Académique Documents
Professionnel Documents
Culture Documents
d’Informations
ꢀ
Inadéquation
au processus
... de gestion Non conformité
aux dispositions
légales
Absence
Continuité
d ’information
d ’exploitation
décisionnel le
de l ’entreprise
4
Préoccupations des directions générales
Mise en œuvre et
Choix et orientation du Exploitation
développement
système d ’information du SI
du SI
• Objectif :
ꢂ S ’assurer que tout se passe bien conformément aux règles et
aux usages professionnels
ꢂ Pour toutes les faiblesses importantes détectées, évaluer et
justifier les risques, et
ꢂ Proposer des actions correctives
• Moyens
ꢂ Observer, analyser et juger des faits
ꢂ Evaluer l ’adéquation et le fonctionnement des activités par
comparaison avec un référentiel
ꢂ Appliquer des démarches cohérentes
• Domaines
ꢂ Toutes les fonctions de l ’entreprise peuvent être auditées
ꢂ Audit
– Démarche de généraliste
– Collecte de faits
– Analyse de processus
– Recommandations
ꢂ Expertise
– Spécialiste d ’un domaine
– Approche technique
– Mesures de performances
– Recherche de solutions
ꢂ Conseil
– Connaissance d ’un domaine
– Approche généraliste
– Axes d ’amélioration
– Pilotage du changement
IIbrahima TOBE, PhD 9
Trois grands types d ’audits
• Plan
ꢂ Questions usuelles de la direction générale concernant la
fonction informatique
ꢂ Positionnement et structure de la fonction informatique
ꢂ Les bonnes pratiques concernant la fonction informatique
ꢂ Les points de contrôles
ꢂ Exemples de mission d ’audit
17
Audit de la fonction informatique
18
Audit de la fonction informatique
19
Audit de la fonction informatique
20
Audit de la fonction informatique
21
Audit de la fonction informatique
• Compétences et qualification du
personnel
ꢂ Les besoins en personnel informatiques doivent périodiquement
être évalués (au moins une fois par an).
ꢂ Une supervision effective du personnel informatique doit être
faite notamment pour juger s ’il dispose des moyens pour faire
son travail et s ’il est performant.
ꢂ Tous les postes doivent disposer d ’une description de poste
mettant en avant les compétences et l ’expérience nécessaire.
ꢂ Il doit exister une claire séparation des tâches notamment entre
la maintenance des applications et l ’exploitation.
22
Audit de la fonction informatique
• Compétences et qualification du
personnel
ꢂ Le personnel clé doit être identifié
ꢂ Le personnel sous contrat doit faire l ’objet d ’un contrôle
particulier notamment pour s ’assurer que les actifs
informationnels sont garantis.
23
Audit de la fonction informatique
24
Audit de la fonction informatique
25
Audit de la fonction informatique
26
Audit de la fonction informatique
27
Audit de la fonction informatique
28
Audit de la fonction informatique
29
Audit de la fonction informatique
30
Audit de la fonction informatique
31
Audit de la fonction informatique
32
Audit de la fonction informatique
33
Audit de la fonction informatique
34
Audit de la fonction informatique
35
1. Notions de base de l ’audit des SI
2. Présentation de 3 domaines d ’Audit des SI
2.1. Audit de la fonction informatique
2.2. Audit des projets
2.3. Audit de la Sécurité
3. Conduite d ’une mission d ’audit
36
Audit des projets
• Plan
ꢂ La notion de projet
ꢂ Particularités des projets informatiques
ꢂ Tenir les délais et les budgets
ꢂ Evaluation des risques liés aux projets
ꢂ Les bonnes pratiques concernant les projets informatiques
ꢂ Les points de contrôles
ꢂ Exemples de mission d ’audit
37
Audit des projets
• La notion de projet
ꢂ Un projet c ’est d ’abord une équipe
ꢂ C ’est ensuite un délai
– Une date de début
– Une date de fin
ꢂ C ’est aussi une organisation spécifique
ꢂ Et, bien entendu, un budget particulier
ꢂ Rôle clé du chef de projet dans la réussite du projet
ꢂ C ’est une activité voisine de celle du :
– Bâtiment
– Ingénierie
38
Audit des projets
39
Audit des projets
• Tenir les délais et les budgets
ꢂ Gestion de projet :
– Découper
– Evaluer
– Planifier
– Animer
– Suivre
– Ajuster
ꢂ Découpage du projet en étape :
– Conception générale
– Conception détaillée
– Développement
– Test
– Installation et déploiement
– Bilan
40
Audit des projets
41
Audit des projets
• Evaluation des risques liés aux projets
ꢂ Efficacité de l ’organisation de la fonction d ’études :
– Système de management
– Gestion des ressources
– Productivité des études
– Formation
ꢂ Sur un ensemble de projets rechercher les causes de dérapages :
– Les fonctions livrées
– Les coûts
– Les délais
ꢂ Efficacité de la méthode de conduite des projets :
– La gestion de projet
– Le processus de développement
– L ’assurance qualité
– Le système de pilotage
42
Audit des projets
43
Audit des projets
44
Audit des projets
45
Audit des projets
46
1. Notions de base de l ’audit des SI
2. Présentation de 3 domaines d ’Audit des SI
2.1. Audit de la fonction informatique
2.2. Audit des projets
2.3. Audit de la Sécurité
3. Conduite d ’une mission d ’audit
47
Audit de la sécurité
• Plan
ꢂ Existence de risques importants liés aux systèmes d ’information
ꢂ Quatre notions fondamentales
ꢂ Les facteurs de limitation des risques
ꢂ Les bonnes pratiques concernant la sécurité
ꢂ Les points de contrôle
ꢂ Exemples de missions d ’audit
48
Audit de la sécurité
49
Audit de la sécurité
50
Audit de la sécurité
• La menace
ꢂ Il existe de nombreuses menaces dans le domaine de
l ’informatique :
– Les erreurs
– Les malveillances
– Les accidents
– ....
ꢂ Elles concernent :
– Les biens matériels
” Les bâtiments
” Le réseau
” Les équipements informatiques
51
Audit de la sécurité
• La menace
– Les biens immatériels
” des logiciels (de base, applications,...)
” des données de gestion
” des ressources humaines
52
Audit de la sécurité
• Le facteur de risque
ꢂ Un facteur de risque est une cause de vulnérabilité due à une
faiblesse de l ’organisation, des méthodes, des techniques des
outils ou du système de contrôle
ꢂ Les risques informatiques peuvent être accrus de différentes
manière :
– Absence de politique informatique
– Faible participation des utilisateurs
– Méthodes inadaptées aux objectifs
– Obsolescence des techniques utilisées
– Compétences insuffisantes
– Faiblesse des processus de gestion
– ...
ꢂ La médiocrité du management informatique est un facteur
accroissant le niveau de risque
53
Audit de la sécurité
• La manifestation du risque
ꢂ La destruction physique du centre de calcul (incendie,
inondation,...) est spectaculaire mais en fait peu fréquente
ꢂ Le vrai risque est invisible
ꢂ Il se manifeste de différentes manières :
– Pénétration du réseau par des intrus
– Vols d ’informations
– Concurrence faussée
– Falsification des données
– ...
ꢂ L ’entreprise victime d ’un concurrent risque de ne s ’en
apercevoir que lorsqu’elle va perdre des marchés et des clients
sans savoir pourquoi
54
Audit de la sécurité
• La maîtrise du risque
ꢂ Méthodes pour identifier les risques en terme de menace ou de
facteurs de risques (Marion)
ꢂ Identification des parades
ꢂ La sécurité physique
– Contrôle d ’accès aux locaux
– Protection incendie
– ...
ꢂ La sécurité logique
– Contrôle d ’accès aux systèmes, aux programmes, aux données
– ....
ꢂ Importance du plan de secours permettant de faire face à la
disparition totale ou partielle du système d ’information
55
Audit de la sécurité
56
Audit de la sécurité
57
Audit de la sécurité
58
Audit de la sécurité
59
Audit de la sécurité
• La compétence du personnel
ꢂ La sécurité du système d ’information dépend surtout de la
compétence du personnel
ꢂ Plus il est compétent, plus il est à même d ’intervenir rapidement
et efficacement pour limiter les risques
ꢂ Ceci concerne l ’exploitation mais aussi les études
ꢂ Il est en particulier nécessaire d ’intervenir rapidement en cas
d ’incident sans prendre de risques excessifs
ꢂ La maintenance à la suite d ’un incident peut être l ’occasion
d ’une succession de problèmes notamment si on supprime
certains contrôles ou si on ne teste pas complètement les
programmes modifiés
60
Audit de la sécurité
61
Audit de la sécurité
62
Audit de la sécurité
63
Audit de la sécurité
64
Audit de la sécurité
65
Audit de la sécurité
66
Audit de la sécurité
67
Audit de la sécurité
68
Audit de la sécurité
69
1. Notions de base de l ’audit des SI
2. Présentation de 3 domaines d ’Audit des SI
2.1. Audit de la fonction informatique
2.2. Audit des projets
2.3. Audit de la Sécurité
3. Conduite d ’une mission d ’audit
70
Plan
71
Les six phases de la mission
ꢂ La planification de la mission
ꢂ La collecte des faits, la réalisation de tests,...
ꢂ Entretiens avec les audités
ꢂ Rédaction du rapport final,
ꢂ Présentation et discussion de ce rapport
• La durée de chaque phase est variable selon la nature
desquestions et leur complexité
72
1 - Définition de la mission : Périmètre de la mission
Mise en œuvre et
Choix et orientation du Exploitation
développement
système d ’information du SI
du SI
73
REVUE DES CONTRÖLES GENERAUX
INFORMATIQUES
ꢃ Objectif:
ꢄ S ’assurer que l ’informatique est sous contrôle
ꢅ Principaux objectifs de contrôle:
ꢄ Stratégie informatique : pilotage des SI, schéma directeur,orientation
stratégiques, plan à court
ꢄ Fonction informatique: positionnement, rôle, organisation et règles de
Mise en œuvre
contrôle (séparation des tâches)
Choix et orientation
ꢆ Livrable:
ꢄ Une appréciation globale du système d ’information et évaluation des
risques génériques liés à l ’environnement informatique de l ’entreprise.
ꢄ Plan de recommandation et audit des risques spécifiques accrus
74
AUDIT : ALIGNEMENT STRATEGIQUE
ꢃ Objectif:
ꢄ Auditer la coincidance de la stratégie système d ’information avec la ou les
stratégies métiers de l ’entreprise afin de renforcer la valeur d ’usage du
SI.
Mise en œuvre
ꢄ Processus de planification stratégique a moyen et long terme: stratégie
métiers, schéma directeur informatique (projets et budget investissements)
Choix et orientation
et Exploitati
du système
développemen on du SI
d ’information
t du SI
75
AUDIT : FONCTION INFORMATIQUE
ꢃ Objectif:
ꢄ Auditer la coincidance la stratégie système d ’information sur la ou les
stratégies métiers de l ’entreprise afin de renforcer la valeur d ’usage du
SI.
ꢅ Principaux objectifs de contrôle:
ꢄ Rôle et positionnement de l ’informatique dans l ’entreprise : rattachement
à la DG,, relation avec la maîtrise d ’ouvrage, comités informatiques
Choix et orientation
Mise en œuvre
et Exploitati
ꢄ Mesure et suivi de la performance: existence d ’objectif et d ’indicateurs
du système
76
AUDIT : PROJETS INFORMATIQUES
ꢃ Objectif:
ꢄ Auditer l ’organisation et le pilotage de la fonction informatique
ꢅ Principaux objectifs de contrôle:
ꢄ Définition des projets: objectifs du projets, le périmètre, les interactions
avec d ’autres projets, moyens humains et techniques, les délais, le budget,
ꢄ Structure de gestion des projets: maîtrise d ’ouvrage, maîtrise d ’œuvre,
Choix et orientation
Mise en œuvre
et Exploitati
organe de suivi et de pilotage du projet, efficience des organes de décision,
du système
tests
ꢄ Conduite de changement: évaluation des changements, plan de
communication, plan de formation,reprise des données
ꢆ Livrable:
ꢄ Identification des risques projets des causes de dysfonctionnements
ꢄ Mesures clés pour la réussite et l ’aboutissement des projets informatiques
77
AUDIT : APPLICATIONS INFORMATIQUES
ꢃ Objectif:
ꢄ Auditer l ’adéquation des applications informatiques aux exigences des
utilisateurs et au standards d ’exploitation
ꢅ Principaux objectifs de contrôle:
ꢆ Livrable:
ꢄ Une identification de l ’adéquation des applications aux besoins et aux
exigences d ’exploitations des utilisateurs
ꢄ Plan de recommandation et audit spécifique des risques accrus
78
URBANISATION DU SYSTEME D ’INFORMATION
ꢃ Objectifs:
ꢄ Faire converger le système d ’information avec les objectifs stratégiques de
l ’entreprise
ꢄ Assurer la gestion intégrée et cohérente du SI,
ꢄ Préparer le SI à intégrer et à maîtriser les changements progressifs qui se
Mise en œuvre
feront dans l ’entreprise
Choix et orientation
et Exploitati
ꢅ
du système
79
1 - Définition de la mission : Etablissement de la lettre de
mission
80
2 - Planification de la mission :
le choix de la démarche
81
3 - La collecte des faits, la réalisation des tests,...
82
4 - Entretiens avec les audités
83
5 - Faut-il un rapport ?
• De nombreux arguments :
ꢂ C’est long à faire
ꢂ Les décideurs n’ont pas le temps de le lire
ꢂ Il ne sert à rien
ꢂ…
• Il serait préférable de faire une présentation
PowerPoint
• C’est une grave erreur
• Il faut les deux : le rapport et la
présentation
84
5 - Le rapport d’audit : la conception, la rédaction, la
présentation
• Le rapport d’audit est un document de
référence
• Importance de définir à qui il est destiné et comment il
seradiffusé
85
Quelques conseils de rédaction du rapport d’audit
87
6 - Présentation et discussion du rapport
88
Bâtir un plan d’action
90
Comment améliorer la qualité de la démarche ?
91
Bibliographie
• www.afai.asso.fr
• www.isaca.org et surtout knet
• CobiT
• La Revue Audit et Conseil en Technologies de
l’Information (Revue de l’AFAI)
92
MERCI POUR
VOTRE
ATTENTION
93