Vous êtes sur la page 1sur 93

Journe de Rflexion sur lAudit Dmarche d audit des Systmes d information

ENCG Agadir, le 1 Mars 2003

Nabil BAYAHYA, Directeur Associ Masnaoui Mazars MASNAOUI

Plan de la prsentation

1. Notions de base des de l audit des SI 2. Prsentation de 3 domaines d Audit des SI

2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit
3. Conduite d une mission d audit

MASNAOUI

Contexte des SI dans l entreprise


Les systmes d information ont volu depuis les annes 70 pour s octroyer une importance cruciale dans la vie des entreprises en tant que : Support l outil de production qui contribue la ralisation de l objet de l entreprise (systme de facturation, encaissement, trsorerie, comptabilit, GPAO, GMAO .) Rfrentiel du patrimoine de l entreprise et de son savoir faire (fichier clients, processus de gestion, KM ... ) Moyen de renforcement du contrle et de matrise des processus de gestion (contrle informatique, workflow) . Ces constats gnrent un niveau de dpendance de l entreprise vis vis de son systme d information

MASNAOUI

Contexte des SI dans l entreprise


Certes, le niveau d intgration du SI dans les processus de gestion de l entreprise prsente un rel tremplin pour sa croissance et son dveloppement ... mais, une telle intgration prsente d inhrents risques de vulnrabilit de l entreprise
Inadquation au processus de gestion Non conformit aux dispositions lgales Absence d information dcisionnel le

...
Continuit d exploitation de l entreprise Inefficience de la politique de scurit

Risques informatiques

Inefficience du Contrle

Manque Absence de d volutivit de comptences l architecture qualifies informatique Manque de Fiabilit des Accs non traitements et Augmentatio autoriss des donnes n des cots informatique s

MASNAOUI

Proccupations des directions gnrales


Le systme d information de l entreprise contribue-t-il amliorer sa profitabilit ? Comment mesurer les bnfices lis aux investissements informatiques ? La stratgie informatique est-elle conforme la stratgie de l entreprise ? Peut-on diminuer les cots des fonctions administratives en dpensant plus en informatique ? Les donnes produites par les applications informatiques permettent-elles de prendre des dcisions efficaces ? Les applications fournissent des informations exactes, exhaustives, authentiques ? Le systme informatique est-il suffisamment protg contre les accidents, les malveillances et les erreurs ? ...

MASNAOUI

Problmatiques du Systme d information


Les problmatiques du systme d information se manifestent tout le long de son cycle de vie selon une approche itrative:
Quelle adquation avec les orientations stratgiques et le Quelle adquation avec les orientations stratgiques et le plan de dveloppement du SI ? plan de dveloppement du SI ? Comment faire voluer le SI actuel vers le SI cible ? Comment faire voluer le SI actuel vers le SI cible ? Quels choix technologiques retenir ? Quels choix technologiques retenir ? Quelle organisation pour le pilotage des projets Quelle organisation pour le pilotage des projets informatiques ? informatiques ? . . Quelle choix pour la mise en uvre du plan de Quelle choix pour la mise en uvre du plan de dveloppement du SI : Choix de progiciel, dveloppement du SI : Choix de progiciel, dveloppement spcifique, solutions interfaces dveloppement spcifique, solutions interfaces Quelle dmarche de conduite de projet informatiques Quelle dmarche de conduite de projet informatiques Quelle organisation et comptences pour la conduite Quelle organisation et comptences pour la conduite des projets informatiques des projets informatiques ... ...
Quelle adquation entre les applications en exploitation et Quelle adquation entre les les besoins des utilisateurs applications en exploitation et les besoins des utilisateurs Quelles sont les mesures de contrles et de scurit prises Quelles sont les mesures de contrles et de scurit prises en compte dans les applications informatiques en compte dans les applications informatiques Quelles sont les procdures d exploitation du SI Quelles sont les procdures d exploitation du SI ... ...

Choix et orientation du systme d information

Mise en uvre et dveloppement du SI

Exploitation du SI

MASNAOUI

Primtre des missions d audit des systmes dinformation


Choix et orientation du systme d information Mise en uvre et dveloppement du SI

Exploitation du SI

AUDIT : ALIGNEMENT STRATEGIQUE

AUDIT : APPLICATIONS INFORMATIQUES

REVUE DES CONTRLES GENERAUX INFORMATIQUES URBANISATION DU SYSTEME D INFORMATION

AUDIT : Scurit et Rseaux

AUDIT : FONCTION INFORMATIQUES

AUDIT : PROJETS INFORMATIQUES

MASNAOUI

Dmarche d audit
Objectif :
S assurer que tout se passe bien conformment aux rgles et aux usages professionnels Pour toutes les faiblesses importantes dtectes, valuer et justifier les risques, et Proposer des actions correctives

Moyens
Observer, analyser et juger des faits Evaluer l adquation et le fonctionnement des activits par comparaison avec un rfrentiel Appliquer des dmarches cohrentes

Domaines
Toutes les fonctions de l entreprise peuvent tre audites
MASNAOUI

Ne pas confondre audit, expertise et conseil


Audit Dmarche de gnraliste Collecte de faits Analyse de processus Recommandations Expertise Spcialiste d un domaine Approche technique Mesures de performances Recherche de solutions Conseil Connaissance d un domaine Approche gnraliste Axes d amlioration Pilotage du changement
MASNAOUI

Trois grands types d audits


L audit de conformit (audit de rgularit) Vrification de l existence de normes La direction gnrale fixe des rgles et des procdures S assurer qu elles sont effectivement appliques Comparaison par rapport un rfrentiel L audit d efficacit (audit de progrs) Apprciation de la qualit des rgles et des procdures par rapport aux objectifs Vrification de l impact de ces rgles Recommandation d amliorations Etablir un plan d action

MASNAOUI

10

Trois grands types d audits

L audit d efficience (audit conomique) Analyser les moyens affects aux oprations Apprcier l utilisation des ressources Proposer des moyens d optimiser ces moyens Attitude rserve face aux audits sanctions

MASNAOUI

11

Quelques Rfrentiels de l audit des Systmes d information


COBIT (Contrle Objectives for Information and related Technology) Etablis par l ISACA (Information Systems Audit and Control Assiociation) Traduit et diffus par l AFAI (Association franaise de laudit et du conseil informatique) SAC Report (Contrle et audit du systme d information) Etablis par IAA Traduit et diffus par l IFACI, IAI

Le rfrentiel ne fait pas l auditeur... mais il peut l aider


MASNAOUI

12

1. Notions de base de l audit des SI 2. Prsentation de 3 domaines d Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit 3. Conduite d une mission d audit

MASNAOUI

13

Audit de la fonction informatique


Plan
Questions usuelles de la direction gnrale concernant la fonction informatique Positionnement et structure de la fonction informatique Les bonnes pratiques concernant la fonction informatique Les points de contrles Exemples de mission d audit

MASNAOUI

14

Audit de la fonction informatique


Questions usuelles de la direction gnrale
Est-ce que les utilisateurs sont satisfaits des prestations informatiques ? Est-ce que l informatique perturbe vraiment le fonctionnement des services ? Est-ce que l informatique est correctement pilote ? Y-a-t il un comit de direction charg de l informatique ? Quel doit tre le positionnement du responsable informatique ? Combien a cote rellement ? Et combien a rapporte ? Faut-il dcentraliser l informatique dans les units ? Que doiton garder en central ? Comment piloter de manire efficace les projets informatiques ? Est-ce que les personnes travaillant au sein du service informatique sont comptences ?

MASNAOUI

15

Audit de la fonction informatique


Positionnement et structure de la fonction informatique
Le comit de planification ou de pilotage de l informatique Position des services informatiques dans l organisation & Sparation des tches Intervention de l informatique dans l organisation et les processus Responsabilit de l assurance qualit Responsable de la scurit Proprit des donnes et des applications Gestion du personnel informatique et des sous-traitants

MASNAOUI

16

Audit de la fonction informatique


Les bonnes pratiques concernant la fonction informatique
Les relations entre la direction gnrale et les utilisateurs La clart des structures et des responsabilits L existence de dispositifs de mesures Comptence et qualification du personnel

MASNAOUI

17

Audit de la fonction informatique


Les relations entre la direction gnrale et les utilisateurs
La mission de la direction informatique doit tre clairement dfinie et un document crit doit la dcrire. Les objectifs et les rgles de fonctionnement de l informatique doivent tre connus des dcideurs et des utilisateurs. Un comit de direction doit prendre des dcisions concernant l informatique et des comptes-rendus doivent tre publis. La direction de la fonction informatique doit priodiquement faire rviser les plans concernant l informatique

MASNAOUI

18

Audit de la fonction informatique


La clart des structures et des responsabilits
Les responsables oprationnels doivent avoir une relation de partenariat avec la fonction informatique La fonction informatique doit avoir la responsabilit de l architecture du systme informatique La fonction informatique doit avoir la responsabilit de l assurance qualit du systme informatique La fonction informatique doit avoir la responsabilit de la scurit physique et logique des actifs informationnels

MASNAOUI

19

Audit de la fonction informatique


L existence de dispositifs de mesures
C est un vaste programme Un suivi conomique est ncessaire mais n est pas suffisant. Gnralement c est un suivi budgtaire mais cela peut tre aussi un mcanisme de refacturation Il faut que l informatique rend des comptes aux diffrents partenaires de l informatique. Mais la ralit montre que ce n est pas facile faire et on parle souvent du manque de transparence de l informatique .

MASNAOUI

20

Audit de la fonction informatique


L existence de dispositifs de mesures
Il est ncessaire de mieux communiquer sur les objectifs, les politiques mises en oeuvre, les ressources affectes et leur utilisation Et surtout il est ncessaire de contrler l activit informatique : gestion de projet, CAE, gestion des investissements,...

MASNAOUI

21

Audit de la fonction informatique


Comptences et qualification du personnel
Les besoins en personnel informatiques doivent priodiquement tre valus (au moins une fois par an). Une supervision effective du personnel informatique doit tre faite notamment pour juger s il dispose des moyens pour faire son travail et s il est performant. Tous les postes doivent disposer d une description de poste mettant en avant les comptences et l exprience ncessaire. Il doit exister une claire sparation des tches notamment entre la maintenance des applications et l exploitation.

MASNAOUI

22

Audit de la fonction informatique


Comptences et qualification du personnel
Le personnel cl doit tre identifi Le personnel sous contrat doit faire l objet d un contrle particulier notamment pour s assurer que les actifs informationnels sont garantis.

MASNAOUI

23

Audit de la fonction informatique


Les points de contrles
Rle des directions dans le systme d information Existence de politique, de normes et de procdures Responsabilit du service informatique : relations matrise d oeuvre-matrise d ouvrage Existence de dispositifs de contrle interne

MASNAOUI

24

Audit de la fonction informatique


Rle des directions dans le systme d information
Il doit exister un comit informatique Il peut avoir diffrents noms : commission informatique, comit de pilotage,... Il est rattach au directeur gnral Les principaux dcideurs de l entreprise doivent y participer Il doit se runir rgulirement L essentiel des orientations informatiques doit tre dbattu au sein de ce comit

MASNAOUI

25

Audit de la fonction informatique


Rle des directions dans le systme d information
Un suivi rgulier du schma directeur doit tre fait Etudier le positionnement de ce comit dans la structure de l entreprise Examiner les comptes-rendus de ce comit sur un an. Rencontrer quelques membres du comit.

MASNAOUI

26

Audit de la fonction informatique


Responsabilit du service informatique (relations matrise

d oeuvre-matrise d ouvrage)
Les responsabilits du service informatique doivent tre clairement dfinies La position du service informatique dans l organigramme de l entreprise doit tre claire. Le service informatique doit avoir une autorit suffisante pour faire appliquer les mesures ncessaires pour atteindre les objectifs qui lui ont t fixs.

MASNAOUI

27

Audit de la fonction informatique


Responsabilit du service informatique (relations matrise

d oeuvre-matrise d ouvrage)
Examiner les diffrents documents pour apprcier la clart des dfinitions des responsabilits Interroger diffrents responsables pour apprcier leur degr de connaissance des responsabilits respectives Vrifier le respect de la sparation des tches

MASNAOUI

28

Audit de la fonction informatique


Existence de dispositifs de contrle interne
On doit disposer d une stratgie formalise du dveloppement du systme d information Les facteurs de risques doivent tre reprs Des priorits doivent tre fixes de manire claire Les choix doivent tre faits en tenant compte des enjeux conomiques Mesurer leur impact sur les performances de l entreprise Examiner les principales procdures de l entreprise et apprcier l impact de l informatique

MASNAOUI

29

Audit de la fonction informatique


Existence de dispositifs de contrle interne
Analyser les missions des auditeurs internes et externes et leurs impacts Evaluer l impact des procdures de l assurance qualit

Exemples de mission d audit


Evaluation de l efficacit d un service informatique Audit de la procdure de suivi des cots informatiques

MASNAOUI

30

Audit de la fonction informatique


Evaluation de l efficacit d un service informatique
La direction gnrale a des doutes sur l efficacit de son service informatique En fait elle a des doutes sur les comptences du responsable informatique Effectivement le responsable a du mal faire son travail dans de bonnes conditions Peu de contact avec la direction gnrale Mauvaises relations avec les utilisateurs

MASNAOUI

31

Audit de la fonction informatique


Evaluation de l efficacit d un service informatique
Mise en place d un comit de direction trimestriel consacr l informatique Redfinition du rattachement hirarchique Rdaction des principales politiques, procdures et normes appliquer.

MASNAOUI

32

Audit de la fonction informatique


Audit de la procdure de suivi des cots informatiques
Il existe une comptabilit analytique permettant de suivre les cots informatiques Les rsultats de cette comptabilit sont contests par les principaux dcideurs L analyse de la mthode montre quelle est globalement bonne Ses rsultats montre bien les problmes qui se posent et notamment les erreurs qui sont commises Par contre cette CAE peut tre simplifie et amliore

MASNAOUI

33

Audit de la fonction informatique


Audit de la procdure de suivi des cots informatiques
Rdiger chaque mois une note d analyse des cots informatiques Simplifier les traitements les plus dlicats Rduire le cot des oprations anormalement coteuses

MASNAOUI

34

Audit de la fonction informatique


Exemple de mission d audit : Evaluation de l efficacit d un service informatique
La DG a des doutes sur l efficacit de son service informatique En fait elle a des doutes sur les comptences du DSI Effectivement le responsable a du mal faire son travail dans de bonnes conditions Peu de contact avec la DG Mauvaises relations avec les utilisateurs Mise en place d un comit de direction trimestriel consacr au SI Redfinition du rattachement hirarchique Rdaction des principales politiques, procdures et normes appliquer.

MASNAOUI

35

1. Notions de base de l audit des SI 2. Prsentation de 3 domaines d Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit 3. Conduite d une mission d audit

MASNAOUI

36

Audit des projets


Plan
La notion de projet Particularits des projets informatiques Tenir les dlais et les budgets Evaluation des risques lis aux projets Les bonnes pratiques concernant les projets informatiques Les points de contrles Exemples de mission d audit

MASNAOUI

37

Audit des projets


La notion de projet
Un projet c est d abord une quipe C est ensuite un dlai
Une date de dbut Une date de fin

C est aussi une organisation spcifique Et, bien entendu, un budget particulier Rle cl du chef de projet dans la russite du projet C est une activit voisine de celle du :
Btiment Ingnierie

MASNAOUI

38

Audit des projets

Particularits des projets informatiques


Le pilotage des projets informatiques est une opration dlicate
Drapage sur les dlais Drive frquente des cots Ncessit de mettre en place un pilotage rigoureux

La qualit des applications informatiques


Difficult de valider la qualit d une application Aspect subjectif de la qualit Ncessit de mettre en place des procdures de certification de la qualit

MASNAOUI

39

Audit des projets


Tenir les dlais et les budgets
Gestion de projet :
Dcouper Evaluer Planifier Animer Suivre Ajuster

Dcoupage du projet en tape :


Conception gnrale Conception dtaille Dveloppement Test Installation et dploiement Bilan

MASNAOUI

40

Audit des projets


Mettre en place un systme de pilotage efficace
Un dcoupage en phase Un livrable la fin de chaque phase Pilotage des phases :
Valider les rsultats en fin de phase Valider les objectifs de la phase suivante Informer le comit de pilotage

Procdure d assurance qualit :


Normes et standards Contrles Conseils

MASNAOUI

41

Audit des projets


Evaluation des risques lis aux projets
Efficacit de l organisation de la fonction d tudes :
Systme de management Gestion des ressources Productivit des tudes Formation

Sur un ensemble de projets rechercher les causes de drapages :


Les fonctions livres Les cots Les dlais

Efficacit de la mthode de conduite des projets :


La gestion de projet Le processus de dveloppement L assurance qualit Le systme de pilotage

MASNAOUI

42

Audit des projets


Les bonnes pratiques concernant les projets informatiques
Le respect des phases du projet Existence d une mthodologie de conduite de projets Conformit des projets aux objectifs gnraux de l informatique et ceux de l entreprise Qualit des tudes amonts : expression des besoins, cahier des charges Importance des tests, notamment des tests utilisateurs

MASNAOUI

43

Audit des projets


Les points de contrles
Audit du processus de dveloppement Existence de processus, de mthodes et de standards Vrification de l application de la mthodologie Analyse des causes dchecs de projet Adquation des fonctions aux besoins des utilisateurs

MASNAOUI

44

Audit des projets


Exemple de mission d audit : Audit d un grand projet la fin du cahier des charges
Les quipes de MOE et MOA ont fini de rdiger le cahier de charges La direction s interroge sur le document ainsi produit L analyse du document montre quil est trs complet Par contre, le projet sera trs lourd et trs complexe dvelopper Et l application risque de poser des problmes de performances (accs aux bases de donnes) Raliser un benchmark du systme d interrogation d une transaction simple Limiter l intgration des fonctions Planifier la mise en place de versions successives
MASNAOUI

45

Audit des projets


Audit d un projet en RAD
On a dvelopp un projet vital pour l entreprise l aide d une approche RAD, Rapid Application Developpement Aprs la mise en place russite d une partie du systme, le projet s enlise La mthode RAD permet de mettre en place rapidement une application (3mois) Par contre il faut que les utilisateurs et les informaticiens soient rellement disponibles L quipe mixte sature Segmenter le projet en plusieurs sous-projets Confier chaque sous-projet une quipe diffrente Raliser la partie centrale du projet de manire classique
MASNAOUI

46

1. Notions de base de l audit des SI 2. Prsentation de 3 domaines d Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit 3. Conduite d une mission d audit

MASNAOUI

47

Audit de la scurit
Plan
Existence de risques importants lis aux systmes d information Quatre notions fondamentales Les facteurs de limitation des risques Les bonnes pratiques concernant la scurit Les points de contrle Exemples de missions d audit

MASNAOUI

48

Audit de la scurit
Existence de risques importants lis aux systmes d information
Il existe en informatique des risques importants lis la nature mme de cette activit Existence d un patrimoine important en matriel informatique (vol, dgradation,..) et logiciel (piratage) Importance de la valeur des donnes stockes et des traitements effectues Niveau de risques importants pour l entreprise Il est ncessaire de mettre en place une organisation adapte avec des outils, des hommes et des mthodes Il doit exister une politique au niveau de l entreprise (scurit physique et scurit logique) Il est ncessaire quil existe un responsable de la scurit informatique
MASNAOUI

49

Audit de la scurit
Quatre notions fondamentales
La menace Le facteur de risque La manifestation du risque La matrise du risque

MASNAOUI

50

Audit de la scurit
La menace
Il existe de nombreuses menaces dans le domaine de l informatique :
Les erreurs Les malveillances Les accidents ....

Elles concernent :
Les biens matriels
Les btiments Le rseau Les quipements informatiques

MASNAOUI

51

Audit de la scurit
La menace
Les biens immatriels
des logiciels (de base, applications,...) des donnes de gestion des ressources humaines

MASNAOUI

52

Audit de la scurit
Le facteur de risque
Un facteur de risque est une cause de vulnrabilit due une faiblesse de l organisation, des mthodes, des techniques des outils ou du systme de contrle Les risques informatiques peuvent tre accrus de diffrentes manire :
Absence de politique informatique Faible participation des utilisateurs Mthodes inadaptes aux objectifs Obsolescence des techniques utilises Comptences insuffisantes Faiblesse des processus de gestion ...

La mdiocrit du management informatique est un facteur accroissant le niveau de risque


MASNAOUI

53

Audit de la scurit
La manifestation du risque
La destruction physique du centre de calcul (incendie, inondation,...) est spectaculaire mais en fait peu frquente Le vrai risque est invisible Il se manifeste de diffrentes manires :
Pntration du rseau par des intrus Vols d informations Concurrence fausse Falsification des donnes ...

L entreprise victime d un concurrent risque de ne s en apercevoir que lorsquelle va perdre des marchs et des clients sans savoir pourquoi

MASNAOUI

54

Audit de la scurit
La matrise du risque
Mthodes pour identifier les risques en terme de menace ou de facteurs de risques (Marion) Identification des parades La scurit physique
Contrle d accs aux locaux Protection incendie ...

La scurit logique
Contrle d accs aux systmes, aux programmes, aux donnes ....

Importance du plan de secours permettant de faire face la disparition totale ou partielle du systme d information

MASNAOUI

55

Audit de la scurit
Les facteurs de limitation des risques
les bonnes pratiques concernant la scurit sont : Existence d une politique du systme d information Implication des utilisateurs Mthodes de travail et outils adapts aux objectifs La comptence du personnel Outil de gestion efficace

MASNAOUI

56

Audit de la scurit
Existence d une politique du systme d information
Une des meilleures protection contre les risques lis la faiblesse de la scurit repose sur la politique du systme d information Les services informatiques ayant une vision globale de leur dmarche sont les mieux protgs que les autres Cette politique doit notamment prciser les responsabilits des diffrents intervenants sur les systmes informatiques Il est en particulier trs important de savoir ce qui est sous la responsabilit des informaticiens et ce qui relve des utilisateurs

MASNAOUI

57

Audit de la scurit
Implication des utilisateurs
La meilleure protection du systme d information est celle exerce par les utilisateurs Ils doivent surveiller leur matriel et la scurit des locaux Ils contrlent leurs donnes et leurs bases de donnes Ils veillent ce que leurs donnes soient rgulirement sauvegardes Un systme ainsi surveill par ses utilisateurs est protg contre tout la plupart des risques habituellement supports

MASNAOUI

58

Audit de la scurit
Mthodes de travail et outil adapts aux objectifs
Le meilleur moyen de limiter les risques lis l insuffisance de scurit et de dter les services informatiques de mthodes de travail et des outils adapts Ces mthodes de travail consistent dfinir les tches effectuer et de dfinir de manire rationnelle l organisation du travail De mme il est ncessaire de se doter d outils performants conformes aux objectifs recherchs Ainsi les personnes chargs de l exploitation doivent pouvoir surveiller facilement les utilisateurs prsents sur le systme Il est, en particulier, ncessaire de surveiller et d administrer le rseau

MASNAOUI

59

Audit de la scurit
La comptence du personnel
La scurit du systme d information dpend surtout de la comptence du personnel Plus il est comptent, plus il est mme d intervenir rapidement et efficacement pour limiter les risques Ceci concerne l exploitation mais aussi les tudes Il est en particulier ncessaire d intervenir rapidement en cas d incident sans prendre de risques excessifs La maintenance la suite d un incident peut tre l occasion d une succession de problmes notamment si on supprime certains contrles ou si on ne teste pas compltement les programmes modifis

MASNAOUI

60

Audit de la scurit
Outil de gestion efficace
De mme il est ncessaire que des dispositifs de gestion efficaces soient mises en place Ils ont pour but de reprer plus facilement les failles de la scurit du systme d information (postes de travail, rseaux, serveurs) Il est en effet important de s assurer que les risques potentiels sont rapidement reprs de faon qu ils soient corrigs le plus rapidement possible C est un aspect dlicat car on manque d outil de gestion de ce type . L offre est en train d voluer mais on ne dispose pas encore en standard, sur tous les systmes d exploitation des outils de ce type.

MASNAOUI

61

Audit de la scurit
Les points de contrle
Reprage des actifs de l entreprise Evaluation des menaces Mesurer les impacts Dfinition des parades

MASNAOUI

62

Audit de la scurit
Reprage des actifs informationnels de l entreprise
La base des contrles est constitue par les inventaires physiques
Des matriels (postes de travail, serveurs,...) Des logiciels Des bases de donnes

Dans la mesure du possible il faut chercher avoir des contrles frquents de ces inventaires Il existe des logiciels permettant de reprer les postes de travail, les serveurs,.... Apprcier les procdures de mise jour des inventaires Vrifier sur quelques units la pertinence des inventaires

MASNAOUI

63

Audit de la scurit
Evaluation des menaces
Il ne sert rien de se protger contre des menaces qui n existent pas On cherche reprer les parties du systme d information qui sont les plus menaces Il est pour cela ncessaire de reprer :
Les disparitions ou les destructions de matriels Les altrations de donnes ou de programmes La divulgation d informations confidentielles

S assurer quil existe un document permettant de reprer les menaces Analyser la pertinence des menaces reprer S assurer quon a bien reprer les menaces les plus srieuses

MASNAOUI

64

Audit de la scurit
Mesurer les impacts
Identifier les types de menaces et les consquences de ces incidents A partir des incidents recenss valuer leur impact Etablir une cartographie du systme d information et des risques associs Il est alors possible de construire un ou plusieurs scnarios d agression et d valuer les points de vulnrabilit Apprcier l efficacit des dispositifs de scurit en place Evaluer les impacts d incidents graves sur le fonctionnement de l entreprise et les consquences patrimoniales

MASNAOUI

65

Audit de la scurit
Dfinition des parades
Face chaque risque important il est ncessaire d identifier les parades possibles C est un moyen trs efficace de diminuer le niveau des risques de l entreprise Type de parades possibles :
Prvention : identification l accs Dissuasion : piste d audit Dtection : contrle d accs Protection : plan de secours

Mais la meilleure parade reste l audit Apprcier les diffrentes parades mises en oeuvre et leur impact sur le niveau de scurit Evaluer les risques qui ne sont pas ou qui sont mal couverts
MASNAOUI

66

Audit de la scurit
Exemples de missions d audit
Audit de la scurit d une application client-serveur Evaluation de la scurit d un centre d exploitation

MASNAOUI

67

Audit de la scurit
Audit de la scurit d une application client-serveur
La mise en place d une nouvelle application du type clientserveur fait apparatre diffrents incidents d exploitation L analyse montre quils ne sont pas dus des fragilits du logiciel de base mais au faible respect des consignes de scurit L organisation de la scurit laisse dsirer et notamment la politique des mots de passe n est pas respecte Dfinir une politique de gestion des mots de passe et la faire appliquer Mettre en place un logiciel de surveillance du rseau permettant de suivre les incidents Former le personnel l application des consignes de scurit

MASNAOUI

68

Audit de la scurit
Evaluation de la scurit d un centre d exploitation
La direction gnrale demande d valuer la politique de scurit du service d exploitation Le service est dot d une politique de scurit et elle est applique Les procdures en place sont efficaces Par contre les responsabilits ne sont pas clairement dfinies notamment en ce qui concerne la gestion des bases de donnes Dfinir de manire prcise les responsabilits des utilisateurs Elargir le domaine d action du responsable de la scurit Nommer un administrateur de bases de donnes

MASNAOUI

69

1. Notions de base de l audit des SI 2. Prsentation de 3 domaines d Audit des SI 2.1. Audit de la fonction informatique 2.2. Audit des projets 2.3. Audit de la Scurit 3. Conduite d une mission d audit

MASNAOUI

70

Plan
Les 6 phases de la mission daudit informatique
Dfinition de la mission : Etablissement de la lettre de mission La planification de la mission La collecte des faits, la ralisation de tests,... Entretiens avec les audits Rdaction du rapport final, Prsentation et discussion de ce rapport

Faut-il un rapport ? Le rapport daudit : la conception, la rdaction, la prsentation Ltablissement des recommandations oprationnelles Le suivi des recommandations Comment amliorer la qualit de la dmarche

MASNAOUI

71

Les six phases de la mission


Laudit informatique comme tout audit se fait en six phases :
Dfinition de la mission :
Primtre de la mission Etablissement de la lettre de mission

La planification de la mission La collecte des faits, la ralisation de tests,... Entretiens avec les audits Rdaction du rapport final, Prsentation et discussion de ce rapport

La dure de chaque phase est variable selon la nature des questions et leur complexit

MASNAOUI

72

1 - Dfinition de la mission : Primtre de la mission


Choix et orientation du systme d information Mise en uvre et dveloppement du SI Exploitation du SI

AUDIT : ALIGNEMENT STRATEGIQUE

AUDIT : APPLICATIONS INFORMATIQUES

REVUE DES CONTRLES GENERAUX INFORMATIQUES URBANISATION DU SYSTEME D INFORMATION

MASNAOUI

AUDIT : Scurit et Rseaux

AUDIT : FONCTION INFORMATIQUES

AUDIT : PROJETS INFORMATIQUES

73

REVUE DES CONTRLES GENERAUX INFORMATIQUES


Objectif:

S assurer que l informatique est sous contrle


Principaux objectifs de contrle:

Stratgie informatique : pilotage des SI, schma directeur,orientation stratgiques, plan court Fonction informatique: positionnement, rle, organisation et rgles de contrle (sparation des tches)
Choix et orientation du systme d information Mise en uvre et dveloppemen t du SI Exploitati on du SI

AUDIT : FONCTION INFORMATIQUES

AUDIT : PROJETS INFORMATIQUES

AUDIT : APPLICATIONS INFORMATIQUES

AUDIT : ALIGNEMENT STRATEGIQUE

Projets informatiques: dmarche de mise en uvre, dlai, planification, pilotage des projets, relation Matrise douvrage / matrise duvre Performance du systme d information: disponibilit, portefeuille des bug, versioning, help desk, assistance utilisateurs Scurit du systme d information: sauvegarde, plan de continuit Relation avec les fournisseurs: contrats de maintenance,
Livrable:

REVUE DES CONTRLES GENERAUX INFORMATIQUES

URBANISATION DU SYSTEME D INFORMATION

Une apprciation globale du systme d information et valuation des risques gnriques lis l environnement informatique de l entreprise. Plan de recommandation et audit des risques spcifiques accrus

MASNAOUI

74

AUDIT : ALIGNEMENT STRATEGIQUE


Objectif:

Auditer la coincidance de la stratgie systme d information avec la ou les stratgies mtiers de l entreprise afin de renforcer la valeur d usage du SI.
Principaux objectifs de contrle:

Choix et orientation du systme d information

Mise en uvre et dveloppemen t du SI

Exploitati on du SI

REVUE DES CONTRLES GENERAUX INFORMATIQUES

URBANISATION DU SYSTEME D INFORMATION

Processus de planification stratgique a moyen et long terme: stratgie mtiers, schma directeur informatique (projets et budget investissements) valuation du schma directeur: suivi des ralisations, planification, surveillance des budgets et des dlais Pilotage et dcision: organe de suivi et de contrle, organes de dcision et darbitrage, systme de reporting sur l avancement des projets informatiques Orientations technologiques et architecture fonctionnelle: adquation, volutivit, opportunit, niveaux de scurit Choix de la solution informatique: dmarch de choix (cahier des charges et consultations), adquation avec les besoins de l entreprise,contractualisation
Livrable:

AUDIT : FONCTION INFORMATIQUES

AUDIT : PROJETS INFORMATIQUES

AUDIT : APPLICATIONS INFORMATIQUES

AUDIT : ALIGNEMENT STRATEGIQUE

Identification du niveau d alignement du SI la stratgie de l entreprise Mesure Plan de recommandation et audit spcifique des risques accrus

MASNAOUI

75

AUDIT : FONCTION INFORMATIQUE


Objectif:

Auditer la coincidance la stratgie systme d information sur la ou les stratgies mtiers de l entreprise afin de renforcer la valeur d usage du SI.
Principaux objectifs de contrle:

Rle et positionnement de l informatique dans l entreprise : rattachement la DG,, relation avec la matrise d ouvrage, comits informatiques
Choix et orientation du systme d information Mise en uvre et dveloppemen t du SI Exploitati on du SI

AUDIT : FONCTION INFORMATIQUES

AUDIT : PROJETS INFORMATIQUES

AUDIT : APPLICATIONS INFORMATIQUES

AUDIT : ALIGNEMENT STRATEGIQUE

Mesure et suivi de la performance: existence d objectif et d indicateurs pertinents de mesure de la performance, existence des contrats de service informatique (SLA), baromtre de satisfaction, tableaux de bord informatiques Organisation et structure de la fonction informatique: sparation des tches, rle et missions de chaque entits, adquation des effectifs et des comptences avec les besoins de l entreprise Procdures et mthodes: rgles de gestion, niveau de contrle internes, mthodes de gestion des projets, gestion de la documentation Outsourcing: relation avec les prestataires de service, contrats, risque juridique et informatiques
Livrable:

REVUE DES CONTRLES GENERAUX INFORMATIQUES

URBANISATION DU SYSTEME D INFORMATION

Une valuation des risques potentiels lies la fonction informatique. Plan de recommandation de matrise de la fonction informatique
MASNAOUI

76

AUDIT : PROJETS INFORMATIQUES

Objectif:

Auditer l organisation et le pilotage de la fonction informatique


Principaux objectifs de contrle:

Dfinition des projets: objectifs du projets, le primtre, les interactions avec d autres projets, moyens humains et techniques, les dlais, le budget, Structure de gestion des projets: matrise d ouvrage, matrise d uvre, organe de suivi et de pilotage du projet, efficience des organes de dcision,
Exploitati on du SI AUDIT : APPLICATIONS INFORMATIQUES

Choix et orientation du systme d information

Mise en uvre et dveloppemen t du SI

AUDIT : FONCTION INFORMATIQUES

AUDIT : PROJETS INFORMATIQUES

AUDIT : ALIGNEMENT STRATEGIQUE

Planification du projet: planning directeur du projet, tableau de bord du projet,plan de charge, identification des dpassements et anticipation des blocages et des drapages de dlais Dmarche de gestion de projet et plan d assurance qualit : livrables du projets, validation des livrables, documentation Processus d homologation et de tests: plan de test, PV de validation de tests Conduite de changement: valuation des changements, communication, plan de formation,reprise des donnes
Livrable:

REVUE DES CONTRLES GENERAUX INFORMATIQUES

URBANISATION DU SYSTEME D INFORMATION

plan

de

Identification des risques projets des causes de dysfonctionnements Mesures cls pour la russite et l aboutissement des projets informatiques

MASNAOUI

77

AUDIT : APPLICATIONS INFORMATIQUES


Objectif:

Auditer l adquation des applications informatiques aux exigences des utilisateurs et au standards d exploitation
Principaux objectifs de contrle:

Choix et orientation du systme d information

Mise en uvre et dveloppemen t du SI

Performance des applications informatiques: existence de contrats de service avec les utilisateurs, disponibilit du systme, continuit de service
Exploitati on du SI

AUDIT : FONCTION INFORMATIQUES

AUDIT : PROJETS INFORMATIQUES

AUDIT : APPLICATIONS INFORMATIQUES

AUDIT : ALIGNEMENT STRATEGIQUE

Conformit aux normes de scurit et aux rgles de contrle interne: gestion des accs: identification et authentification, Help desk et assistance utilisateurs: intervention de maintenance, indicateurs de performance ( portefeuille de bug, dlai de rponse et dlai de prise en charge) Gestion des incidents et des demandes dvolution: versioning, volutivit par rapport aux besoins des utilisateurs,
Livrable:

REVUE DES CONTRLES GENERAUX INFORMATIQUES

URBANISATION DU SYSTEME D INFORMATION

Une identification de l adquation des applications aux besoins et aux exigences d exploitations des utilisateurs Plan de recommandation et audit spcifique des risques accrus

MASNAOUI

78

URBANISATION DU SYSTEME D INFORMATION

Objectifs:

Faire converger le systme d information avec les objectifs stratgiques de l entreprise Assurer la gestion intgre et cohrente du SI, Prparer le SI intgrer et matriser les changements progressifs qui se feront dans l entreprise
Exploitati on du SI

Choix et orientation du systme d information

Mise en uvre et dveloppemen t du SI

Points cls de la dmarche:

AUDIT : FONCTION INFORMATIQUES

AUDIT : PROJETS INFORMATIQUES

AUDIT : APPLICATIONS INFORMATIQUES

Formaliser les axes stratgiques de l entreprises: orientations mtiers et SI, alignement SI, opportunits technologique tablir les cartographies existantes: mtiers, fonctionnelles, applicatives et techniques du systme d information selon un dcoupage Zone, quartier, ilot tablissement du plan de convergence: concevoir les cartographies cibles: mtiers, fonctionnelles, applicatives et techniques
Livrable:

AUDIT : ALIGNEMENT STRATEGIQUE

REVUE DES CONTRLES GENERAUX INFORMATIQUES

URBANISATION DU SYSTEME D INFORMATION

Alignement stratgique mtier/ SI cartographie existantes et cibles: Mtiers, fonctionnelles, applicatives, techniques Plan de convergence mettre en uvre

MASNAOUI

79

1 - Dfinition de la mission : Etablissement de la lettre de mission

Partir des attentes du demandeur daudit Ne pas hsiter passer du temps bien les comprendre Cest pas toujours claire dans leur tte, cest dailleurs pour cela quils demandent un audit Si cest ncessaire faire un pr-diagonstic Etablir une liste des questions Faire une lettre de mission (Cest un mandat au sens du Code Civil) Souvent il faut rdiger la lettre de mission

MASNAOUI

80

2 - Planification de la mission : le choix de la dmarche


Il faut ds le dpart annoncer la dmarche suivie Pour lauditeur externe rle de la proposition Pour lauditeur interne rle du plan daudit Il faut dtailler le programme de travail Prvoir suffisamment lavance la collecte des faits et les tests organiser (dlais souvent longs) Savoir limit le nombre des entretiens (cest un trs gros consommateur de temps et de dlais) Une mission daudit insuffisamment prpare est une mission risque

MASNAOUI

81

3 - La collecte des faits, la ralisation des tests,...


Lauditeur ne doit prendre en compte que les faits et il doit se mfier des opinions On ne peut pas se contenter des dires des audits, il faut se baser sur des faits On sorganise pour trouver les faits dont on a besoin :
Les tests, les jeux dessais, Les mesures de performances (temps de rponses...) Les incidents dexploitation, les anomalies, les erreurs, les bugs, .

Les faits, rien que les faits, tous les faits La mission, toute la mission, rien que la mission Importance de la collecte de faits significatifs et si on a du mal les obtenir ncessit deffectuer des tests
MASNAOUI

82

4 - Entretiens avec les audits


Au contraire, spontanment les auditeurs se mfient des faits et ils ont tendance prfrer les opinions Au cours des entretiens, ne pas se disperser. Cibler les questions Se mfier des check-lists. Avoir une liste de thmes Ne pas prendre parti dans les dclarations des audits Evaluer avec prudence les dires On ninstruit pas charge et dcharge La lettre de mission vous donne un mandat. Vous reprsentez le demandeur daudit Eviter les validations dentretiens (temps, qualit,) Le nombre dentretiens est une variable importante expliquant la dure de lopration et la charge de travail
MASNAOUI

83

5 - Faut-il un rapport ?
Il existe une curieuse mode consistant ne pas remettre de rapport daudit De nombreux arguments :
Cest long faire Les dcideurs nont pas le temps de le lire Il ne sert rien

Il serait prfrable de faire une prsentation PowerPoint Cest une grave erreur Il faut les deux : le rapport et la prsentation

MASNAOUI

84

5 - Le rapport daudit : la conception, la rdaction, la prsentation


Le rapport daudit est un document de rfrence Importance de dfinir qui il est destin et comment il sera diffus Commencer le rdiger partir de la moiti de la mission. Sur une mission de deux mois ds la fin du 1er mois Le corps du rapport doit, dans la mesure du possible, tre trait dans lordre des questions daudit se trouvant dans la lettre de mission Les recommandations doivent tre classes en mesures court terme, moyen terme et long terme Faire une synthse en 2 pages (plus souvent 4)

MASNAOUI

85

Quelques conseils de rdaction du rapport daudit


Etre pdagogique, expliquer les termes et les concepts utiliss Eviter les accumulations de faits ou de remarques sans quapparaisse la structure densemble Faire des synthses et des rcapitulations Ne pas porter de jugement de valeur Lauditeur base ses apprciations sur des rfrentiels largement reconnus Sil ny a pas de rfrence ou si la doctrine est incertaine, il faut le signaler et dans ce cas jouer un rle de conseil Si on demande lauditeur des jugements de personne, on doit s'interdire de le faire par crit Faite attention la forme et au style
MASNAOUI

86

Ltablissement des recommandations oprationnelles


Il faut des mesures concrtes et faciles mettre en oeuvre Il faut distinguer les recommandations :
A court terme, cest--dire qui peuvent tre mise en place sans dlai et sans investissement A moyen terme, cest--dire demandant des tudes complmentaires A long terme, qui demandent des investissements lourds ou la remise en cause des politiques antrieures

On attend de ces recommandations des progrs significatifs et substantiels

MASNAOUI

87

6 - Prsentation et discussion du rapport


Il faut organiser des prsentations du rapport daudit pour
Le (ou les demandeurs) daudit Le management de linformatique Le service informatique (encadrement ou toute lquipe)

Dix quinze de slides pas plus (20 30 minutes) Communiquez sur lessentiel Vendre les recommandations en mettant en avant 4 6 mesures emblmatiques Ne pas ngocier le contenu de la prsentation (ni du rapport, ni des recommandations)

MASNAOUI

88

Btir un plan daction


La liste des recommandations ne fait pas un plan daction Un certain nombre doprations complmentaires sont ncessaires :
Slectionner les mesures et les hirarchiser Approfondir et complter les actions Effectuer des analyses complmentaires Fixer les responsabilits .

Le plan daction doit tre valid par le management (Comit de Direction, Comit de Pilotage, Commission informatique,) Souvent des spcifiques moyens doivent lui tre affects
MASNAOUI

89

Le suivi des recommandations et du plan daction Il est ncessaire de mettre en place un dispositif de suivi des recommandations et du plan daction Lexprience montre que si on ne met pas en place un suivi des recommandations, elles ne sont pas appliques, ou du moins on applique que celles qui ne posent pas de problmes et les autres sont laisses leur triste sort Il est donc ncessaire de mettre en place un suivi des mesures choisies Faire un point priodique sur le degr de mise en place des recommandations (tous les 3 ou tous les 6 mois) Lefficacit des audits informatiques se joue en partie sur la mise en place dun suivi
MASNAOUI

90

Comment amliorer la qualit de la dmarche ?


Un ordre de mission claire identifiant le demandeur daudit Des points dchange rguliers avec le demandeur daudit Annoncer au dpart la dmarche qui sera suivie Manifester son indpendance notamment lors des entretiens Refuser les tentatives dlargissement de la mission Btonner par des faits, des analyses Se mfier des ragots, des bruits, des on-dits, Ne pas tirer sur tout ce qui bouge Etre positif : dire ce qui marche, Faire des recommandations professionnelles

MASNAOUI

91

Bibliographie
www.afai.asso.fr www.isaca.org et surtout knet CobiT La Revue Audit et Conseil en Technologies de lInformation (Revue de lAFAI) The Information Systems Control Journal (Revue de lISACA) ISACA - Bookstore CISA Review Technical Information Manuel ISACA Information Technology Control and Audit (Gallegos, Manson, Allen-Senft - ISACA)

MASNAOUI

92

MERCI POUR VOTRE ATTENTION

MASNAOUI

93