InfoGestion V 63.13

HEWLETT-PACKARD
Audit et Scurit des

Systmes
dinformation
ASSI v0.5.2
AWOUZOUBA ESSSO-ESSINAM
2
Audit & Scurit Des Systmes dInformation 2014
AWOUZOUBA Esso-Essinam 90794666

cawouzouba@gmail.com
I. Le gouvernement
d'entreprise
Introduction
Les problmes lis linformatique sont essentiellement des problmes de logiciel
La crise du logiciel daprs travaux de Standish Group en 1995 permet de voir que sur 9380 projets tudis, la
situation est de moins apprciables telle que exemplifie par le tableau ci-dessus :
Projets
succ
s
8380
16%
Problmatique (hors budget hors Echec

dlais,
spcifications
non /abandon
fonctionnelles)
53%
31%
La gouvernance d'entreprise - ou corporate governance - dsigne le systme form par l'ensemble
des processus, rglementations, lois et institutions destins cadrer la manire dont l'entreprise est dirige,
administre et contrle.
En fonction des objectifs qui gouvernent l'entreprise, ce systme est appel rguler les relations entre les
nombreux acteurs impliqus ou parties prenantes. ( : stakeholders).
Les acteurs cls sont les actionnaires qui lisent le Conseil d'administration, lequel mandate la Direction, selon
des modalits propres au rgime juridique de ladite socit. Les employs, les fournisseurs, les clients, les
banques ou autres prteurs, le voisinage, l'environnement et les tiers sont les autres stakeholders
1. Dfinition
La gouvernance du SI (SI :est un ensemble organis de ressources (matriels, logiciels, personnel, donnes et
procdures) qui permet de collecter, regrouper, classifier, traiter et diffuser de l'information dans un environnement
donn) consiste d'abord fixer au SI des objectifs lis la stratgie de l'entreprise. Cette dmarche permet de
dfinir la manire dont le SI permet lentreprise de crer de la valeur en prcisant le rle des diffrents
acteurs en tenant compte de leurs enjeux de pouvoir. Elle donne rponse des questions telles que :
la Direction des SI est-elle responsable de la mise en uvre du SI ou est-ce le rle des mtiers ou des matrise
d'ouvrage (MOA) ?
La gouvernance des SI ou gouvernance informatique (IT gouvernance) renvoie aux moyens de gestion et de
rgulation des SI mis en place dans une organisation en vue d'atteindre ses objectifs.. Les mthodes ITIL ( IT
infrastructure library ) et COBIT sont par exemple des supports permettant de mettre un SI sous contrle et de le
faire voluer en fonction de la stratgie de l'organisation.
Les SI font 15 20 % du chiffre d'affaires des entreprises, soit 50 % de la valeur ajoute gnre par les
entreprises. Globalement, cela fait entre 20 25 mille milliards USD. Mais ce ne sont pas que des dpenses
sans contreparties car une partie importante partie est constitue par des investissements qui permettent de
dvelopper la capacit de l'entreprise crer de la valeur. Le dveloppement des SI permet d'augmenter la
valeur ajoute cre par l'entreprise.
3

Le dveloppement des SI reprsente des investissements consquents qu'il faut grer.

Ce qui fait la russite des entreprises dominante de SI. C'est le concept de Peter
Drucker
d'IBO,
Information
Based
Organization,
utilis
par
Google, WallMart, Amazon, Dell, ....
2. Buts
La gouvernance des SI a pour but de dfinir les principaux objectifs, les fonctions et les tches pour alimenter
la nouvelle fonction du management de l'information. Il est pour cela ncessaire d'tudier et de proposer de
nouvelles solutions, pour positionner cette nouvelle fonction dans l'architecture des modles d'organisation et
notamment de mettre en place des tableaux de bord des SI
La gouvernance des SI a lenjeu de dvelopper la capacit de l'entreprise crer de la valeur base sur 4 axes :
La cration et le dveloppement des services ( e-commerce, e-storage, e-services)

La cration de nouveaux produits (voitures lectroniques, hybriques, photocopieurs)
L'amlioration des processus de l'entreprise ( la gestion de la relation
client ,CRM ; gestion de la logistique, SCM : supply chain management )
Le dveloppement des partenariats (clients, fournisseurs, concurrents)
3. Comment Grer les investissements des SI ?
Les SI ncessitent des investissements dans plusieurs domaines :

les infrastructures : serveurs, postes de travail, routeurs, etc.
les applicatifs : logiciels de base, progiciels, applications spcifiques, etc.
la mise en place du systme : efforts sur la formation, capitalisation du savoir, etc.
l'organisation et l'optimisation des processus existants.
4. Comment Piloter des SI?
Un systme d'information doit tre pilot .Cela se fait sur la base de trois rgles savoir :
Fixer des objectifs lis la stratgie de l'entreprise,
Lier les innovations permises par le SI en crant de nouveaux produits, des processus innovateurs ou
des services plus efficaces,
Tenir compte de la valeur ajoute cre par le systme d'information par rapport aux dpenses
engendres par la mise en place de celui-ci, ceci dans une optique long terme.
4

II. Urbanisation des SI

Introduction
L'urbanisation du SI d'une organisation consiste faire voluer le SI pour qu'il soutienne et accompagne
efficacement et avec efficience les missions de cette organisation et leurs transformations. L'urbanisation du SI
prend en compte l'existant et doit permettre de mieux anticiper les volutions ou contraintes internes et externes
impactant le SI, et en s'appuyant le cas chant sur des opportunits technologiques. Il y a analogie entre
l'urbanisation de l'habitat humain (organisation des villes, du territoire), et urbanisation informatique
L'urbanisation SI ringnierie du (SI) est l'action d'urbaniser le SI : cette dmarche prvoit des principes et rgles
ainsi qu'un cadre cohrent, stable et modulaire, auquel les diffrentes instances dcisionnaires de l'organisation
peuvent se rfrer pour toute dcision d'investissement relative au management du SI.
Les volutions des stratgies d'entreprise (fusions, acquisitions, diversification des offres commerciales, ecommerce, CRM, nouveaux modes ou canaux de distribution, partenariats, rorganisation, externalisation,
redploiement des fonctions de back et front office, etc.) impliquent des changements structurels importants et
accroissent linterdpendance (dpendance mutualise) et limbrication des applications informatiques avec le risque
de renforcer leffet sac de nud du SI.
Cette complexit croissante a des consquences sur les cots, les dures et les risques des projets dvolution des SI.
la dmarche durbanisation des SI et par son prolongement au niveau de larchitecture des SI est la rponse la
maitrise progressive de lvolution des SI en vue de rduire les cots.

Cette dmarche d'urbanisation vise un SI capable de soutenir et daccompagner la stratgie d'entreprise dans le
meilleur rapport cots/qualit/dlais.
Elle permet damliorer la ractivit et de ninvestir que dans
les produits et services gnrateurs de valeur ajoute, tout en matrisant les charges informatiques et le retour sur
investissement.
1. Principe de l'urbanisation du SI
L'urbanisation rpond deux rgles de base :
Une application doit appartenir-en cible- un et un seul bloc (pour quelle raison ?).
Les dpendances doivent respecter les notions de Cohrence Forte / Couplage Faible
entre les applications,
au sein d'une application : entre les diffrents modules,
au sein d'un module : entre les diffrents composants.
Le terme -en cible- dfinit l'application que l'on cherche avoir to be. Elle s'oppose
l'existant -la situation actuelle- As is. La mthode pour passer du as-is actuel au to-be souhait est appel la ou
feuille de route
La notion de Cohrence Forte / Couplage Faible indique que deux applications doivent communiquer entre elles de
faon simple et efficace, mais que la dpendance entre ces deux applications est minimale (idalement inexistante).
Cela permet donc de retirer un bloc pour le remplacer sans perturber le reste du SI.
Le SI est comparable au quartier d'une ville bien bti et bien urbanis, il est possible de raser un btiment au cur
du quartier sans mettre en pril tout le secteur, et de le remplacer ou de reconstruire un autre btiment, en raccordant
ce nouveau btiment aux diffrents rseaux d'changes : voirie d'accs, lectricit, vacuation des eaux uses, etc.
L'urbanisation consiste donc crer un SI agile, modulable et volutif.
5

2. Application des concepts d'urbanisation

Lurbanisation SI est une dmarche d'aide la transformation, rationalisation, simplification et amlioration du SI.
Certains auteurs comparent le SI limage dune ville, c'est--dire rflchie, structure, durable. Dans le
prolongement de cette analogie - qui a toutefois des limites -, l'urbanisation du SI consiste planifier des refontes
structurantes pour optimiser, les changes, les services, la flexibilit, la modularit ... et d'une faon plus gnrale
rpondre la stratgie SI de l'entreprise en parallle de l'volution du mtier.
a) Le plan d'urbanisme SI ou Plan d'Occupation des Sols (POS)

Pour faciliter les planifications face aux volutions du SI, l'urbanisation s'appuie sur un plan d'urbanisme appel
POS, en analogie avec l'urbanisme civil. Le POS consiste reprsenter le SI en sappuyant sur une cartographie
fonctionnelle du SI et un dcoupage en capacits autonomes,: les zones, les quartiers, les lots, ,briques
Le POS doit faciliter la construction d'une architecture optimise du point de vue fonctionnel du SI qui est le point
de vue pivot entre le point de vue du mtier et le point de vue informatique.
Plus particulirement, lurbanisation vise :
renforcer la capacit construire et intgrer des sous-systmes d'origines diverses,

renforcer la capacit faire interagir les sous-systmes du SI et les faire interagir avec dautres SI
(interoprabilit),
renforcer la capacit pouvoir remplacer certains de ces sous-systmes (interchangeabilit).
favoriser son volutivit, sa prennit et son indpendance du SI,
renforcer sa capacit intgrer des solutions htrognes (progiciels, lments de diffrentes platesformes).
b) Exemple de rgles de dcoupage du SI
Rgle 1 : Sparation du Back-office du Front-office.

Rgle 2 : Dcoupage par processus et par mtier. On cre ainsi les zones Dcisionnel, Support et Mtier.
( La zone Mtier peut tre dcoupe en plusieurs blocs.)
Rgle 3 : Sparation des canaux technologiques d'accs et de communication (site Web, notification
SMS, ...) des canaux du mtier 'Relation Client' (CRM, Marketing). On inscrit deux nouvelles zones dans le
Front-Office : Acquisition/Restitution et Relation avec les tiers.
Rgle 4 : Il faut isoler ce qui est partag par le Back-office et le Front-office ainsi que ce qui les intgre. On
dfinit donc les zones Intgration et Donnes Partages.
c) Les diffrents types de zones

En gnral, dans le dcoupage d'un SI on distingue diffrents types de zones :
Les
zones
des changes avec
lextrieur
du
SI : acquisition/mission
de/vers
les partenaires : clients, fournisseurs,
Les zones des activits oprationnelles : gestion des oprations bancaires, gestion des oprations
commerciales, gestion des oprations logistiques internes, etc. ;
Les zones de gestion des donnes de rfrence communes l'ensemble du SI : les rfrentiels de donnes
structures (donnes clients, catalogue de produits et services, etc.) ;
Les zones de gestion des gisements de donnes : ensemble des informations produites quotidiennement,
communes l'ensemble du SI (donnes de production, etc.) ;
Les zones des activits de support : comptabilit, ressources humaines, etc. ;
Les zones des traitements pour laide la dcision et le pilotage : informatique dcisionnelle.
6

Lurbanisation totale et efficace des grandes entreprises demande le dcoupage du SI de l'entreprise en primtres
autonomes ; par exemple : par grandes directions. Sa zone d'change gre les flux extra-entreprises "SI SI
extrieurs" que les flux intra-entreprises "SI autres SI de l'entreprise".
3. Comment urbaniser ?
La dmarche durbanisation suppose 3 axes cls imbriques (qui salimentent mutuellement) :
la modlisation de la stratgie
la cartographie des systmes existants (mtier, fonctionnels, applicatifs, techniques)
la dtermination des systmes cibles (mtier, fonctionnels, applicatifs, techniques)
La dmarche durbanisation du SI consiste notamment :
dfinir un SI cible, align sur la stratgie de lentreprise,

dterminer la trajectoire suivre pour atteindre ce SI cible.
Indpendamment des diffrentes approches qui, selon le contexte de l'entreprise et les options mthodologiques,
peuvent tre prconises les activits d'urbanisations se classent en cinq grands domaines :
Le "cur" des processus d'urbanisme,

Dfinir et maintenir le cadre d'urbanisme : plans durbanisme (cibles et scnarios de migration), rgles, ,
Raliser et maintenir l'infrastructure fonctionnelle du SI : rfrentiels dentreprise, dispositifs mutualiss
dchanges inter-applicatifs, ,
Dvelopper les relations avec les projets : cadrage, tudes amont, accompagnement des projets,
Les processus de support : notamment Maintenir et diffuser les cartographies .
Et les processus de pilotage de l'urbanisation et de participation l'arbitrage des
projets.
7

III. Audit
Introduction
L'audit informatique (ou IT Audit) permet lidentification et lvaluation des risques (oprationnels,
financiers, de rputation notamment) associs aux activits informatiques d'une entreprise. Laudit se base
sur le cadre rglementaire du secteur dactivit du pays concern (ie le CRBF 97-02 pour une banque
franaise), sur les rfrentiels de bonnes pratiques existants (ie le rfrentiel CobiT), sur les benchmarks
disposition et sur lexprience professionnelle des auditeurs impliqus.
Il existe deux grandes catgories daudit : Les audits globaux d'entit (audits des activits ayant trait aux
systmes dinformations et audits thmatiques, ayant pour objectif la revue dun thme informatique au
sein dune entit (la gestion de projet, la scurit logique par exemple).
Laudit nest pas lactivit de conseil qui vise amliorer le fonctionnement et la performance d'une
organisation avec une ventuelle implication dans la mise en uvre de cette amlioration.
1. Les concepts de base de l'audit informatique

Laudit informatique se base sur La notion de contrle. L'objectif est de mettre en place des dispositifs de
contrle efficaces et performants permettant de matriser l'activit informatique en vue de sassurer de la
ralisation raisonnable des trois objectifs suivants :
la conformit aux lois et aux rglements,

la fiabilit des informations financires,
la ralisation et l'optimisation des oprations (le champ de laudit informatique).
La dmarche d'audit informatique se dfinit partir des proccupations du demandeur d'audit

(CEO,CFO,CIO), Il va pour cela mandater l'auditeur pour rpondre une liste de questions prcises qui
font, plus ou moins implicitement, rfrence l'tat des bonnes pratiques connues dans ce domaine. Cela
se traduit par un document important : la lettre de mission qui prcise le mandat excuter et qui donne
les pouvoirs ncessaires l'auditeur.
L'auditeur informatique va se servir de rfrentiels d'audit informatique lui donnant l'tat des bonnes
pratiques dans ce domaine. CobiT: Val IT, Risk IT, ISO 27002, CMMi, ITIL,
2. Diffrents types d'audit informatique

La dmarche d'audit informatique est gnrale et s'applique diffrents domaines comme la fonction
informatique, les tudes informatiques, les projets informatiques, l'exploitation, la planification de
l'informatique, les rseaux et les tlcom, la scurit informatique, les achats informatiques,
l'informatique locale ou l'informatique dcentralise, la qualit de service, l'externalisation, la gestion de
parc, les applications oprationnelles il existe les audits informatiques ci-aprs :
a. Audit de la fonction informatique

Le but de l'audit de la fonction informatique est de rpondre aux proccupations du (CEO, CIO)
concernant l'organisation de la fonction informatique, son pilotage, son positionnement dans la structure,
ses relations avec les utilisateurs, ses mthodes de travail
8

Pour effectuer un audit de la fonction informatique on se base sur les bonnes pratiques connues en matire
d'organisation de la fonction informatique. On peut citer :
la clart des structures et des responsabilits de l'quipe informatique,

la dfinition des relations entre la direction gnrale, les directions fonctionnelles et
oprationnelles et la fonction informatique,
l'existence de dispositifs de mesures de l'activit (tableau de bord de la fonction informatique),
le niveau des comptences et des qualifications du personnel de la fonction.
le rle des directions fonctionnelles et oprationnelles dans le pilotage informatique et
notamment l'existence d'un comit de pilotage de l'informatique,
la mise en uvre de politiques, de normes et de procdures spcifiques la fonction,
la dfinition des responsabilits respectives de la fonction informatique et des units utilisatrices
concernant les traitements, la maintenance, la scurit, les investissements, les dveloppements,
.
l'existence de mcanismes permettant de connatre et de suivre les cots informatiques, soit
l'aide d'une comptabilit analytique, soit, dfaut, grce un mcanisme de refacturation,
le respect des dispositifs de contrle interne comme une valuation priodique des risques, la
mesure de l'impact de l'informatique sur les performances de l'entreprise
Ces diffrents objectifs de contrle correspondent au processus PO 4 de CobiT : "Dfinir les processus,
l'organisation et les relations de travail".
b. Audit des tudes informatiques (AEI)

L'AEI est un sous-ensemble de l'audit de la fonction informatique. Le but de cet audit est de s'assurer que
son organisation et sa structure sont efficaces, que son pilotage est adapt, que ses diffrentes activits
sont matrises, que ses relations avec les utilisateurs se droulent normalement,
Pour effectuer un audit des tudes informatiques on se base sur la connaissance des bonnes pratiques
recenses dans ce domaine. Parmi celles-ci on peut citer :
c. Audit de l'exploitation
L'audit de l'exploitation a pour but de s'assurer que les diffrents centres de production informatiques
fonctionnent efficacement et qu'ils sont correctement grs. Il est pour cela ncessaire de mettre en uvre
des outils de suivi de la production comme Openview d'HP, de Tivoli d'IBM, Nagios (GPL). Ce sont de SI
ddis l'exploitation.
Laudit de l'exploitation sappuie sur des bonnes pratiques concernant ce domaine :
la clart de l'organisation de la fonction notamment le dcoupage en quipes, la dfinition des

responsabilits,
l'existence d'un SI ddi l'exploitation notamment pour suivre la gestion des incidents, la
gestion des ressources, la planification des travaux, les procdures d'exploitation,
la mesure de l'efficacit et de la qualit des services fournies par l'exploitation informatique.
la qualit de la planification de la production,
la gestion des ressources grce des outils de mesure de la charge, des simulations, le suivi des
performances,
9
l'existence de procdures permettant de faire fonctionner l'exploitation en mode dgrad de faon

faire face une indisponibilit totale ou partielle du site central ou du rseau,
la gestion des incidents de faon les reprer et le cas chant d'empcher qu'ils se renouvellent,
les procdures de scurit et de continuit de service qui doivent se traduire par un plan de
secours,
la matrise des cots de production grce une comptabilit analytique permettant de calculer
les cots complets des produits ou des services fournis.
Ces objectifs de contrle correspondent au processus DS 1, DS 3, DS 6, DS 12 et DS 13 de CobiT
: DS 1 "Dfinir et grer les niveaux de services",

DS 3 "Grer la performance et la capacit",
DS 6 "Identifier et imputer les cots", DS 12 "Grer l'environnement physique",
DS 13 "Grer l'exploitation".
d. Audit des projets informatiques

L'audit des projets informatiques a pour but de vrifier le droulement normal et l'enchanement des
oprations logiquement et efficacement en vue davoir de fortes chances d'arriver la fin de la phase de
dveloppement une application qui sera performante et oprationnelle.
Les bonnes pratiques pour effectuer un audit d'un projet informatique sont nombreuses et connues par
tous les chefs de projets et de manire plus gnrale par tous professionnels concerns. On peut citer :
l'existence d'une mthodologie de conduite des projets,

la conduite des projets par tapes quel que soit le modle de gestion de projets : cascade, V, W ou
en spirale (processus itratif),
le respect des tapes et des phases du projet,
le pilotage du dveloppement (les rles du chef de projet et du comit de pilotage),
la conformit du projet aux objectifs gnraux de l'entreprise,
la mise en place d'une note de cadrage, d'un plan de management de projet ou d'un plan
d'assurance qualit (PAQ),
la qualit et la compltude des tudes amont : tude de faisabilit et analyse fonctionnelle,
l'importance accorde aux tests, notamment aux tests faits par les utilisateurs.
la clart et l'efficacit du processus de dveloppement,
l'existence de procdures, de mthodes et de standards donnant des instructions claires aux
dveloppeurs et aux utilisateurs,
la vrification de l'application effective de la mthodologie,
la validation du primtre fonctionnel doit tre faite suffisamment tt dans le processus de
dveloppement,
la gestion des risques du projet. Une valuation des risques doit tre faite aux tapes cls du
projet.
Ces diffrents objectifs de contrle correspondent aux processus PO 10, AI 1 et AI 2 de CobiT :
PO 10 "Grer le projet" mais aussi

AI 1 "Trouver des solutions informatiques" et
AI 2 "Acqurir des applications et en assurer la maintenance".
e. Audit des applications oprationnelles (AAO)
10

Il couvre un domaine plus large et s'intresse au SI de l'entreprise. Ce peut tre l'audit de l'application
comptable, de la paie, de la facturation,. Mais, de plus en plus souvent, on s'intresse l'audit d'un
processus global de l'entreprise comme les ventes, la production, les achats, la logistique,
L'auditeur va s'assurer du respect et de l'application des rgles de contrle interne. Il va en particulier
vrifier que :
les contrles en place sont oprationnels et sont suffisants,

les donnes saisies, stockes ou produites par les traitements sont de bonnes qualits,
les traitements sont efficaces et donnent les rsultats attendus,
l'application est correctement documente,
les procdures mises en uvre dans le cadre de l'application sont jour et adaptes,
l'exploitation informatique de l'application se fait dans de bonnes conditions,
la fonction ou le processus couvert par l'application est efficace et productif,
Le but de lAAO est de donner au management une assurance raisonnable sur son fonctionnement. Ces
contrles sont raliss par le Commissaire aux Comptes dans le cadre de sa mission lgale d'valuation
des comptes d'une entreprise : est-ce que le logiciel utilis est sr, efficace et adapt ?
Pour effectuer l'audit d'une application oprationnelle on va recourir aux objectifs de contrle les plus
courants :
le contrle de la conformit de l'application oprationnelle par rapport la documentation

utilisateur, au cahier des charges d'origine et aux besoins actuels des utilisateurs,
la vrification des dispositifs de contrle en place (donnes entres, les donnes stockes, les
sorties, les traitements,) L'auditeur assure quils existent et remplissent leur fonction
l'valuation de la fiabilit des traitements se fait grce l'analyse des erreurs ou des anomalies qui
surviennent dans le cadre des oprations courantes. Pour aller plus loin l'auditeur peut aussi tre
amen constituer des jeux d'essais pour s'assurer de la qualit des traitements.
la mesure des performances de l'application pour s'assurer que les temps de rponse sont
satisfaisants mme en priode de forte charge. L'auditeur va aussi s'intresser au nombre
d'oprations effectues par le personnel dans des conditions normales d'utilisation.
Trs souvent on demande l'auditeur d'valuer la rgularit, la conformit, la productivit, la prennit de

l'application oprationnelle. Ce sont des questions dlicates poses par le management l'auditeur.
f. Audit de la scurit informatique (ASI)

L'ASI a pour but de donner au management une assurance raisonnable du niveau de risque de l'entreprise
li des dfauts de scurit informatique. On constate actuellement une augmentation de ces risques lie
au dveloppement d'Internet. Ils sont lis la conjonction de quatre notions fondamentales :
En permanence il existe des menaces significative concernant la scurit informatique de

l'entreprise et notamment ses biens immatriels,
le facteur de risque est une cause de vulnrabilit due une faiblesse de l'organisation, des
mthodes, des techniques ou du systme de contrle,
la manifestation du risque. Tt ou tard le risque se manifeste. Il peut tre physique (incendie,
inondation) mais en gnral, il est invisible et se traduit notamment par la destruction des
donnes, dtournement de trafic, etc..
la matrise du risque ( mettre en place des mesures permettant de diminuer le niveau des risques
notamment en renforant les contrles d'accs, l'authentification des utilisateurs,)
11

Pour effectuer un ASI il est ncessaire de se baser sur quelques objectifs de contrle dont :
reprer les actifs informationnels de l'entreprise. Ce sont des matriels informatiques, des
logiciels et des bases de donnes. Il est pour cela ncessaire d'avoir des procdures de gestion
efficaces et adaptes,
identifier les risques. Il doit exister des dispositifs de gestion adapts permettant de surveiller les
domaines risque. Cette surveillance doit tre assure par un RSSI, un responsable de la scurit
informatique,
valuer les menaces. Le RSSI a la responsabilit de reprer les principaux risques lis aux
diffrents domaines du SI. Un document doit recenser les principales menaces,
mesurer les impacts. Le RRSI doit tablir une cartographie des risques associs au SI. Il est alors
envisageable de construire des scnarios d'agression et d'valuer les points de vulnrabilit,
dfinir les parades. Pour diminuer le niveau des risques il est ncessaire de
prvoir les dispositifs comme des contrles d'accs, le cryptage des donnes, le plan de
secours,
Il existe de nombreux autres objectifs de contrle concernant l'audit de la scurit informatique qui sont
choisis en fonction des proccupations et des attentes du demandeur d'audit.
Ces diffrents objectifs de contrle correspondent aux processus de CobiT
DS 5 : "Assurer la scurit des systmes" et

PO 9 "Evaluer et grer les risques". Il existe un rfrentiel spcifique la scurit informatique :
ISO 27002. C'est un code des bonnes pratiques concernant le management de la scurit des SI. Il
est complt par la norme ISO 27001 concernant la mise en place d'un Systme de Management
de la scurit de l'Information.
3. Dmarche d'audit informatique

Une mission d'audit informatique se prpare par un pr-diagnostic afin de prciser les questions que cet
audit va traiter. Cela se traduit par l'tablissement d'une lettre de mission dtaillant les points auditer.
Pour mener bien l'audit informatique il est recommand de suivre les six tapes ci-aprs :
l'tablissement de la lettre de mission faite par le demandeur daudit et qui mandate lauditeur.
la planification de la mission permet de dfinir la dmarche dtaille qui sera suivie.
la collecte des faits, la ralisation de tests,
les entretiens avec les audits.
la rdaction du rapport d'audit assorti des recommandations proposes,
la prsentation et la discussion du rapport d'audit au demandeur d'audit.
Il peut arriver qu' la suite de la mission d'audit il soit demand l'auditeur d'tablir le plan d'action et
ventuellement de mettre en place un suivi des recommandations.
4. Les rfrentiels d'audit informatique

Il existe diffrents rfrentiels comme :
CobiT : C'est le principal rfrentiel des auditeurs informatiques,

Val IT permet d'valuer la cration de valeur par projet ou par portefeuille de projets,
Risk IT a pour but d'amliorer la matrise des risques lis l'informatique
12

CobiT and Applications Controls.

ISO 27002, un code des bonnes pratiques en matire de management de la scurit des SI,
CMMi : Capability Maturity Model integration qui est une dmarche d'valuation de la qualit de
la gestion de projet informatique,
ITIL . ITIL (Information Technology Infrastructure Library pour Bibliothque pour l'infrastructure des
technologies de l'information ) est un ensemble d'ouvrages recensant les bonnes pratiques ( best
practices ) du management du SI. Rdige l'origine par des experts de l'Office public britannique
du Commerce (OGC), la bibliothque ITIL a fait intervenir partir de sa version 3 des experts issus de plusieurs
entreprises
de
services
telles
qu'Accenture, Ernst
&
Young, HewlettPackard, Deloitte, BearingPoint ouPriceWaterhouseCoopers.
C'est un rfrentiel trs large qui aborde les sujets suivants :
Comment organiser un systme d'information ?
Comment amliorer l'efficacit du systme d'information ?
Comment rduire les risques ?
Comment augmenter la qualit des services informatiques ?
Le CobiT (en franais Objectifs de contrle de lInformation et des Technologies Associes) est un outil
fdrateur qui permet d'instaurer un langage commun pour parler de la gouvernance des SI tout en tentant
d'intgrer d'autres rfrentiels tels que ISO 9000, ITIL,
. Le rfrentiel principal de gouvernance et daudit des SI est le CobiT. En rsum le CobiT est un cadre de
rfrence pour maitriser la gouvernance des SI dans le temps.
Le CobiT a t dvelopp en 1994 (et publi en 1996) par lISACA (Information Systems Audit and Control
Association). LISACA a t cr en 1967 et est reprsent en France depuis 1982 par lAFAI (Association
Franaise de lAudit et du Conseil Informatiques). C'est un cadre de contrle qui vise aider le management
grer les risques (scurit, fiabilit, conformit) et les investissements.
CobiT v 4.1 est une approche oriente processus, qui regroupe en quatre domaines (planification, construction,
excution et mtrologie, par analogie avec la Roue de Deming), 34 processus distincts qui comprennent en tout
215 activits et un nombre plus important encore de pratiques de contrle . Un volet "valuation des
systmes d'information", connu sous le nom de Val IT tente de complter cette approche.
La version 5 de COBIT est disponible depuis avril 2012 1. Cette version apporte des modifications
importantes. Les niveaux de maturit ont t ajusts et sept facilitateurs font leur
apparition. De plus, un ensemble de guides venant appuyer le rfrentiel sont publis
(mise en uvre, scurit...).
"Le CobiT" consiste dcomposer tout systme informatique en :
Planification et organisation
Livraison et support
Planification et Organisation : dans ce domaine nous cherchons savoir comment utiliser les techniques
informatiques afin que lentreprise atteigne ses objectifs.
Dfinition du plan stratgique informatique, de l'architecture des informations, de la direction

technologique
Organisation du service informatique
Gestion des investissements et RH
Communication des objectifs de la direction et Respect des exigences lgales
valuation des risques
Gestion des projets et de la qualit
13

Acquisition et Installation : ici CobiT cherche dfinir, acqurir et mettre en uvre des technologies
en les alignant avec les processus mtiers de lentreprise.
Identification des solutions automatiques
Acquisition et maintenance des applications informatiques
Acquisition et maintenance de l'infrastructure technique
Dveloppement et maintien des procdures
Installation et certification des systmes
Gestion des modifications
Livraison et Support : lobjectif est de garantir lefficacit et lefficience des systmes technologiques en
action.
Dfinition des niveaux de service

Gestion des services aux tiers et des performances et des capacits
Garantie de la poursuite des traitements et de la scurit des systmes
Identification et attribution des cots
Formation et Assistance des utilisateurs
Gestion de la configuration, des incidents, donnes et des applications
Scurit physique du systme
Gestion de l'exploitation
Monitoring : Il convient ici de vrifier que la solution mise en place est en adquation avec les besoins
de lentreprise dans une vision stratgique.
Surveillance des processus
Apprciation du contrle interne
Certification par un organisme indpendant
Audit par un organisme indpendant
Le CobiT sadresse diffrents utilisateurs :
Le management pour lequel il offre un moyen daide la dcision
Les utilisateurs directs pour lesquels il permet dapporter des garanties sur la scurit et les contrles
des services informatiques.
Les auditeurs et les consultants auxquels il propose des moyens dinterventions reconnus
internationalement.
5. Le package CobiT 4.1

Il comprend 6 publications :
1.
2.
3.
4.
5.
6.
Executive summary (rsum de la vue densemble de la mthodologie CobiT pour les

managers presss)
Framework (cadre de rfrence explicatif de la mthode, des domaines et processus)
Control objectives (215 objectifs de contrle : ces objectifs sont directement orients vers le
management et les quipes responsables des services informatiques)
Audit guidelines (le guide de laudit) ; il sagit de dceler, danalyser et expliquer les failles
dun systme et les risques qui en dcoulent ainsi que de leur apporter des solutions.
Implementation Tool Set (les outils de la mise en uvre du CobiT)
Management Guidelines (le guide du management). Celui-ci dispose dun modle de maturit
pour valuer, sur une chelle de 5 degrs, le niveau dvolution de chacun des processus. Ce
guide propose un cadre de pilotage de type tableau de bord prospectif (balanced scorecard).
Lobjectif est dassurer ladquation durable entre les technologies, les processus
mtiers et la stratgie de lentreprise.
a. Critres de l'information
14

Cette rubrique va intresser la direction gnrale en indiquant ce que l'implantation

d'un processus donn va apporter sur les informations (par exemple sur l'information
dcisionnelle). Ces critres sont :
efficacit : qualit et pertinence de linformation, distribution cohrente

efficience : rapidit de dlivrance
confidentialit : protection contre la divulgation
intgrit : exactitude de linformation
disponibilit : accessibilit la demande et protection (sauvegarde)
conformit : respect des rgles et lois
fiabilit : exactitudes des informations transmises par le management
En amliorant l'information selon ces critres, l'organisation pourra atteindre plus

facilement ses objectifs, cela ouvrira des nouvelles opportunits et amliorera la
rentabilit.
b. Les ressources
Cette partie concerne plus le directeur des SI (DSI) ou responsable des SI (RSI), pour
l'informer des ressources qui vont tre impactes par le processus. Les diffrentes
ressources sont :
les comptences : le personnel, efficacit des collaborateurs (internes et

externes)
les applications : ensemble des procdures de traitement
l'infrastructure : ensemble des installations, Data Center
les donnes : informations au sens global (format, structure)
les techniques : quipement, logiciels, bases de donnes, rseaux
c. Les processus
Destins l'attention du gestionnaire de processus, ils vont dfinir la structure des domaines, des processus et
des tches. Il faut savoir quun processus se dfinit comme un ensemble de tches. Par exemple, le processus
comptable intervient dans le domaine administratif et financier et se divise en activits telles que la
saisie de factures, ldition de balance . CobiT propose un modle de maturit pour chaque processus afin
de le situer par rapport aux meilleures pratiques du march. Le modle comprend 6 niveaux (0 5).
Les facteurs cls de succs dfinissent les actions les plus importantes entreprendre pour matriser les
processus. Les indicateurs cls dobjectif permettent de savoir a posteriori si un processus a rpondu aux
objectifs (en termes de critres dinformation). Enfin, les indicateurs cls de performance dterminent la
qualit de fonctionnement dun processus (capacit atteindre les objectifs).
d. CobiT Quickstart
Cette version simplifie de CobiT sadresse principalement aux PME pour lesquelles les techniques
informatiques ne reprsentent pas un enjeu stratgique mais simplement un levier dans leur stratgie de
croissance. Elle se repose sur les hypothses suivantes :
linfrastructure informatique nest pas complexe, entreprise de petite taille

la tolrance aux risques est relativement leve du fait de lexternalisation des tches complexes,
lventail des contrles est peu tendu,
la structure de commandement est simple.
15

Cette version conserve de CobiT 30 processus sur les 34, et 62 objectifs de contrle sur les 318.
La mise en uvre Quickstart comprend 6 tapes :
valuer le bien-fond cest--dire dterminer si cette version est adapte lentreprise ;
valuer la situation actuelle partir de collectes dinformations auprs des personnes cl et de
rapports daudit ;
Dterminer la cible avec la dfinition de lactivit, des contraintes lgales, et de la dpendance de lentreprise
vis--vis de la technologie ;
Analyser les carts par lexamen des pratiques de contrle et des facteurs cls de succs ;
Dfinir les projets damlioration des processus
laborer un programme intgr de mise en place de la gouvernance en tenant
compte des besoins immdiats de lentreprise, des interdpendances entre les
projets et des ressources disponibles.
Limites
Selon Georges pinette, administrateur du CIGREF, la dmarche d'apprhension de ce
rfrentiel doit se faire intelligemment, notamment lorsqu'il s'agit du cycle de vie de la
relation client-fournisseur2. En effet, CobiT prsente une relative indigence en matire :
d'alignement du SI ; de gestion des risques et de scurit
16

IV. Gestion des projets SI

La mthode traditionnelle identifie cinq lments de dveloppement dun projet (4
tapes plus le contrle): initiation planification et design, excution, contrle finition
Les phases de dveloppement dun projet Typical development phases of an engineering project
i.
ii.
i.
ii.
iii.
iv.
v.
vi.
vii.
viii.
ix.
x.
xi.
xii.
xiii.
xiv.
xv.
xvi.
xvii.
xviii.
initiation
planning :
Dterminer comment planifier (e.g. by level of detail or rolling wave);
Dfinir le canevas;
choisir lquipe de planification;
identifier les livrables et crer la segmentation du travail;
identifier les activits a raliser pour faire des livrables en rseau squentiel logique
estimer les pr-requis en ressources pour les activits;
estimer la dure et le cot des activits;
laborer le programme ;
laborer le budget;
gestion des risques;
avoir le ok formel pour dmarrer
. planning for communications and for scope management,
Identifier les rles et les responsabilits,
Dterminer quoi acheter pour le projet
holding a kick-off meeting and design
excution & construction
suivre & contrler les systmes
compltion
Chaque projet est caractristique et spcifique et unique.
Agile management or gestion agile de projet est une mthode itrative et incrmentale de gestion du
des activits du design et en ingnierie, technologie de linformation, et dveloppement de nouveau produit ou
service dans un environnement assez flexible, eg agile software development. Cela demande des
professionnels des domaines concerns avec lapport des fournisseurs et des clients.
Il existe des liens entre lean techniques, Kanban et Six Sigma. Les techniques Agile sont trs utilises dans les
petits projets ou partie dun grand programme ou sur des projets trop complexes pour le client pour quil puisse
spcifier ses besoins avant le test du prototype.
Cest la seule technique qui implique activement le client (disponible) dans le dveloppement du projet.
Le dveloppement logiciel avec la mthode
consiste en un ensemble de de
mthode de dveloppement dans lesquelles les solutions et les prrequis suvent un schma de
collaboration entre lauto-arganisation , les quipes transversales, .Agile promeut lla
17

palanification adaptative le dveloppement evolutif , la livraison temps lamlioration

ccontinue et la rpons rapide et flexible aux changements qui surviennent
The Agile Manifesto, par en 2001 donne les traits du concept de dveloppement Agile
Le Manifeste Agile
In February 2001, 17 software developers (voir plus bas) met at the Snowbird resort in Utah to discuss
lightweight development methods. They published the Manifesto for Agile Software Development:
We are uncovering better ways of developing software by doing it and helping others do it. Through this
work we have come to value:
Individuals and interactions over Processes and tools

Working software over Comprehensive documentation
Customer collaboration over Contract negotiation
Responding to change over Following a plan
Scrum (software development) - A holistic approach to development that focuses on iterative goals set by the
Product Owner through a backlog, which is developed by the Delivery Team through the facilitation of the
Scrum Master.
Extreme Programming (XP) or Pair Programming this method uses small groups and has a highly
prescriptive Test Driven Development (TDD) model.
eXtreme Manufacturing (XM) - An agile methodology based on Scrum, Kanban and Kaizen that facilitates
rapid engineering and prototyping.
Crystal Clear (software development) - An agile or lightweight methodology that focuses on colocation and
osmotic communication.
Kanban (just in time) - A lean framework for process improvement that is frequently used to manage WIP
within agile projects. The Kanban process improvement framework has been specifically applied to software
development, as Kanban (development).
PRINCE2 stands for Projects in Controlled Environments. Dealing with a bit of history, this method was first
established by the Central Computer and Telecommunications Agency (It is now referred to as the Office of
Government Commerce).
It has since become a very commonly used project management method in all parts of the world and has
therefore proven to be highly effective in various respects.
Le diagramme de Gantt (Harmonogram Adamieckiego1) est un outil utilis (souvent en complment d'un
rseau PERT) en ordonnancement et en gestion de projet et permettant de visualiser dans le temps les diverses
tches composant un projet. Il s'agit d'une reprsentation d'un graphe connexe, valu et orient, qui permet de
reprsenter graphiquement l'avancement du projet.
Le premier diagramme de ce type (appel Harmonogram Adamieckiego) fut ralis par l'ingnieur polonais Karol
Adamiecki en 1896. Il l'a dcrit en 1931, mais la langue de publication n'a pas permis la reconnaissance
internationale de son ide. Pour cette raison, le concept a t nomm d'aprs Henry L. Gantt, ingnieur amricain
collaborateur de Frederick Winslow Taylor, qui a publi la description du diagramme en 1910.
Cet outil rpond deux objectifs : planifier de faon optimale ainsi que communiquer sur le planning tabli et les
choix qu'il impose. Le diagramme permet :
de dterminer les dates de ralisation d'un projet ;
d'identifier les marges existantes sur certaines tches ;
de visualiser d'un seul coup d'il le retard ou l'avancement des travaux.
18

priorit la ralisation des fabrications dont la date de livraison est la plus rapproche ;
priorit la premire commande arrive ;
priorit aux fabrications dont la dure totale est la plus courte ;
priorit aux fabrications qui utilisent au moins une ressource critique ;
priorit aux fabrications qui disposent du minimum de marge globale .
La mthode PERT ( Program Evaluation and Review technique) est une mthode conventionnelle utilisable
en gestion de projet, dveloppe aux tats-Unis dans les annes 1950.
Elle est cense fournir une mthodologie et des moyens pratiques pour dcrire, reprsenter, analyser et suivre
de manire logique les tches et le rseau des tches raliser dans le cadre d'une action entreprendre ou
suivre.
Le concept perfectionne l'outil Diagramme de Gantt (1910) et a suscit le dveloppement de mthodes comme
la Mthode MPM (ou mthode des potentiels et antcdents mtra) dveloppe par Bernard Roy (1958).
Critical chain project management (CCPM) est une mthode de planification de gestion et dexcution de
projet qui prend en compte les incertitudes inhrents aux gestions de projets, (physiques, humaines, et
aptitudes physiques aussi bien que la gestion et le support technique) ncessaire pour excuter les projets
CCPM est une application de la thorie des contraintes (TOC) de Goldratt aux projets. Appliquent les trois
premiers des pas du TOC la contrainte systme pour tous les projets est identifi comme les ressources.
Exploiter les contraintes, les tches sur le chemin critique est une priorit sur les autres activits Finalement,
les projets sont planifis et grs pour sassurer de la disponibilit des ressources quand doivent commencer les
tches critiques de la chaine, ce qui supplante les autres tches de la chaine critique
19

Le plan du projet plan doit subir le nivellement de ressources, et la plus longue chaine de squence de
contraintes lie aux ressources doit tre identifie comme chemin critique
Lean project management ou la standardisation est lintroduction en gestion de projet des concepts comme
lean construction, lean manufacturing and lean. Lintrt de lean management cest la minimisation des pertes
en crant plus de la valeur
20

V. Maintenance
La maintenance du logiciel (ou maintenance logicielle) dsigne les modifications apportes un
logiciel, aprs sa mise en uvre, pour en corriger les fautes, en amliorer l'efficacit ou autres
caractristiques, ou encore adapter celui-ci un environnement modifi (ISO/IEC 14764).
Figure 1 En spirale
Figure 2 En V
Conception architecturale comprend le Dossier dfinition du logiciel dossier darchitecture technique plan de tests
21

1. Processus
Cette norme internationale distingue six processus de maintenance logicielle : (L'implmentation ;
L'analyse et la rsolution de problmes ; La modification du logiciel ; L'acceptation de la modification par
le demandeur ; La migration et la mise la retraite.)
la maintenance du logiciel, repose essentiellement un nombre de processus, d'activits et de rgles :
La transition : la passation coordonne du logiciel, de l'quipe de dveloppement l'quipe de

maintenance ;
Les ententes de services applicatives ;
La priorisation des requtes de modification et des rapports de problmes ;
L'acceptation ou le rejet d'une demande de modification selon le travail et la complexit plus ou
moins grandes qu'elle implique; son renvoi l'quipe de dveloppement.
Le maintenanceur ne fait pas que corriger des dfauts (bugs). Pourtant des tudes et des enqutes indiquent
depuis des annes que plus de 80 % des efforts de maintenance sont consacrs des interventions autres que
correctives (Pigosky 1997). Cette notion est perptue par des utilisateurs qui font tat de problmes alors
qu'ils ont affaire, en ralit, des amliorations fonctionnelles du logiciel.

Poids de la Maitenance
Dfinition des besoins
conception
codage
Intgration Tests
Maintenance
Rpartition effort dveloppement.
Origine erreurs
Cot de la maintenance
6%
5%
7%
15%
67%
56%
27%
7%
10%
10%
82%
13%
1%
4%
4%
Figure 3 Zeltowitz, De Marco
Les travaux du Dr.Meir Lehman de l'Imperial College de Londres , en 1969 aboutissent en 1997 la
formulation de huit rgles de l'volution d'un logiciel (1997).
i.
ii.
iii.
iv.
v.
vi.
vii.
La modification continue les logiciels doivent tre continuellement adapts ou il deviendra de moins en
moins satisfaisant
La complexit croissante comme le logiciel est modifi, il devient plus en plus complexe moins que le
travail soit effectu pour rduire la complexit
Relation de l'organisation le logiciel existe dans un cadre de personnes, la gestion, rgles et objectifs de
crer un systme de vrifications et de balances qui formulent l'volution du logiciel
Les taux de travail invariant au cours de la dure de vie d'un systme, la quantit de travail est excute,
elle est essentiellement la mme comme facteurs externes au del de contrle de tout daction de
l'volution.
La conservation de familiarit les dveloppeurs et les utilisateurs du logiciel doivent conserver la matrise
de son contenu afin d'utiliser et d'voluer une croissance excessive rduit la matrise et agit comme un frein
La croissance continue apparemment semblable la premire loi, cette observation indique que la
croissance supplmentaire est galement dicte par les contraintes de ressources qui est restreinte la porte
originale du systme
Diminution de qualit la qualit du logiciel diminuera moins que des mesures sont prises pour le garder
en accord avec les changements oprationnels
Le feedback systme l'volution de la fonctionnalit et la complexit du logiciel est rgie par multiboucle, multi-niveau, multiparti de feedback systme et montrent que la maintenance est un processus
volutif et que les logiciels voluent avec le temps en devenant de plus en plus complexes moins qu'une
action spcifique soit engage pour en rduire la complexit.
22

E.B. Swanson a identifi trois catgories de maintenance : la corrective, l'adaptative et la perfective. Ces
catgories ont t mises jour par l'quipe de ISO/IEC 14764,
Maintenance corrective (palliative et curative) : modification d'un progiciel effectue aprs

livraison afin de corriger les dfauts rencontrs.
Maintenance prventive (adaptative, perfective, conditionnelle) : modification
en fonction de lenvironnement dutilisation, de lefficacit et pour prvenir
les bugs
Pour l'AFNOR par contre, la maintenance consiste prcisment assurer qu'un bien continue de remplir sa fonction
correctement, non l'amliorer.
2. Niveaux de maintenance
Les problmes majeurs de la maintenance du logiciel sont dordre technique et managrial
Les problmes de gestion sont :

l'alignement sur les priorits de la clientle ; le choix des employs ;
le choix de l'entit charge de la maintenance ;
la justification de la valeur ajoute et des cots de l'quipe.
Les problmes techniques sont lis l'insuffisance
de la comprhension du logiciel ; de la documentation ; des tests ;
de la mesure de la maintenabilit.
Les MM du savoir-faire visent spcifiquement la maintenance du logiciel sont :
le modle de maturit (MM) de la maintenance du logiciel S3M (avril 2006) ;
le modle de maturit (MM) de la maintenance corrective (Kajko-Mattsson 2001).
Il existe cinq niveaux de maintenance qui sont fonction (du lieu, du personnel, du type de travaux, des
travaux )
23

VI. Gestion des risques et des performances :

Val IT
La gestion des risques IT est lapplication de la gestion de risques aux IT. Le risque dentreprise li lusage, la
possession, lopration ou limplication ou linfluence et ladoption de lIT dans une entreprise.
The establishment, maintenance and continuous update of an ISMS provide a strong indication that a company is
using a systematic approach for the identification, assessment and management of information security risks.
Different methodologies have been proposed to manage IT risks, each of them divided in processes and steps.
According to Risk IT, it encompasses not just only the negative impact of operations and service delivery which can
bring destruction or reduction of the value of the organization, but also the benefit\value enabling risk associated to
missing opportunities to use technology to enable or enhance business or the IT project management for aspects like
overspending or late delivery with adverse business impact.
Generally speaking, risk is the product of likelihood times impact (Risk = Likelihood * Impact)
The measure of an IT risk can be determined as a product of threat, vulnerability and asset values:
Risk = Threat * Vulnerability * Asset (risque= menace*vulnrabilit*ressource)
A more current Risk management framework for IT Risk would be the TIK framework: Risk
= ((Vulnerability * Threat) / Counter Measure) * Asset Value at Risk IT Risk
Lenvironnement du risque
Cette tape est initiale dans la structure ISO ISO/IEC 27005 . les activits lmentaires sont prvues comme
premier sous procdure de lvaluation des risques selon NIST SP 800-30. Cette tape suppose lobtention de
toutes les informations sur lorganisation et la dtermination des critres de base, du but et du canevas de la
gestion des risques et lorganisation charge de ces activits de gestion des risques. The purpose is usually the
compliance with legal requirements and provide evidence of due diligence supporting an ISMS that can be
certified. The scope can be an incident reporting plan, a business continuity plan.
Another area of application can be the certification of a product.
Criteria include the risk evaluation, risk acceptance and impact evaluation criteria. These are conditioned by:
Cadre lgal et cadre de rgulation

the strategic value for the business of information processes
stakeholder expectations
negative consequences for the reputation of the organization
Risk assessment
Risk Management is a recurrent activity that deals with the analysis, planning,
implementation, control and monitoring of implemented measurements and the
24

enforced security policy. On the contrary, Risk Assessment is executed at discrete time
points (e.g. once a year, on demand, etc.) and until the performance of the next
assessment - provides a temporary view of assessed risks and while parameterizing the
entire Risk Management process. This view of the relationship of Risk Management to
Risk Assessment is depicted in figure as adopted from OCTAVE.
Risk assessment is often conducted in more than one iteration, the first being a highlevel assessment to identify high risks, while the other iterations detailed the analysis of
the major risks and other risks.
According to National Information Assurance Training and Education Center risk
assessment in the IT is :
A study of the vulnerabilities, threats, likelihood, loss or impact, and theoretical

effectiveness of security measures. Managers use the results of a risk
assessment to develop security requirements and specifications.
Le processus de l'valuation des menaces et des vulnrabilits, connues et
hypothtiques, pour dterminer la perte attendue et d'tablir le degr
d'acceptabilit pour les oprations du systme.
Une identification des actifs d'une installation spcifique ADP, les menaces qui
psent sur ces actifs, et la vulnrabilit de l'installation ADP ces menaces.
Une analyse des actifs et des vulnrabilits systme pour tablir une perte
attendue de certains vnements sur la base de probabilits estimes de la
survenance de ces vnements. Le but d'une valuation des risques est de
dterminer si les contre-mesures sont adquates pour rduire la probabilit de
perte ou de l'impact de la perte un niveau acceptable.
Un outil de gestion qui fournit une approche systmatique pour dterminer la
valeur relative et la sensibilit des actifs d'installation de l'ordinateur,
l'valuation des vulnrabilits, l'valuation des niveaux d'exposition aux risques
perus esprance de perte ou, l'valuation des fonctions de protection existantes
et alternatives de protection supplmentaires ou l'acceptation des risques et la
documentation des dcisions de gestion. Les dcisions de mise en uvre des
fonctions de protection supplmentaires sont normalement bass sur l'existence
d'un ratio raisonnable entre le cot / bnfice de la sauvegarde et de la
sensibilit / valeur des actifs protger
ISO 27005 framework

Risk assessment receives as input the output of the previous step Context establishment; the output is the list of
assessed risks prioritized according to risk evaluation criteria. The process encompasses these steps:
Risk analysis=Risk identification+Risk estimation+Risk evaluation
The ISO/IEC 27002:2005 Code of practice for information security management
recommends the following be examined during a risk assessment:
politique de scurit,
organisation de la scurit de l'information,
la gestion d'actifs,
la scurit des ressources humaines,
la scurit physique et environnementale,
communications et la gestion des oprations,
25
contrle d'accs,
l'acquisition de systmes d'information, le dveloppement et la maintenance,
informations gestion des incidents de scurit,
gestion de la continuit des affaires et
la conformit rglementaire.
L'identification des risques
L'identification des risques indique ce qui pourrait provoquer une perte potentielle;
les suivantes sont identifier:
(1-assets, primary (i.e. Business processes and related information) and supporting (i.e. hardware, software,
personnel, site, organization structure) 2-threats 3 -existing and planned security measures 4-vulnerabilities 5consequences 6-related business processes)
The output of sub process is made up of:
The list of asset and related business processes to be risk managed with associated list of threats,
existing and planned security measures
list of vulnerabilities unrelated to any identified threats
list of incident scenarios with their consequences.
Estimation du Risque
There are two methods of risk assessment in information security field, qualitative and quantitative.
Purely quantitative risk assessment is a mathematical calculation based on security metrics on
the asset (system or application). For each risk scenario, taking into consideration the different risk
factors a Single loss expectancy(SLE) is determined. Then, considering the probability of occurrence on a
given period basis, for example the annual rate of occurrence (ARO), the Annualized Loss Expectancy is
determined as the product of ARO X SLE. It is important to point out that the values of assets to be considered
are those of all involved assets, not only the value of the directly affected resource.
For example, if you consider the risk scenario of a Laptop theft threat, you should consider the value of the
data (a related asset) contained in the computer and the reputation and liability of the company (other assets)
deriving from the lost of availability and confidentiality of the data that could be involved. It is easy to
understand that intangible assets (data, reputation, liability) can be worth much more than physical resources at
risk (the laptop hardware in the example). Intangible asset value can be huge, but is not easy to evaluate: this
can be a consideration against a pure quantitative approach.
Attnuation des risques est une mthodologie systmatique utilise par la direction
pour rduire la survenance du risque
Risk mitigation can be achieved through any of the following risk mitigation options:
Risk Assumption. To accept the potential risk and continue operating the IT system or to implement
controls to lower the risk to an acceptable level
Risk Avoidance. To avoid the risk by eliminating the risk cause and/or consequence (e.g., forgo certain
functions of the system or shut down the system when risks are identified)
Risk Limitation. To limit the risk by implementing controls that minimize the adverse impact of a threats
exercising a vulnerability (e.g., use of supporting, preventive, detective controls)
Risk Planning. To manage risk by developing a risk mitigation plan that prioritizes, implements, and
maintains controls
Research and Acknowledgement. To lower the risk of loss by acknowledging the vulnerability or flaw and
researching controls to correct the vulnerability
Risk Transference. Prendre une assurance pour compenser une perte ventuelle
To transfer the risk by using other options to compensate for the loss, such as purchasing insurance.
26

Le rfrentiel Val IT est un ensemble structur de pratiques cls de management lies la gouvernance des SI.
Cette dernire comporte deux volets : un aspect risques, qui conduit des pratiques d'audit et des rfrentiels
de bonnes pratiques comme CobiT. Et un aspect performance peu outill au dbut des annes 2000.
Les concepteurs du rfrentiel CobiT (l'ISACA et son chapitre franais l'AFAI), rapidement relays par la
structure ITGI (IT Governance Institute, associe en France l'IGSI ou Institut de Gouvernance du SI, hberg
par le CIGREF) ont donc tent de complter leur approche initiale en proposant un cadre d'analyse de
la performance des investissements en technologies de l'information. Un volet consacr la scurit et
dnomm Risk IT est cens complter le triptyque.
Val IT offre la Direction de l'organisation un ensemble de prconisations lui permettant d'valuer et
slectionner les projets de dveloppement du systme d'information en fonction de leur valeur, d'une part,
d'anticiper puis de suivre leur cycle de vie du point de vue conomique ensuite et, par retour d'exprience,
d'amliorer les mthodes employes pour l'valuation a priori des nouveaux projets, dnommes dans ce
rfrentiel business cases.
Objectifs et dveloppement du rfrentiel

Le concept Val IT prend racine dans les travaux de l'AFAI du dbut des annes 2000 visant adapter certains
concepts issus du tableau de bord prospectif (balanced Scorecard) l'valuation de la performance des
systmes d'information et leur apport la cration de valeur par l'entreprise. Le problme de management
rsoudre est le suivant :
Rapport du Standish Group, 50% des projets informatiques soit (4100) ne donnent pas les rsultats attendus
en termes de dlais, cots et fonctionnalits, quand il ne s'agit pas d'checs purs et simples.
Souvent, les justifications conomiques (business cases) accompagnant un projet de dveloppement du SI,
port soit par une direction oprationnelle soit par le direction des SI, sont incompltes voire inexistantes.
Dans les grandes structures plus de 100 projets doivent tre simultanment slectionns puis suivis ce qui, en
l'absence d'outils, limite l'efficacit du contrle que devrait exercer la Direction Gnrale.
La premire version structure du rfrentiel Val IT a t dite par l'IT Governance Institute en 2006 et
comprend les guides :
ITGI, Enterprise Value : Governance of IT Investments, Rolling Meadows, 2006. Ce document de

32 pages prsente les objectifs du rfrentiel, la notion de business case, son organisation en 3
processus et 40 pratiques de management. La deuxime partie dtaille les pratiques en les
mettant systmatiquement en correspondance avec les processus du CobiT.
ITGI, Enterprise Value : Governance of IT Investments : The Business Case, Rolling Meadows,
2006 28p.
ITGI, Enterprise Value : Governance of IT Investments: The ING Case Study, Rolling Meadows,
2006.
Une version 2.0 du rfrentiel a t publie en 2008. Le fondement du rfrentiel est:
ITGI, Enterprise Value: Governance of IT Investments: Getting Started with Value Management,
Rolling Meadows, 2008. 116p.
On parle de trois domaines et de processus au lieu de processus et des pratiques de la

version 1. Les pratiques sont pris comme sous-ensembles des nouveaux processus.
Les domaines du CoBIT

La gouvernance de la valeur ( GV ou Value Governance) a pour objectif de s'assurer
que le concept de valeur est prsent dans les pratiques de management de faon
assurer la cohrence avec les pratiques globales de gouvernance, organiser le
27

processus de dcision, fournir des directions et des indicateurs de choix des projets en
portefeuille et assurer l'apprentissage organisationnel par la vrification de l'atteinte
des objectifs sur les projets termins. Les processus de la version 2.0 sont :
i.
ii.
iii.
iv.
v.
vi.
VG1 : tablir un leadership inform et impliqu,

VG2 : dfinir et mettre en place les processus
VG3 : dfinir les caractristiques des diffrents portefeuilles de projets
(composition, poids relatifs...),
VG4 : aligner et intgrer la gestion de la valeur dans la gestion financire de
l'entreprise,
VG5 : tablir une surveillance efficace de la gouvernance (et identifier les
drives),
VG6 : mettre en place un processus d'amlioration continue des pratiques.
La gestion de portefeuille (GP, ou PM pour Portfolio Management) vise optimiser

la cration de valeur travers la construction du portefeuille d'investissement. Il faut,
notamment, identifier les ressources ncessaires chaque projet, dfinir les seuils
d'investissement, valuer, classer puis slectionner (ou rejeter) les projets lancer,
grer globalement le portefeuille d'investissements en termes de risques et rentabilit,
surveiller les performances et en rendre-compte. Les processus composant GP sont :
i.
ii.
iii.
iv.
v.
vi.
PM1 : tablir une stratgie claire et dfinir la structure de la cible en termes

d'investissements,
PM2 : dterminer les sources et la disponibilit des budgets,
PM3 : grer la disponibilit des ressources humaines,
PM4 : valuer et slectionner les programmes financer,
PM5 : monitorer et rendre compte de la performance des portefeuilles
d'investissement,
PM6 : optimiser la performance des portefeuilles par une revue rgulire des
opportunits et risques.
Enfin, la gouvernance des investissements (GI ou IM pour Investment Management) vise

assurer la rentabilit de chaque investissement ou "programme" li aux technologies
de l'information (IT Enabled), pris isolment. Il s'agit d'amliorer les comptences des
managers oprationnels dans : a) l'identification des exigences de leur mtier, b) la
capacit d'apprcier les approches alternatives, c) la dfinition, rdaction et maintien
des business cases dtaills au long de la vie du projet, d) l'affectation des
responsabilits et de la proprit du projet, e) de la gestion du cycle de vie complet du
programme, retrait inclus, f) du suivi rgulier de la performance et des comptes-rendus.
On note :
i.
ii.
iii.
iv.
v.
vi.
vii.
viii.
ix.
x.
IM1 : dvelopper et valuer le business case initial du programme,

IM2 : comprendre les implications des candidats-programmes,
IM3 : dvelopper le plan du programme,
IM4 : prparer le budget sur le cycle de vie complet,
IM5 : construire le business case complet, dtaill,
IM6 : lancer le programme et grer sa vie,
IM7 : mettre jour les portefeuilles oprationnels,
IM8 : mettre jour le business case mesure de l'acquisition d'informations
nouvelles,
IM9 : monitorer le programme et rendre-compte,
IM10 : procder au retrait du programme en fin de vie.
Le business case
28

i.
ii.
iii.
iv.
Quatre questions guident la construction du business case (4 Ares en anglais):

Faisons-nous les choses appropries (are right things) ?
Faisons-nous les choses de faon approprie (are the right way) ?
Les tches sont-elles effectues correctement (are done well) ? Planification,
budgets...
En tirons-nous les bnfices attendus ?
v.
Le business case contient donc des lments sur les rsultats attendus (outcomes),
aussi bien immdiats que diffrs, sur les actions (initiatives) et leurs impacts directs
sur les rsultats, les contributions ou impacts indirects croiss entre actions et rsultats
de nature diffrente et, enfin, les hypothses sous-jacentes aux points prcdents et qui
permettent d'valuer le risque du programme. La construction du business
case comporte 8 phases dont 4 peuvent tre menes en parallle :
Collation de toutes les informations juges pertinentes sur le programme,

Analyse de l'alignement stratgique (objectifs du programme rapports la
stratgie de l'organisation), en parallle avec la dtermination des bnfices
financiers, des bnfices non financiers (image...) et une analyse des risques du
projet.
Approbation des lments et optimisation en termes rendement - risques.
Enregistrement des rsultats d'analyse et rdaction de la documentation du cas.
Revue rgulire du cas pendant toute l'excution du programme, en tenant
compte de tous ses impacts, y compris retards.
Les quatre questions se poser lors de sa cration

Les questions fondamentales
1. La question stratgique : Faisons-nous ce quil faut ?
2. Linvestissement : 1- se conformer notre vision, 2-correspondre aux enjeux
mtier, 3-contribuer latteinte des objectifs stratgiques 4 crer la valeur
optimale moindre cot avec peu de risques
3. La question architecture : Le faisons-nous comme il faut ?
4. Linvestissement : 1-doit tre conforme architecture, 2-correspondre aux
principes darchitecture, 3-contribuer valoriser notre architecture 4 tre conforme
aux architectures
propos de la valeur fournie par les SI
La question de la ralisation : Le faisons-nous faire comme il faut ?

Disposons-nous :
Dun management efficace et rigoureux
De processus de gestion des ralisations et des modifications efficace
De moyen techniques et mtier suffisants et disponibles pour proposer les
complments ncessaires
La question de la valeur, les bnfices sont :
Une comprhension claire et partage des bnfices attendus
Des responsabilits mtier clairement tablies pour la ralisation des
bnfices
Des mtriques pertinentes
Un processus de ralisation de bnfices efficaces
Limites
29

Enfin, L'diteur Microsoft a rcemment publi un comparatif de son propre rfrentiel

MOF (Microsoft Operations Framework) avec le couple CobiT / Val IT : on y dtaille
l'impact des deux approches sur le succs des projets de dveloppement en termes de
gouvernance, matrise des risques et conformit.
30

VII.
Benchmarking de la gouvernance SI
La mise en uvre de la gouvernance des SI repose sur l'application d'un certain nombre de bonnes
pratiques reparties en quatre domaines comme suit :
La conception, Le fonctionnement et le pilotage des SI,
Le pilotage des volutions des SI, L'volution des SI.
Ces bonnes pratiques sont par exemple :
Un SI conu par un professionnel (architecte ou un matre d'ouvrage). C'est un travail de conception
ou de re-conception de l'organisation.
Un SI doit permettre daugmenter les volumes traits et de rduire les cots unitaires des oprations.
Un SI doit tre pilot par un responsable qui doit avoir une autorit suffisante pour prendre les
mesures qui s'imposent. C'est particulirement le cas d'un SI concernant un processus.
Chaque SI doit disposer d'un tableau de bord permettant de suivre les volutions et le cas chant de
prendre des mesures correctrices.
Un suivi des anomalies constates dans le cadre de l'utilisation normale du SI doit permettre de rpertorier les
dysfonctionnements et de les corriger en appliquant des rgles de contrle interne.
Piloter les volutions du SI et les planifier dans le temps pour viter des changements difficiles
grer.
La connaissance de ces bonnes pratiques permet d'valuer le degr de maturit d'un systme
d'information et d'tablir un plan d'action adapt. Cette dmarche repose sur les tapes suivantes :
Effectuer un audit du systme d'information.
Identifier les actions possibles. Dterminer les priorits.
Fixer les responsabilits et les budgets dinvestissement
31

VIII. Gestion Performance

La gestion de la performance permet aussi aux organisations de mieux communiquer leurs buts communs et
oprationnels. En effet, lorsque la performance atteint son plus haut niveau, lentreprise peut bnficier dune
panoplie davantages tels quune augmentation du revenu de lorganisation, une amlioration des liens
interpersonnels entre les membres ainsi que la simplification des tches des dirigeants en implantant un
systme de contrle. De plus lorsqu'une entreprise ralise une augmentation importante de ses revenus,
il est vident que tous ses membres peuvent y bnficier.
Le lien entre la performance de lorganisation et la performance individuelle est crucial.

Prenez lautoroute de lexcution du haut vers le bas et du bas vers le haut.
Lhistoire de l'excution de la stratgie ne finit jamais.
Faites votre stratgie facile retenir ... et communiquer!
Le manager, un vrai hro de la performance
Figure 4top three objectives are related to customers priorities of the high performers
Figure 5high performers are further along in their transition to private and public cloud
32

33

IX. Audit de scurit

L'audit de scurit d'un (SI) est une vue un instant T de tout ou partie du SI,
permettant de comparer l'tat du SI un rfrentiel.
L'audit rpertorie les points forts, et surtout les points faibles (vulnrabilits) de tout ou
partie du systme. L'auditeur dresse galement une srie de recommandations pour
supprimer les vulnrabilits dcouvertes. L'audit est ralis de pair avec une analyse
de risques, et par rapport au rfrentiel. Le rfrentiel est gnralement constitu de :
1.
la politique de scurit du systme d'information (PSSI)

la base documentaire du SI
rglementations propre l'entreprise
textes de loi
documents de rfrence dans le domaine de la scurit informatique
L'audit est effectu dans diffrents buts
ragir une attaque

se faire une bonne ide du niveau de scurit du SI
tester la mise en place effective de la PSSI
tester un nouvel quipement
valuer l'volution de la scurit (implique un audit priodique)
Laudit a pour but de vrifier la scurit. Dans le cycle de scurisation, la vrification intervient aprs la ralisation
d'une action. Par exemple, lors de la mise en place d'un nouveau composant dans le SI, il est bon de tester sa scurit
aprs avoir intgr le composant dans un environnement de test, et avant sa mise en uvre effective. La roue de
Deming illustre ce principe.( Plan Do Check Act)
Le rsultat est le rapport d'audit qui donne la liste exhaustive des vulnrabilits recenses par l'auditeur sur le
systme analys et une liste de recommandations en vue de supprimer les vulnrabilits trouves.
L'audit nest pas l'analyse de risques. Il ne permet que de trouver les vulnrabilits, mais pas de dterminer si cellesci sont tolrables. Au contraire, l'analyse de risque permet de dire quels risques sont pris en compte, ou accepts
pour le SI. L'auditeur dresse donc des recommandations, que le client suivra, ou pas. Le client choisit les
recommandations ou non suivre, en se rfrant la politique de scurit.
2.
Pratiques de laudit :
Interviews tests dintrusion relevs de configuration audit du code
a. Interview
Le directeur des SI (DSI)

les responsables de la scurit des SI (RSSI)
Les administrateurs
Les utilisateurs du SI, qu'ils aient un rle dans la production de l'entreprise, dans la gestion, ou la
simple utilisation des moyens informatiques
Tout autre rle ayant un lien avec la scurit
b. Les tests d'intrusion
34

Ils sont de 3 types : Les tests bote blanche, les tests bote grise et les tests dits bote noire.
Collecte d'informations publiques : pages web, informations sur les employs, entreprise ayant un lien
de confiance avec la cible.
Identification des points de prsence sur internet. et Ecoute du rseau.
c. Les relevs de configuration

le chargeur de dmarrage,
les mcanismes d'authentification (password power, systme dauthentification :,..),
le systme de fichiers (droits d'accs, utilisation de chiffrement, WEP, RSA, SHA...),
les services, la journalisation, la configuration rseau,
d. L'audit de code
Laudit de code est une pratique consistant parcourir le code source d'un logiciel afin de s'assurer du respect
de rgles prcises. Notamment, les dpassements de tampon (buffer overflow), les bugs de format, ou pour une
application web, les vulnrabilits menant des injections SQL...
(une mmoire tampon, ou buffer, est une zone de la mmoire vive ou de disque utilise pour entreposer
temporairement des donnes, notamment entre deux processus ou matriels ne travaillant pas au mme rythme.)
3. Fuzzing
Pour les applications boite noire, o le code n'est pas disponible, il existe un pendant l'analyse de code, qui
est le fuzzing. Cette technique consiste analyser le comportement d'une application en injectant en entre des
donnes plus ou moins alatoires, avec des valeurs limites. Contrairement l'audit de code qui est une analyse
structurelle, le fuzzing est une analyse comportementale d'une application.
Le mot processus vient du latin pro (au sens de vers l'avant ) et de cessus, cedere ( aller, marcher ) ie, avancer.
La procdure dsigne plutt la mthode dorganisation, la stratgie du changement.
35

La scurit des SI (SSI)
X.
est
lensemble
des
moyens
techniques,
organisationnels, juridiques et humains ncessaire et mis en place pour conserver, rtablir, et garantir
la scurit du SI, une activit qui incombe au management du SI
Enjeux de la scurit des SI Le SI reprsente un patrimoine essentiel de l'organisation, qu'il convient

de protger. La scurit informatique consiste garantir que les ressources matrielles ou logicielles d'une
organisation sont uniquement utilises dans le cadre prvu "
Plusieurs types d'enjeux doivent tre matriss :
L'intgrit : Les donnes ne doivent pas tre altres de faon fortuite, illicite ou malveillante.
La confidentialit : Seule les personnes autorises ont accs aux informations
La disponibilit : Le systme doit fonctionner sans faille durant les plages d'utilisation prvues, garantir
l'accs aux services et ressources installes avec le temps de rponse attendu.
La non-rpudiation et l'imputation : Aucun utilisateur ne doit pouvoir contester les oprations qu'il a
ralises dans le cadre de ses actions autorises, et aucun tiers ne doit pouvoir s'attribuer les actions
d'un autre utilisateur.
L'authentification : L'identification des utilisateurs est fondamentale pour grer les accs aux espaces
de travail pertinents et maintenir la confiance dans les relations d'change.
La scurit informatique est un dfi d'ensemble qui concerne une chane d'lments : les infrastructures
matrielles de traitement ou de communication, les logiciels (systmes d'exploitation ou applicatifs), les
donnes, le comportement des utilisateurs. Le niveau global de scurit est fonction du niveau de scurit du
maillon le plus faible, les prcautions et contre-mesures doivent tre envisages en fonction des vulnrabilits
propres au contexte auquel le SI est cens apporter service et appui.
Deux types de dommages peuvent affecter le SI d'une organisation:
Les dommages financiers directs (reconstitution des bases de donnes qui ont disparu, reconfigurer un parc
de postes informatiques, rcrire une application) ou indirects (par exemple, le ddommagement des victimes
d'un piratage, le vol d'un secret de fabrication ou la perte de marchs commerciaux. Un Exemple
concret (relativement difficile de les estimer), des sommes de l'ordre de plusieurs milliards USD ont t
avances suite des dommages causs par des programmes malveillants comme le ver Code Red..
La perte ou la baisse de l'image de marque. Perte directe par la publicit ngative faite autour d'une scurit insuffisante
(cas de l'hameonnage par exemple) ou perte indirecte par la baisse de confiance du public dans une socit. Par exemple,
les techniques rpandues de d-facement (une refonte d'un site web) permettent une personne mal intentionne de mettre
en vidence des failles de scurit sur un serveur web.
Les consquences peuvent aussi concerner la vie prive d'une ou plusieurs personnes, (ses coordonnes bancaires, photos,
ses codes confidentiels). De manire gnrale, la prservation des donnes relatives aux personnes fait l'objet d'obligations
lgales rgies par la Loi Informatique et Liberts.
Pour parer ces ventualits, les responsables de SI se proccupent depuis longtemps de scuriser les donnes. Le cas le
plus rpandu, et sans aucun doute prcurseur en matire de scurit de l'information, reste la scurisation de l'information
stratgique et militaire : Le Department of Defense (DoD) des tats-Unis est l'origine du TCSEC, ouvrage de rfrence
en la matire. De mme, le principe de scurit multi-niveau trouve ses origines dans les recherches de rsolution des
problmes de scurit de l'information militaire.
Dmarche gnrale
Pour scuriser les systmes d'information, la dmarche consiste :
valuer les risques et leur criticit : quels risques et quelles menaces, sur quelle donne et quelle
activit, avec quelles consquences ?
36

On parle de cartographie des risques . De la qualit de cette cartographie dpend la qualit de la

scurit qui va tre mise en uvre.
rechercher et slectionner les parades : que va-t-on scuriser, quand et comment ?
Etape difficile des choix de scurit : dans un contexte de ressources limites
mettre en uvre les protections, et vrifier leur efficacit.
Mthodes d'attaque portant atteinte la scurit du SI
Destruction de matriels ou de supports

Sabotage : Rayonnements lectromagntiques
Brouillage : coute passive
Interception de signaux compromettants Cryptanalyse
Vol de matriels :.Analyse de supports recycls ou mis au rebut : ".Divulgation
Hameonnage ou filoutage (Phishing) : dsigne l'obtention d'information confidentielle en prtextant une fausse
demande ou en faisant miroiter un pseudo-avantage auprs d'un utilisateur cibl.
Chantage : menace exerce vis--vis d'une personne prive ou d'une organisation en vue d'extorquer une
information "sensible".
mission d'une information sans garantie d'origine, Canular (Hoax)
Bombe : Programme dormant dont l'excution est conditionn par l'occurrence d'un trigger ou date
Virus : Programme malicieux capable de faire fonctionner des actions nuisibles pour le SI , et ventuellement de
se rpandre par rplication l'intrieur d'un SI.
Ver : pour perturber et saturer les rseaux
Pigeage du logiciel : Des fonctions caches sont introduites l'insu des utilisateurs l'occasion de la
conception, fabrication, transport ou maintenance du SI
Exploitation d'un dfaut (bug) : Les logiciels - en particulier les logiciels standards les plus rpandus- comportent
des failles de scurit qui constituent autant d'opportunit d'intrusion indsirables
Canal cach : Type d'attaque de trs haut niveau permettant de faire fuir des informations en violant la politique
de scurit du SI. Les menaces peuvent concerner 4 types de canaux cachs : Canaux de stockage, Canaux
temporels, Canaux de raisonnement, Canaux dits de "fabrication".
Cheval de Troie : C'est un programme ou un fichier introduit dans un SI et comportant une fonctionnalit cache
connue seulement de l'agresseur.
Rseau de robots logiciels (Botnet) : Les robots (nombreux) se connectent sur des serveurs IRC (Internet Relay
chat) au travers desquels ils peuvent recevoir des instructions de mise en uvre de fonctions non dsires.( envoi
de spams, vol d'information, participation des attaques de saturation ...)
Logiciel espion (spyware): est install sur une machine dans le but de collecter et de transmettre un tiers des
informations sans que l'utilisateur en ait connaissance.
facticiel: logiciel factice disposant de fonctions caches
Saturation du Systme informatique
Perturbation : Vise fausser le comportement du SI ou l'empcher de fonctionner comme prvu (saturation,
dgradation du temps de rponse, gnration d'erreurs)
Saturation : Attaque contre la disponibilit visant provoquer un dni de service (remplissage forc d'une zone
de stockage ou d'un canal de communication)
Pourriel (spam) : Envoi massif d'un message non sollicit vers des utilisateurs n'ayant pas demand recevoir
cette information. Cet usage contribue cependant la pollution et la saturation des systmes de messagerie.
Faufilement : Cas particulier o une personne non autorise franchit un contrle d'accs en mme temps qu'une
personne autorise.
valuation des risques

Tenter de scuriser un SI revient essayer de se protger contre les menaces intentionnelles et d'une manire plus gnrale
contre tous les risques pouvant avoir un impact sur la scurit de celui-ci, ou des informations qu'il traite.
Mthodes d'analyse de risque

Diffrentes mthodes d'analyse des risques sur le SI existent. Voici les trois principales mthodes d'valuation
disponibles sur le march franais :
37

la mthode EBIOS (Expression des besoins et identification des objectifs de scurit), dveloppe
par l'Agence nationale de la scurit des systmes d'information (ANSSI) ;
la mthode MEHARI (Mthode harmonise d'analyse des risques), dveloppe par le CLUSIF ;
la mthode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), dveloppe
par l'Universit de Carnegie Mellon (USA).
Informations sensibles
Avant de tenter de se protger, il convient de dterminer quelles sont les informations sensibles de l'entreprise, qui peuvent
tre des donnes, ou plus gnralement des actifs reprsents par des donnes. Chaque lment pourra avoir une sensibilit
diffrente.
Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui constitue un patrimoine informationnel
protger. Il faut valuer les menaces et dterminer les vulnrabilits pour ces lments sensibles.
Critres de scurit
La scurit peut s'valuer suivant plusieurs critres :
i.
Disponibilit : garantie daccessibilit des donnes par les personnes autorises.

Intgrit : garantie que les lments considrs sont exacts et complets.
Confidentialit : garantie que seules les personnes autorises ont accs aux lments considrs.
Traabilit (ou Preuve ) : garantie que les accs et tentatives d'accs aux lments considrs sont tracs et
que ces traces sont conserves et exploitables.
Une fois les lments sensibles dtermins, les risques sur chacun de ces lments peuvent tre estims en
fonction des menaces qui psent sur les lments protger. Il faut pour cela estimer :
la gravit des impacts au cas o les risques se raliseraient,
la vraisemblance des risques (ou leur potentialit, ou encore leur probabilit d'occurrence).
Dans la mthode EBIOS, ces deux niveaux reprsentent le niveau de chaque risque qui permet de les valuer (les
comparer).
Dans la mthode MEHARI, le produit de l'impact et de la potentialit est appel gravit . D'autres mthodes
utilisent la notion de niveau de risque ou de degr de risque .
Menaces
Les principales menaces auxquelles un SI peut tre confront sont :
un utilisateur du systme /personne malveillante

un programme malveillant :
un sinistre (vol, incendie, dgt des eaux) :
ii.
Objectifs
Une fois les risques noncs, il est souhaitable de dterminer des objectifs de scurit. Ces objectifs sont l'expression de
l'intention de contrer des risques identifis et/ou de satisfaire des politiques de scurit organisationnelle. Un objectif
peut porter sur le systme cible, sur son environnement de dveloppement ou sur son environnement oprationnel. Ces
objectifs pourront ensuite tre dclins en fonctions de scurit, implmentables sur le systme d'information.
Moyens de scurisation d'un systme
Conception globale
La scurit d'un SI peut tre compare une chane de maillons plus ou moins rsistants. Elle est alors caractrise par le
niveau de scurit du maillon le plus faible et repose sur :
la sensibilisation des utilisateurs aux problmatiques de scurit, (en awareness) ;

la scurit de l'information ;
38

la scurit des donnes (trs fondamentale), ( d'interoprabilit, cohrence des donnes en univers
rparti ;)
la scurit des rseaux ; des systmes d'exploitation , des tlcommunications
la scurit des applications (dpassement de tampon),
la scurit physique, soit la scurit au niveau des infrastructures matrielles
Politique de scurit.
La scurit des SI se cantonne gnralement garantir les droits d'accs aux donnes et ressources d'un systme, en
mettant en place des mcanismes d'authentification et de contrle. Ces mcanismes permettent d'assurer que les
utilisateurs des dites ressources possdent uniquement les droits qui leur ont t octroys.
La scurit informatique permet aux utilisateurs dtre laise cela prsuppose une politique de scurit, ie :
laborer des rgles et des procdures, installer des outils techniques dans les diffrents services de l'organisation
(autour de l'informatique) ;
dfinir les actions entreprendre et les personnes contacter en cas de dtection d'une intrusion ;
sensibiliser les utilisateurs aux problmes lis la scurit des systmes d'informations ;
prciser les rles et responsabilits.
La politique de scurit est donc l'ensemble des orientations suivies par une entit en matire de scurit labore au
niveau de la direction de l'organisation concerne, car elle concerne tous les utilisateurs du systme.
Responsable de la scurit du SI
Cela tant, en France, ce sont principalement les grandes socits, entreprises du secteur public et administrations qui ont
dsign et emploient, des responsables de la scurit des SI . Peu peu, le management de la scurit informatique
s'organise en domaines ou sous-domaines des services informatiques ou d'tat-major ; ils sont dots de moyens financiers
et humains et intgrent les contrats de plan ou de programmes de l'entreprise.
Modles formels de scurit

Afin d'atteindre une cible d'valuation avec un bon degr de confiance (niveau E4 de TCSEC au minimum), nous
dfinissons formellement le concept de scurit dans un modle dont les objectifs sont les suivants :
exprimer les besoins de scurits intgres dans un contexte informatique,

fournir des moyens pour justifier que le modle est cohrent,
fournir des moyens permettant de convaincre que les besoins sont satisfaits,
fournir des mthodes permettant de concevoir et d'implanter le systme.
Il existe plusieurs modles formels de scurit :
Le modle de Bell-LaPadula (gestion d'accs par mandat, confidentialit, statique) modle qui a t le plus utilis pour
vrifier la scurit des SI. Les concepteurs de ce modle ont dmontr un thorme appel Basic Security Theorem(BST).
De ce modle furent drivs d'autres modles : celui de Biba (gestion d'accs par mandat, intgrit, statique), celui
de Dion(gestion d'accs par mandat, confidentialit et intgrit, statique), de Jajodia et Sandhu (gestion d'accs par
mandat, confidentialit, statique).
Le modle de non-dduction (gestion d'accs par mandat, confidentialit, dynamique) modlisant le flux d'informations en
utilisant des concepts de la logique. Les modles de scurit bass sur le principe de flux d'informations ont leur utilit
dans le contrle des accs indirects l'information : ils mettent en vidence le problme des canaux cachs.
Le modle HRU (gestion d'accs discrtionnaire) et ses drivs, le modle Take-Grant et le modle SPM.
Plan de continuit d'activit]

Face la criticit croissante des SI au sein des entreprises, il est aujourd'hui indispensable de disposer d'un plan de
scurisation de l'activit.
39

Ce plan se dcline en deux niveaux distincts :
le plan de reprise d'activit (PRA) aussi appel reprise froid qui permet un redmarrage rapide de
l'activit aprs un sinistre, avec restauration d'un SI en secours avec les donnes de la dernire sauvegarde
le plan de continuit d'activit (PCA) galement appel reprise " chaud" qui, par une redondance d'infrastructure
et une rplication intersites permanente des donnes, permet de maintenir l'activit en cas de sinistres
majeur de l'un des sites.
Moyens techniques
De nombreux moyens techniques peuvent tre mis en uvre pour assurer une scurit du SI
Contrle des accs au systme d'information ;

Surveillance du rseau : sniffer, systme de dtection d'intrusion ;
Scurit applicative : sparation des privilges, audit de code, rtro-ingnierie ;
Emploi de technologies ad hoc : pare-feu, UTM, (antivirus, anti-spam, anti-logiciel espion) ;
Cryptographie : authentification forte, infrastructure cls publiques, chiffrement.
40

DATAGRAPHIE
http://about.zappos.com/our-unique-culture
http://fr.wikipedia.org/wiki/%C3%89valuation_d%27entreprise
http://it-ebooks.info
http://personalexcellence.co/blog/map-of-consciousness/
http://www.Bestcours.com
http://www.digitalworld.org.bd/event/matrix
http://www.gelog.etsmtl.ca/publications/pdf/310.pdf
Http://www.lifehacks.com
http://www.investopedia.com/terms/b/business-process-redesign.asp
http://www.ismadonai.net/
http://www.nu.edu/ourprograms/schoolofengineeringandtechnology/computer
scienceandinformationsystems/programs/master-of-science-in-cyber-securityand-information-assuranc.html
http://www.portailrh.org/expert/fiche.aspx?p=459963
http://www.redeemer.ca/academics/departments/computerscience/studies.as
px
http://www.scriptmag.com/features/spec-scripts-fail-failure-homework-part-5
http://www.the-performance-factory.com/fr/....5-elements-essentielsc.....savoir-sur-la-stratgie-d-excution/
http://www.tutorialspoint.com/java/index.htm
http://www.w3schools.com/
http://www3.interscience.wiley.com/cgi-bin/jhome/5391/
www.skillsyouneed.com/ps/living-ethically.html
April & Abran, Amliorer la maintenance du logiciel, Montral, Loze-Dion diteur, 2006
Pigosky T.M., Practical Software Maintenance, New York, John Wiley & Sons, 1996
Bensoussan A., La maintenance des SI et le droit, Paris, Hermes, 1993, p. 236
Champy, J. et M. Hammer (1993). Reengineering the Corporation: A Manifesto for Business Revolution,
New York, Harper Business.
Fayol, H. (1916). Administration industrielle et gnrale, Paris, Dunod.
Gestion des services lis aux technologies de l'information, itSMF France, juin 2004
Gestion oprationnelle des services, OGC/TCO (traduction itSMF), juin 2005
Gortner, H. F., J. Mahler et J. Bell Nicholson (1994). La gestion des organisations publiques, Sainte-Foy,
Presses de l'Universit du Qubec.
Gulick, L. et L. Urwick (dir.) (1937). Papers on the Science of Administration, New York, Institute of
Public Administration.
Introduction ITIL, Christian Nawrocki, ITPMS, aot 2005
ISO 9001 - Qualit, Scurit, Gouvernance, ITIL v2 & v3, CMMI [archive]
Kernaghan, K., B. Marson et S. Borins (2001). L'administration publique de l'avenir, Toronto, Institut
d'administration publique du Canada.
March, J. et H. Simon (1958 [1993]), Organizations, Cambridge, Blackwell.
Martin Fowler, Kent Beck, Refactoring: Improving the Design of Existing Code, Addison-Wesley
Professional, 1999, 464 p.,(ISBN 0201485672)
Maslow, A. (1954). Motivation and Personality, New York, Harper Collins.

OCDE (2005). Moderniser l'tat : la route suivre, Paris, ditions OCDE.
S3M V3 - Amliorer la Maintenance du Logiciel, Loze_Dion, 2005, ISBN 2-921180-88-X

Taylor, F. W. (1911). Principles of Management, New York, Harper & Row.

InfoGestion V 63.13

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

InfoGestion V 63.13

Enviado por

Direitos autorais:

Formatos disponíveis

HEWLETT-PACKARD

Audit et Scurit des

AWOUZOUBA Esso-Essinam 90794666

Problmatique (hors budget hors Echec

La gouvernance d'entreprise - ou corporate governance - dsigne le systme form par l'ensemble

AWOUZOUBA Esso-Essinam 90794666

Le dveloppement des SI reprsente des investissements consquents qu'il faut grer.

La cration et le dveloppement des services ( e-commerce, e-storage, e-services)

3. Comment Grer les investissements des SI ?

Les SI ncessitent des investissements dans plusieurs domaines :

4. Comment Piloter des SI?

AWOUZOUBA Esso-Essinam 90794666

II. Urbanisation des SI

maitrise progressive de lvolution des SI en vue de rduire les cots.

AWOUZOUBA Esso-Essinam 90794666

2. Application des concepts d'urbanisation

a) Le plan d'urbanisme SI ou Plan d'Occupation des Sols (POS)

renforcer la capacit construire et intgrer des sous-systmes d'origines diverses,

b) Exemple de rgles de dcoupage du SI

Rgle 1 : Sparation du Back-office du Front-office.

c) Les diffrents types de zones

AWOUZOUBA Esso-Essinam 90794666

La dmarche durbanisation du SI consiste notamment :

dfinir un SI cible, align sur la stratgie de lentreprise,

Le "cur" des processus d'urbanisme,

AWOUZOUBA Esso-Essinam 90794666

1. Les concepts de base de l'audit informatique

la conformit aux lois et aux rglements,

La dmarche d'audit informatique se dfinit partir des proccupations du demandeur d'audit

2. Diffrents types d'audit informatique

a. Audit de la fonction informatique

AWOUZOUBA Esso-Essinam 90794666

la clart des structures et des responsabilits de l'quipe informatique,

b. Audit des tudes informatiques (AEI)

la clart de l'organisation de la fonction notamment le dcoupage en quipes, la dfinition des

AWOUZOUBA Esso-Essinam 90794666

l'existence de procdures permettant de faire fonctionner l'exploitation en mode dgrad de faon

Ces objectifs de contrle correspondent au processus DS 1, DS 3, DS 6, DS 12 et DS 13 de CobiT

: DS 1 "Dfinir et grer les niveaux de services",

d. Audit des projets informatiques

l'existence d'une mthodologie de conduite des projets,

Ces diffrents objectifs de contrle correspondent aux processus PO 10, AI 1 et AI 2 de CobiT :

PO 10 "Grer le projet" mais aussi

e. Audit des applications oprationnelles (AAO)

AWOUZOUBA Esso-Essinam 90794666

les contrles en place sont oprationnels et sont suffisants,

le contrle de la conformit de l'application oprationnelle par rapport la documentation

Trs souvent on demande l'auditeur d'valuer la rgularit, la conformit, la productivit, la prennit de

f. Audit de la scurit informatique (ASI)

En permanence il existe des menaces significative concernant la scurit informatique de

AWOUZOUBA Esso-Essinam 90794666

DS 5 : "Assurer la scurit des systmes" et

3. Dmarche d'audit informatique

4. Les rfrentiels d'audit informatique

CobiT : C'est le principal rfrentiel des auditeurs informatiques,

AWOUZOUBA Esso-Essinam 90794666

CobiT and Applications Controls.

Dfinition du plan stratgique informatique, de l'architecture des informations, de la direction

AWOUZOUBA Esso-Essinam 90794666

Dfinition des niveaux de service

5. Le package CobiT 4.1

Executive summary (rsum de la vue densemble de la mthodologie CobiT pour les

AWOUZOUBA Esso-Essinam 90794666