Académique Documents
Professionnel Documents
Culture Documents
L'exploitation et la maintenance
sont des phases essentielles dans
le cycle de vie d'un logiciel de
Système d'Information (SI) une
fois qu'il est déployé
LIENS PROCESSUS -
ACTEURS
La création d'un logiciel de Système
d'Information (SI) implique des
processus et des acteurs clés qui jouent
des rôles importants dans le succès du
projet.
(MOA) est la partie prenante qui définit
les besoins du projet de logiciel de SI. Il
s'agit de l'entité ou de la personne pour
laquelle le logiciel est créé.
(MOE) est la partie chargée de la
conception et du développement du
logiciel.
Les risques et les contrôles
en environnement informatisé
Les risques et le SI Les risques et les contrôles en
• Dans les entreprises où “l’information” est un produit en environnement informatisé
tant que tel
sont des aspects cruciaux lors
(banques, assurances, opérateurs de télécommunication, grande
de la création d'un logiciel de
distribution, industries à flux tendus), une grande partie des
risques du groupe sont, par définition, liés au système
Système d'Information (SI). Il
d’information. est essentiel de comprendre
– Source : Analyse et gestion des risques dans les grandes ces concepts pour garantir la
entreprises sécurité, la qualité et la
Impacts et rôles pour la DSI - CIGREF 2007 fiabilité du logiciel.
SPÉCIFICITÉS
DES ENVIRONNEMENTS
INFORMATISÉS
Complexité
La prise en compte des
– Eléments techniques multiples de natures très
diverses spécificités des environnements
– Multiples intervenants informatisés est essentielle lors de
– Identification et localisation des anomalies la création d'un logiciel de
– Nombreuses voies d’accès aux données et aux
traitements
Système d'Information (SI). Ces
Caractère “immatériel” des éléments à protéger spécificités concernent
Conséquences étendues lors de l'infrastructure matérielle, les
dysfonctionnements
systèmes d'exploitation, les
Séparation des fonctions incompatibles
réseaux, la sécurité et d'autres
Liens entre contrôles informatisés et contrôles
manuels aspects.
IDENTIFICATION DES
RISQUES
EN PRODUCTION
• MPA 2100-2 (Sécurité de l’information) Audit de la sécurité informatique : L'auditeur examine les contrôles de sécurité mis en place pour protége
menaces internes et externes. Cela inclut l'évaluation des pare-feu, des systèmes de détection d'intrusion,
identités et des accès, et d'autres mesures de sécurité.
• MPA 2100-6 (e-Commerce)
Audit de la conformité : L'auditeur s'assure que le SI est conforme aux normes, réglementations et politiq
• MPA 2100-8 (Respect des données privées) peut inclure des normes de sécurité telles que ISO 27001, des réglementations spécifiques à l'industrie, o
internes de l'organisation.
• MPA 2100-9 (Application systems review) Audit des processus opérationnels : L'auditeur examine les processus opérationnels liés au SI pour s'assu
efficaces et efficients. Cela peut inclure l'évaluation des procédures de sauvegarde, de la gestion des incid
des changements, etc.
• MPA 2100-11 (Pervasive controls)
Audit des systèmes informatiques : L'auditeur évalue la conception, la mise en œuvre et l'efficacité des s
• MPA 2100-12 (Externalisation) informatiques. Cela peut inclure l'audit des bases de données, des applications, des serveurs, et d'autres c
• MPA 2100-13 (Prestataires) Évaluation des risques : L'auditeur identifie et évalue les risques potentiels pour le SI. Cela peut inclure d
sécurité, à la continuité des opérations, à la conformité, etc.
• MPA 2100-14 (Preuves d’audit) Audit des projets informatiques : Lors du développement de nouveaux systèmes ou de la mise à niveau d
existants, l'auditeur peut participer à l'évaluation des projets informatiques pour s'assurer qu'ils respecten
• MPA 2110-2 (Plan de continuité) qualité et de sécurité.
Communication des résultats : L'auditeur communique les résultats de ses audits aux parties prenantes, y
direction de l'entreprise. Cela peut inclure des recommandations pour améliorer la sécurité, l'efficacité et
SI.
Formation et sensibilisation : L'auditeur peut être impliqué dans des initiatives de formation et de sensibi
DES GUIDES À L’ATTENTION DES RAI
Responsables de l'Audit Interne (RAI) dans le domaine de l'audit du système d'inform
Guide de l'Audit du SI par l'ISACA : L'ISACA (Information Systems Audit and Contro
• GTAG - Global Technology Audit Guide - guides et des normes reconnus dans le domaine de l'audit du système d'information. Le
de l'ISACA est particulièrement pertinent.
– GTAG 1 : les contrôles en environnement informatisé
COBIT (Control Objectives for Information and Related Technologies) : COBIT est un
– GTAG 2 : La maintenance l'ISACA qui fournit des principes de contrôle et des directives pour l'audit du système
des guides détaillés pour aligner les objectifs métier avec les objectifs informatiques.
– GTAG 3 : L’audit continu
ISO/IEC 27001 - Systèmes de management de la sécurité de l'information : Cette norm
– GTAG 4 : Le management de l’audit des SI les exigences pour établir, mettre en œuvre, maintenir et améliorer un système de mana
l'information. Elle peut servir de guide pour l'audit de la sécurité de l'information.
– GTAG 5 : Le respect de la vie privée
NIST (National Institute of Standards and Technology) : Les publications du NIST, en
– GTAG 6 : Le processus de gestion des risques informatiques 800-53 (Security and Privacy Controls for Federal Information Systems and Organizat
sécurité informatique qui peuvent être utilisés comme références pour l'audit du SI.
– GTAG 7 : L’audit des contrôles applicatifs
Guide d'Audit de l'ISACA pour les Technologies de l'Information : L'ISACA propose u
– GTAG 8 : L’externalisation des prestations informatiques "IT Audit Guide" qui couvre divers aspects de l'audit des technologies de l'information
sécurité et de conformité.
– GTAG 9 : Identity and Access Management
Guide pratique de l'Audit Interne - Protiviti : Protiviti est une société de conseil qui pro
– GTAG 10 : Business Continuity Management compris des guides pratiques, pour l'audit interne. Leur guide peut être utile pour les re
interne impliqués dans l'audit du SI.
– GTAG 11 : Developing the IT Audit Plan
Guide de Bonnes Pratiques de l'Audit Interne - IIA : L'IIA (Institute of Internal Auditor
– GTAG 12 : Auditing IT Projects bonnes pratiques pour l'audit interne, qui peuvent également s'appliquer à l'audit du SI.