THEME

Désacraliser les Systèmes

d’Information
LE DÉVELOPPEMENT LOGICIEL
Le développement de logiciel est le
processus de création, de conception, de
programmation, de test et de
maintenance de logiciels informatiques
du SI.
La maîtrise de la qualité, du coût et du délai est essentielle
dans le développement de logiciel pour plusieurs raisons :
 Satisfaction du client
 Économies de coûts
 Respect des délais
 Qualité du produit
 Gestion efficace des ressources
 Gestion efficace des ressources
 Gestion des risques
ACTIVITÉS
Les activités de mise en place
d'un logiciel de gestion du SI
commencent par la création d'un
comité de gestion de projet. Le
comité de gestion de projet
prévoit les infrastructures et la
formation des utilisateurs finaux.
ANALYSE
L'analyse est une étape cruciale
dans la création d'un logiciel de
Système d'Information (SI). Elle
vise à comprendre, spécifier et
structurer les besoins et les
processus qui seront pris en
charge par le logiciel.
CONCEPTION
La conception est une phase
essentielle dans le processus de
création d'un logiciel de Système
d'Information (SI). Elle consiste à
prendre les spécifications définies
lors de l'analyse et à élaborer un
plan détaillé pour la réalisation du
logiciel: utilisation d'algorithme
 PROGRAMMATION ET
TESTS
Différents langages sont:
SG web: php, phython, java EE
SG non Web: C , C++ , Java
La programmation pour la
création d'un logiciel de Système
d'Information (SI) est l'étape où le
code informatique est écrit pour
mettre en œuvre les conceptions
et les spécifications définies
précédemment.
Le choix du langage de
programmation dépend des
besoins du projet. Différents
langages sont:
EXPLOITATION ET
MAINTENANCE

L'exploitation et la maintenance
sont des phases essentielles dans
le cycle de vie d'un logiciel de
Système d'Information (SI) une
fois qu'il est déployé
LIENS PROCESSUS -
ACTEURS
La création d'un logiciel de Système
d'Information (SI) implique des
processus et des acteurs clés qui jouent
des rôles importants dans le succès du
projet.
(MOA) est la partie prenante qui définit
les besoins du projet de logiciel de SI. Il
s'agit de l'entité ou de la personne pour
laquelle le logiciel est créé.
(MOE) est la partie chargée de la
conception et du développement du
logiciel.
 Les risques et les contrôles
en environnement informatisé
Les risques et le SI Les risques et les contrôles en
 • Dans les entreprises où “l’information” est un produit en environnement informatisé
tant que tel
sont des aspects cruciaux lors
(banques, assurances, opérateurs de télécommunication, grande
de la création d'un logiciel de
distribution, industries à flux tendus), une grande partie des
risques du groupe sont, par définition, liés au système
Système d'Information (SI). Il
d’information. est essentiel de comprendre
– Source : Analyse et gestion des risques dans les grandes ces concepts pour garantir la
entreprises sécurité, la qualité et la
Impacts et rôles pour la DSI - CIGREF 2007 fiabilité du logiciel.
 SPÉCIFICITÉS
DES ENVIRONNEMENTS
INFORMATISÉS
 Complexité
La prise en compte des
– Eléments techniques multiples de natures très
diverses spécificités des environnements
– Multiples intervenants informatisés est essentielle lors de
– Identification et localisation des anomalies la création d'un logiciel de
– Nombreuses voies d’accès aux données et aux
traitements
Système d'Information (SI). Ces
 Caractère “immatériel” des éléments à protéger spécificités concernent
 Conséquences étendues lors de l'infrastructure matérielle, les
dysfonctionnements
systèmes d'exploitation, les
 Séparation des fonctions incompatibles

réseaux, la sécurité et d'autres
Liens entre contrôles informatisés et contrôles
manuels aspects.
 IDENTIFICATION DES
RISQUES
EN PRODUCTION

 • MEHARI - CLUSIF L'identification des risques est

 • Identification d’impacts une étape critique dans la gestion
– Données, Infrastructure informatique, de projet, en particulier dans le
Infrastructure générale... contexte de la production d'un
 • Identification de types d’exposition logiciel de Système d'Information
– Accidents, Erreurs, Actes volontaires (SI).
(malveillants ou non)
 • Identification de centaines de mesures
– Dissuasives, préventives, de protection,
palliatives, de récupération
 LES CONTRÔLES EN ENVIRONNEMENT
INFORMATISÉ
 • Les contrôles généraux.
– Conception, Sécurité,
Organisation, Politiques...
 • Les contrôles des applications.
– Contrôles fonctionnels sur les
données (entrée, traitement, sortie)
Les contrôles en environnement
informatisé, également connus
sous le nom de contrôles
informatiques, sont des
mécanismes intégrés dans les
systèmes d'information (SI) pour
garantir la sécurité, l'intégrité, la
disponibilité et la confidentialité
des données.
CONTRÔLES GÉNÉRAUX
Les contrôles généraux dans le
contexte d'un logiciel de Système
d'Information (SI) se réfèrent aux
mécanismes et aux politiques qui
assurent la sécurité, la fiabilité et
l'intégrité du logiciel et de ses
opérations. Ces contrôles sont
souvent mis en place au niveau de
l'infrastructure, des opérations
générales et de la gestion.
 ORGANISATION
la maîtrise d'ouvrage représente les
besoins métier et les attentes de
l'organisation, tandis que la
maîtrise d'œuvre se charge de la
 • La maîtrise d’ouvrage (MO)
conception technique et de la
– Est responsable des évolutions de
réalisation du logiciel. La
l’organisation
collaboration étroite entre la MOA
– Définit les besoins
et la MOE est essentielle pour
– Conçoit le système d’information garantir le succès du projet de
cible
développement du logiciel de SI.
 • La maîtrise d'œuvre (ME)
– A une obligation de résultat
– Fournit le produit spécifié
– Coordonne les prestations techniques
 Gestion des compétences
La gestion des compétences dans
le contexte d'un logiciel de
Système d'Information (SI)
 • Identification et formalisation des concerne la capacité à mobiliser,
besoins en formation pour chaque développer et optimiser les
 catégorie d’intervenants du processus compétences nécessaires pour
informatisé. concevoir, développer, exploiter
 • Définir les modalités de formation. et maintenir ce logiciel.
 • Évaluation des compétences acquises
au cours des formations.
 • Les compétences doivent être
partagées afin de pallier les
indisponibilités
 éventuelles
 SÉCURITÉ PHYSIQUE
 • Les accès physiques
 • L’alimentation électrique
 • La climatisation
 • La protection incendie
 • La protection contre les
catastrophes naturelles
(inondations...)
La sécurité physique d'un logiciel
de Système d'Information (SI) est
une composante essentielle de la
sécurité globale du SI. Elle se
concentre sur la protection des
infrastructures matérielles, des
locaux physiques, et des
ressources associées au
fonctionnement du logiciel.
 Sécurité logique
La sécurité logique d'un logiciel
 • Politique de sécurité de Système d'Information (SI) est
 • Les accès une composante essentielle pour
– La gestion des habilitations prend protéger les données, les systèmes
en charge la séparation des tâches et les utilisateurs contre les
– Inventaire exhaustif des voies
menaces et les attaques
d’accès aux informations informatiques.
– Identification / Authentification /
Autorisation individuelle des
utilisateurs
– Politique des mots de passe
– Journalisation et examen des accès
non autorisés
 LES SAUVEGARDES
Les sauvegardes sont une
composante critique de la gestion
d'un logiciel de Système
 • Procédure formalisée d'Information (SI). Elles
garantissent la disponibilité, la
 • Responsabilités définies
récupération des données et la
 • Inventaire exhaustif des actifs à
continuité des opérations en cas
sauvegarder
de perturbation, de perte de
 • Sécurisation et externalisation des
données, ou de défaillance du
sauvegardes
système.
 • Analyse périodique de la qualité
des sauvegardes
 • Respect des exigences légales et
réglementaires
 PLAN DE CONTINUITÉ
 • Plan de Continuité d'Activité et
Plan de Reprise d'Activé
 • Plan formalisé
– Analyse des risques et des impacts
– Classification des actifs à restaurer
– Organisation et responsabilités
– Procédures
 • Tests périodiques
 • Actualisation permanente
Le Plan de Continuité d'Activité
(PCA) ou Plan de Reprise d'Activité
(PRA) pour un logiciel de Système
d'Information (SI) est un ensemble de
procédures et de ressources planifiées
pour garantir la continuité des
opérations en cas d'incidents majeurs,
tels que des pannes système, des
catastrophes naturelles, des
cyberattaques, ou d'autres événements
perturbateurs.
 MÉTHODOLOGIE DE
DÉVELOPPEMENT
 • Formalisée et comprise.
 • Prévoit des actions de validation à
chaque étape du processus de
développement.
 • Inclut des étapes d’étude
d’opportunité, d’étude de faisabilité,
d’étude économique, de choix de
solutions.
 • Inclut des standards de conception
et de réalisation-
Le choix de la méthodologie
dépend souvent des
caractéristiques du projet, des
compétences de l'équipe, et des
préférences organisationnelles.
Certaines entreprises adoptent des
approches plus traditionnelles,
tandis que d'autres optent pour
des méthodologies Agile plus
flexibles.
 PROPRIÉTÉ
 • Tous les actifs informationnels doivent La propriété d'un logiciel de
avoir un propriétaire formellement Système d'Information (SI) se
désigné. réfère à la manière dont les droits,
 • Le propriétaire est responsable de la le contrôle et l'accès au logiciel
sécurité et des évolutions de sont gérés.
l’application informatique.
 • Le propriétaire attribue les
autorisations d’accès à l’application
informatique.
 • Le propriétaire élabore la
classification des données de
l’application informatique
 GESTION DES MODIFICATIONS
 • Procédures de demande de La gestion des modifications (ou
modifications (évolutives / gestion de la configuration) d'un
correctives) formalisées et
standardisées.
logiciel de Système d'Information
(SI) est un processus crucial pour
 • Un dispositif global de gestion des
modifications, validation, et
gérer les modifications, les mises
distribution des applications à jour et les évolutions du logiciel
informatiques doit exister (gestion de de manière contrôlée et organisée.
configurations).
– Suivi et archivage des demandes
– Critères d'évaluation
 • Les modifications urgentes doivent
faire l’objet d’une attention
particulière.
– Procédure spécifique ?
SÉPARATION DE FONCTIONS
La séparation de fonctions,
également connue sous le nom de
"separation of concerns" en
anglais, est un principe de
conception de logiciel qui vise à
diviser un système complexe en
composants distincts, chacun
étant responsable d'une fonction
spécifique et clairement
délimitée.
 GESTION DES INCIDENTS
 • Procédure formalisée incluant les
dispositifs d’escalade
 • Utilisation d’un outil de suivi des
incidents
 • Les incidents sont documentés,
suivis, résolus et clôturés
 • Existence d’un incident manager
 • Existence d’indicateurs de
performance
 • Comité de suivi des incidents
La gestion des incidents dans le
contexte d'un logiciel de Système
d'Information (SI) est une
discipline cruciale visant à
minimiser l'impact des incidents
sur les opérations et à rétablir le
service normal aussi rapidement
que possible.
 Niveaux de service
Les niveaux de service (Service
Level Agreements ou SLA en
anglais) d'un logiciel de Système
 • Élaboration d’une convention de service d'Information (SI) définissent les
entre les utilisateurs et le service engagements entre les
d’exploitation informatique.
fournisseurs de services
 • Définition des responsabilités de chaque
partie quant au fonctionnement de informatiques et les utilisateurs
l’application informatique. finaux. Ils jouent un rôle crucial
 • Définition des niveaux de services attendus.
dans la gestion de la qualité de
 • Validation des moyens mis en œuvre.
service.
 • Information du service d’exploitation
informatique par les utilisateurs des montées
en charge prévisibles.
 • Revue périodique de la convention-
 CONTRÔLES
D’APPLICATION
Les contrôles d'application, dans le contexte des
systèmes d'information (SI), font référence aux mesures
de sécurité mises en place pour assurer la fiabilité, la
confidentialité, l'intégrité et la disponibilité des
applications logicielles.

• Sur les Entrées

– Enregistrement et supervision des documents sources
– Formatage des informations
– Contrôle de validité et de cohérence
– Totaux de contrôle des entrées batch
• Sur les Traitements
– Totaux de contrôle
– Comparaison d’information mouvements / informations principales
• Sur les Sorties
– Totaux de contrôle Entrée / Sortie
– Examens des journaux
 DE MULTIPLES
RÉFÉRENTIELS
Lorsque l'on parle de "multiples
référentiels" dans le contexte d'un
logiciel de Système d'Information
 • ITIL (Information Technology (SI), cela fait référence à la
Infrastructure Library) / BS 15000 / ISO gestion de plusieurs référentiels
20000 ou sources de données au sein
 • CMMI (Capability Maturity Model d'un même système.
Integration)
 • ISO 17799 / ISO 27001 (Information
Security Management System)
 • ISO SPICE (Software Process
Improvement and Capability
Determination) / ISO 12207
 • ISO 90003
 • ISO 9126
... SUR LESQUELS S’APPUIE COBIT

COBIT (Control Objectives for

Information and Related Technologies)
est un framework de gouvernance des
technologies de l'information qui
fournit des bonnes pratiques pour la
gestion et le contrôle des technologies
de l'information (TI) dans les
organisations. COBIT s'appuie sur
plusieurs référentiels pour offrir une
approche complète de la gouvernance
des TI.
OBJECTIF MÉTIER // ACTIVITÉ
INFORMATIQUE

Lorsqu'on parle d'objectifs métier et d'activités informatiques dans

un Système d'Information (SI), il est important de comprendre
comment l'informatique est alignée sur les objectifs globaux de
l'entreprise. Voici quelques points à retenir sur ce sujet :

Alignement sur les objectifs métier : Les activités informatiques

au sein d'un SI doivent être étroitement alignées sur les objectifs
métier de l'entreprise. Cela signifie que les projets informatiques
et les initiatives technologiques doivent contribuer directement à
la réalisation des objectifs stratégiques de l'entreprise.

Compréhension des besoins métier : Les professionnels de

l'informatique doivent avoir une compréhension approfondie des
besoins métier de l'entreprise. Cela nécessite une collaboration
étroite entre les équipes métier et informatique pour s'assurer que
les solutions développées répondent aux exigences
opérationnelles
ACTIVITÉ INFORMATIQUE //
MESURES

l'activité informatique génère des

données significatives, et la
mesure de ces données est
cruciale pour la gestion et
l'amélioration continues d'un
Système d'Information. Cela
permet une prise de décision
informée, l'optimisation des
ressources et la réponse proactive
aux problèmes potentiels.
 RÔLE DE L’AUDITEUR
 Rôle de l’auditeur : les
Normes
 Compétences : 1210.A3
 • Compétences : 1220.A2
 • Nature du travail : 2110.A2
 • Nature du travail – Contrôle :
2120.A1
Le rôle de l'auditeur dans un
Système d'Information (SI) est
crucial pour s'assurer de la
transparence, de la sécurité et de
la conformité des opérations
informatiques au sein d'une
organisation.
 RÔLE DE L’AUDITEUR : LES MPAs
 • MPA 1220-2 (CAATs)
 • MPA 2100-2 (Sécurité de l’information)
 • MPA 2100-6 (e-Commerce)
 • MPA 2100-8 (Respect des données privées)
 • MPA 2100-9 (Application systems review)
 • MPA 2100-11 (Pervasive controls)
 • MPA 2100-12 (Externalisation)
 • MPA 2100-13 (Prestataires)
 • MPA 2100-14 (Preuves d’audit)
 • MPA 2110-2 (Plan de continuité)
Un auditeur, dans le contexte des systèmes d'information, joue un rôle crucial pour évaluer et assurer la s
et la conformité d'un SI. Voici quelques aspects du rôle de l'auditeur dans le contexte des systèmes d'info
Audit de la sécurité informatique : L'auditeur examine les contrôles de sécurité mis en place pour protége
menaces internes et externes. Cela inclut l'évaluation des pare-feu, des systèmes de détection d'intrusion,
identités et des accès, et d'autres mesures de sécurité.
Audit de la conformité : L'auditeur s'assure que le SI est conforme aux normes, réglementations et politiq
peut inclure des normes de sécurité telles que ISO 27001, des réglementations spécifiques à l'industrie, o
internes de l'organisation.
Audit des processus opérationnels : L'auditeur examine les processus opérationnels liés au SI pour s'assu
efficaces et efficients. Cela peut inclure l'évaluation des procédures de sauvegarde, de la gestion des incid
des changements, etc.
Audit des systèmes informatiques : L'auditeur évalue la conception, la mise en œuvre et l'efficacité des s
informatiques. Cela peut inclure l'audit des bases de données, des applications, des serveurs, et d'autres c
Évaluation des risques : L'auditeur identifie et évalue les risques potentiels pour le SI. Cela peut inclure d
sécurité, à la continuité des opérations, à la conformité, etc.
Audit des projets informatiques : Lors du développement de nouveaux systèmes ou de la mise à niveau d
existants, l'auditeur peut participer à l'évaluation des projets informatiques pour s'assurer qu'ils respecten
qualité et de sécurité.
Communication des résultats : L'auditeur communique les résultats de ses audits aux parties prenantes, y
direction de l'entreprise. Cela peut inclure des recommandations pour améliorer la sécurité, l'efficacité et
SI.
Formation et sensibilisation : L'auditeur peut être impliqué dans des initiatives de formation et de sensibi
 DES GUIDES À L’ATTENTION DES RAI
 • GTAG - Global Technology Audit Guide -
– GTAG 1 : les contrôles en environnement informatisé
– GTAG 2 : La maintenance
– GTAG 3 : L’audit continu
– GTAG 4 : Le management de l’audit des SI
– GTAG 5 : Le respect de la vie privée
– GTAG 6 : Le processus de gestion des risques informatiques
– GTAG 7 : L’audit des contrôles applicatifs
– GTAG 8 : L’externalisation des prestations informatiques
– GTAG 9 : Identity and Access Management
– GTAG 10 : Business Continuity Management
– GTAG 11 : Developing the IT Audit Plan
– GTAG 12 : Auditing IT Projects
– GTAG 13 : Fraud Prevention and Detection in an automated World
Responsables de l'Audit Interne (RAI) dans le domaine de l'audit du système d'inform
Guide de l'Audit du SI par l'ISACA : L'ISACA (Information Systems Audit and Contro
guides et des normes reconnus dans le domaine de l'audit du système d'information. Le
de l'ISACA est particulièrement pertinent.
COBIT (Control Objectives for Information and Related Technologies) : COBIT est un
l'ISACA qui fournit des principes de contrôle et des directives pour l'audit du système
des guides détaillés pour aligner les objectifs métier avec les objectifs informatiques.
ISO/IEC 27001 - Systèmes de management de la sécurité de l'information : Cette norm
les exigences pour établir, mettre en œuvre, maintenir et améliorer un système de mana
l'information. Elle peut servir de guide pour l'audit de la sécurité de l'information.
NIST (National Institute of Standards and Technology) : Les publications du NIST, en
800-53 (Security and Privacy Controls for Federal Information Systems and Organizat
sécurité informatique qui peuvent être utilisés comme références pour l'audit du SI.
Guide d'Audit de l'ISACA pour les Technologies de l'Information : L'ISACA propose u
"IT Audit Guide" qui couvre divers aspects de l'audit des technologies de l'information
sécurité et de conformité.
Guide pratique de l'Audit Interne - Protiviti : Protiviti est une société de conseil qui pro
compris des guides pratiques, pour l'audit interne. Leur guide peut être utile pour les re
interne impliqués dans l'audit du SI.
Guide de Bonnes Pratiques de l'Audit Interne - IIA : L'IIA (Institute of Internal Auditor
bonnes pratiques pour l'audit interne, qui peuvent également s'appliquer à l'audit du SI.
FIN