4ITSEC-AFRICA

Formation Audit et controle de securite

Module 2
Gouvernance et gestion
IT
Gouvernance IT de l’entreprise(GITE)

Cette gouvernance Inclut :

Gestion des ressources informatiques

Mesure du rendement
Gestion de la conformité
Deux objectifs du GITE

Il apporte de la valeur à l'entreprise grâce à

l'alignement stratégique de l'informatique sur
l'entreprise.
Le risque informatique est géré en fonction de
l'intégration de la responsabilité dans
l'entreprise.
Trois domaines d’intervention du GITE

Optimisation des ressources

Réalisation des avantages
Optimisation des risques
Pilotes pour GITE
Retour sur investissement informatique en
augmentation
Niveaux de dépenses informatiques
Conformité et exigences réglementaires
Gestion des solutions d'externalisation (Cloud)
Adoption de cadres de contrôle
Optimiser les coûts grâce à des solutions
standardisées plutôt que personnalisées
Besoin d'une évaluation d'entreprise
Tableau de bord équilibré informatique
Gouvernance efficace de la sécurité de l'information
Cela consiste en :

Stratégie de sécurité
Politiques de sécurité
Ensemble de normes pour chaque politique
Structure de sécurité organisationnelle efficace
Absence de conflits d'intérêts
Programme de surveillance institutionnalisé
Assurer la conformité et la rétroaction
Processus de gestion de risque

Identification des actifs

Identification des menaces et vulnérabilités
liées aux actifs
Evaluation de l’impact
Calcul du risque
Evaluation et réponse aux risques
Analyse du risque( Quantitative, Qualitative)
BIA

Évaluer les processus critiques et les soutenir.

Déterminez les délais, les priorités, les
ressources et les interdépendances.
Souvent basé sur l'évaluation des risques.
L'auditeur doit être en mesure d'évaluer la LFI.
Développement du plan de continuité d’activité
Plans pour tous les types d'incidents, des logiciels
malveillants aux incendies ou tremblements de
terre catastrophiques
Mesures à prendre étape par étape
Rôles et responsabilités
Identification des ressources nécessaires
Coordonnées du personnel et des fournisseurs
Plan de communication
Test du plan de continuité d’activité
Planifier le test

Vérifiez l'exhaustivité du plan.

Évaluer la formation du personnel.
Mesurer la capacité à respecter les délais et les
niveaux de service.
Le test doit être planifié - pré-test, test, post-
test.
Types de tests

Évaluation sur papier / test papier (procédure

pas à pas)
Test de préparation (simulation)
Test opérationnel complet
Les leçons tirées de chaque test sont utilisées
pour améliorer le plan
Plan de Continuité d’Activité

Plan de Continuité d’Activités PCA

(approche globale de la continuité d’activités)

Plan de Continuité des Plan de Reprise d’Activités IT

Opérations PRAIT/PCIT
PCO-PCU-PRET
(fonctions métier : vente,
Plan de Plan de
production, Secours Reprise des
administration,…) Informatique Applications
PSI PRAp

Plan de Gestion de Crise PGC

(Commandement, communication de crise,…)

ECOLE SUPERIEURE MULTINATIONALE DE TELECOMMUNICATION

15
Plan de maintenance

Les plans doivent être maintenus car ils sont

rapidement obsolètes en raison de:
Changements dans les affaires
Leçons tirées des tests et des incidents
Changements de personnel
Changements technologiques
Révisé au moins une fois par an