311
Modulation 491
large bande 311, 322, 503
Modules d'audit intégrês 491
LCA. Voir Liste de- <.:ontrô!c d'accès
mot de passe 130,296, 336, 354, 373,401.402,403,405,412.428.434,
LCP 507. Voir aussi protocole de contrôle des liaisons
436, 439. 440. 44 L 442. 443. 468, 469, 495
I.CS. Voir lignes de code source (LCS)
MPLS 507. Voir aussi commutation multipmtocolc par étiquette (MPLS)
lecteurs de cmics magnétiques 215, 500
MQSeries 207
lectcun> optiques 215
MRF. Voir Multiplexage par répartition en frêquem:c (MRF): Voir
lieux éloignés ou à l'étrangcr 115
aussi Mu!tiplcxage p;u· répartition danslc temps (MRT)
lignes d'abonnés numériques (DSL) 322
MRP 507
lignes de code source (I ~C'S) 17S
MRT. Voir Mu[tiplcxagc par répartition dans k temps (MRT)
lignes louées 310, 31 1, 323
MTA. Voir Multiplcxagc temporel asynchrone (MTA)
LISP !93, 221
MTBF 507
J.istcdccontrôlcd'accès 194,195, !96,297.3X4.4lQ
M'Il.Voir M~canisme de test intégré (MTI)
J.îstc de révoc<Jtion dl!s ccrtilicats (f .RC) 490
M1'S 507.Voir missi Microsoft 1"mnsaction Scrvcr (MTS)
listes de contrôle d'accès 129
M'ITR 507. l,'oir aussi J)élai moyen de réparation
List..:s des droits d'accès de l'utilisateur 129
multinivcau 473
J.ogicic! de communication des données 300
mul!iplcxagc 321. 322
logiciel de production 176, 441
nmltiplcxcur :\20
logiciel de simulation du terminal 407
multiplcxîng 505, 506, 508
logiciel espion 296. 393.420,490
multiutilisatcurs 125, 259,298,300
logiciels antivirus 428, 429
logiciels généraux d'audit 61,259
logique de progr;unmc 246 ..331, 501
LophtCrack 416 narratifs de progrummc 244
lot 23S, 252, 253. 261, 295. 323, 482, 500 NAS 507
LRC. Voir Liste de révocation des cc11ificnLs (LRC) NA!" 507. Voir attssi traduction d'adresse n!scau
National Bureau ofStaudanls (NBS) 499
national fnstitu!t: of St:mdnrds and Tcchnology 45. 279
national lnsütutc of Standards and Tcchnolo~:,>y (NIST) 45. 279
Nationallnstitntc of Standards and Tcchnology (NIST) 45, 279,499

516 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e . Coi. ifled lnfcrrnation
Systems Auditor·
~~--
Index

navigat.:ur 206.207.208,225,232,295,326,327. :no. 478.489.495.491\, OTR. Voir objectif de temps de reprise (OTR)
500 outils de développement de systèmes 167
NBS. l,'oirNational Bureau ofStandarùs(NBS) Oxlcy 36, 67. 94, 223
NCP 507
NDA 507
NcLBJOS 31X
ndc:tt 416 p<~qucts 2 D. 217, 310, 311, 313. 317, 320. 32 L 322, 323, :124, 326, 329,
nctwork architectun: 508 393, 395, 407, 415, 416, 417, 418, 419. 420, 430. 431. 448, 481' 482,
Nl:P.J\. Vo[rNational hre Protection Agcncy (Nl,PA) 49?..495.496.497
NlC 507 partagicicl 397. 428
NIP. Voù· numéro d'identification personnel (NIP) Pascal 231
NIST 45, 141, 220, 279. 507. Voir aussi National Institut..: of Standards passerelle 211, 213, 312, 318, 332, 418, 428, 495, 49K
and TecllJll)iogy (NlST) PBM. Voir planillcation des besoins matil:rcs (PBM)
nmap 416 PBX 507. Voir aussi autoeommutateur privé (PBX)
n-nivcaux :n 1 PDCA 507
nom d'utilisateur 401,402,408,436,439,441,442.445.468 perlhrmam:e des 11 92
nomenclature 217, 402 périph!.!riqucs 124. 125,215,238.295,296. 29R. 299, 30S, 336. 33R. 393,
non-repudiation 208,211. 2D, 216,257,414,498 401, 4.~1. 433,453,479,503
normalisation 280, .307, 410,445,490 PERT. 193
nornn: de chiffrugl!' des donné...-:s (DES) 214 personnel ch': 262
nonn..:s :n. 34. 35, :.6. 37, 40, 42, 43. 50, 56. 57. 60, 63. 64, 66, 69. 70. 72, pc-rspcctive globale du projet 173
89. 95, 99, 104, 106, 1OS, 12 L 125, 126, 129. 1.10, 1.11, 169, 172, 173, PERT 167. 17~. \81,265,507
175.176,192,194, 199,202,207,2HL211,212.214.216,217,2\S, Perturbations électromagnétiques (EMl) 450
225,232,214,215.248, 25L 262.264, 2B:5, 2S6, 296,302,305,308. PF. Voir points fonctionnels (PF)
-~ 1 L 312. 313, 314, 315, 32\ 324, 326. 332, :ns. 377. :.79. 3XO, 406,
Phase d'implantation 264
407' 40l:t 412, 416. 432, 436. 437, 438, 439, 445, 451' 453, 469. 47 [' PI-JY. Voir couche physique
473. 474. 490, 495 PIB. Voir produit intérieur brut {PIB)
normes tl' audit des SJ de l'ISACA 3\ 34. 35, 37, 40 PIN 50X
nomJcs Je pratiques gl:nl:ra!cment reconnues 129 ping 393
normes de programmation 192. 194 Pîng Swcep 448
normes d protocoles de réseau 407 PlO. Voir productique (PlO)
ll0)'<1tl 300,301
pirates informatiques 391, 414. 415, 417, 420. 421, 436
NSP 507 Pirates téléphoniques 391
n~uplct 30ô, 307 piste d'audit 165, 210, 219, 256, 262, 280. 309. 339. 408. 409, 411
PKl 508
planification d'amlit 35
planilication de la capacité 21-;0, 298, 299
objectifd'audit 61 planification des besoins matières (PBM) 217
objectivité 36, 56, 60. 189 planilication d'urgence 3S9
OCDE. Voir Organisation dt: ct1opàation ct do.: développement Planification stratégique 103.226. 249
économiques (OCI>E) plans d'amélioration du scrYice 287
ODC 507. Voir aussi in!Ormatiquc à la demande (ODC) point de rérércncc 104, 106, 287
OECD 88. 507 Points de vérilication 46
OEP 507. Voir aussi Plan d'urgence pour les occupants points fonctionnels (PF) 17X
officier principal de la sécurité de l'inti:mnation 92. 100, 124 politique de sécurité 106, 107, 114, 119, 126, 110.214.317,379,380,389,
OLAP 507. Voir aussi traitement analytique en ligne (01 -Al') :wo. 419,420.437.442
00. Voir orienté objet politîqw:s ~5. 16, 45, 46. 48, 53, 55. 56. 57, 63. 64. 66, 67, 89. 92, 99, lOO,
OOSD 507. Voir aussi élaboration de systèmes orientés donnée1> !04. [()5, 106. !07, lOB, llO, l l l. l l2. 114. l !5. l !9. !27. !29. 13l.
opérations inlhnnatiques 89, 1! 1, 124.244,285, 28S, 450. 4Sl 148, 150, 176, 201. 20:1, 216, 2 !8. 222. 256, 257, 285, 291, 294, 1%,
OPR. Voir ohjcctif de point de reprise (OPR) 297, 323.337,338,377,379,380,381, 3S4. 389,390,:191,396,398,
Optimisation 121 405. 410, 412, 416, 417. 419. 428, 43ô, 4:17, 439, 441. 445, 450. 467,
Optimisation de la performance 121 469,473,499
ordinateur central 125. 192, 215. 246, 247, 295, 300, 301, 31 L 318, 330, politiques Je pwmotion 1 Il
]][. 332, 399.405.407.439. 44[, 500 polymorphisme 231
ordinateur portatif 397, 415 port 296, 318, 324, 40\ 433, 495. 503
ordinateurs de poche 296 POS 508
Organisation de coopGralion ct de développement économit[UCS (OCDE) 93 poste de travail 61, 192, 196,252.295,296. :no. 405.428,429, 4~6. 438,
orientê o~jct 228, 231 4:19,456
OSl 507 poste de travail s:ms disque 295
OSPI·' 507. Voir aussi Open Shortest Jlath First (OSPF) postimp\antation l !0, 202, 484

Manuel de Préparation CISA 26" édition 517

ISACA. Tous droits réservés.
 Index

pots J~ miel 42 [ public key 50S

pourricl 393,416,486 puœ 295,297,40.\ 4!0. 455
PPP 508. Voir aussi Protocole point il point (PPP) PVC. Voir circuit virtuel pennanent (PVC)
PP PoE. Voir prolncok point ù point sur Jjhernd
PPTP 508. Voir aussi Protocole tunnel point à point (PPTP}
Praeticcs 98
QA 50~
pratiques de gestion linancièrc 120
précision 58, 59. 126. 168, 189. 195, 199,212,213 QAT 508
preuve 33, 37, 56, 57. 58, 60, 63. 64, 72, J{}l), 121, no. 189.209,227,234. quality management 501)
235.236,241,247,251,251,257,258, 26J, 297,313,443.444.445. qnestionnaire 65, 66,67, 475
455, 488. 494
principal 92, 99, 100. 1 JO, 123, 124. 148, 149, 164, 175, 179, !80, 186,
198, 210, 212, 215, 235, 254. 280, 290, 291' _'\() l, 342, 380, 399, 401,
RA 508
404,405,429,431,497,499,500
RAD 508
principes de gestion 121
RAil) 508
privacy 505
n1ppcl automatiqm.' 4.14
procédmcs :n. 35, 36, 3 7, 45, 46, 4S. 49, 50, 52. 53. 55, 56, 57, 58, 61, 62, rapport ù'mtoma!ics 130
63. 65, 67, 68. 69, 90, 99. 104, 105. !06, l07. l08, 109, ! JO, Ill, 112,
rapport d'audit 4R, 57, 62, ô~. M, 68, Il!, 202
114,119,125,126,129, !30.1Jl.14::!, 150,164,165,167,169,171,
rapporter les e-rreurs 482
176. 18--t, 190, 191. 192, 194, I'J5, 196, 197,201,202. 20S. 209.210.
RCL Voir Rendement du capila1 investi
211,212. 216, 211, 21s, 219.220.222. 230. 231. 2:n: 211. 2:'4, 241,
RCP 478
244, 245. 246. 251' 252. 253, 256. 257' 258, 259, 260, 262., 263. 264,
réactivation 442
265, 266, 21') l. 285, 289, 291, 292, 296. 298. 308, 314. 320. 328, 33 1,
rb.:oncili<~tion 1.10, 21 S
332.333.334.335.336, 3.17, 338,339,377, 37lJ, 380, 3l-:l. 387, 3X8.
recontiguration des processus opl.'ntionne\s (BPR) 24;-}
389,390, 398, 405,407.409.410. 412,416,428.434.436,437,439,
rccnvety point objective 283
443.444.445,446,447,448,449,450,453,456, 46~.:, 469. 47!. 474,
recovcry point objective (RPO) 2S3
475,478,482.484,486,487,494.497
Rccovcry point objective (RPO) 283
procédures de contrôle 33, 48, 53. 55, 62, 1 12. 114, 164, 167, 211, 212.
récurrence 44
219,222,251,253,256,264,265.266, 29!, 450
redondance des données 103,105, 335
Procédures de contrôle de fichier de données 254
redundancy 505
processus de gestion du risque 92. 93, 107, 182
rcdundancy check 505
productique (PIO) 217
n':Jërcntid 199,294,303
pro!Cssionne! 30, 37, 40. 42, 169, 175
rcll1s erroné 401
progrmnmatinn d'application 127
rcgi~tre~ des lots 252
programmation des systèmes ! 27
r~glements 15. 36, 46, 64. ()J, 109, Il O, !31, 202, 385. 430
progmmmc d'application 253,257, 260, 339
Règles d'at1èctation des JWms 409
programme d'audit 30, 48, 61, 64
réingénierie 164, 220,234, 248,249, 250.496
Programme de comparaison 494
relais de trames \49, 205, 354
Programmes utilitaires 300. 30l'\
relationnel 22J, 259,305,306
programmeur d'application 90
Rendement du capitnl investi 496
PROf.()(; 193
Répartition et déclaration du temps de trav<JÎ1 Il 1
propri~taire des données 129, 150,31:\4,437.442, 443
répliqncr 397
protocol 507
réponse à lUI incident 398
protocole 173. 213. 233, 295, 302, 311, 312. 314, 316, 3 J 8. 32!, 322, 324,
reprise 46. 48, 1 !3. 1 J 5. 121. 149, 150, ! 51, 220, 244. 289, J l3, 33!, 334,
.125, 326.327, 12s. 329,330, :n1. 397,400.406.407.412,415, 4IR, 335, 137, 3JX, .139. 142, 440, 485, 492, 493. 501 .
448,449.479.483. 4!)5. 4S9. 493,495,497,502,503
Rcprist:: dl~ ln vérification 46
protocole ~k contrôle des liai~ons 322
réseau à valeur ajonlée 210
Protocole de transfert de fichiers (FTP) 495
réseau commuté 393, 416
protocole tk tunno.:llisation di.! la couche 2 {L2TP) 502
r~seau leurre 421
protocole http 327
réseau local 71, 127, 149,228.265,295,298.302, Jl2, 318,383,412,439,
protocole lCMP 448, 449
481, 482, 497
Protocole point;) point (PPP) 495
réseau numérique à services intégrés 407
protocole point à point sur Ethemct 502
ré~cau privé virtuel (VPN) 71. 205, 400, 407
protocole SMTP 397
réseau téléphonique puh!ic commuté (RTCP) 320
protocole SNMP 330
réseaux 44,48,60,61, 106,119,125, 127,206,211,2U,2J8.22l 222
protocole SOAP 2J3, 311, 495
225.245,290.294,295,299, .100, 310,311,312,315,316,317: J.JR:
protocole SSL 295
319, .\20, 322,323,324,325,326,329, 33l. 332. J54, 355,156,383,
protocole TCP/fP 3JS, 321.326.329.407
3X6, 3R7. 393.395.396,397,399,400.405,407,408,411, 4!4, 415.
prolotypagt' 57,181,190,191,226,230.231
416, 417, 418, 419, 420, 421, 428, 429. 430. 431, 438. 439, 445, 449.
PSTN 508
455,477,479.481,486,488.489,493,495,496,497,500,502 -

518 Manuel de Préparation CISA 26" édition

ISACA. Tous droits rêservés.
 Index

rt.\:;caux fl~dér<ltL"Hrs 326 sb.:urité de~ donn..:es l-\9. 126.200.305. :rn, 334,412
Réso.::aux nçuronaux 420 sécurité logique 70, 21K 377.383.441
réseaux sans !il personnels (WPAN) 415 sécurité physique 129.218,2:16.285,297, 3:'>4, 3XO, 398,431.433,436,
rbiilh:nœ 236. 259 437. 4.56. 467
responsabilité 33, 57, 60, 63. 67, !-\(), 92, 9.1. 99, 100, JO!, 10.3, 105. 107, scgment3tion 70. 127,445
llO, IlL IlS. 119, l29.1JO, !47, 150, 1(15, 175,176.193.195,199, s~.:nsibilisation ù la sécurité 5k. 89. 126.379, 31-l5, :w:-;, 43ü, 4(il)

202. 2os. 2o9, 211. :no, 245. 249. 291. :137. 380, 401, 402. 406, 4IO, sentinelle 421
414.416.436.437.446.477,4S4,499 s..:paration des t:khes 89, 90. 127, l2H, 129. 130. 13[. 148, 149,212,216,
tTstmcLuration 1D, 30S, 496 219. 291, 39 L 395. 406. 410. 438. 447, 450
rbablissc!ncnt 149 s~rrnre 455
rétention 64.111.150.219,220 serveur de Hehicr 299
rétine 40.1, 404. 455, 467. 46() serveur mandataire 149,294,399.418
rétroingénicric 199,234 serveurs \Vcb 207.294.478
n:union de lnm:emcut 173 service d'assistance 120. 124, 197.210.221
réutilîsabi!ité 178. 231 ${.Wict 327

RFI 508. Voir aussi demande dïnfonnation (RF!) S(iB. Voir Systémc de gestion des bandes (SGB)
RFID 508. Voir aussi identification par radiofréquence (RF ID) SGBD. Voir Systèm~ de gestion de base d~ donnCes (SGBD)
RFP 508 S/JITTP 508. Voir aussi Pwtoco!c de transfert hypertexte sél.:urisé (S/
risque d'audit 5 L 52, 53,446 IlTTP)
ri~quc résiduel 44, 92, 108 SIG. Voir Système d'inli.mnatim1 géographique (SIO)
Risques d11 commerce électronique 207 signature électronique 412
Risqu~s ~t contrOles d'etH 211 signature num~riquc 207. 209, 214, 215, 374, 498
1isques inhér~nts .10, 51, 96,258, J9K simulateur 261, 308, 439
lU 324 Simulation parallèle 260
RMI SOS. Voir aussi appd RMI Simulation permanente Cl întcnnittcnle (SPI) 2(il
RNIS. Voir réseau numérique à services intégrés site w~·b 206,207. 21 l. 287. J26. ?>27. 39.1, 399. 448
ROI 508 SLA 508
ROI AP 22.1, 508 SLOC 50X
ROlvt sm~. Voir aussi mémoir.:: morte (ROM) Stvl/\R·l· 508. Voir aussi Stratégique. Mesurable. Attcignabk.ltéalistect
rotation 112,192.196,288.411 en Temps opportun
rotation <i<ms l~s emplois 112 S/MIME 508
routage alternatif 194. 195. 196 SMTP 508. Voir aussi protocole SMTP
routcur 213, 295, 110, 117, 318, 322, 325, 407, 417. 419, 428. 4X9, 493, SNA 508
497 SNMP 508. Voir aussi protocole SNMP
rouleurs dc tramag~ 447 SOAP 508. Voir aussi protocole SOAP
RIT 508. Voir aussi Appel d~.: procédure ù distance {RPC) somme de contrôle 215, 502
RPO .340. 508 sol"ti~·s du système 443
RSA 214. :n4. 497 soutien technique 48, 175, 188, 190,285,291,334
RTCP. Voir rés~au téléphonique public commuté (RTC:P) spêcilicutions fonc!ionndlcs de la conccptiou 257
RTO 508 SPI 508
RV A. Voir réseau ù valeur ajoutée Spoo! 499
SQL 50S
SSll 508
SSL 508. Voir aussi protocole SSL
sabotug~~ 395. 433
sso 508
saisie <k données 125, 215, 22X, 238. 252. 256. :ns, 4n. 494, 500 statd 449
salle blanche 342 STPV. Voir Systèmes de terminaux de point d..:: vente (STPV)
sans t:onm:xion 323,4\9 s-tmtl:gie d'audit 30, J5
sans papier 62, 4X5 strobc 416
satellite 319. :n4 stwcture des données 200, 306
satisJiu.;tion de J'utilisateur 1 !8. 120,264.280 Structur..::s de systèmes d'a id.:: ù la décision 226
SCARF 508 suivi d'appels 432
Scénario de référence 497 Superordinatcurs. 295
schémas 102, 194, 19~. :105 supervision 60, 64. 70. 71, 105, 125, 126, 185. 195. 216. 233, 244, 297,
schémas externes 305 336,338,377,391
SCM 508 SYS(fEN. Voir génération de système (SYSGEN)
SCOR 508. Voir aussi méthode SCOR (Supply Chain Operations Rdl~r- système d'aide à la décisitlll 226.227
enccs) systl:mc d'application 46, 6 L 71. 126, 177, 191, 195, 201, 205. 209. 210.
~cript 193. 498 2.11, 2.\2, 257, 259, 261. 262, 441, 442
~crîpts 193,200.327,391,397,448
système de comptnbilîtli des achats 219
SD/IviMC' SOR. Voir aussi cartesmémoir~s multimédia

Manuel de Préparation C/SA 26• édition 519

ISACA. Tous droits réservés.
 Index

Système de g~stion de hase de donHé-cs (SUBD) 499 Traitement d'image 219

système de gestion de la qttalité 24k Traitement par lots 502
Système de gestion des bandes (SUB) 499 tnwsactions sortantes 2!0, 212
système d'extincteurs automatiques sous air 451 trans<:ription 200, 254. 4k0
syst\:mc d'information de gestiou 1S4 tmnsfùrmation de J:ouricr rapide 219
Système ù'infmmation gé-ographique (Si( i) 500 transfom1ation en cosim1s discrète 21 l)
système ouvert 314 tmnsfront:lli<:r 32R
Systèmes de terminaux de point de vente (STPV) 215 Tr;msmission <ISYIU:hrone 502
systèml.!s de lransJCrt ékctroniquc de J(mds (TEJ:.l 302 tra!lsmission de données par paquets sm réseau cdlnlain: (C'DPD) 324
systi::mcs intégrCs de fahrlcatil)ll (!MS) 217 transmission des données 337, 355.479
Tl'. Voir traitement des transactions
tunnel 295, 374
'1\Jnncllisation 502
tableau de bord prosp..:ctif 92, 96. 97
tableau de contrôle 62. 451
l'able de coutrôk d'accès 194, 195, 1%
talonnage .l%, 456,467,468 Voir unité arithmétiqlw d logique (liAI.)
tJAI ..
TAQ. Voir tests d'assurance qualité- UAT 509. Voir aussi tests d'acceptation pm· l'utilisateur (lJAT)
TCL 193 tJDDI 509. Voir aussi Unîvcrsa! lkscription, Discovcry ;md Integration
TCP/JP 50H. Voir aussi protocole TCPiJP (UDDJ)
TDM 50S U!JP 5015, 509
tcchnit{UC du saucisson nage 396 un. Voù· Union internationak di.!S télécommunications (UlT)
Techniques d'audit enligne 261 Ul'vfL 509. Voir aussi langage UML
TJ:F. Voir systèmes de transfert é-lectronique de fonds {TFF) Union intemationalc des té!écnmmunications (UIT) 430
t6lt!chargcmcnt 02, 428, 430, 435, 495 unité arithmétiqw.' et logiq11e (UAI ,) 2lJ4
télécommunications numériques européennes sans fil (DEC l') 324 unit~ centrale de traitement 294, 419, 502
td6tmvai/ 323 unité de rat:cordemcnl aux. rêscaux multipostcs (URRM) 4%
témoin 197.327.448,449 Univcrsal Description, Discove1y and Integration (UDDI) 233
térmlin/scssion 44l) UNIX 147.295,301.418. 4~S, 442,449,478, 4X9, 49S
temps d'attente 317, 329 UPS 509. Voir aussi alimentation sans coupure (UPS)
temps de disponibilité 240 URl. 294,326,397,489,509
Terminal passif 500 URRM. Voir unité Je raccordement aux rést~aux multipostcs (URRM)
terminaux 125, 215,218,238.245, 252,253,298,299,328. 3\':3, 397,399, USB 238, 295. 296. 311, :.74, 397. 403, 503, 509
406,410,435, 441_ 442,449,454,455,481,490,495, 500 User Datagranl Protocol 418
TES. Voir Transactions dcctroniqncs sécuritaircs (TES); Voir aus- user ID 509
si logidcl de simulation du terminal User lD 509
Test 57, 6L 194. 195, 196.244,258,446,448,501 Usurpation J'identité- .195. 416,503
lest alpha 195
test bcta 195
test de régression 196
test de système 194, 195, 1% vacances Ill, 112.179
tests de eon/i.)!mité 49, 55, 56, 58. 59 vacances obligatoires 112
tests Oc corroboration 49, 55. 56, 58,59 validation des données 52.253,254,258,439
tests de pénétration 446 VB. Voir Visual Basic
Tests en boîte noire 234 VB Script 19:1
tests p<nallèlcs 2(J3 vidage de la mémoire 444
test unitaire 184. 194 virus l25, 209, 214, 241, 2%, 374. 379, 394. 397, 39R. 407, 412, 414, 415,
texte chilTré 480. 484 417,420,427, 42K 429,430, 43!.440, 449,469.490
TFTP 50K Voir aussi Trivial File Transport Protocol (TFTP) Visual Basic 421\, 47/î
Thn:ats 461 Vo/P 509. Voir aussi voix par IP {Vo/P)
TLS 509 VPN 71, 72, 265, 295, 3! S. 323, 400, 407, 408, 417, 446, 447, 467. 4ü8.
topologie 127, 236, 3 15, 316, 317, 31 Y. 325, 328, .\32, 412, 418, 44R. 449, 469, 4.%, 509
485,496 vulnêrabilitê 61,109,167.176.286.355,432,434,435,436,440.477
topologiL' en bus 485
topologie en étoile 3 16. 317. 496
Totaux intermédiaires 253, 502
WAP 509. Voir aussi protocole J'application sans fil (protocole WAP)
TP 509
WEP 265, 266,324,495, 500,509. Voir aussi Wircd Equivalent Privacy
traçage 61. 193,252,260, 2SO, 479
Whois 448
traitcmenL analytique enligne (OLAP) 22:1
WLAN 125.415.509
traitement de s<:eours 334
WML 509
traitement des transactions 46, 212, 219, 257, 259. 261, 299, 305, 331, 441
WPJ\ 509

520 Manuel de Préparation CISA 26" édition

ISACA. Tous droits réservés.
e Certlficd Information
~y~.:~:M:~~ij~.~·
Index

WPAN 415.509. Voir aussi réseaux sans fil personnels (WPAN)

WSDL 509. Voir aussi Langage de Description des Services \V ch
(WS!JL)
WWAN 509

X.25 31 L 322
XMl. 509. Voir aussi langage XMl"

Zone démilitarisée (DMZ) 419

Manuel de Préparation CISA 26• édition 521

ISACA. Tous droits réservés.
Les candidats au titre CISA" (Certified Information Systems Auditor"') connaissent
l'importance de bien se préparer au difficile examen CISA. C'est pourquoi ils se tournent
vers les ressources d'étude et les cours de préparation de I'ISACA afin d'acquérir les
connaissances et l'expertise nécessaires à l'obtention de la certification CISA.
Manuels GISA :
• Manuel de Préparation CISA 26e édition
• Manuel de Préparation CISA® 11 e édition : Questions, Réponses et Explications

Bases de données GISA :

• Base de données sur les questions, réponses et explications CISA®- abonnement de 12 mois
• Base de donnéessurJesquestions, réponses et explications CISA®- CD

GourS de préparation GISA :

• Cours de préparation par chapitre (www.isaca.org/cisareview)

Pour en savoir plus sur le matériel de préparation à la certification de I'ISACA,

visitez le www.isaca.org/bookstore.

e Certified Information
Systems Auditor'
An ISACA~(',erUHcatloo
Trost in, and value from, information systems
Il 1111 Il Ill Il