Escolar Documentos
Profissional Documentos
Cultura Documentos
INTRODUCTION
Linformatique est omniprsente et indispensable Dveloppement des SI = accroissement des risques Le SI est le systme nerveux de lentreprise Laudit est un moyen prventif bien quutilis trop souvent titre curatif (58% des cas)
Laudit informatique simpose, il y a une prise de conscience A vu le jour dans les 60s aux USA
PLAN
I- Gnralits A- Objectifs B- Dmarche gnrale C- Conduite de la mission II- Les outils de lauditeur A- Normes B- Mthodes C- Critres de choix
gnralits
gnralits
Laudit correspond au besoin de faire faire un diagnostic par un expert indpendant pour tablir un tat des lieux, dfinir des points amliorer et obtenir des recommandations pour faire face aux faiblesses de lentreprise. Lauditeur intervient en tant que mesureur des risques, il identifie faiblesses, impacts, solutions et les risques si les mesures ne sont pas prises.
Gnralits (SUITE)
Laudit Informatique est un terme largement utilis, il couvre donc des ralits souvent diffrentes, et certaines prestations ralises sous le terme d Audit Informatique sont en fait des missions de Conseil. Le champ daction principal de lAudit Informatique doit rester loutil informatique au sens large, en y incluant la bureautique (application, matriels ) et de plus en plus les outils lis lusage des technologies de lInternet
objectifs
En termes de fiabilit de lenvironnement informatique
a) Lintrt dun contrle interne b) Les acteurs de laudit informatique c) Composantes dun audit de lactivit informatique d) Mthodes daudit de lactivit informatique
objectifs
a) Lintrt dun contrle interne
Selon lOEC, le contrle interne est: lensemble des scurits contribuant la matrise de lentreprise. Il a pour but: - dassurer la protection, la sauvegarde du patrimoine et la qualit de linformation - lapplication des instructions de la direction et favoriser lamlioration des performances. Il se manifeste par lorganisation, les mthodes et procdures de chacune des activits de lentreprise pour maintenir sa prennit
objectifs
bonne
Finalit
rduire
les risques de malveillance des procdures formalises bien comprises amlioration de lefficacit de lactivit informatique.
objectifs
b) Les acteurs de laudit informatique
direction
de lentreprise informatique
responsable contrleurs
objectifs
c) Composantes dun audit de lactivit informatique
examen examen
chanes de traitement,
examen
objectifs
d) Mthodes daudit de lactivit informatique
entretiens
contrles outils
mthodes
objectifs
En termes defficacit et de performances
mise
en place dun plan de secours tude approfondie de la performance et du dimensionnement des machines adquation aux besoins des logiciels systme En dautres termes laudit defficacit, constitue une mission mandate soit par la direction gnrale, afin de sinterroger sur le cot de son informatique, soit par le responsable du service, de manire vrifier la pertinence de sa configuration .
objectifs
En termes de fiabilit dune application informatique
Objectif
Types
Contrle Contrle
de la fiabilit dune application, ou son utilisation de ladquation des logiciels dvelopps aux spcifications fonctionnelles Recherche de fraude ou erreurs Contrle de la qualit des mthodes de dveloppement des logiciels ou contrle de la qualit des procdures dexploitation
DEMARCHE GENERALE
La comptence technique de lauditeur est un point fondamental pour la russite de la mission, il implique aussi de disposer de certaines qualits humaines, relationnelles, et des qualits de gestionnaire et dorganisateur.
DEMARCHE GENERALE
1) Intervenants
a) Auditeur externe contractuel
socit
Domaine
Scurit logique Conduite de projets Revue environnement informatique ERP / Revue d'application Production Maitrise d'ouvrage et Cahier des charges Analyse de donnes Dveloppement et rle des tudes Recettes Qualit du code et ralisation Autre
Pourcentage
80% 68% 66% 58% 54% 54% 50% 46% 42% 30% 20%
Domaines dans lesquels les auditeurs informatiques sont les plus frquemment sollicits
Source: enqute AFAI 2003
DEMARCHE GENERALE
b) Auditeur interne
Les
missions susceptibles dtre confies lauditeur informatique interne sont a priori les mmes que celles susceptibles dtre confies lauditeur externe. lauditeur interne qui dpend soit de la direction informatique ou dun service daudit, se trouve confront un problme dlicat : Comment couvrir dans un dlai raisonnable lensemble des risques informatiques ?
Cependant,
DEMARCHE GENERALE
c) Commissaire au comptes
o
Rle Le commissaire au compte a pour rle de vrifier que les comptes prsents sont rguliers et sincres, et quils donnent une image fidle de la situation de lentreprise. Leur prsence est obligatoire dans la plupart des socits commerciales.
DEMARCHE GENERALE
o
Source:
CRCC de Paris
DEMARCHE GENERALE
2) Plan pluriannuel daudit
Un
plan annuel est dfinit sur une priode de 3 4 ans, pour couvrir lensemble des composantes du risque informatique, par les auditeurs internes qui vont fixer des programmes annuels de travail dtaills. programme de travail annuel reprend, en prcisant les dates et modalits dintervention, les missions prvues au plan pluriannuel.
Le
DEMARCHE GENERALE
Exemple de plan pluriannuel
Conduite de la mission
Dmarche
a) la lettre de mission
Objectifs de la mission Primtre de la mission Priode dintervention Contraintes prvoir pour Mthode Constitution de lquipe Documents prparatoires
Conduite de la mission
b) Le programme de travail
Structure
Domaines
Applications Matriel
et rseaux
Conduite de la mission
c) Enqute pralable dlimiter les besoins et analyser le systme dinformation de laudit interroger en collaboration avec laudit, les utilisateurs et les entreprises qui participent au fonctionnement actuel du SI d) Runion de synthse sassurer : - que les questions de lauditeur ont t bien comprises - que les rponses ont t bien interprtes
Conduite de la mission
e) Rapport daudit
Le
sur la technique
Conduite de la mission
Comment choisir un auditeur informatique ?
Trois
Conduite de la mission
Que reprsente un audit en termes de cot et dconomies pour l'entreprise ?
Cot:
Avec un prix moyen de la journe environ 1000 euros, le Groupement national des professionnels de linformatique (GPNI) estime le cot global de la procdure entre 500 et 3000 euros.
Economies:
- Economies immdiates lors du constat de dpenses inutiles - Rduction des risques entrainant rduction de cot
Les normes
o ISO
27002
Gnralits: Cre en 2000 (ISO 17799), Renomme en 2005 Objet: scurisation de linformation
- Liste des biens sensibles protger - Nature des menaces - Impacts sur le SI - Mesures de protection
Les normes
o ISO
27001
Gnralits: Cre en 2005 Objet: Politique du Management de la Scurit de lInformation => tablir un Systme de Management de la Scurit de lInformation : - Choix des mesures de scurit - Protection des actifs Utilisation du modle PDCA
Les normes
6
domaines de processus :
- Dfinir une politique de scurit - Dfinir le primtre du SMSI - Evaluation des risques - Grer les risques identifis - Choisir et mettre en uvre les contrles - Rdiger Statement Of Applicability (charte du SMSI)
Conditions
Les mthodes
o
COBIT
Gnralits : Cre en 1996 par lISACA / AFAI Structure Contenu: - Synthse - Cadre de rfrence - Guide daudit - Guide de management - Outils de mise en oeuvre Intrts: - Lien entre les objectifs de lentreprise et ceux de technologies dinformation - Intgration des partenaires daffaires - Uniformisation des mthodes de travail - Scurit et contrle des services informatiques - Systme de gouvernance de lentreprise
Les mthodes
o
MEHARI
Gnralits : Cre en 1995 par le CLUSIF, remplaant MARION Structure:
Intrts: - Apprciation des risques aux regards des objectifs de scurit - Contrle et gestion de la scurit
Les mthodes
o
EBIOS
Gnralits : Cre en 1995 par la DCSSI Structure:
Intrts: - Construction dune politique de scurit base sur une analyse des risques - Lanalyse des risques repose sur lenvironnement et les vulnrabilits du SI
Les mthodes
Origine gographique de la mthode Langue Existence de logiciels adapts Anciennet = capacit de recul, tmoignages Qualit de la documentation Facilit dutilisation Compatibilit avec les normes Le cot (matriel et humain) La popularit, la reconnaissance Gnralement, combinaison de mthodes lors dun audit
conclusion
sources
www.afai.fr www.journaldunet.com www.indexel.net www.aud-it.ch www.guideinformatique.com www.bpms.info Les techniques de laudit informatique, Yann Derrien