Méthodologies d'Audit : CobiT

Cours Audit des Systèmes d’Information

Prof. Jacky Akoka
Mission

Rechercher et promouvoir un ensemble d’objectifs de

contrôle en technologies de l’information.
Objectifs

• Bonnes pratiques applicables au contrôle des SI

• A partir d’un référentiel de contrôle des IT

• Tourné vers le management

Un langage commun au sein des organisations

• Le Management :
pour l’aider à trouver un équilibre entre le risque et l’investissement en
contrôles.

• Les Utilisateurs :
pour obtenir des garanties concernant la sécurité et les contrôles de
leurs services informatiques.

• Les Auditeurs des Systèmes d’Information :

pour justifier leur opinion.
Définitions

• Le Contrôle se définit comme :

Les procédures et les pratiques conçues pour fournir une
assurance que les objectifs de l’entreprise seront atteints.

• L ’Objectif de Contrôle en Informatique se définit comme:

L’exposé des buts à atteindre par la mise en œuvre des procédures
de contrôle dans une activité spécifique.
Standards

• Standards techniques proposés par ISO, EDIFACT, etc.

• Codes de conduites définies par le Conseil de l’Europe, l’OCDE, l’ISACA,

etc.

• Critères de qualification des systèmes et processus informatiques :

ITSEC, TCSEC, ISO 9000, SPICE, Critères Communs, etc.

• Standards professionnels en matière d’audit et de contrôle interne :

COSO, CICA, IFAC, IIA, AICPA, GAO, PCIE, ISACA, etc.

• Pratiques et règles de l’industrie informatique (ISO 17799, ESF, I4) et

plates-formes soutenues par les gouvernements (IBAG, NIST, DTI), etc.

• Exigences spécifiques aux secteurs de la banque, du commerce

électronique et de la fabrication des TI
Documents

• Synthèse

• Cadre de Référence

• Objectifs de Contrôle

• Guide d’Audit
Un Cadre de Référence

Les Grands Principes (1)

Impératifs de l’entreprise

Processus informatiques Ressources informatiques

Un Cadre de Référence

Impératifs de l’entreprise : critères liés à l’information

• Impératifs de qualité :
– Qualité
– Coût
– Délai

• Impératifs économiques et fiduciaires :

– Efficience et efficacité des opérations
– Fiabilité de l’information
– Conformité aux lois et à la réglementation

• Impératifs de sécurité :
– Confidentialité
– Intégrité
– Disponibilité
Un Cadre de Référence

Ressources Informatiques

• Données

• Applications : manuelles et programmées

• Technologie : architectures, matériels et logiciels

• Installations : Ressources qui hébergent les systèmes

informatiques

• Personnel : Compétence, efficacité, …

 Un Cadre de Référence

Les Grands Principes (2)

Ce que l’on obtient Processus de Gestion Ce dont on a besoin

Critères :
Information -Efficacité
-Efficience
-Confidentialité
-Intégrité
-Disponibilité
Ressources Informatiques :
-Conformité
-Données
-Fiabilité
-Applications
-Technologies
-Installations ? concordance
-Personnel
 Un Cadre de Référence

Processus Informatiques

4 Domaines Planification et Organisation (PO)

34 Processus Définir un plan informatique stratégique (PO1)

1.1 Intégration des IT au plan à long terme et à court terme

318 Activités 1.2 Plan informatique à long terme
1.3 Approche et structure de la planification à long terme
…
1.8 Evaluation des systèmes existants
Les Domaines

1. Planification et Organisation

2. Acquisition et Mise en Place

3. Distribution et Support

4. Surveillance
Domaine 1. Planification et Organisation (PO)

• Stratégie et tactique informatique

• Contribution aux objectifs de l’entreprise

• Planification, communication et gestion

• Organisation adéquate et infrastructure technologique

Processus Associés

Planification et Organisation

• PO1 définir un plan informatique stratégique

• PO2 définir l’architecture des informations
• PO3 déterminer l’orientation technologique
• PO4 définir l’organisation et les relations de travail
• PO5 gérer l’investissement en informatique
• PO6 communiquer les objectifs et les orientations du mgt
• PO7 gérer les ressources humaines
• PO8 se conformer aux exigences externes
• PO9 évaluer les risques
• PO10 gérer les projets
• PO11 gérer la qualité
Application: PO1 Définir un plan informatique stratégique
Application: PO1 Définir un plan informatique stratégique

1.1 Intégration des TI au plan à long et à court terme de l’entreprise

Objectif de contrôle
Les plans doivent permettre de s’assurer que les TI sont bien
alignées sur la mission et les stratégies métiers de l’entreprise.

1.2 Plan informatique à long terme

Objectif de contrôle
Le management doit mettre en œuvre un processus de planification
à long terme, adopter une approche formalisée et établir la structure
d’un plan standard.
Application: PO1 Définir un plan informatique stratégique

1.3 Approche et structure de la planification des TI à long terme

Objectif de contrôle
Le management des TI doit appliquer une approche structurée en
ce qui concerne le processus de planification à long terme.

1.4 Modification du plan informatique à long terme

Objectif de contrôle
Le management des TI doit s’assurer qu’un processus est en place
pour modifier en temps voulu et de manière adéquate le plan
informatique à long terme pour l’adapter en fonction des
modifications qui interviennent dans le plan à long terme de
l’entreprise, et des changements des TI.
Application: PO1 Définir un plan informatique stratégique

1.5 Planification informatique à court terme

Objectif de contrôle
Le management des TI doit s’assurer que le plan informatique à long terme est
régulièrement traduit en plans informatiques à court terme.

1.6 Communication des plans informatiques

Objectif de contrôle
Le management doit s’assurer que les plans informatiques à court et à long terme
sont communiqués aux propriétaires de processus de gestion et aux autres
personnes concernées dans l’entreprise.

1.7 Surveillance et évaluation des plans informatiques

Objectif de contrôle
Le management doit mettre en place des processus visant à obtenir des informations
concernant la qualité et l’utilité des plans à long et à court terme.

1.8 Evaluation des systèmes existants

Objectif de contrôle
La direction des TI doit évaluer les SI existants en terme de niveau d’automatisation, de
fonctionnalités, de stabilité, de complexité, de coûts, de forces et de faiblesses dans le but
de déterminer dans quelle mesure les systèmes existants supportent les exigences liées
aux activités de l’entreprise.
 Domaine 2. Acquisition et Mise en Place (AMP)

• Mise en œuvre de la stratégie informatique

• Identification, développement ou acquisition, mise en place des

solutions

• Intégration des solutions aux processus de gestion

• Modification et maintenance des systèmes

Processus Associés

Acquisition et Mise en Place

• AMP1 trouver des solutions informatiques

• AMP2 acquérir et maintenir le logiciel d’application
• AMP3 acquérir et maintenir l’architecture technique
• AMP4 développer et maintenir les procédures informatiques
• AMP5 installer et valider les systèmes
• AMP6 gérer les modifications
Domaines 3. Distribution et Support (DS)

• Fourniture des services nécessaires

• Sécurité de l’exploitation

• Mise en place des processus de support

• Traitement des données par les applications

Processus Associés

Distribution et Support

• DS1 définir les niveaux de service

• DS2 gérer les services assurés par des tiers
• DS3 gérer la performance et la capacité
• DS4 assurer un service continu
• DS5 assurer la sécurité des systèmes
• DS6 identifier et imputer les coûts
• DS7 sensibiliser et former les utilisateurs
• DS8 assister et conseiller les clients
• DS9 gérer la configuration
• DS10 gérer les problèmes et les incidents
• DS11 gérer les données
• DS12 gérer les installations
• DS13 gérer l’exploitation
Domaine 4. Surveillance (S)

• Évaluation régulière de tous les processus informatiques

• Conformité aux exigences de contrôle

Processus Associés

Surveillance

• S1 surveiller les processus

• S2 évaluer l’adéquation du contrôle interne
• S3 acquérir une assurance indépendante
• S4 disposer d’un audit indépendant
Objectifs de Contrôle

Le contrôle des

Processus
informatiques
qui répond aux

Impératifs
de l’entreprise est rendu possible par les

Listes
de contrôle qui tiennent compte des

Pratiques
de contrôle

318 objectifs de contrôle basés sur les bonnes pratiques

La Démarche
Guide d’Audit

Objectifs de l’audit :

• Apporter au management une assurance que les objectifs de

contrôle sont atteints

• Pour toutes les faiblesses importantes détectées, évaluer et justifier

les risques, et

• Proposer des actions correctives

Guide d’Audit

• Principe d’Audit d’un processus :

– Acquérir une bonne compréhension des impératifs de l’entreprise,

des risques qui s’y attachent et des mesures de contrôle adéquates

– Évaluer l’adéquation des contrôles définis

– Vérifier à l’aide de tests que les contrôles définis sont conformes,

adéquats et permanents

– Justifier le risque de ne pas atteindre les objectifs de contrôle

Application: PO1 Définir un plan informatique stratégique
Application: PO1 Définir un plan informatique stratégique
Guide d’Audit

Un accès multicritères

Critères liés à
l’information

informatiques
Ressources
Processus

Aides à la navigation
3 facettes
Guide d’Audit

Critères liés à l’information

Domaines
Processus informatiques

Processus

Activités