Scribd Logo
Importer

Bienvenue sur Scribd !

  • Méthode Et Outils D'audit Informatique

    Transféré par

    bl2010
    1K vues67 pages

    Titre original

    Méthode et outils d'audit informatique

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PPT, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PPT, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    1K vues67 pages

    Méthode Et Outils D'audit Informatique

    Transféré par

    bl2010

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PPT, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 67

    AUDIT

    INFORMATIQUE
    Alger, octobre 2001

    Mr MAACHOU
    Consultant CETIC
    AUDIT INFORMATIQUE

    POINTS ABORDES
    AUDIT INFORMATIQUE
    Points abordés

    •Objectifs
    •Champ d ’application
    •Ce qu’il faut vérifier
    •Conduite d ’une mission d ’audit infor.
    •Profil de l’auditeur
    •Audit d ’environnement
    •audit de la fonction sécurité
    •Objectif
    •Sécurité dans les grandes entreprises
    •Sécurité dans les entreprises moyennes
    Sécurité physiques
    AUDIT INFORMATIQUE

    Objectif de l ’audit
    AUDIT INFORMATIQUE
    OBJECTIFS de l ’AUDIT Informatique

    Les objectifs visent à satisfaire:


    Besoin d ’accroître la sécurité des systèmes:

    Assurer la continuité de fonctionnement


    Réduire les risques de fraude, de
    détournement ...
    Besoin d ’optimiser les performances:
    Systèmes plus efficaces, plus compétitifs,
    plus conviviaux...
    AUDIT INFORMATIQUE
    OBJECTIFS de l ’AUDIT Informatique

    Les objectifs de l ’audit se définissent par:


    Ce que l ’on observe:

    Le domaine sur lequel porte l ’audit


    exemple: Politique informatique
    Progiciel de GPAO
    Ce que l ’on juge:

    Les caractéristiques du domaine


    Existence, intégrité, conformité, fiabilité...
    AUDIT INFORMATIQUE
    OBJECTIFS de l ’AUDIT Informatique

    il s ’agit en général de faire contrôler et valider:


    •Les choix et investissements informatiques
    •Le plan de développement informatique
    •L ’organisation de la fonction informatique
    •La compétence et l ’efficacité du service
    informatique
    •Les performances et la sécurité des équipements
    •Les performances et la sécurité des logiciels
    AUDIT INFORMATIQUE
    Approche (2 étapes)

    1 ère étape

    Identifier les risques pesant sur les


    ressources informatiques de nature à
    compromettre l ’intégrité des données,
    la continuité de l ’exploitation et la
    conservation du patrimoine...
    AUDIT INFORMATIQUE
    Approche

    2 ème étape

    Examiner les facteurs de sécurité


    (procédures, hommes, dispositifs)
    présents dans l ’entreprise et permettant
    de couvrir ces risques.
    AUDIT INFORMATIQUE

    Les 4 NIVEAUX d ’AUDIT


    AUDIT INFORMATIQUE
    Les 4 niveaux d ’audit

    Audit de conformité

    Audit d ’efficacité

    Audit de management

    Audit de stratégie
    AUDIT INFORMATIQUE
    Les demandeurs d ’audit
    Audit de conformité Utilisateurs

    Audit d ’efficacité Resp. informatiq

    Audit de management D. G.

    Audit de stratégie
    D.G.
    AUDIT INFORMATIQUE

    AUDIT de conformité

    Il s ’agit de contrôler :
    CONFORMITE des résultats par rapport aux
    procédures et règles de calcul utilisées
    (Vérifier la bonne exploitation des machines et
    des logiciels et l ’application stricte des règles de
    gestion de l ’entreprise).
    AUDIT INFORMATIQUE

    AUDIT d ’efficacité
    Il s ’agit de contrôler :

    EFFICACITE de l ’utilisation de l ’ordinateur


    dans la gestion courante:

    Meilleure des solutions possibles:


    La plus sure, la plus productive, la moins
    coûteuse...
    AUDIT INFORMATIQUE

    Domaines
    d ’application
    AUDIT INFORMATIQUE
    DOMAINE D APPLICATION

    Audit général: Tous les aspects sont analysés


    Audit d ’une sous-fonction: Exploitation,
    sécurité, méthodes…
    Audit d ’une application: Fonctionnalité,
    performance, sécurité, conformité au CDC…
    AUDIT INFORMATIQUE
    DOMAINE D APPLICATION

    1. Audit des centres informatiques : centre informatique de gestion, centre


    informatique industriels ( fabrication automatique )

    2. Audit de la Bureautique : dans toute son étendue et sa diversité et sa


    complexité.

    3. Audit des réseaux informatiques : en relation avec les deux premiers points.

    4. Audit des logiciels en exploitation : ce domaine recouvre l’ensemble des


    autres fonctions de l’entreprise dans la mesure ou celles ci font appel à
    l’informatique.

    5. Audit des logiciels en développement : s’assurer de la prise en charge des


    besoins exprimés par les gestionnaires, de la cohérence d’intégration des
    nouvelles fonctions à informatiser.
    AUDIT INFORMATIQUE
    CHAMP D ’ APPLICATION

    On peut vérifier aussi:


    La politique informatique
    L ’organisation de la fonction informatique
    AUDIT INFORMATIQUE

    Ce qu’il faut vérifier

    Quelques exemples
    AUDIT INFORMATIQUE
    Ce qu’il faut apprécier

    • Centre informatique :

    L’audit dans ce domaine doit porter sur :

    Exploitation des machines

    La sécurité

    Opinion des utilisateurs

    Analyse des incidents déjà survenus


    AUDIT INFORMATIQUE
    Ce qu’il faut apprécier

    • 1. Exploitation des machines :

    La charge des machines : pour déterminer le taux


    d’occupation des machines et par conséquent situer
    les saturations

    Nombre de terminaux connectés

    Les performances et la productivité du service


    exploitation

    Temps de réponse lors de l’utilisation des machines


    en mode conversationnel

    •Erreurs d’exploitation et nombre de travaux refaits


    AUDIT INFORMATIQUE
    Ce qu’il faut apprécier

    2. Maintenance :

    Les pannes et appels au service dépannage

    Taux de panne

    Durée moyenne des indisponibilités des


    machines

    Les erreurs de logiciels et la manière du


    recyclage
    AUDIT INFORMATIQUE
    Ce qu’il faut apprécier

    3. La sécurité :

    PHYSIQUE
    Accès au centre informatique
    Fiabilité de l’alimentation électrique (et groupe
    de secours)

    LOGIQUE
    Sécurité d’accès à l’information
    Sauvegarde des données (BACK UP)
    AUDIT INFORMATIQUE
    Ce qu’il faut apprécier

    Applications de gestion
    Conformité aux procédures et règles de gestion en
    vigueur
    Exactitude des résultats
    Niveau de détail obtenu pour l’analyse d’un fait de
    gestion
    Rapidité d ’exécution
    Niveau de paramètrage pour prendre en charge des
    nouveautés (mise à jour des règles de gestion )
    L’interface de communication avec les modules
    existants et le degré d’intégration
    Documentation des logiciels
    Prise en charge des formulations des utilisateurs
    AUDIT INFORMATIQUE
    Ce qu’il faut apprécier

    systèmes informatiques en exploitation


    1- Sécurité :
    Existence de programmes de contrôle
    Existence des mots de passe pour l’accès à l’information
    La sauvegarde systématique es données
    identification la gestion et la conservation des supports de
    sauvegarde
     Organisation du travail d’exploitation informatique
    Le cryptage des données confidentielles
    Les procédures de reprise après incident
    Les tests des programmes avant mise en exploitation réelle
    L’existence des procédures de redressement en cas d’erreur
    AUDIT INFORMATIQUE
    Ce qu’il faut apprécier

    systèmes informatiques en exploitation

    2. Apport dans la gestion :


    Economie dans l’exécution des tâches répétitives
    Amélioration du service
    Disponibilité de l’information dans des délais plus brefs
    Contrôler l’activité de l’entreprise (aide à la gestion)
    Amélioration de la qualité des décisions
    AUDIT INFORMATIQUE
    Ce qu’il faut apprécier

    systèmes informatiques en exploitation:


    3- Autres critères:
    Les coûts
    Les délais 
    Les Temps de réponse
    Délai d’information sur le fait
    L’adaptation aux gestionnaires 
    AUDIT INFORMATIQUE

    Conduite de l ’audit
    AUDIT INFORMATIQUE

    CONDUITE d ’une mission d ’AUDIT


    La conduite d ’un audit se déroule en 5 étapes:
    •Etape 1: définition des objectifs
    •Etape 2:préparation de l ’intervention
    •Etape 3:investigation et animation des entretiens
    •Etape 4: validation des conclusion
    •Etape 5: rapport d  ’audit
    AUDIT INFORMATIQUE

    CONDUITE d ’une mission d ’AUDIT


    •Etape 1: définition des objectifs

    Les objectifs de l ’audit informatique pouvant


    être très variés, il est impératif dans chaque cas
    de bien préciser le (ou les ) objectifs de la
    mission à entreprendre.
    Ex:
    Un progiciel de GPAO acquis depuis 3 ans n ’est
    toujours pas en exploitation normale. Pourquoi?
    AUDIT INFORMATIQUE

    CONDUITE d ’une mission d ’AUDIT


    •Etape 2: Préparation de la mission
    •Délimiter le périmètre de la mission:sites concernés
    •Fixer la période et la durée
    •Aviser de la contrainte de la mission pour les services
    à auditer et s ’assurer de la disponibilité du personnel
    •Constituer l ’équipe d ’intervention
    •Arrêter la méthode de travail (recours aux
    questionnaires)
    AUDIT INFORMATIQUE

    CONDUITE d ’une mission d ’AUDIT


    •Etape 3: Investigation entretiens
    Effectuer la mission auprès des structures
    concernées en respectant le programme de
    travail.
    Recourir aux méthodes adaptées aux objectifs
    de la mission selon le type d ’audit :
    Interview,
    Questionnaires, Jeux d ’essai, et divers outils.
    AUDIT INFORMATIQUE

    CONDUITE d ’une mission d ’AUDIT


    •Etape 4: Validation des conclusions
    La validation des conclusions doit être systématique si
    l ’on veut élaborer un rapport objectif.
    La validation se fait par rapport à un « programme de
    validation  »
    ex: Existe -il un PDI ?
    Validation: Obtenir une copie de ce PDI.
    Des erreurs sont constatées sur des bulletins de paie:
    Appuyer le constat par un jeu d ’essai.
    AUDIT INFORMATIQUE

    CONDUITE d ’une mission d ’AUDIT

    Outils de l’AUDIT informatique

    •Procédures d ’audit,
    •Tests,
    •Référentiels,
    AUDIT INFORMATIQUE

    CONDUITE d ’une mission d ’AUDIT


    Outils de l’AUDIT informatique
    Exemple: Procédure de mesure du temps de réponse
    Objectif:
    S ’assurer que les temps de réponse des traitements en temps réél
    sont convenables.
    La référence proposée est:
    2 s pour l ’opérateur à temps plein
    30 s pour les interrogations complexes occasionnelles
    Méthode
    1- Utiliser ou établir les statistiques de suivi des temps par transaction
    2- Si les temps ne sont pas corrects, en rechercher les causes
    AUDIT INFORMATIQUE

    CONDUITE d ’une mission d ’AUDIT


    Exemple: Procédure de mesure des délais de restitution des résultats
    Objectif:
    S ’assurer que les délais de restitution ne sont ni trop longs, ni
    irréguliers.
    Méthode 1:
    Concernant les délais irréguliers, les investigations
    porteront sur:
    Les incidents de fonctionnement
    La qualité de l ’exploitation
    Méthode 2:
    Pour les délais trop longs, les investigations porteront sur:
    L ’étude des plannings
    Les files d ’attente
    Les aller-retour d ’informations entre inetervenants
    AUDIT INFORMATIQUE

    CONDUITE d ’une mission d ’AUDIT


    •Etape 5: Rédaction du rapport d ’audit

    Le rapport d ’audit matérialise la fin de la


    mission.
    Outre l ’analyse critique, il est souhaitable qu’il
    contienne une synthèse des recommandations
    de l ’auditeur.
    AUDIT INFORMATIQUE
    PROFIL DE L ’AUDITEUR
    AUDIT INFORMATIQUE

    PROFIL DE L ’AUDITEUR
    L ’auditeur informatique doit être capable de répondre aux questions
    classiques:

    Qui fait quoi?

    Pourquoi ?
    Où?
    Quand? (Périodicité, temps de réponse)
    Comment? (Algorithme de calcul)
    Combien? (Volume d ’information)
    AUDIT INFORMATIQUE

    PROFIL DE L ’AUDITEUR

    informaticien

    Formation d ’auditeur

    Auditeur

    Formation d ’Informaticien
    AUDIT INFORMATIQUE

    Audit de la fonction
    SECURITE
    AUDIT INFORMATIQUE
    Fonction sécurité

    Objectif de l ’audit de la
    fonction SECURITE
    AUDIT INFORMATIQUE
    Fonction sécurité
    Contrôler l ’efficacité des mesures
    de sécurité permettant de lutter
    contre:
    •Les accidents
    •Les erreurs
    •Les malveillances
    •Les risques divers
    AUDIT INFORMATIQUE
    Fonction sécurité
    Gestion du risque informatique

    La fonction sécurité est plus ou moins


    importante selon la

    taille de l’entreprise.
    AUDIT INFORMATIQUE
    Fonction sécurité dans les grandes entreprises

    Risque
    management

    Plan directeur de la sécurité


    AUDIT INFORMATIQUE
    Fonction sécurité

    Fonction sécurité dans les entreprises de petite


    taille ou de taille moyenne.

    Un
    responsable
    de la sécurité
    AUDIT INFORMATIQUE
    Fonction sécurité
    Que la fonction existe en tant que
    structure, ou simplement en tant
    que tâche assumée par un
    responsable (chef de dpt, sce…)
    l ’auditeur s’attellera à vérifier
    les aspects suivants:
    AUDIT INFORMATIQUE
    Fonction sécurité

    La
    sécurité
    physique
    AUDIT INFORMATIQUE
    Fonction sécurité

    Sécurité
    Logique
    AUDIT INFORMATIQUE
    Fonction sécurité

    Sécurité physique
    L ’accès physique à l ’environnement
    informatique est-il protégé?

    Circulation des personnes

    Accès des étrangers


    AUDIT INFORMATIQUE
    Fonction sécurité
    Sécurité physique
    L ’accès physique aux
    endroits où sont stockés les
    supports des sauvegardes,
    d ’archives, de la
    documentation…
    est-il réglementé?
    AUDIT INFORMATIQUE
    Fonction sécurité
    Sécurité physique

    Y ’a -t-il une protection contre


    l ’incendie?
    Détection
    Extinction automatique
    AUDIT INFORMATIQUE
    Fonction sécurité
    Sécurité physique
    Y ’a -t-il un risque d ’inondation?
    AUDIT INFORMATIQUE
    Fonction sécurité
    Sécurité physique
    La salle des serveurs est-elle protégée
    contre les défauts d ’alimentation
    électrique?

    •Onduleurs,
    •Groupes électrogène de secours,
    •Fiabilité des installation électriques
    AUDIT INFORMATIQUE
    Fonction sécurité
    Sécurité physique
    La salle des serveur est-elle protégée
    contre les intrusions (en dehors des
    heures de travail)?
    •Gardiennage,
    •Télésurveillance,
    •Alarmes.
    AUDIT INFORMATIQUE
    Fonction sécurité
    Sécurité physique
    ASSURANCES

    L ’entreprise a-t-elle souscrit une


    assurance couvrant les risques
    informatiques:
    •Destruction, vol de matériel,
    •Destruction de fichiers….
    AUDIT INFORMATIQUE
    Fonction sécurité

    Sécurité
    logique
    AUDIT INFORMATIQUE
    Sécurité Logique
    Concerne la protection et la
    confidentialité des données (Fichiers
    et programmes) pour éviter:
    •Le détournement de fond
    •La destruction de l ’environnement
    •Les erreurs
    AUDIT INFORMATIQUE
    Sécurité Logique
    Mots de passe

    Identification de terminaux

    Criptage des données


    AUDIT INFORMATIQUE
    Sécurité Logique
    Programmes de contrôle

    Procédures d ’exploitation
    AUDIT INFORMATIQUE
    Sécurité Logique
    Mots de passe

    Vérifier que l ’accès aux applications est réglementé


    par des mots de passe
    Les mots de passes sont ils suffisamment sophistiqués?
    Vérifier la bonne gestion des mots des passe: Affectés
    nominativement et modifiés de temps en temps, tenue
    d ’une table des mots de passe...
    AUDIT INFORMATIQUE
    Sécurité Logique
    Identification de terminaux

    Dans les cas où la sécurité doit être


    renforcée, vérifier que le terminal
    appelant est lui-même identifié
    pour réduire les risques
    d ’intrusion .
    AUDIT INFORMATIQUE
    Sécurité Logique
    Criptage des données

    Vérifier que les données les plus sensibles


    sont criptées pour éviter qu’elles ne soient
    accessibles en cas de vol ou qu’elles ne
    soient divulguées aux agents n ’ayant pas
    droit (données confidentielles).
    AUDIT INFORMATIQUE
    Sécurité Logique
    Vol et piratage

    Vérifier l ’existence de procédures de lutte


    contre le vol et le piratage des fichiers et
    des programmes:
    Existe-t-il des pièges en ce sens?
    AUDIT INFORMATIQUE
    Sécurité Logique
    Procédures d ’exploitation

    Vérifier que les procédures de sauvegarde


    existent et sont appliquées.
    AUDIT INFORMATIQUE
    Sécurité Logique
    Contrôle dans les logiciels

    Vérifier que les applications comportent


    des modules de contrôle permettant
    d ’éviter les erreurs
    Que les applications sont suffisamment
    testées avant leur mise en production….
    E
    E N
    N DD
    E N
    EE N D
    D
    N D
    EENNDD
    E N
    END D

    Vous aimerez peut-être aussi